10 vragen en antwoorden over de GDPR

Op 25 mei 2018 wordt de General Data Protection Regulation (GDPR) van toepassing. Om jou als marketing- of salesprofessional meer inzicht te geven in de veranderingen die deze nieuwe wetgeving met zich meebrengt. Organiseerde SPOTONVISION in samenwerking met advocatenkantoor Kennedy Van der Laan, het webinar GDPR in aantocht: wat iedere marketeer moet weten.

Tijdens het live webinar ontvingen we zoveel vragen dat het onmogelijk was om ze allemaal tijdens de uitzending te behandelen. En, omdat we denken dat de antwoorden voor iedere professional van waarde zijn. Besloten we 10 interessante vragen te behandelen in dit blog.

De vragen zijn beantwoord door Nicole Wolters Ruckert, privacy-advocaat bij Kennedy Van der Laan gespecialiseerd in marketingvraagstukken. Let wel, de antwoorden zijn te beschouwen als een eerste indicatie en zijn niet bedoeld als een volledig juridisch advies.

Vraag 1: Ik heb begrepen dat de GDPR in eerste instantie alleen van toepassing is op grotere organisaties en dat MKB later volgt?

Antwoord: De grootte van de organisatie of onderneming is geen criterium voor het bepalen of de GDPR van toepassing is. Daarnaast bepaalt de GDPR of de uitleg daaraan gegeven niet dat eerst de multinationals en grote ondernemingen aan de orde zijn en dan pas het MKB, voor wat betreft de naleving van de GDPR.

Kort gezegd: de GDPR is simpelweg van toepassing op alle bedrijven (er vanuit gaande dat alle bedrijven persoonsgegevens verwerken) vanaf 25 mei 2018. Wel is het zo dat sommige verplichtingen die voortvloeien uit de GDPR mogelijk niet van toepassing zijn op het MKB.

Vraag 2: Wat is je advies voor het implementeren van de GDPR? Afwachten tot mei 2018?

Antwoord: Gelet op het bovenstaande, moet ieder bedrijf, dus ook het MKB, op 25 mei 2018 voldoen aan de vereisten die voortvloeien uit de GDPR. Afwachten tot mei 2018 is zeker geen optie.

Vraag 3. Wat is het gevolg voor in het verleden verkregen persoonsgegevens?

Antwoord: De verwerking van in het verleden verkregen persoonsgegevens moet vanaf 25 mei 2018 voldoen aan de eisen van de GDPR.

Vraag 4. Wanneer wordt verwacht dat er meer duidelijkheid is rondom de e-Privacy regulation?

Antwoord: Naast de algemene GDPR, komen er ook weer specifieke regels voor bijvoorbeeld e-marketing. Deze regels zullen worden neergelegd in de e-Privacy Regulation.

Op dit moment is het concept e-Privacy Regulation van de hand van de Europese Commissie, beoordeeld door de LIBE-commissie van het Europees Parlement.

Er zijn ongeveer 700 amendementen op de tekst van de Europese Commissie voorgesteld. Deze zullen nu worden verwerkt en men verwacht dat er in de herfst van 2017 een tekst ter stemming aan het Europees Parlement zal worden aangeboden.

De ambitie van de Europese Commissie is dat ook de e-Privacy Regulation van toepassing zal zijn op 25 mei 2018; maar verschillende bronnen bevestigen dat dit een erg ambitieuze planning is.

Vraag 5: Gelden de regels rondom het benaderen van bestaande klanten (zonder opt-in, maar met opt-out) straks ook nog?

Antwoord: De huidige regels voor het benaderen van bestaande klanten via commerciële elektronische berichten, zijn neergelegd in artikel 11.7 lid 3 Telecommunicatiewet. In het voorstel van de e-Privacy Regulation van de Europese Commissie komen deze regels een-op-een terug. Onbekend is of dit ook in de uiteindelijke versie het geval zal zijn…

Vraag 6: Wat betreft de communicatie met huidige klanten: hoe gaat GDPR om met e-mailadressen/persoonsgegevens verkregen tijdens de verkoop van product of dienst?

