De activiteiten van databrokers en het gebruik van aangekochte of geleasede/gehuurde data is precies één van de drie grote prioriteiten voor de Gegevensbeschermingsautoriteit in 2023. Je kan dus best voorzichtig zijn en ervoor zorgen dat je voldoende ingedekt bent. Het risico op klachten van betrokkenen die niet weten of begrijpen hoe het komt dat jij hen contacteert, is immers groot en de boetes die uit zo’n klachten voortkomen kunnen hoog zijn.
Als je data aankoopt of huurt, zijn er enkele dingen waar je rekening mee moet houden. Het is vooral belangrijk om te weten dat het versturen van commerciële e-mails aan natuurlijke personen (ook op hun werkmailadres, overigens) onderworpen is aan de Algemene Verordening Gegevensbescherming (AVG) en aan de anti-spamregels uit het Wetboek Economisch Recht (WER). We zetten de voornaamste aandachtspunten nog even op een rijtje.
De basisregels
Als algemene regel is het wel degelijk toegestaan om een commerciële e-mail te sturen naar een persoon of bedrijf, mits aan enkele eenvoudige voorwaarden wordt voldaan:
- Je hebt voorafgaande (expliciete, vrije en geïnformeerde) toestemming nodig van de betrokkene.
- De betrokkene is al een bestaande klant en je mailt hem of haar met reclame voor “gelijkaardige goederen en diensten” als deze die hij of zij eerder bij jou kocht.
- Het mailadres in kwestie is een anoniem mailadres (van het type “info@” of “contact@”).
- Je voorziet in alle gevallen een opt-out of unsubscribe en een link naar je privacy policy in elke mail.
- In elk geval moet je zorgen dat ook de regels van de GDPR nageleefd zijn: je hebt een rechtsgrond nodig om aan e-mailmarketing of prospectie te doen, je moet transparantie garanderen via je privacy policy, de basisbeginselen van de GDPR zoals dataminimalisatie en beperking van bewaartermijnen moet nageleefd zijn, je dataregister moet up to date zijn, je moet een gepast niveau van veiligheid kunnen garanderen, …
- Als je de contactgegevens bij een derde partij verkregen hebt, meld je ook in alle transparantie waar je die gegevens vandaan haalde.
Toestemming bij gekochte of gehuurde data
Als je data koopt of huurt, gaat het per definitie niet om bestaande klanten. In dat geval is het noodzakelijk dat de personen (ook personen binnen een bedrijf op hun bedrijfsmailadres) waar je de e-mail naar stuurt, voorafgaand toestemming hebben gegeven.
Die toestemming hoef je natuurlijk niet zélf te bekomen. Als je data koopt van een databroker heeft deze laatste als alles goed is de toestemming bekomen van de personen wiens gegevens hij verkoopt om die gegevens door te geven aan derden zoals jij én om door die derden gemaild te worden met commerciële boodschappen. Als de databroker de toestemming heeft verkregen van de personen in de database om commerciële e-mails te ontvangen van derden, dan mag je die personen zonder probleem mailen. Als dat niet het geval is, dan mag je geen commerciële e-mails sturen zonder eerst alsnog de uitdrukkelijke toestemming van de ontvanger te bekomen (en om die toestemming te bekomen mag je overigens geen mailtje sturen).
Belangrijk voor jou is dus dat je duidelijke contractuele garanties krijgt van de databroker waarmee je in zee gaat over de herkomst van de data én dat je duidelijke engagementen hebt van de broker aangaande zijn of haar aansprakelijkheid als blijkt dat de opt-ins op de door jouw gebruikte mailadressen toch niet in orde zijn.
