Sinds mei 2018 is Europese privacy wetgeving van kracht, ook bekend als de AVG of GPDR. De wet roept in de praktijk veel vragen op. Het is belangrijk om na te gaan hoe de nieuwe privacywet van toepassing is op telefonische acquisitie en de bellijsten die je hiervoor samenstelt. Beter voorkomen, dan genezen.
In dit artikel: Waarmee moet je rekening houden bij het maken van je acquisitie lijst?
In een reeks van drie blogs lees je onze interpretatie van de AVG wetgeving met betrekking tot telemarketing. Om meer duidelijkheid te krijgen, zijn we in de informatie gedoken die de Autoriteit Persoonsgegevens ter beschikking stelt en is er een uitgebreid telefoongesprek geweest met één van hun medewerkers.
In dit tweede blog van drie scheppen we duidelijkheid over zaken waarmee je rekening moet houden bij het samenstellen van acquisitielijsten.
Waarmee moet je rekening houden bij het maken van je acquisitie lijst?
Omzet is fijn, maar vooral ook broodnodig om de business draaiende te houden. De zoektocht naar nieuwe klanten is voortdurend. Daar zijn veel manieren voor, waaronder telefonische acquisitie.
Om telefonische acquisitie te plegen, is het nagenoeg noodzakelijk om persoonsgegevens te verwerken. Zaak dus om te weten waarmee je te maken hebt als het om de AVG gaat.
In het kort zijn er vier zaken waarmee je bij telefonische acquisitie (of direct marketing in het algemeen) rekening moet houden in het kader van de privacy wetgeving:
1. Je moet een grondslag hebben voor de gegevensverwerking;
2. Je moet een duidelijk doel hebben voor de gegevensverwerking;
3. Je moet een afweging maken in de belangen van de natuurlijke persoon en jouw belangen;
4. Je moet voldoen aan de informatieplicht.
Daarnaast stelt de AVG dat je alleen noodzakelijke persoonsgegevens mag verwerken. Je dient dus zo min mogelijk persoonsgegevens te verwerken, ofwel: data minimalisatie.
Verderop in dit artikel behandelen we de vier eerder genoemde punten, waarmee je rekening dient te houden. Ondertussen vraag je je natuurlijk af…
Kan ik de AVG omzeilen bij het maken van acquisitie lijsten?
Ja, in zekere zin. Je kunt bij de AVG wetgeving vandaan blijven, zolang je acquisitie lijst alleen bestaat uit gegevens van rechtspersonen.
Een rechtspersoon is een juridische constructie waardoor een organisatie kan optreden als een volwaardig en handelingsbekwaam ‘persoon’ in het rechtsverkeer met dezelfde rechten en plichten als een natuurlijk persoon. Dit betekent dat een rechtspersoon bezittingen en schulden kan hebben, contracten kan sluiten, rechtszaken kan aanspannen of aangeklaagd kan worden, zie Wikipedia. Rechtspersonen zijn verenigingen, coöperaties, naamloze vennootschappen (NV), besloten vennootschappen met beperkte aansprakelijkheid (BV) en stichtingen.
De gegevens van rechtspersonen vallen buiten de AVG. Je mag dus zonder restricties een bedrijfsnaam, bedrijfsadres, vast telefoonnummer en algemeen e-mail adres opslaan van één van de hierboven genoemde entiteiten.
Je komt pas in aanraking met persoonsgegevens op het moment dat je de telefoon pakt en bijvoorbeeld de naam van de persoon die je spreekt of wilt spreken opschrijft. Op dat moment verwerk je een persoonsgegeven en treedt wél de AVG in werking.
Zo komen we aan bij het werkelijk verwerken van persoonsgegevens.
De grondslagen van de AVG
De eerste stap in het verwerken van persoonsgegevens binnen de AVG is het hebben van een grondslag, die rechtvaardigt waarom jij als organisatie persoonsgegevens mag verwerken.