Uit vraag 5 blijkt dat het gebruik van e-mailadressen van ‘bestaande klanten’ (dus van e-mailadressen verkregen in het kader van een verkoop van een product of dienst) om commerciële elektronische communicatie te sturen, primair zal worden geregeld in de e-Privacy Regulation en niet in de GDPR.

Belangrijk om te vermelden: onder de huidige regels van de e-Privacy Regulation (en het lijkt erop dat dit in de toekomst zo blijft), kan volstaan met een mogelijkheid tot opt-out (of het aanbieden van een recht van verzet) om rechtmatig aan deze vorm van e-marketing te kunnen doen. Een toestemming is in dat geval niet verplicht. De elektronische communicatie moet daarbij wel ‘eigen gelijksoortige diensten of producten’ betreffen.

Vraag 7: Is de plicht van opt-out ook van toepassing op print marketing?

Waar er specifieke regels bestaan voor e-marketing en telefonische marketing, neergelegd in de e-Privacy Regulation, zijn ook de algemene regels voor het gebruik van persoonsgegevens voor direct marketing doeleinden geregeld in de GDPR.

Onder het begrip direct marketing valt dus op naam geadresseerde print marketing. Wanneer persoonsgegevens voor dit soort direct marketing doeleinden worden verwerkt. Moet er te allen tijde een recht van bezwaar worden aangeboden of een opt-out tegen de daarmee verband houden verwerking van persoonsgegevens.

Vraag 8: In hoeverre geldt de GDPR voor offline bestellingen en bezoeken en het verwerken van persoonsgegevens in een CRM-systeem? 

Zoals in vraag 7 aangegeven, zijn er specifieke regels voor het versturen van commerciële elektronische communicatie. Dus ook voor het versturen van een elektronische nieuwsbrief.

Als deze wordt verstuurd naar een zogenoemde ‘bestaande klant’, dan kan er worden volstaan met aanbieden een opt-out bij het verkrijgen van het e-mailadres en moet de opt-out worden aangeboden in ieder daaropvolgend elektronisch bericht (dus in iedere verstuurde elektronische nieuwsbrief).

De verwerking van persoonsgegevens voor direct marketing doeleinden (in combinatie met het verzamelen van persoonsgegevens afkomstig uit een offline bestelling en het verwerken van deze gegevens in een CRM-database), zijn gegevensverwerkingen onderworpen aan de eisen van de GDPR.

Vraag 9: Voor het verwerken van persoonsgegevens is toch geen toestemming nodig?

Op grond van de GDPR, net zoals onder de Wet bescherming persoonsgegevens (Wbp), moet de verwerking van persoonsgegevens op een grondslag kunnen worden gebaseerd. Er bestaan zes mogelijke grondslagen. De toestemming van de betrokkene is er één.

Een andere is dat de gegevensverwerking noodzakelijk is voor het gerechtvaardigd belang van de verantwoordelijke of een derde, behalve wanneer de privacybelangen van de betrokkene (bijvoorbeeld de klant) zwaarder wegen.

Het verwerken van persoonsgegevens voor direct marketingdoeleinden kan op het gerechtvaardigd belang worden gebaseerd (zo blijkt uit de toelichting op de GDPR). Maar er moet dus wel een opt-out (of een recht om bezwaar te maken tegen die gegevensverwerking) worden aangeboden. Voor het gebruik van persoonsgegevens voor direct marketing doeleinden is niet per se toestemming vereist.

Vraag 10: Wat is het verschil tussen gerechtvaardigd belang en toestemming?

Bij toestemming wordt aan een betrokkene, bijvoorbeeld een klant, een wilsuiting gevraagd om akkoord te gaan met een bepaalde verwerking van persoonsgegevens (Ja, ik wil…). Bij de aanwezigheid van een gerechtvaardigd belang, gaat een bedrijf ervanuit dat hij een bedrijfsbelang heeft die de verwerking rechtvaardigt.

Dit bedrijf zal de betrokkene, in dit geval de klant, informeren over de gegevens en bij de verwerking van persoonsgegevens voor direct marketingdoeleinden een opt-out aanbieden (Nee, ik wil niet…). Maar als de verwerking van persoonsgegevens op het gerechtvaardigd belang wordt gebaseerd, zal geen toestemming worden gevraagd.

We hopen dat deze antwoorden je helpen in je voorbereiding op de GDPR.