Het is inmiddels bijna twee jaar geleden dat de GDPR in werking ging. Een vaststelling blijft echter dat héél wat marketingafdelingen in bedrijven en webshops nog steeds niet klaar zien in de wirwar van regels die hen opgelegd worden door de GDPR enerzijds, maar ook door de huidige ePrivacyregels uit het Wetboek Economisch Recht (de ‘anti-spam wetgeving’), de cookiewetgeving, de regels rond het bel-me-niet-meer register, de Robinsonlijst, …
De lijst met regels waar bedrijven rekening me moeten houden is érg lang en de juiste toepassing van die regels in een context van marketing automation, AI en predictive software, cross device tracking en vergaande profiling van klanten is alles behalve evident.
‘Nieuwe’ regels
Ook bij de overheid beseft men dat het voor bedrijven niet bepaald evident is om te te weten wat wél en niet mag als het aankomt op omgaan met customer data voor (direct) marketing doeleinden. Volgens eigen zeggen ontving de Belgische Gegevensbeschermingsautoriteit sinds mei 2018 ruim 600 vragen over direct marketing. Direct marketing staat daarmee in de top 3 van de vragen en klachten die de GBA ontving.
Precies daarom lanceerde de Belgische Gegevensbeschermingsautoriteit vorige week haar al enige tijd aangekondigde ‘Aanbeveling betreffende de verwerking van persoonsgegevens voor direct marketingdoeleinden’ (je vindt ze op www.gegevensbeschemringsautoriteit.be onder ‘actua’. Het is een document van 80 pagina’s geworden dat alle bestaande regels rond omgaan met data in een (direct) marketing context samenbrengt en op een overzichtelijke manier toelichten. Een must read voor elke marketeer of webshop owner.
Correct omgaan met customer data
Het document geeft heel wat inzichten in de vraag of je al dan niet voorafgaande toestemming nodig hebt om direct marketingmails te versturen, hoe je toestemming moet vragen, hoe je moet omgaan met cookies en ook wanneer en onder welke voorwaarden je je kan beroepen op een gerechtvaardigd belang om gegevens te verwerken.
Een hele geruststelling voor vele marketeers is de bevestiging dat prospectie op basis van gerechtvaardigd belang niet uitgesloten is onder GDPR. Je mag dus in principe prospects (die per definitie nog geen klant zijn en geen toestemming kunnen gegeven hebben om reclame te ontvangen) wel degelijk contacteren, maar enkel als je kan aantonen dat dit noodzakelijk is voor je bedrijf en of je hetzelfde resultaat niet kan bereiken op een andere manier en als de afweging van de belangen van de betrokkene met jouw belang in evenwicht blijft.
Belangrijk is ook de vaststelling dat newsletters aan bestaande klanten voor gelijkaardige producten onder de ePrivacyregels uit het Wetboek Economisch Recht onder GDPR normaal wel te rechtvaardigen zijn onder het rechtvaardig belang. Het samenspel tussen het WER en de GDPR is al langer een gevoelige oefening en we zijn blij om lezen dat de GBA in deze richtlijnen de visie herneemt die wij de voorbije jaren bij talloze cliënten ook geïmplementeerd hebben: GDPR en anti-spamregels moeten naast elkaar gezien worden als complementaire wetgeving, waarbij aan de voorwaarden van beide wetgevingen voldaan moet zijn voordat je reclamemails kan gaan uitsturen, maar waarbij de vaststelling is dat de correcte toepassing van de antispamregels (reclame mag naar bestaande klanten voor gelijkaardige goederen of diensten) in se ook een geldige rechtsgrond creëert onder GDPR, zelfs zonder expliciete toestemming.
Omgekeerd is een minder aangename vaststelling voor veel marketeers wellicht dat de GBA verwacht dat in direct mailings niet enkel een unsubscribemogelijkheid gegeven worden zoals de ePrivacy regels in het WER dat vragen (ik wil geen newsletters meer ontvangen), maar dat daarnaast óók nog eens expliciet een ‘recht op verzet tegen verdere verwerking’ onder GDPR geboden moet worden in elke mail (‘ik wil dat mijn gegevens niet meer gebruikt worden voor direct marketingdoeleinden’). Met dat laatste schrijft een ontvanger zich niet enkel uit uit de mailinglijst, maar vraagt hij dat zij gegevens verwijderd worden uit de marketingdatabase…
De basisverplichtingen van elke marketeer
Daarnaast wordt op zeer duidelijke wijze uitgelegd welke denkoefening je eigenlijk moet doorlopen alvorens je klantengegevens gaat verwerken. De vaststelling, ook in onze praktijk, is immers vaak dat marketeers en online retailers weinig grip hebben op de basisbeginselen voor correct omgaan met data onder GDPR.
