AVG en marketing: strengere regels

13 april 2018 om 12:04 

Wanneer op 25 mei de nieuwe Algemene Verordening Gegevensbescherming (AVG) in voege treedt, worden marketeers verplicht een (nog) grotere nauwgezetheid aan de dag te leggen bij de verwerking van consument-gebonden gegevens. Bent u hier voldoende op voorbereid?

 

Vanaf 25 mei kan er namelijk voor een onderneming – en haar marketingafdeling – geen sprake meer zijn van een nagenoeg straffeloze inzameling en exploitatie van persoonlijke gegevens van consumenten. In de praktijk legt de nieuwe wetgeving de organisaties een reeks nieuwe verplichtingen op, naast de verstrenging van de reeds bestaande maatregelen. In het raam van de wet van december 1992 inzake de bescherming van de privacy waren de ondernemingen trouwens al verplicht een aantal richtlijnen na te leven met betrekking tot de verwerking van persoonlijke gegevens.

 

Nieuwigheden

Fanny Coton

Laten we er meteen bij vermelden dat de toekomstige AVG van toepassing zal zijn op elke onderneming – dus ook buitenlandse ondernemingen als de GAFA (Google, Apple, Facebook en Amazon) – die data inzamelt en/of verwerkt aangaande Europese burgers of mensen die in Europa vertoeven. Op marketingvlak zal de AVG voornamelijk twee gevolgen hebben. Fanny Coton, advocate bij het kantoor Lexing Belgium, maakt een onderscheid tussen de kleine handelaar en de onderneming die marketingactiviteiten runt in opdracht van derden en hierbij aan profilering doet.

De eerste verandering betreft precies deze twee categorieën marketeers. Het zal niet meer toegelaten zijn om automatisch het e-mailadres van een prospect te registreren via een passieve opt-in, waarbij de consument in feite aanvaardt commerciële aanbiedingen te ontvangen, omdat een vakje “Ik wens (…) te ontvangen …” bijvoorbeeld op voorhand is aangevinkt. Dergelijke praktijken kunnen niet meer. De consument zal zelf het initiatief van een positief antwoord moeten nemen, door bijvoorbeeld zelf dat vakje aan te vinken. En zelfs dan behoudt de consument het recht om zijn toestemming later in te trekken. In feite een soort dubbele opt-in: namelijk de verplichting om eerst de goedkeuring van het contact te krijgen voordat de registrering kan plaatsvinden en daarnaast de duidelijke melding aan de geadresseerde van de mail dat hij zijn inschrijving voor de marketing- of communicatiecampagne steeds kan intrekken. Bovendien zal de onderneming de bewijzen van de verkregen toestemmingen moeten bijhouden. Meer nog: het bedrijf is verplicht om een politiek van totale transparantie in te voeren en moet in zijn communicatie duidelijk de details toelichten van zijn beleid inzake bescherming van persoonlijke gegevens en vertrouwelijkheid.

De tweede grote verandering die de AVG instelt, heeft te maken met profilering, een welbekende praktijk in de marketingsector, bedoeld om contactendatabanken aan te vullen via gekruiste vergelijkingen, gevolgd door een segmentering volgens duidelijke criteria. Op die manier kunnen geïndividualiseerde e-mails automatisch worden verstuurd. De AVG heeft het nu specifiek op deze profileringsactiviteiten gemunt. Dit aspect betreft vooral professionele marketeers die in onderaanneming optreden voor andere bedrijven. Nu, precies deze bedrijven die een beroep doen op dat soort marketingdiensten zullen bij de keuze van de dienstverlener heel voorzichtig te werk moeten gaan, want ze worden aansprakelijk voor de initiatieven van deze onderaannemer. Bij profileringsactiviteiten zal het voortaan verplicht zijn om een afgevaardigde gegevensbescherming aan te stellen en bovendien een impactanalyse te voeren om na te gaan of het initiatief van de onderneming als redelijk kan worden beschouwd en/of de procedures geen overdreven risico inhouden. De Franse CNIL biedt een hulpmiddel voor een dergelijke impactanalyse, op zich een vrij ingewikkelde en tijdrovende aangelegenheid.

