Blog Gba

23.11.2021 Roeland Lembrechts

Standaarden voor veilige websites: wat betekent dit nu concreet?

Op 22/10/2021 oordeelde de Gegevensbeschermingsautoriteit (GBA) over een klacht wegens een onbeveiligde verbinding van de website van een ziekenhuis. Eindelijk eens wat overwegingen van de GBA over de nodige veiligheidsmaatregelen ter bescherming van persoonsgegevens. Want laten we eerlijk zijn, het begrip ‘technische en organisatorische maatregelen’ blijft tot op vandaag een containerbegrip waar een kat haar jongen niet in terugvindt.

Populair artikel analytics_cookies_position_paper_GBA
13.01.2021 Bart Van den Brande

Digitale sector unisono in overleg met de Gegevensbeschermingsautoriteit (GBA): Analytics cookies zonder voorafgaande opt-in zijn een noodzaak  

Sirius Legal overlegde samen met de quasi volledige digitale sector in België op 7 januari unisono met de Gegevensbeschermingsautoriteit over het gebruik van analytics cookies.  

ACC, BAM, Cube, Feweb, SafeShops.be, UBA en UMA legden vorige week collectief hun bezorgdheid voor aan de GBA over de wijze waarop vandaag in online omgevingen voorafgaande expliciete toestemming gevraagd moet worden voor het plaatsen van analytics cookies. De vakverenigingen, die samen het brede spectrum van de Belgische online wereld vertegenwoordigen, deden dat op basis van een uitgebreid onderbouwde position paper die tot stand kwam dankzij advocatenkantoor Sirius Legal.  

 

Bezorgdheid over expliciete toestemming analytics cookies

Grote bezorgdheid in de ganse sector is immers het feit dat de verplichting om middels een cookiebanner het akkoord van websitebezoekers te vragen zeer grote economische schade toebrengt aan de sector.  Heel wat surfers op internet, sommige statistieken spreken zelfs van meer dan 80%, klikken de vaak vervelend geachte cookie pop-ups immers gewoon weg of geven geen toestemming, waardoor webshops en online marketeers broodnodige data over het aantal bezoeken aan hun website of over de efficiëntie van hun website mislopen en de inhoud ervan dus niet kunnen verbeteren. Dit zorgt voor bijzonder veel frustratie omdat in de ons omringende landen het gebruik van zulke analytics cookies wél mogelijk is zonder voorafgaande toestemming van de websitebezoeker, wat een ernstig concurrentienadeel creëert voor Belgische online ondernemers.  

De ganse sector is bijzonder begaan met online privacy en verwelkomt de transparantie die verplichte cookie opt-ins met zich mee brengen als het gaat om gegevensverzameling voor  marketingdoeleinden. Hij heeft echter op de grote urgentie aangedrongen bij de GBA, en zal dit in een volgende fase doen bij de bevoegde minister, om voor België een gelijkaardige uitzondering te voorzien als deze die in Frankrijk, Nederland en Duitsland al bestaat voor strikt analytische doeleinden. Performante websites, die aangepast zijn aan de vragen en verwachtingen van de consument zijn in de eerste plaats ook in het voordeel van precies die consument. Goede analytics data laten immers toe om betere diensten en producten, onder betere voorwaarden en met betere  prijzen aan te bieden aan precies die consument.  

 

Position paper en relevante artikels

Het volledige standpunt van de sector is uitgewerkt in een position paper die je hieronder kan downloaden. Deze paper geeft een zeer goede schets van de actuele problematiek en reflecteert het standpunt van de volledige digitale sector. 

We schreven bij Sirius Legal al eerder een aantal artikels over deze problematiek en zijn bijzonder verheugd dat onze position paper door heel de digitale sector zo enthousiast onderschreven wordt. Sirius Legal zal samen met BAM en de andere associaties de nodige stappen nemen om te komen tot een voorstel van tekst en onderhandelingen met het kabinet van de Minister Mathieu Michel. Wij houden je daarvan zeker op de hoogte!

