ActuaDiepgaandDe GBA legt de spelregels uit voor direct marketing, maar maakt ook enkele vreemde kronkels.

14 februari 20200
https://ministryofprivacy.eu/wp-content/uploads/2020/02/austin-chan-ukzHlkoz1IE-unsplash-1-1280x853.jpg

De Gegevensbeschermingsautoriteit lost haar allereerste aanbeveling sinds 2020, en weinig verrassend, over het thema ‘Direct Marketing’. De GBA knalde eerder een boete binnen van 15.000 euro voor de juridische blogsite jubel.be, een toch wel verrassende uitspraak gezien de vele websites die totaal niet in orde zijn met de cookieverplichtingen, en vooral de vele onduidelijkheden rond cookies en acceptatie.

Wat is direct marketing? 

In een uitgebreide aanbeveling van 79 pagina’s legt de GBA eerst en vooral de klemtoon op wat Direct Marketing nu eigenlijk is.

Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.

De GBA wijst er zelf op dat de GDPR niet definieert wat onder direct marketing verstaan wordt, dus breidt ze er zelf een nogal uitgebreide en ons inziens vrij verregaande definitie aan vast. Het is duidelijk dat dit één van de speerpunten van de GBA is: commercieel gebruik van data.

  • Gevraagd of ongevraagd: alle vormen van communicatie, los of zij gericht zijn op de verkoop van producten of diensten, dan wel de promotie van ideeen, van zichzelf, van de organisatie. De overheid krijgt alweer een uitzondering: “met uitzondering van de promotie die wordt gevoerd op initiatief van overheidsinstanties, zij het met een beperking erbij.
  • Gericht op het promoten van een organisatie of een persoon, diensten, producten, zowel betalend als gratis, evenals merken of ideeën. Het is duidelijk dat de GBA zich richt op elke vorm van promotie, en dus breder dan enkel goederen of diensten. De regels zijn niet van toepassing bij marktonderzoek, peilingen, op voorwaarde dat de data enkel voor dit doel gebruikt worden. De GBA waarschuwt meteen voor creatieve interpretaties: als men toch direct marketing voert onder het mom van een marktonderzoek, is dit een ‘afwending van het doeleinde’ en dus een overtreding van de GDPR.

Door wie? 

De GBA maakt helaas geen onderscheid naar type van organisatie, ons inziens onterecht. Het staat dus los van enig commercieel doel: het verkopen van een lotje voor het Kinderkankerfonds wordt op gelijke voet gezet met harde direct marketing acties van grote webwinkels. Moeilijk te vatten. Opnieuw krijgen daarentegen de overheidsinstanties wel weer vrij spel.

Het verkopen van een lotje voor het Kinderkankerfonds wordt op gelijke voet gezet met harde direct marketing acties van grote webwinkels.

Met wat? 

De GBA maakt een onderscheid tussen digitale & niet-digitale communicatievormen. Onder de niet-digitale vormen vermeldt men uiteraard poststukken of ook menselijke interactie (denk aan de opdringerige verkoper in de straat of deur-tot-deur acties). Digitale communicatievormen kunnen tekst, video, foto’s of video’s bevatten, in telefoongesprekken, SMS’en, MMS’en (de jaren ’90 zijn terug!), chatrooms (echt, GBA?), popups en andere. Wel hedendaags: ook microtargetting en real time bidding (wat men bijvoorbeeld gebruikt om razendsnel advertenties te tonen in apps) zijn vervat in de aanbeveling.

Kortom: élke vorm van communicatie.

De regels

De GBA wijdt een groot stuk aan de juridische omkadering, en hoe men alsnog kan handelen in overeenstemming met de GDPR-regels. Logisch, natuurlijk.