In de privacywet staan zes grondslagen beschreven voor het verwerken van persoonsgegevens:
1. Toestemming van de betrokken persoon
2. Noodzakelijk voor de uitvoering van een overeenkomst
3. Het nakomen van een wettelijke verplichting
4. Ter bescherming van vitale belangen
5. Vervulling van een taak van algemeen belang of uitoefening van openbaar gezag
6. Behartiging van de gerechtvaardigde belangen
De lijst met rechtsgrondslagen is limitatief, je kunt dus geen andere gronden aanvoeren, dan degenen die in de wet bepaald zijn.
De wet stelt dat je als organisatie zelf verantwoordelijk bent om te beoordelen of je je kunt baseren op één van de aanwezige grondslagen voor verwerking van persoonsgegevens.
Volgens de medewerker van de Autoriteit Persoonsgegevens (AP) geldt voor telefonische acquisitie de zesde grondslag: gerechtvaardigd belang.
Wanneer het noodzakelijk is voor de behartiging van jullie gerechtvaardigde belang, in dit geval acquisitie, mogen persoonsgegevens verwerkt worden. Dit is alleen van toepassing als de belangen, rechten en vrijheden van de betrokkene(n) niet zwaarder wegen.
Direct marketing, en dus ook telefonische acquisitie, in de zakelijke (B2B) markt worden gezien als een gerechtvaardigd belang van de verantwoordelijke.
Als je verwerkingen op deze grondslag wilt baseren, moet je bepalen of de betrokkene, gelet op het moment en de context van de verzameling van de persoonsgegevens, redelijkerwijs mag verwachten dat zijn persoonsgegevens voor dit doel worden verwerkt. Zakelijke contacten delen hun gegevens met het oog op commerciële doeleinden, dus mag je die gegevens ook daarvoor gebruiken.
Voor consumenten ligt dit anders. Deze verstrekken hun gegevens niet uit commercieel oogpunt, dus dit maakt het minder aannemelijk dat een consument redelijkerwijs veracht dat zijn gegevens voor commerciële doeleinden worden verwerkt.
Zover dus de grondslag voor je voorgenomen acquisitie activiteiten in de zakelijke markt.
Door naar het volgende punt.
Een duidelijk doel voor gegevensverwerking
Het tweede aspect waar je je druk over mag maken binnen de AVG, is het doel van de gegevensverwerking. De wet stelt dat je, naast een grondslag, ook duidelijk moet stellen wat het doel is van de verwerking van de persoonsgegevens.
De verwerkingsverantwoordelijke is degene die bepaalt waarom (doel) en hoe (middelen) er persoonsgegevens worden verwerkt. Jij stelt de acquisitielijst samen, dus in dit geval ben jij volgens de wet de verwerkingsverantwoordelijke. Als verwerkingsverantwoordelijke (rechts)persoon heb je letterlijk de verantwoordelijkheid om de AVG wet na te leven.
Het is je alleen toegestaan om, mits je een grondslag hebt, persoonsgegevens te verwerken voor ‘welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doelen’.
Het is dus verboden om persoonsgegevens te verwerken, zonder dat je een duidelijk doel hebt bepaald. Je mag ook geen gegevens verwerken, die je voor dit doel niet persé nodig hebt, bijvoorbeeld omdat het mogelijk in de toekomst wel van pas zou kunnen komen.
De verwerking van gegevens moet dus proportioneel zijn, wat wil zeggen: effectief en evenredig. Als je het gestelde doel niet kunt bereiken met de verwerking van de gegevens, of als je de kans zeer onwaarschijnlijk acht, dan is de verwerking niet proportioneel. Dan is het doel dus niet gegrond.
Daarnaast houdt de wet rekening met subsidiariteit. Mooi woord. Dit houdt in dat je je moet afvragen of je het doel niet op een andere en minder ingrijpende wijze kunt bereiken. Bijvoorbeeld, door geen of minder persoonsgegevens te verwerken. Je moet dus hard kunnen maken dat de verwerking van persoonsgegevens noodzakelijk is voor het doel.