 

Vragen over cookies of over deze position paper?

Contacteer ons gerust via bart@siriuslegal.be of boek hier rechtstreeks een overlegmoment in.

20.10.2020 Bart Van den Brande

De GBA valt het IAB Europe TCF aan: een bom onder online marketing in Europa?

Eerder deze week raakte een (nochtans intern en vertrouwelijk) document publiek, waarin de Belgische Gegevensbeschermingsautoriteit in het kader van een onderzoek na een klacht het Transparency and Consent Framework van IAB Europe toch wel bijzonder kritisch doorlicht.

De GBA is daarbij van oordeel dat het TCF, dat nochtans dé standaard is in de online marketingwereld voor het verzamelen en delen van online profielgegevens met het oog op het aanbieden van gepersonaliseerde online advertenties,  op verschillende punten fundamenteel in strijd zou zijn met GDPR. 

Het gaat om een eerste verslag, niet om een finale beslissing, maar dit zou wel eens bijzonder verstrekkende gevolgen hebben voor de hele online marketingwereld en de manier waarop gepersonaliseerde advertenties worden getoond aan websitebezoekers.  

Een potentiële bom onder de online marketingwereld met andere woorden…

 

Wat is het IAB TCF?

Het zogenaamde Transparency & Consent Framework van IAB Europe, kortweg TCF, is een standaard die binnen de online advertentiesector wordt gebruikt om toestemming te bekomen voor het plaatsen van cookies en andere trackers die het voor adverteerders mogelijk maken om websitebezoekers gerichte, gepersonaliseerde advertenties te tonen over verschillende websites heen op basis van hun surfgedrag,  online voorkeuren of profielinformatie. 

TCF is ook de motor achter Real Time Bidding of RTB, waarmee adverteerders in “real time”, via geautomatiseerde veilingplatformen en in een fractie van enkele milliseconden kunnen bieden op een bepaalde advertentieruimte, op een bepaalde website die net op dat ogenblik bezocht wordt door iemand die binnen de doelgroep van de adverteerder valt.    

 

Waarom is dit een probleem?

Op zich is gepersonaliseerde reclame een goede zaak.  Relevantie is immers erg belangrijk in online marketing.  Je wil als adverteerder de juiste boodschap op het juiste ogenblik aan de juiste persoon kunnen afleveren.  Alleen dan weet je immers zeker dat je boodschap aankomt.  Mensen worden overspoeld met reclameboodschappen en enkel dat wat hen écht persoonlijk aanbelangt, nemen ze op.  Dat is beter voor de adverteerder, die minder geld over de balk gooit met overbodige advertenties, én voor de websitebezoeker, die niet gestoord wordt met irrelevante content.

Alleen zit er een serieuze juridische angel aan die relevantie.  Relevantie creëren vereist immers kennis van je audience en die kennis bouw je op met zo gedetailleerd mogelijke profielinformatie.  

Die profielinformatie valt niet uit de lucht, natuurlijk.  Daar komt enerzijds GDPR en anderzijds cookieregelgeving (ePrivacy) in beeld.  Beiden vereisen absolute transparantie én een gepaste rechtsgrond die je toelaat om data te verzamelen en met derden te delen.  In het geval van cookies is die rechtsgrond altijd de voorafgaande toestemming.  In het geval van GDPR kan dat theoretisch gezien ook zonder toestemming, op basis van het gerechtvaardigd belang.  De Belgische Gegevensbeschermingsautoriteit was echter begin dit jaar zeer streng in haar analyse van het gerechtvaardigd belang in het kader van direct marketing (waar naar haar analyse online marketing ook onder valt).  Het gevolg daarvan is dat ook onder GDPR de facto een vrije, voorafgaande en geïnformeerde toestemming vereist is om persoonsgegevens te verzamelen met het oog op online marketingdoeleinden zoals RTB…

Het probleem voor een hele reeks van privacyactivisten (maar liefst 22 organisaties uit 16 landen legden klacht neer bij de GBA) zit hem in de vaststelling (menen zij) dat die toestemming binnen het TCF framework absoluut niet correct bekomen wordt.   Zij hebben daarom collectief een klacht ingediend bij de Belgische Gegevensbeschermingsautoriteit.  De reden om de klacht in België neer te leggen terwijl het om een Europees platform gaat, is eenvoudig: IAB Europe heeft haar kantoren in Brussel.

