8 december 2017, leestijd 5 minuten.

De GDPR (ook wel de AVG) heeft geen introductie meer nodig. Jammer genoeg is er nog veel onzekerheid over wat nu de gevolgen zijn van deze nieuwe privacywetgeving en wat het specifiek voor organisaties kan betekenen. Tijd om alvast één prangende vraag op te lossen.

Veel bedrijven zijn al jarenlang bezig met een klantenbestand op te bouwen. Niet enkel bedrijven, maar bijvoorbeeld ook stichtingen en verenigingen zitten op bakken data van leden en sympathisanten. De pool aan data is overal groot. De ene persoon is in die pool terecht gekomen via een opt-in, de andere dan weer niet. De vraag die hier vooral naar boven komt, is of organisaties aan iedereen nu opnieuw toestemming moeten vragen om de al verzamelde persoonsgegevens verder te gebruiken? Dat brengt het risico met zich mee dat ‘betrokkenen’ (de personen van wie gegevens verzameld worden) dit zullen negeren of weigeren en je databank op spectaculaire wijze kan inkrimpen.

Voor we een antwoord geven, moeten we weten wat toestemmen tot verwerken betekent.

Wat betekent ‘toestemming’?

De toestemming is, onder de GDPR, één van de zes rechtsgronden op basis waarvan persoonsgegevens rechtmatig verwerkt kunnen worden. Toestemming is echter ook de meest zwakke rechtsgrond. Eenieder is immers gerechtigd om zijn of haar toestemming in te trekken wanneer ze dat willen. Daarnaast is het geen geliefde rechtsgrond, want er zijn bepaalde vereisten voor de toestemming. Ze moet ondubbelzinnig zijn, expliciet, geïnformeerd, enzovoort.

Toestemming moet volgens de GDPR ook blijken uit een verklaring of uit een duidelijke actieve handeling. De opt-out en de soft opt-in zijn dus definitief verleden tijd. Enkel de uitdrukkelijke opt-in zal nog tot een effectieve toestemming kunnen leiden.

Toestemming is echter niet de enige rechtsgrond voor verwerking. Indien je kan steunen op één van de andere vijf rechtsgronden voor verwerking onder de GDPR, mag je ook overgaan tot verwerking. In de praktijk zijn veel verwerkingen noodzakelijk voor de uitvoering van een overeenkomst of worden gegevens bewaard vanwege een wettelijke verplichting. Boekhoudkundige en medische gegevens kunnen hier bijvoorbeeld onder vallen. Nog een andere rechtsgrond is verwerking voor de behartiging van een gerechtvaardigd belang. Nogal vaag natuurlijk, maar dat is wetgeving wel vaker.

Dit kadert allemaal binnen het doel van de GDPR, namelijk om betrokkenen meer controle en zeggenschap te geven over gegevens die op hen betrekking hebben.

Wat doe je dan met je de bestaande databank van persoonsgegevens?

Organisaties die persoonsgegevens in hun bezit hebben op basis van toestemming, mogen de gegevens behouden wanneer de manier waarop de gegevens verkregen zijn voldoet aan de standaarden van de GDPR. Dit betekent dat wanneer de toestemming werd verkregen, bijvoorbeeld aan de hand van een vooraf aangevinkte box, deze opnieuw gevraagd zou moeten worden.

Een reactiveringscampagne kan hier natuurlijk bij helpen. Je kunt een mailing versturen naar alle betrokkenen in je databank en hen vragen om een nieuwe opt-in. De kans is echter groot dat dit leidt tot een grote mate van weigering, waardoor je bijvoorbeeld van 10.000 naar 1.000 betrokkenen gaat. Je houdt in dat geval natuurlijk wel net diegenen over die echt geïnteresseerd zijn in wat je doet, een kwestie van het glas half vol te houden.

Ontsnappen aan de toestemmingsvereiste?

Toestemming is echter niet altijd de belangrijkste rechtsgrond is. In het kader van marketing kan je bijvoorbeeld verder steunen op het gerechtvaardigd belang; de GDPR zegt letterlijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang. Wanneer je je beroept op het gerechtvaardigd belang, moet je kunnen aantonen dat jouw belangen als onderneming bij de verwerking van de persoonsgegevens voor reclamedoeleinden zwaarder doorwegen dan het recht op privacy van de betrokkene. In het geval van direct marketing geeft de Europese wetgever je het voordeel van de twijfel, maar je dient nog wel telkens een belangenafweging te maken.

In GDPR staat letterlijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang

Enkel over de GDPR spreken, is in dit geval slechts de helft van het verhaal vertellen. Naast de GDPR moet binnen afzienbare tijd ook de Europese e-Privacy verordening ingevoerd. Naast nieuwe cookiewetgeving, bevat deze verordening ook regelgeving m.b.t. het gebruik van (bestaande) e-mailadressen en de toestemmingsvereisten voor e-marketing.

Eenvoudig gezegd vereist de e-Privacy verordening toestemming via opt-in voor e-marketing, tenzij de persoonsgegevens verzameld zijn in het kader van een (koop)overeenkomst en de betrokkene op dat moment de mogelijkheid had om zich te verzetten (opt-out). Als er nog geen klantrelatie is, mogen gegevens alleen verzameld worden via een opt-in.

Conclusie

Op basis van de huidige concepttekst van de e-Privacy verordening kan dus worden volstaan met een mogelijkheid tot opt-out of het aanbieden van een recht van verzet om rechtmatig aan e-marketing te doen. Toestemming van de betrokkene is in dat geval niet verplicht. De elektronische communicatie moet dan wel een ‘gelijksoortige dient of product’ betreffen en het moet voortvloeien uit een verkoop en dus een bestaande klant zijn.

Houd dus de e-Privacy verordening en de ontwikkelingen van de tekst in de gaten. Als je helemaal zeker wil zijn van een rechtmatige verkregen toestemming, werk dan gewoon consequent met een opt-in volgens de GDPR. Dit vergt wat meer werk, maar is ook de weg van de minste weerstand.

Geschreven door Jan-Willem Lust, Head of Legal bij deJuristen.