Vóór je start met het samenstellen van je acquisitielijst, en dus het verzamelen of op andere wijze verwerken van persoonsgegevens, is het dus van belang dat je vastlegt welke persoonsgegevens je minimaal nodig hebt en waarvoor je deze persoonsgegevens nodig hebt. Dit doel moet in lijn zijn met de gekozen grondslag.
Je mag vervolgens de verzamelde en verwerkte gegevens niet toepassen voor andere gerechtvaardigde doeleinden, dan waarvoor je ze initieel hebt verzameld. Hierop zijn een aantal uitzonderingen, maar dit is voor telefonische acquitisie niet van toepassing.
Het afwegen van belangen
We hebben een grondslag en een duidelijk doel. Nu komen we aan bij het afwegen van belangen. Weegt ons belang voor acquisitie zwaarder dan het belang van de betrokkene, die op de acquisitielijst wordt opgenomen?
Dit betekent dat je moet bepalen of jouw commerciële belang in lijn is met de rechten en verwachtingen van de persoon van wie jij persoonsgegevens verwerkt en of dit belang opweegt tegen de privacybelangen van de persoon.
Natuurlijk vind je waarschijnlijk jouw eigen commerciële belangen belangrijker dan de privacy van een persoon die bij een organisatie werkt in een bepaalde functie of van de eigenaar van een bedrijf. Je dient dit vanuit objectief oogpunt te bezien.
Om deze vraag beter te beantwoorden, moet je je afvragen met welk doel de persoon zijn of haar contactgegevens heeft verstrekt op de plek waar jij ze hebt gevonden. Denk aan de contactpagina van een website of in de omschrijving op een openbaar toegankelijk LinkedIn profiel. Je mag de contactgegevens die deze persoon heeft gedeeld, gebruiken voor het doel waarvoor zij deze informatie hebben gedeeld.
Nu kun je vrij zeker stellen dat die persoonsgegevens niet zijn gedeeld met het oog op ‘opdringerige telefonische verkopers’ die een energiecontract proberen te slijten. Het is slechts een voorbeeld, maar waarschijnlijk voor velen herkenbaar als irritatiefactor.
Echter mag je er wel van uitgaan dat de persoonsgegevens van iemand die een bepaalde functie of rol bekleed binnen een organisatie, die vermeld staan op de contact pagina van een website of bij een LinkedIn profiel, met commerciële bedoelingen zijn gedeeld. De betrokkene mag redelijkerwijs verwachten dat zijn gegevens dan ook voor dit doel worden verwerkt.
Aangezien jouw telefonische acquisitie ook onder commerciële activiteiten valt, zou je kunnen zeggen dat je de gepubliceerde persoonsgegevens hiervoor ook kunt gebruiken en dat het belang van de betrokkene in dit geval niet opweegt tegen jouw direct marketing belang.
De handleiding AVG, die door de Autoriteit Persoonsgegevens ter beschikking is gesteld, meldt expliciet: “Verwerkingen van persoonsgegevens die strikt noodzakelijk zijn ten behoeve van direct marketing kunnen bijvoorbeeld worden gezien als gerechtvaardigd belang van de verantwoordelijke en mogen dus op basis van deze grondslag worden verwerkt.”.
Voldoen aan de informatieplicht
Het laatste – maar niet minst belangrijke – aspect om te voldoen aan de AVG wetgeving is de informatieplicht.
Je bent als verwerker verplicht om de betrokkene te informeren over het feit dat je zijn gegevens in enige vorm verwerkt. Aangezien het bij het samenstellen van een acquisitielijst niet mogelijk is om vooraf expliciete toestemming te krijgen van de persoon op je lijst, treedt de informatieplicht in werking.
De informatieplicht stelt dat je duidelijke informatie moet verschaffen over de redenen waarom je de persoonsgegevens gaat verwerken (doel), de manier waarop je deze persoonsgegevens verwerkt, met wie de persoonsgegevens worden gedeeld, hoe lang ze worden bewaard en of ze naar landen buiten de Europese Unie worden doorgegeven.