 

Wat zegt de GBA?

De GBA volgt in een eerste -weliswaar tussentijds- rapport de klagers.  Zij bevestigt dat ook volgens haar de huidige manier van gegevensverwerking binnen het TCF framework niet in overeenstemming is met GDPR.

Het grootste bezwaar van de GBA is wellicht dat IAB volgens haar zelf verantwoordelijk is voor de verwerking van gegevens die via haar TCF framework verzameld en verwerkt worden door reclameregies en adverteerders.  IAB Europe bepaalt immers volgens de GBA (mee) het doel en de middelen voor de verwerking en dat maakt van haar onder GDPR een verantwoordelijke.  Dat betekent meteen ook dat IAB Europe een hele reeks verplichtingen heeft inzake transparantie, het bekomen van toestemming, privacy by design, etc.. die GDPR oplegt aan verantwoordelijken voor de verwerking.

Persoonlijk hebben we toch vragen bij deze insteek vanwege de GBA.  IAB stelt immers slechts een tool ter beschikking.  Zij bepaalt niet zelf welke data er verzameld wordt en al evenmin bepaalt zij zelf voor welke doeleinden die data verwerkt worden door de betrokken ontvangers.  Een en ander lijkt toch minstens voor kritiek vatbaar…

Moeilijker te weerleggen is de vaststelling dat bij het verzamelen van profielgegevens van websitebezoekers via het TCF framework potentieel ook “gevoelige gegevens” (of “bijzonder beschermde gegevens”, zoals de GDPR ze eigenlijk noemt) te verzamelen.  Het gaat dan bijvoorbeeld over medische gegevens, gegevens over seksuele voorkeur, politieke voorkeur, etc… Die gegevens mogen onder GDPR alleen verwerkt worden als je daarvoor de afzonderlijke expliciete toestemming hebt gekregen van de betrokkene, wat bij online verzameling via cookies of trackers meestal niet het geval is.  Een en ander is, als de eerste conclusies van de GBA niet weerlegd kunnen worden door IAB Europe, een fundamentele breuklijn tussen TCF en GDPR, eentje die zeer moeilijk te lijmen valt ook, rekening houdende met de ontelbare regies en adverteerders die inmiddels zulke gevoelige gegevens in handen hebben gekregen via TCF en die ze ook dagelijks inzetten in RTB campagnes. 

Even zorgwekkend voor de toekomst van TCF is het feit dat TCF actief het gebruik aanmoedigt van het gerechtvaardigd belang als rechtsgrond voor de verwerking van persoonsgegevens in het kader van online profilering en personalisatie. Maar de Belgische Gegevensbeschermingsautoriteit gaf afgelopen januari al aan in haar Direct Marketing Aanbeveling dat het gerechtvaardigd belang slechts in zeer uitzonderlijke gevallen kan dienen als rechtsgrond voor (direct) marketingdoeleinden.  Consequent afzonderlijk toestemming vragen voor elke verzameling en doorgifte van persoonsgegevens is echter quasi onmogelijk.  Het aantal partijen dat tussenkomt in met name het Real Time Bidding proces is zo groot dat zulks moeilijk praktisch haalbaar lijkt. 

Daarbovenop heeft de GBA nog ernstige bedenkingen bij de veiligheid van het ganse TCF systeem, in die zin dat er te weinig garanties ingebouwd zijn in het framework zelf om de rechten van de betrokkene te garanderen.  Ook dit raakt aan één van de hoekstenen van GDPR, wat het tot een ernstige bedreiging voor het TCF maakt.

