Op 25 mei 2018 trad de GDPR in werking. Zo’n 5 jaar later hebben heel wat bedrijven zich aangepast maar zijn ook consumenten aandachtiger geworden. Zo stijgt het aantal meldingen van datalekken en worden er meer klachten ingediend door mensen die ontevreden zijn over het gebruik van hun gegevens.
Ook op communicatieprofessionals heeft de General Data Protection Regulation een impact. Wat als ik journalisten wil contacteren? Hoe moet ik reageren bij een datalek? En wanneer moet ik mijn collega’s van marketing inschakelen om toestemming te vragen aan het doelpubliek in een campagne? Jan Clinck en Gerrit Vandendriessche van advocatenkantoor ALTIUS geven ons meer inzicht in de wetgeving!
GDPR: The Basics
Kunnen jullie nog eens samenvatten wat GDPR juist betekent?
Jan: Eigenlijk is de Algemene verordening gegevensbescherming (AVG) een verderzetting van oudere Europese privacyregelgeving. De regels bestonden dus al maar waren door veel mensen of bedrijven niet goed gekend en werden in mei 2018 verstrengd. Zo werden de boetes verhoogd voor inbreuken, kreeg de privacycommissie die er vroeger was een nieuwe titel, de Gegevensbeschermingsautoriteit (of GBA), en meer bevoegdheden. De wetgeving gaat over persoonsgegevens en promoot eigenlijk het vrij verkeer ervan. Je mag gegevens verwerken zolang je maar een aantal basisprincipes respecteert.
Een van de misverstanden die je vaak hoort is: “Ik moet mijn toestemming geven voor een bedrijf met mijn persoonsgegevens kan doen wat het wil.” Maar dat is niet correct. Er moet een wettelijke basis zijn om gegevens te verwerken, de juridische term is ‘rechtsgrond’. Toestemming is er één van maar er zijn in totaal zes rechtsgronden. Zo kan je perfect gegevens verwerken op basis van een andere verwerkingsgrond, zoals de uitvoering van een overeenkomst. Een werkgever moet bijvoorbeeld bepaalde gegevens van een werknemer kunnen verwerken in het kader van een arbeidsovereenkomst.
Gerrit: Een tweede misverstand is dat de GDPR alleen over privacy gaat. Mensen denken vaak: “Zolang de privacy niet is geschonden, is de GDPR niet van toepassing.” Maar de GDPR heeft in de eerste plaats betrekking op de verwerking van persoonsgegevens, of dat nu privacygevoelig is of niet. De GDPR is een verordening die een algemeen kader schetst en rechtstreeks van toepassing is in de lidstaten van de Europese Unie.
Voor e-privacy daarentegen, bestaat er een richtlijn die omgezet is in een Belgische wet en die regels vastlegt voor alles wat met telecommunicatie te maken heeft. Dat is heel specifieke wetgeving die bijvoorbeeld bepaalt dat operatoren verkeersgegevens van telefoongesprekken moeten bewaren en onder welke voorwaarden die aan een procureur bezorgd kunnen worden als die daarom vraagt. Ook het gebruik van cookies valt hieronder.
De GDPR promoot het vrij verkeer van gegevens. Je mag gegevens verwerken zolang je maar de basisprincipes respecteert.
– Jan Clinck, Counsel bij ALTIUS
Hoe moet de afdeling marketing de GDPR toepassen?
Jan: Bij direct marketing komt de eerdergenoemde rechtsgrond toestemming aan bod. Je mag dus niet zomaar commerciële e-mails sturen naar personen. Je moet ofwel toestemming hebben, ofwel moet je met die persoon een klantenrelatie hebben waardoor die kan verwachten dat je een bepaalde boodschap stuurt.
Gerrit: Om een geldige toestemming te verkrijgen, moet je aan veel voorwaarden voldoen, en die voorwaarden zijn vrij streng. Als je een van de voorwaarden niet naleeft, is je toestemming ongeldig en kan je de gegevens niet verwerken. Een van de voorwaarden is dat de toestemming specifiek moet zijn, bijvoorbeeld: “Ik geef mijn toestemming voor de verwerking van mijn e-mailadres voor het sturen van een nieuwsbrief vanuit bedrijf A.”
Dus als ik van iemand toestemming heb gekregen om een maandelijkse nieuwsbrief te sturen, mag ik dat e-mailadres niet gebruiken voor iets anders?
Gerrit: Inderdaad, de toestemming die je krijgt is specifiek. Je kan het opgegeven doel (versturen van een nieuwsbrief) niet achteraf wijzigen. Je moet dus een aparte toestemming krijgen voor elk afzonderlijk doel. Dat maakt de verwerking van persoonsgegevens op basis van toestemming heel veeleisend. Als je bijvoorbeeld niet akkoord gaat met een cookiebanner op een website en je wil duidelijk maken waarvoor je wel toestemming geeft, krijg je vaak enorm veel uitklapbare menu’s met submenu’s per doel of provider. Dat is hiervan een gevolg.
Maar als je met iemand een klantenrelatie hebt opgebouwd, dan kan direct marketing in het kader van die relatie gebaseerd worden op gerechtvaardigd belang. Toestemming is dan niet nodig.
Gerechtvaardigd belang?
Wat houdt gerechtvaardigd belang juist in?
Gerrit: Met gerechtvaardigd belang bedoelen we dat je als bedrijf nadenkt of het doel waarvoor je gegevens wilt gebruiken gerechtvaardigd lijkt. Je maakt een afweging op basis van verschillende stappen:
- Heb ik een belang en welk belang heb ik? Dat moet een actueel, gerechtvaardigd belang zijn en dus niet: “Die gegevens komen mij ooit wel eens van pas.”