Dit zou betekenen dat je, voordat je de acquisitielijst gaat gebruiken, alle personen op de lijst moet informeren over het feit dat je hun gegevens hebt opgeslagen en gaat gebruiken voor acquisitie doeleinden.
De meest efficiënte manier zou zijn om een e-mail te versturen, maar het versturen van e-mail voor commerciële doeleinden zonder ondubbelzinnige toestemming, is niet toegestaan.
Dit is een lastige. Om die reden zijn er een aantal uitzonderingen op het uitgangspunt dat de betrokkene altijd geïnformeerd moet worden.
Voor telefonische acquisitie kun je je baseren op een specifiek uitzonderingsgrond dat in de AVG is opgenomen. Als de informatieverstrekking aan de betrokkene onmogelijk blijkt of een onevenredige inspanning vraagt, hoef je de betrokkene niet expliciet te informeren.
Voor die gevallen laat de AVG ruimte om de informatieplicht achterwege te laten, op voorwaarde dat de informatie zoals hierboven beschreven wél openbaar wordt gemaakt. Dit kan bijvoorbeeld door het publiceren van de informatie op je website.
Mag ik wel gewoon persoonsgegevens verwerken voor landen buiten de EU?
Nee. De AVG is van toepassing op organisaties (en personen) die zich in de Europese Unie vestigen en persoonsgegevens verwerken. Daarnaast op organisaties (en personen) die niet in de EU gevestigd zijn, maar wel gegevens verwerken van burgers in de EU.
Dit betekent in de praktijk dat als je als bedrijf of persoon gevestigd bent in de Europese Unie, dat je onder de AVG valt, ongeacht of je gegevens van personen buiten de EU verwerkt. Als je in dit geval gegevens van Amerikanen verwerkt, dan zijn die gegevens ook beschermd en ben je ook daarvoor gehouden aan de privacywet.
Hoe serieus moet ik de AVG nemen?
Dat is uiteraard aan jou. Je kunt je afvragen hoe groot het risico is dat je loopt, maar weet dat je een risico loopt. De eerste boete is onlangs uitgedeeld, dus voorkomen is beter dan genezen. Daarbij is het ook niet slecht om na te denken over de gegevens die je in je organisatie verwerkt en wat je eraan kunt doen om die veilig te houden.
De AVG is een gedrocht, vinden wij. Er wordt wetgeving opgelegd, die veel ruimte voor interpretatie laat, zonder optie tot verificatie of je goed bezig bent. De Autoriteit Persoonsgegevens doet daarover geen uitspraken. Zij verstrekken je wel handvatten om te zorgen dat je jouw afwegingen zo goed mogelijk kunt maken.
Uiteindelijk ben je zelf verantwoordelijk en ook al denk je alles goed te doen, je kunt uiteindelijk door de AVG op het matje geroepen worden en toch in je ongelijk gesteld worden. Of je even een fikse boete wilt betalen. Heel krom.
Als je in ieder geval laat zien dat je de wetgeving serieus hebt toegepast, kunnen ze dat meenemen in hun overwegingen en heb jij er in ieder geval binnen het redelijke alles aan gedaan om te goeder trouw de wet te volgen.
Credits afbeelding: Anna Tarazevich
Meer uit deze reeks:
In deel 1: Wat zijn persoonsgegevens en wat wordt verstaan onder verwerking?
In deel 3: Hoe kan je telefonische acquisitie doen én toch voldoen aan de AVG?
Disclaimer: De inhoud van dit artikel dient niet ter vervanging van juridisch advies. Je kunt aan de uitleg op deze pagina geen rechten ontlenen. Voor advies over een specifieke situatie: neem contact op met een advocaat, jurist of de Autoriteit Persoonsgegevens. Wij kunnen je ook verwijzen binnen ons netwerk.