 

Breder kader: het einde van third party cookies

Een en ander komt overigens niet uit de lucht gevallen.  Wie onze website, onze publicaties en onze presentaties het afgelopen jaar in de gaten heeft gehouden weet dat er een aardverschuiving aan de gang is in de online marketingwereld en met name in de context van het gebruik van cookies en andere trackers om gegevens van websitebezoekers te verzamelen.  

Die aardverschuiving kreeg vorig jaar brede aandacht toen eerst het Europees Hof van Justitie en daarna ook de Belgische Gegevensbeschermingsautoriteit zwaar uithaalden naar websites die cookies plaatsen op het device van bezoekers zonder voorafgaande vrije en geïnformeerde toestemming van diezelfde websitebezoeker.  Maar onderliggend was er al een hele tijd een en ander aan het borrelen.  Apple had al eerder aangekondigd dat het via zijn ITP 2.1 protocol alle third party cookies (die met name persoonsgegevens verzamelen voor marketingdoeleinden) zou gaan blokkeren.  Mozzila Firefox volgde al snel en ging nog een stapje verder door ook fingerprinting door derde partijen te gaan blokkeren. Toen vervolgens ook Google aankondigde dat in Chrome vanaf 2022 third party cookies geblokkeerd zullen worden, was het duidelijk dat de online marketingwereld voor één van de grootste technische, praktische en juridische uitdagingen uit haar bestaan staat en waarin zij zal moeten leren overleven in een context van cookieless advertising…  

We hebben hierover al meer dan eens gesproken het voorbije jaar, onder meer in Obsessed van Marc Bresseel en Renout Van Hove en in een uitgebreid Cookie Cahier dat eerstdaags verschijnt bij Uitgeverij Politeia.  Deze week is het ook precies het onderwerp van ons legal webinar bij BAM, de Belgian Association for Marketing.

 

Wat betekent dit concreet?

Op langere termijn zal de ganse sector moeten shiften naar een andere manier van adverteren, naar meer contextuele campagnes, naar het inzetten op meer eigen profieldata (waarbij overigens dezelfde vragen naar GDPR compliance én naar het gebruik van met name analytics cookies telkens opnieuw naar boven zullen blijven komen).

Op kortere termijn verandert er voorlopig niet veel.  Het uitgelekte rapport is slechts een tussentijds rapport.  IAB Europe zal zich nog kunnen verweren (tegen ten laatste 7 december 2020) en er zijn zeker wel een hele reeks bruikbare argumenten denkbaar om het uiteindelijke standpunt van de GBA wat af te zwakken.  De uiteindelijke uitspraak wordt pas in de loop van 2021 verwacht.

Dit is echter een teken aan de wand voor al wie persoonsgegevens verzamelt en verwerkt online, zowel binnen als buiten TCF.  Ruim 80% van de websites in België is nog steeds niet cookie compliant en ruim 66% van de Belgische ondernemingen is nog niet GDPR compliant.  We zien in onze praktijk dagelijks voorbeelden van marketingdepartementen bij grote nationale en internationale bedrijven die de basics van een GDPR compliant marketingbeleid niet in de vingers hebben. De risico’s die dit met zich meebrengt worden uitvergroot door de exponentiële groei aan marketing automation tools, customer data platforms en andere adtech speeltjes die de markt overspoelen met beloftes van eindeloze mogelijkheden, maar die heel vaak niet voldoen aan de basisregels van onze privacywetgeving.

Wees dus voorzichtig.  Laat tijdig een GDPR compliance audit uitvoeren op je marketing activiteiten, denk aan Data Protection Impact Assessments voor je aan de slag gaat met nieuwe tools en software en denk ook op tijd aan een uitgebreide cookie scan op je website(s).

 

Vragen over GDPR compliance voor marketing departementen?

Neem gerust vrijblijvend contact op met Bart Van den Brande.  Bellen of mailen kan op 0486 901 931 of op bart@siriuslegal.be of je kan ook hier rechtstreeks een vrijblijvend kennismakingsgepsrek via Google Meet inboeken. 