- Zijn de gegevens die ik nodig heb wel noodzakelijk om dat belang na te streven?
- Wegen de nadelen voor de betrokkene niet zwaarder door dan mijn eigen gerechtvaardigde belangen? Hoe kan ik de balans met de betrokkene op een of andere manier in evenwicht houden?
Jan: Zolang je als bedrijf goede redenen kan geven, en de belangen van het bedrijf primeren op de belangen van de betrokkene, kan de rechtsgrond gerechtvaardigd belang worden ingeroepen. Dus als een klant jouw producten of diensten heeft gebruikt, dan kan je die klant na de aankoop bijvoorbeeld wel een nieuwsbrief sturen, met de redenering: “Je had interesse in mijn producten, dus ik mag je op de hoogte houden van soortgelijke producten waarin je mogelijk ook geïnteresseerd bent.”
Als je met iemand een klantenrelatie hebt opgebouwd, dan wordt direct marketing gezien als een gerechtvaardigd belang, niet als toestemming.
– Gerrit Vandendriessche, Partner bij ALTIUS
Gelden er verschillende regels voor marketingacties in B2B of B2C?
Gerrit: Nee, de GDPR maakt op zich geen onderscheid of persoonsgegevens ingezet worden voor marketingacties ten aanzien van bedrijven (B2B) of consumenten (B2C). De enige uitzondering is direct marketing naar onpersoonlijke e-mailadressen van rechtspersonen, bijvoorbeeld ‘info@…’ e-mailadressen. Ook voor reclame via telefoon, bijvoorbeeld bij telemarketing gelden soms andere regels.
Wat als ik communicatieverantwoordelijke in een bedrijf ben en ik heb online contactgegevens gevonden van een journalist. Ik wil die journalist vervolgens een persbericht sturen. Mag dat?
Jan: Ja, als je de journalist geen direct marketing bericht zal sturen, maar eerder contact met hem/haar opneemt voor een nieuwsfeit, dan kan je gerechtvaardigd belang inroepen. Zeker als die journalist persoonsgegevens online heeft gezet, want de bedoeling van de online publicatie van die gegevens is om gecontacteerd te worden.
Gerrit: Als je niet bezig bent met advertising en je contacteert de journalist op basis van zijn/haar beroep in een professionele relatie, dan kan je dat op basis van gerechtvaardigd belang verantwoorden. Ineens promomails sturen naar die journalist, kan natuurlijk niet.
Dat betekent niet dat je, als communicatieverantwoordelijke, ineens alles kan doen wat je wilt met de gegevens van journalisten. Het hangt van case tot case af, en daarbij zijn verschillende vragen relevant, onder andere:
- In welke hoedanigheid verwerk je die gegevens, ben je verwerker of verwerkingsverantwoordelijke?
- Welke opdracht heb je van je klant gekregen?
- Wat is het doel bij de verwerking van de gegevens?
Datalek betekent risicobeoordeling maken
Een andere case: crisiscommunicatie. Het bedrijf waarvoor ik werk krijgt te maken met een datalek. Wat moet ik doen als communicatieverantwoordelijke?
Gerrit: Kort samengevat komt het erop neer dat je een risicobeoordeling moet maken. Dat betekent dat je moet evalueren of er een waarschijnlijk risico bestaat dat de rechten en vrijheden van de betrokkene geschaad kunnen worden, bijvoorbeeld omdat er een risico op identiteitsfraude is of omdat geld afhandig kan worden gemaakt.
Als er een waarschijnlijk risico is, ben je verplicht om binnen de 72 uur de Gegevensbeschermingsautoriteit in te lichten. En als het waarschijnlijk risico als zeer hoog gezien wordt, moet je de betrokkene ook zelf informeren. In dat geval zijn er een aantal verplichte zaken waarover je moet communiceren, zoals:
- Wat zijn de omstandigheden van het gegevenslek? (Hoe is het datalek ontstaan? Zijn de gegevens in handen van een onbevoegde terechtgekomen?)
- Over welke gegevens en hoeveel gegevens gaat het?
- Hoeveel personen zijn getroffen?
- Wat zijn de gevolgen voor die personen?
- Kunnen de betrokken personen zelf maatregelen nemen?
Als je niet bezig bent met advertising en je contacteert een journalist op basis van zijn/haar beroep in een professionele relatie, dan kan je dat op basis van gerechtvaardigd belang verantwoorden.
– Gerrit Vandendriessche, Partner bij ALTIUS
Moet je ook andere stakeholders van je bedrijf op de hoogte brengen?
Jan: Bij een waarschijnlijk hoog risico moet je sowieso de autoriteit en de betrokkene informeren. Andere stakeholders moeten in principe niet worden geïnformeerd, behalve in heel specifieke sectoren zoals telecom, energie, lucht- of spoorvervoer, gezondheidszorg en de banksector.
En wat als er geen waarschijnlijk risico is?
Jan: Als er geen waarschijnlijk risico is, moet je niets melden. Wat je wel altijd moet doen, is een register bijhouden van alle incidenten met persoonsgegevens, onafhankelijk of ze een laag, gewoon of hoog risico vertonen.
Gerrit: Ook al is er geen waarschijnlijk risico en moet je het incident bijvoorbeeld niet melden, toch heb je nog bepaalde verplichtingen, zoals maatregelen nemen om de gevolgen van het datalek ongedaan te maken er ervoor zorgen dat een gelijkaardig geval zich in de toekomst niet meer voordoet.