      • Verwerkingsverantwoordelijke: grote aandacht is er voor het juist definiëren van wie opdrachtgever is van de direct marketing: de verantwoordelijke voor de verwerking. De ontvanger moet immers te allen tijde kunnen opsporen wie achter de advertenties schuilgaat. Er kunnen ook meer dan één verwerkingsverantwoordelijke optreden: de zogenaamde “gezamenlijke verwerkingsverantwoordelijken”.
      • Verwerker: het onderscheid tussen verwerkingsverantwoordelijke en (feitelijke) verwerker bestond al lang voor de GDPR. Vuistregel: de verwerker is diegene die effectief de acties uitvoert (hij verwerkt dus de gegevens in opdracht van de verantwoordelijke), en is mee-verantwoordelijk voor het volgen van de GDPR-regels en correcte uitvoering. Tussen beide partijen worden vaak afspraken gemaakt (verplicht). Dit doet men in een verwerkersovereenkomst.
      • Verkoper, verhuurder of verrijker van data: dit is fijn om te lezen: de GBA maakt een categorie in het bijzonder voor de verkoper/verhuurder en verrijker van data, de zogenaamde datamakelaars. Deze schimmige databrokers ontspringen vaak de dans, door een excessieve focus op de twee eerste rollen. Ze schermen vaak met lege termen zoals pseudonimisering en anonimisering, maar de werkelijkheid is vaak geheel anders. Het is goed dat de GBA hier de nodige aandacht aan besteed. De Poolse GBA sanctioneerde een dergelijke databroker vorig jaar nog voor 220.000 euro. Organisaties die willen werken met dergelijke databrokers, moeten enorm op hun tellen passen wat betreft de oorsprong van de persoonsgegevens, en zich vooral niet laten meeslepen door dure beloftes van ‘GDPR-proof’ te zijn.
      • Dochterondernemingen. De GBA wijst er nog kort op dat ook dochterondernemingen zich aan de GDPR-regels moeten houden, en zich eveneens transparant dienen op te stellen naar datasubjecten. Logisch.

De GBA wijst er verder op dat men het doeleinde van de verwerking correct en gedetailleerd moet omschrijven, alsook de ‘verwerkingsoperaties’ zelf. Dat is allemaal geen nieuws, maar wel standaard GDPR-verplichtingen. Ook is er kort aandacht voor profiling. 

Welke gegevens?

De GBA herhaalt met nogmaals een definitie te geven van persoonsgegevens, een erg ruim begrip:

Artikel 4.1 AVG

“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als ‘identificeerbaar’ wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon”

Ze wijst op het minimalisatieprincipe: zamel enkel die data in die strikt noodzakelijk zijn voor de verwerking. Iets wat marketeers nooit leuk hebben gevonden, maar helaas: het is opnieuw gewoon GDPR-tekst. Evenwel: hoe minder gegevens men verwerkt, hoe veiliger het is voor de onderneming, en hoe minder fouten er kunnen worden gemaakt. Het glas is halfvol.

Ook in tijd stelt de GBA limieten: gegevens mogen niet langer worden verwerkt dan strikt noodzakelijk voor de verwezenlijking van de doeleinden. In de praktijk is dit echter bijzonder makkelijk te omzeilen, zeker voor direct marketing.

Welke rechtsgrond? 

Vanaf pagina 45 gaat de GBA in op de verschillende rechtsgronden (denk aan toestemming, gerechtvaardigd belang, etc). Er is weinig nieuws te rapen, gezien dit uitgebreid wordt besproken in de literatuur. Voor organisaties die direct marketing voeren en niet vertrouwd zijn met de GDPR, is dit echter leerzame stof. Zeker wat betreft de voorwaarden om tot een geldige toestemming (opt-in) te komen, is herhaling altijd goed. Ook de fragiliteit van het ‘gerechtvaardigd belang’ (vaak ingeroepen als rechtsgrond om de toestemmingsvereiste te omzeilen) wordt goed gestoffeerd.

Wees transparant

Op het einde geeft de GBA nog een terechte tip mee: wees transparant. Het doet een beetje denken aan de oude slogan van Google (don’t be evil), ééntje die ze al lang terug in de kast hebben opgeborgen. Transparantie is alles in de relatie met het datasubject. Waarom wordt iemand getarget? Waarom wil je een product, dienst, idee of campagne precies aan die persoon verkopen? Wat zal er met de data gebeuren en hoelang wil je dit bewaren? Privacy draait allereerst om een beetje gezond verstand.

 

Het is goed dat de GBA één en ander verduidelijkt in een uitgebreid en onderbouwd document. We hebben bedenkingen bij de definiëring van de organisaties, en vinden dat er te weinig rekening is gehouden met het niet-commerciële karakter van verenigingen, stichtingen en non-profits. Teveel speling werd dan weer gegeven aan overheidsinstanties. Ook de uitzondering voor marktonderzoek vinden we vreemd, en zal wellicht snel misbruikt worden. De juridische omkadering en opfrissing (bijna twee jaar na de inwerkingtreding van de GDPR) is welgekomen en goed onderbouwd.

De volledige aanbeveling lezen? Dat kan hier.

Door de redactie.

Ministry of Privacy

Leave a Reply

Your email address will not be published. Required fields are marked *

https://ministryofprivacy.eu/wp-content/uploads/2020/01/logo-web.png
Neem je privacy terug in handen
Contact
Private Stichting
Nr. 0716.922.347
+32 9 320 00 34