25.02.2020 Bart Van den Brande

De GBA publiceert richtlijnen voor GDPR compliance in Direct Marketing

De Belgische Gegevensbeschermingsautoriteit lanceerde afgelopen week met wat vertraging een 80 pagina’s lange “Aanbeveling betreffende de verwerking van persoonsgegevens voor direct marketingdoeleinden.  Sirius Legal analyseerde het document inmiddels en filterde uit het ellenlange document de informatie die marketeers écht moeten onthouden in hun dagelijkse praktijk.
Werp even een blik op onze samenvatting van deze Direct Marketing richtlijnen en je bent weer helemaal mee! 

 

Richtlijnen van 80 pagina’s rond direct marketing

Het is inmiddels bijna twee jaar geleden dat de GDPR in werking ging.  Een vaststelling blijft echter dat héél wat marketingafdelingen in bedrijven en webshops nog steeds niet klaar zien in de wirwar van regels die hen opgelegd worden door de GDPR enerzijds, maar ook door de huidige ePrivacyregels uit het Wetboek Economisch Recht (de “anti-spam wetgeving”), de cookiewetgeving, de regels rond het bel-me-niet-meer register, de Robinsonlijst, …  

De lijst met regels waar bedrijven rekening mee moeten houden is érg lang en de juiste toepassing van die regels in een context van marketing automation, AI en predictive software, cross device tracking en vergaande profiling van klanten is alles behalve evident.

Ook bij de overheid beseft men dat het voor bedrijven niet bepaald evident is om te te weten wat wél en niet mag als het aankomt op omgaan met customer data voor (direct) marketing doeleinden.  Volgens eigen zeggen ontving de Belgische Gegevensbeschermingsautoriteit sinds mei 2018 ruim 600 vragen over direct marketing. Direct marketing staat daarmee in de top 3 van de vragen en klachten die de GBA ontving.

Precies daarom lanceerde de Belgische Gegevensbeschermingsautoriteit vorige week haar al enige tijd aangekondigde  “Aanbeveling betreffende de verwerking van persoonsgegevens voor direct marketingdoeleinden”.  

 

“Nieuwe” direct marketing regels?

Een eerste belangrijke vaststelling is dat de ganse tekst voor de specialist eigenlijk weinig of geen nieuwigheden bevat.  Het document van de GBA is vooral een poging om alle bestaande regels rond omgaan met data in een (direct) marketing context samen te brengen en op een overzichtelijke manier toe te lichten.  De GBA doet daarbij overigens voor het eerst ook een poging om het begrip direct marketing een juridische definitie te geven, die samengevat op het volgende neerkomt:  élke commerciële boodschap die gericht is aan een specifieke persoon, ongeacht de wijze waarop, is direct marketing.   

Hier en daar lazen we echter toch wat dingen die voor zover wij weten niet in eerdere adviezen stonden en ook niet letterlijk uit de bestaande wetgeving afgeleid kunnen worden.  

De GBA is ons inziens overigens goed geslaagd in zijn opzet.  Het is een erg bruikbaar document geworden, met tal van duidelijk uitgewerkte praktische voorbeelden.  

We hebben de belangrijkste topics uit het advies hieronder voor je gedistilleerd.  Uitgebreidere toelichting vind je vanzelfsprekend in de aanbevelingen zelf of kan altijd contact met ons opnemen.  We begeleiden immers op zeer regelmatige basis marketingafdelingen van online retailers, banken, touroperators, etc… met advies en consultancy in databescherming.  

 

Correct omgaan met customer data als (direct) marketeer

De vaststelling, ook in onze praktijk, is vaak dat marketeers weinig grip hebben op de basisbeginselen voor correct omgaan met data onder GDPR.  Precies daarom bevatten de aanbevelingen van de GBA een uitgebreid hoofdstuk met detailtoelichting over bijvoorbeeld wie verantwoordelijk is voor de correcte toepassing van de GDPR (wie is data controller), maar ook over de basisvragen die elke marketingafdeling zich moet stellen voordat ze aan de slag gaat met customer data.