Als je dan effectief gaat mailen
Als je mensen vervolgens effectief gaat mailen, moet je ervoor zorgen dat de e-mail voldoet aan de vereisten van de AVG/GDPR en het WER. Dat betekent onder andere dat je de ontvanger duidelijk moet informeren over wie je bent, waarom je de e-mail stuurt en wat je contactgegevens zijn. Artikel 14 GDPR vereist ook dat je in de eerste mail aan de betrokkene en ten laatste 30 dagen nadat je de gegevens hebt verkregen aan de betrokkene meedeelt waar je zijn of haar gegevens hebt verkregen (met andere woorden, je moet de naam van je databroker vrijgeven aan de mensen die je mailt).
Bovendien moet je de ontvanger de mogelijkheid bieden om zich af te melden voor verdere e-mails (opt-out mogelijkheid). Die opt-out moet duidelijk vindbaar zijn en moet even makkelijk uit te oefenen zijn als een opt-in (zorg ervoor dat mensen geen verschillende menu’s moeten doorworstelen, verplicht hen niet om een reden op te geven voor de unsubscribe etc…)
Wat moet er dan zeker in het contract met je databroker staan?
Als je persoonsgegevens wil aankopen bij een databroker, is het belangrijk om op een aantal zaken in de overeenkomst met die broker te letten om ervoor te zorgen dat je voldoet aan de geldende privacywetgeving en dat je de privacyrechten van de betrokken personen respecteert. Hier zijn een paar zaken om op te letten:
Transparantie
Zorg ervoor dat de databroker duidelijk is over welke gegevens hij verkoopt, hoe hij ze heeft verkregen en wat het doel van de verwerking is. De databroker moet uitleggen wat er met de gegevens zal gebeuren en waarom ze worden verwerkt.
Nauwkeurigheid van de gegevens
Controleer of de gegevens die je wil kopen nauwkeurig en actueel zijn. Onjuiste gegevens kunnen leiden tot verkeerde beslissingen en kunnen de privacy van personen schaden.
Rechten van betrokkenen
Zorg ervoor dat de databroker kan aantonen dat de betrokken personen op de hoogte zijn van het feit dat hun gegevens worden verwerkt. Als een persoon bijvoorbeeld vraagt om inzage in zijn of haar gegevens of om deze te corrigeren, moet je hierop snel en gepast kunnen reageren. De AVG zegt dat dit in se binnen 30 dagen moet gebeuren (een termijn die in zeer specifieke gevallen eenmalig verlengd kan worden). Om dat te kunnen doen is een goede interne organisatie nodig. Een “Data Subject Acces Request Policy” die vastlegt wie precies reageert, hoe dat gebeurt, welke info wel en niet meegegeven wordt, wanneer eventueel geweigerd wordt om in te gaan op dergelijke verzoeken, welke interne validatie nodig is, etc… is daarbij erg nuttig . Om correct in te gaan op verzoeken van betrokkenen is het belangrijk om precies te weten wélke gegevens circuleren binnen je bedrijf en waar die zich bevinden. Een volledig, betrouwbaar en up to date dataregister of register van verwerkingsactiviteiten is met andere woorden een absolute noodzaak.
Beveiliging
Zorg ervoor dat de databroker passende technische en organisatorische maatregelen heeft genomen om de gegevens te beschermen tegen onbevoegde toegang, verlies of diefstal.
Toestemming
Zorg ervoor dat de databroker de vereiste toestemming heeft verkregen van de betrokkenen voor het verwerken van hun persoonsgegevens en vooral ook voor de doorgifte van die gegevens aan jou. Jij op jouw beurt hebt natuurlijk ook een geldige rechtsgrond nodig om mailings te gaan uitsturen. Dat zal in principe ook toestemming zijn, tenminste als de databroker met wie je samenwerkt een opt-in gekregen heeft om “gegevens door te geven aan derde adverteerders met als doel om jouw reclame te sturen”. Zorg dus dat je die garantie zeker op papier hebt staan.
Vragen over databrokers of over GDPR en marketing in het algemeen?
Ons team helpt je graag verder. Via de link hiernaast kan je een gratis kennismakingsgesprek inboeken. Je kan natuurlijk ook een mailtje sturen naar info@siriuslegal.be.