Wat je als marketeer moet onthouden is vooral dat er grenzen zijn aan wat je met data kan doen. Je hebt als marketeer een transparatieverplichting onder GDPR. Klanten horen te weten welke gegevens je over hen verzamelt en wat je ermee doe.
In die context verduidelijken de richtlijnen nogmaals dat je voorafgaand aan elk gebruik van klantendata moet bepalen waarvoor je die data wil gebruiken. Je moet met andere woorden vooraf je doeleinden duidelijk bepalen en communiceren aan je klant en je mag vervolgens de data waarover je beschikt uitsluitend gebruiken voor die doeleinden die je vooraf gedefinieerd hebt. Een en ander gaat regelrecht in tegen de ganse big data filosofie die de voorbije jaren is gegroeid en die lijkt uit te gaan van het principe dat we best zo veel mogelijk data verzamelen om later wel eens uit te zoeken wat we daar precies mee zouden kunnen doen.
Op dezelfde manier moeten marketeers voor ze aan de slag gaan ook in detail bepalen welke verwerkingen nodig zijn om dat doel te bereiken en welke data daarvoor nodig is. Bij dat laatste punt geldt ook volgens de GBA dat ‘less is more’. Data kan alleen bijgehouden en verwerkt worden als ze écht nodig is en anders moet ze toch echt verwijderd worden…
Dat alles hoort duidelijk opgenomen te zijn in het verwerkersregister en, als dat nodig is, ook in een voorafgaande Data Protection Impact Assessment (bijvoorbeeld als gevoelige data verwerkt wordt, als verschillende databronnen aan elkaar gekoppeld worden of als nieuwe technologie of nieuwe processen ingezet worden).
Profiling
De aanbevelingen van de GBA maken specifiek plaats voor een hoofdstuk over profiling. Goede direct marketing is immers ondenkbaar zonder betrouwbare klantenprofielen.
Profiling vereist volgens de GBA, terecht, grote voorzichtigheid omdat de impact ervan op de betrokkenen groot is, vooral als op basis van een klantenprofiel ook beslissingen genomen worden die de betrokkene ‘in aanmerkelijke mate treffen’. Dat is bijvoorbeeld het geval als bijvoorbeeld reclame voor consumentenkrediet gericht wordt op profielen met gekende financiële moeilijkheden of als prijzen aangepast worden in functie van individuele profielinformatie.
Profiling is vaak alles behalve transparant, ook als er geen automatische besluitvorming aan verbonden is. De GBA wijst daarom nogmaals op het belang van correcte informatie. Dat betekent dat je privacy policy moet melden dat klantenprofielen opgebouwd worden en in detail moet uitleggen op basis van welke gegevens dat gebeurt, waarom dat gebeurt, waarvoor de profielen gebruikt worden en met wie de data eventueel gedeeld wordt.
Wat leren we uit deze aanbeveling?
Deze DM aanbeveling van de Gegevensbeschermingsautoriteit is zonder twijfel een nuttige en handige hulp voor veel marketeers. Heel wat gangbare problemen en vragen worden er, met vaak concrete voorbeelden ter illustratie in toegelicht. Het document is dus ongetwijfeld handig om bij de hand te hebben.
Wat je als marketeer en online retailer echter sowieso ook moet doen -voor zover dat nog niet gebeurd is in een globale GDPR compliance oefening- is het ganse marketingbeleid van je afdeling onder de loep nemen en de werking ervan grondig analyseren én documenteren om transparantie, proportionaliteit, minimale gegevensverwerking en vooral toch ook dataveiligheid te kunnen garanderen
Vragen over direct marketing of hulp nodig bij een legal audit binnen je marketing?
Bel of mail gerust vrijblijvend op bart@siriuslegal.be of op +32 486 901 931.
Geef als eerste een reactie