Wat je als marketeer moet onthouden is vooral dat er grenzen zijn aan wat je met data kan doen.  Je hebt als marketeer een transparantieverplichting onder GDPR. Klanten horen te weten welke gegevens je over hen verzamelt en wat je ermee doe.  

In die context verduidelijken de richtlijnen nogmaals dat je voorafgaand aan elk gebruik van klantendata moet bepalen waarvoor je die data wil gebruiken.  Je moet met andere woorden vooraf je doeleinden duidelijk bepalen en communiceren aan je klant en je mag vervolgens de data waarover je beschikt uitsluitend gebruiken voor die doeleinden die je vooraf gedefinieerd hebt.  Een en ander gaat regelrecht in tegen de ganse big data filosofie die de voorbije jaren is gegroeid en die lijkt uit te gaan van het principe dat we best zo veel mogelijk data verzamelen om later wel eens uit te zoeken wat we daar precies mee zouden kunnen doen.

Op dezelfde manier moeten marketeers voor ze aan de slag gaan ook in detail bepalen welke verwerkingen nodig zijn om dat doel te bereiken en welke data daarvoor nodig is.  Bij dat laatste punt geldt ook volgens de GBA een “less is more” principe. Data kan alleen bijgehouden en verwerkt worden als ze écht nodig is en anders moet ze toch echt verwijderd worden…

Dat alles hoort duidelijk opgenomen te zijn in het verwerkersregister en, als dat nodig is, ook in een voorafgaande Data Protection Impact Assessment (bijvoorbeeld wanneer gevoelige data verwerkt wordt, wanneer verschillende databronnen aan elkaar gekoppeld worden of wanneer nieuwe technologie of nieuwe processen ingezet worden).

 

Profiling

De aanbevelingen van de GBA maken specifiek plaats voor een hoofdstuk over profiling.  Goede direct marketing is immers ondenkbaar zonder betrouwbare klantenprofielen.

Profiling vereist volgens de GBA, terecht, grote voorzichtigheid omdat de impact ervan op de betrokkenen groot is, vooral als op basis van een klantenprofiel ook beslissingen genomen worden die de betrokkene “in aanmerkelijke mate treffen”.  Dat is bijvoorbeeld het geval als bijvoorbeeld reclame voor consumentenkrediet gericht wordt op profielen met gekende financiële moeilijkheden of als prijzen aangepast worden in functie van individuele profielinformatie.  

Profiling is vaak alles behalve transparant, ook als er geen automatische besluitvorming aan verbonden is.  De GBA wijst daarom nogmaals op het belang van correcte informatie. Dat betekent dat je privacy policy moet melden dat klantenprofielen opgebouwd worden en in detail moet uitleggen op basis van welke gegevens dat gebeurt, waarom dat gebeurt, waarvoor de profielen gebruikt worden en met wie de data eventueel gedeeld wordt.

 

Anonieme data is lang niet altijd anoniem

Belangrijk in het kader van profiling is dat ook segmentatie van data op basis van op het eerste zicht geheel anonieme data toch als verwerking van persoonsgegevens en profiling beschouwd moet worden.  De GBA geeft daarbij het voorbeeld van onderzoek uitgevoerd door een onderzoeksteam van de Katholieke Universiteit Leuven en de Imperial College London, dat aantoont dat het mogelijk is om natuurlijke personen te identificeren op basis van 4 “geanonimiseerde” gegevens van hun bankverrichtingen, met een zekerheidsgraad van 90%, door het toepassen van een bepaald algoritme.  Op basis van de waarschijnlijkheid en de statistische correlaties die worden toegepast op de metagegevens van de banktransacties, is het dus mogelijk om met quasi zekerheid een persoon te identificeren die naar een doe-het-zelfzaak is geweest, vervolgens naar zijn of haar gymzaal, voordat hij of zij naar een restaurant gaat, en die de dag beëindigt door naar de bioscoop te gaan.  

Met andere woorden: anonieme data is lang niet altijd anoniem…

 

Toestemming of gerechtvaardigd belang?