 

Naleving

Het niet-naleven van de AVG gaat met bijzonder strenge sancties gepaard: boetes tot 20 miljoen euro of 4% van de integrale jaaromzet van de onderneming (of van de wereldgroep waar ze deel van uitmaakt) als dit bedrag hoger ligt. Beslissingen over zulke sancties worden de bevoegdheid van een Gegevensbeschermingsautoriteit (de voormalige Privacycommissie), en niet langer van de procureur des Konings, wat het aantal opgelegde sancties zal verhogen en de procedures zal versnellen. Bovendien zal de onderneming eerst worden verplicht de boete te betalen voordat ze hiertegen in beroep kan gaan.

Wat staat de onderneming te wachten die (nog) niet conform zou zijn? “Waarschijnlijk zullen niet alle ondernemingen tijdig klaar zijn”, merkt Fanny Coton. “In dat geval is het belangrijk te kunnen bewijzen dat er toch al maatregelen zijn getroffen. Omdat steeds meer consumenten gevoelig zijn voor de bescherming van hun persoonlijke gegevens, zullen velen geneigd zijn om klacht in te dienen, met als gevolg een controle door de Gegevensbeschermingsautoriteit.”

De AVG vereist dus een hervorming van alle databanken die de onderneming exploiteert, met een analyse van de manier waarop de data werden verkregen en daarna de uitdrukkelijke vraag aan de consumenten om hun toestemming te geven, voor zover dit nog niet is gebeurd. Nadien zal de databank moeten worden gezuiverd door het uitwissen van alle gegevens die niet uitdrukkelijk werden toegelaten.

Jean-François Henrotte, vennoot bij het advocatenkantoor Lexing Belgium, beseft dat de inspanningen om te voldoen aan de voorschriften een financiële impact zullen hebben (ook omdat er weinig automatische hulpmiddelen bestaan om databanken te zuiveren). Maar er is meer: “Wanneer een consument een niet conforme mail ontvangt, schaadt de afzender zijn eigen imago. Bovendien is de AVG de gelegenheid om alle bestanden in orde te brengen en met een schone lei te herbeginnen, voor een clientèle die echt belangstelling vertoont.”

Omdat iedere onderneming wordt verplicht de AVG na te leven, geldt de overgang als een kans om de consumenten efficiënter te benaderen, het imago op te poetsen en procedures in te stellen voor een betere productiviteit.

 

Verduidelijkingen van de BAM[1]

Ter versterking van de fundamentele rechten van de burger wordt de aansprakelijkheid van de verantwoordelijke voor dataverwerking (de huidige regelgeving) nu uitgebreid tot de onderaannemer die in opdracht van deze verantwoordelijke optreedt. Met deze ingrijpende verandering legt de AVG, voor het eerst op EU-niveau, directe verplichtingen op aan de onderaannemer, ongeacht of deze nu een lokale leverancier is of een cloud computing dienstverlener.

Verder mogen de verantwoordelijken voor dataverwerking slechts onderaannemers aanstellen die voldoende waarborgen voorleggen voor de uitvoering van de adequate technische en organisatorische maatregelen. Dit om te garanderen dat de verwerking conform de richtlijnen van de AVG verloopt. Onderaannemers zijn bovendien verplicht om de persoonlijke data te verwerken volgens de richtlijnen van de verantwoordelijke voor dataverwerking. Ze moeten daarnaast aangepaste veiligheidsmaatregelen voorzien die zij in functie van verscheidene factoren zullen moeten evalueren. Zo bijvoorbeeld de gevoeligheid van de data, het risico voor de veiligheid van de betrokken personen, de kosten die hiermee gepaard gaan en de aard van de verwerking. Zo nodig dienen regelmatige tests de efficiëntie van veiligheidsmaatregelen te controleren. En dit alles dient in contracten te worden vastgelegd.

En ten slotte mogen de bij een dataverwerking betrokken personen rechtstreeks opkomen voor hun rechten, ook tegen de onderaannemers. Het nieuwe stelsel voorziet trouwens sancties.

 

[1] Belgian Association of Marketing

 

Delen