De Direct Marketing richtlijnen maken ruim plaats voor een analyse van de rechtsgronden die ingeroepen kunnen worden als basis voor direct marketingactiviteiten.  

In se zijn maar twee rechtsgronden echt bruikbaar: ofwel gaf de betrokkene zijn voorafgaande toestemming, ofwel deed hij dat niet maar heeft de marketeer een gerechtvaardigd belang om gegevens te verwerken ook zonder voorafgaande toestemming.  De ene heeft geen voorrang op de andere, maar het komt wel aan de data processor toe om in elke context de meest aangewezen rechtsgrond te kiezen. 

Wat erg belangrijk is en wat daarom terecht herhaald wordt in de aanbevelingen: je kan doorheen de tijd de ene rechtsgrond niet vervangen door de andere.  Als je je newsletter database hebt opgebouwd op basis van voorafgaande toestemmingen, kan je niet plots en met terugwerkende kracht beslissen dat je eigenlijk bij nader inzien een gerechtvaardigd belang had en geen toestemming nodig had.  Je kan ook geen twee rechtsgronden hebben voor dezelfde verwerking. Ofwel baseer je je op toestemming ofwel op gerechtvaardigd belang, maar dus niet op beiden tegelijk.

Voor wat betreft het inroepen van het gerechtvaardigd belang is de vaststelling in de praktijk dat heel wat bedrijven of marketingafdelingen binnen bedrijven hier nogal lichtzinnig mee omgaan.  De aanbeveling verduidelijkt in deze context nogmaals dat het gerechtvaardigd belang voorafgaand duidelijk omschreven en gedocumenteerd moet zijn (in het verwerkersregister) en transparant meegedeeld moet worden aan de betrokkene (in de privacy policy).  

Een hele geruststelling voor vele marketeers is de bevestiging dat prospectie op basis van gerechtvaardigd belang niet uitgesloten is onder GDPR.  Je mag dus in principe prospects (die per definitie nog geen klant zijn en geen toestemming kunnen gegeven hebben om reclame te ontvangen) wel degelijk contacteren, maar enkel als je kan aantonen dat dit noodzakelijk is voor je bedrijf en of je hetzelfde resultaat niet kan bereiken op een andere manier en als de afweging van de belangen van de betrokkene met jouw belang in evenwicht blijft.  

Heel belangrijk is dat je bij die afweging rekening moet houden met de redelijke verwachtingen van de betrokkene: in welke mate verwacht de betrokkene dat je zijn of haar gegevens voor een bepaald doeleinde zou kunnen gebruiken.  Het is bijvoorbeeld evident dat een bank haar klantendata gebruikt om reclame voor haar verzekeringsproducten te sturen op maat van haar klanten, maar dat die bank diezelfde data zou verkopen aan adverteerders ligt ongetwijfeld buiten de normale verwachtingen van haar klanten… 

Belangrijk is ook de vaststelling dat newsletters aan bestaande klanten voor gelijkaardige producten onder de ePrivacyregels uit het Wetboek Economisch Recht onder GDPR normaal wel te rechtvaardigen zijn onder het rechtvaardig belang.  Het samenspel tussen het WER en de GDPR is al langer een gevoelige oefening en we zijn blij om lezen dat de GBA in deze richtlijnen de visie herneemt die wij de voorbije jaren bij talloze cliënten ook geïmplementeerd hebben: GDPR en anti-spamregels moeten naast elkaar gezien worden als complementaire wetgeving, waarbij aan de voorwaarden van beide wetgevingen voldaan moet zijn voordat je reclamemails kan gaan uitsturen, maar waarbij de vaststelling is dat de correcte toepassing van de antispamregels (reclame mag naar bestaande klanten voor gelijkaardige goederen of diensten) in se ook een geldige rechtsgrond creëert onder GDPR, zelfs zonder expliciete toestemming.

Omgekeerd is een minder aangename vaststelling voor veel marketeers wellicht dat de GBA verwacht dat in direct mailings niet enkel een unsubscribemogelijkheid gegeven worden zoals de ePrivacy regels in het WER dat vragen (ik wil geen newsletters meer ontvangen), maar dat daarnaast óók nog eens expliciet een “recht op verzet tegen verdere verwerking” onder GDPR geboden moet worden in elke mail (“ik wil dat mijn gegevens niet meer gebruikt worden voor direct marketingdoeleinden”).  Met dat laatste schrijft een ontvanger zich niet enkel uit uit de mailinglijst, maar vraagt hij dat zij gegevens verwijderd worden uit de marketingdatabase…

 

Cookies

De Direct Marketing richtlijnen gaan in se niet over cookies, maar toch komt dit onderwerp ter sprake in de tekst, met name in het hoofdstuk over toestemming, met de vaststelling dat met name voor het plaatsen van cookies vaak niet voldaan is aan de regels rond transparantie, voorafgaande vrije opt-in (en dus het respecteren van het recht om géén opt-in te geven), actieve opt-in (en dus het verbod op soft opt-in of opt-out), …

Voor cookies geldt bovendien ook dat cumulatief rekening gehouden moet worden met zowel de cookiewetgeving (de Telecomwet dus eigenlijk) én de GDPR van zodra cookies gebruikt worden om persoonsgegevens te verzamelen.

Bijzondere aandacht is daar vereist, mede gelet op de recente cookie-boetes en op het feit dat benchmark scans aantonen dat 90% van de websites niet cookie compliant is.  Wie meer wil lezen over cookies of zijn eigen website cookie compliant wil krijgen, kan terecht op onze speciale cookiescanpagina www.cookie-scan.be.  

 

Wat leren we uit deze aanbeveling?

Deze DM aanbeveling van de Gegevensbeschermingsautoriteit is zonder twijfel een nuttige en handige hulp voor veel marketeers.  Heel wat gangbare problemen en vragen worden er, met vaak concrete voorbeelden ter illustratie in toegelicht. Het document is dus ongetwijfeld handig om bij de hand te hebben.

Wat je als marketeer echter sowieso ook moet doen -voor zover dat nog niet gebeurd is in een globale GDPR compliance oefening- is het hele marketingbeleid van je afdeling onder de loep nemen op basis van een hele reeks standaardvragen: 

  • Welke data verzamelen we?
  • Waarvoor gebruiken we die data?
  • Waar komt de data vandaan?
  • Welke is onze rechtsgrond?  
  • Is dat wel de meest gepaste rechtsgrond en kunnen we een en ander verantwoorden? 
  • Hebben we alle data effectief nodig of moeten we bepaalde gegevens eigenlijk wissen?
  • Kunnen we sowieso bepaalde data wel wissen?
  • Welke tools gebruiken we?  
  • Zijn we zeker dat die tools GDPR compliant zijn en hebben we verwerkersovereenkomsten met iedereen?
  • Blijft onze data binnen de EU? 
  • Met wie delen we onze data?  
  • Zijn onze dataregisters volledig, up to date en waarheidsgetrouw?
  • Is de inhoud van onze dataregisters correct, volledig en waarheidsgetrouw vertaald naar onze privacy policy?
  • Verwerken we gevoelige gegevens?
  • Bouwen we profielen op over onze klanten en nemen we op basis van die profielen automatische beslissingen?
  • Koppelen we soms databases aan elkaar, gebruiken we nieuwe technologie of zijn er andere redenen om een DPIA te doorlopen?
  • Zijn we zeker dat al onze data technisch en organisatorisch voldoende veilig zit?
  • …?

Pas wanneer al die vragen, en alle ad hoc vragen die ze op hun beurt weer oproepen, duidelijk beantwoord zijn én gedocumenteerd zijn, kan je als marketeer met een gerust hart en zonder vrees voor boetes of incidenten verder aan de slag…  Zo slaap je niet alleen op 2 oren, maar zorg je ook voor een algehele professionele uitstraling van je databeleid. 

 

Vragen over deze direct marketing richtlijnen of over GDPR?

Bel of mail gerust vrijblijvend: bart@siriuslegal.be of op +32 486 901 931.