De GDPR hoeft niet langer een introductie te krijgen. Ondertussen weet iedereen (hopelijk) wel waarvoor de GDPR staat. Helaas is er nog veel onzekerheid over wat nu precies de gevolgen zijn van de GDPR én wat het specifiek voor jou kan betekenen.
Tijd om alvast één prangende vraag op te lossen: mag ik mijn database/klanten nog mailen nà de GDPR?
Iedereen heeft een database!
Veel bedrijven zijn al jarenlang bezig met een klantenbestand op te bouwen. Niet enkel bedrijven, maar bijvoorbeeld ook VZW’s en sportclubs zitten op een pak data van leden en sympathisanten.
De ene is in jouw database terecht gekomen via een opt-in, de andere dan weer niet.
De vraag die iedereen zich stelt: moet ik aan iedereen nu opnieuw toestemming gaan vragen om de gegevens verder te gebruiken?
Dat brengt het risico met zich mee dat velen dit zullen negeren of weigeren en je databank op spectaculaire wijze zal inkrimpen. Misschien hou jij wel 20 tot 50% van je database over.
Voor we een antwoord geven, gaan we even kijken wat de GDRP zegt over het "toestemmen tot verwerken" (het principe van consent).
Toestemming: het basisprincipe van de GDPR
De toestemming is, onder de GDPR, één van de zes rechtsgronden op basis waarvan persoonsgegevens rechtmatig verwerkt kunnen worden.
Maar ... late we eerlijk zijn. Toestemming heeft nadelen. Elk contact uit je database kan immers zijn of haar toestemming intrekken wanneer ze dat willen. Daarnaast is het voor marketeers niet de makkelijkste rechtsgrond, want er zijn bepaalde vereisten voor de toestemming. De toestemming moet immers ondubbelzinnig zijn, expliciet, geïnformeerd, granulair, enzovoort.
Toestemming moet volgens de GDPR ook blijken uit een verklaring of uit een duidelijke actieve handeling. De methodes die we tot vandaag vaak gebruikten (een opt-out en/of de soft opt-in) verlaten dus finaal het schouwspel. Enkel een uitdrukkelijke opt-in (en beter: een dubbele opt-in) zal nog tot een effectieve toestemming kunnen leiden.
Nog 5 andere rechtsgronden voor verwerking!
Toestemming is echter niet de enige rechtsgrond voor verwerking. Indien je kan steunen op één van de andere vijf rechtsgronden voor verwerking onder de GDPR, mag je ook overgaan tot verwerking.
In de praktijk worden veel verwerkingen gedaan voor de uitvoering van een overeenkomst, of worden gegevens bewaard omwille van een wettelijke verplichting. Boekhoudkundige en medische gegevens kunnen hier bijvoorbeeld onder vallen.
Nog een andere rechtsgrond is verwerking voor de behartiging van een gerechtvaardigd belang (de befaamde 'legitimate interest"). Nogal vaag natuurlijk, maar dat heeft het recht wel vaker.
Onthou vooral dat dit in het bredere doel kadert van de GDPR om betrokkenen meer controle en zeggenschap te geven over gegevens die op hen betrekking hebben.
De vraag: wat doe je dan met je bestaande database?
Bedrijven kunnen blijven berusten op de verkregen toestemming van betrokkenen voor verwerking, wanneer (!) deze voldoet aan de standaarden van de GDPR.
Dit betekent dan ook dat wanneer de toestemming werd verkregen, bijvoorbeeld aan de hand van een vooraf aangevinkte box (niet conform GDPR!), deze opnieuw gevraagd zou moeten worden.
Een reactiveringscampagne kan hier alvast bij helpen. Je kan een mailing uitsturen naar alle betrokkenen in je databank en hen vragen om een nieuwe opt-in. Dat kan leiden tot een grote mate van weigering, waardoor je bijvoorbeeld van 10.000 naar 1.000 betrokkenen gaat. Je zal natuurlijk wel net diegene overhouden die echt geïnteresseerd zijn in wat je doet, kwestie van het glas half vol te houden.
Ontsnappen aan de toestemming: het gerechtvaardigd belang?
Toestemming is echter niet altijd de belangrijkste rechtsgrond. In het kader van marketing kan je bijvoorbeeld verder steunen op het gerechtvaardigd belang (de befaamde "Legitimate Interest").
De GDPR zegt letterlijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang
Wanneer je je beroept op het gerechtvaardigd belang, moet je kunnen aantonen dat jouw belangen als onderneming bij de verwerking van de persoonsgegevens voor reclamedoeleinden zwaarder doorwegen dan het recht op privacy van de betrokkene.
De gerechtvaardigde belangen van een verwerkingsverantwoordelijke (...) kan een rechtsgrond bieden voor verwerking, mits de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen, rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke. (...) In elk geval is een zorgvuldige beoordeling geboden om te bepalen of sprake is van een gerechtvaardigd belang, GDPR, Grond 47
In het geval van direct marketing geeft de Europese wetgever je het voordeel van de twijfel, maar ... je moet wel nog steeds een duidelijke belangenafweging maken:
De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang, GDPR, Grond 47
In de praktijk lijkt het gerechtvaardigd belang misschien wel de ‘vuilbak’ van de rechtvaardigheidsgronden voor verwerking te worden.
Belangrijk is dat je jouw afwegingen goed beredeneert én ze ook goed documenteert. Een belangrijk praktisch deel van de GDPR bestaat immers uit nadenk- en documentatiewerk.
Wat met bestaande, echte, klanten?
Uit de huidige versie van de tekst blijkt dus dat kan worden volstaan met een mogelijkheid tot opt-out of het aanbieden van een recht van verzet om rechtmatig aan e-marketing te doen. Een toestemming is in dat geval niet verplicht.
De elektronische communicatie moet dan wel een ‘gelijksoortige dient of product’ betreffen en het moet voortvloeien uit een verkoop en dus een bestaande klant zijn.
En wacht - er is ook de e-Privacy Regulation (die er nog niet is!)
Enkel over de GDPR spreken, is in dit geval slechts de helft van het verhaal vertellen.
Naast de GDPR is er ook de e-Privacy Regulation die onder andere cookies regelt, maar ook het gebruik van (bestaande) e-mailadressen en de toestemmingsvereisten voor e-marketing.
Hou er rekening mee dat de e-Privacy Regulation nog niet van kracht is en dit gebaseerd is op de e-Privacy Directive (haar voorloper). De bedoeling was dat zowel GDPR als e-Privacy regulation op hetzelfde moment (25 mei 2018) zouden lanceren, maar de laatste heeft een vertraging in het Europees parlement.
Ons advies
Bottom line: de regels vereisen toestemming via opt-in voor e-marketing, tenzij deze verzameld zijn in het kader van een verkoop en het individu op dat moment de mogelijkheid had om zich te verzetten (opt-out). Als er nog geen contact is geweest, moet je natuurlijk voorzien in de gangbare opt-in.
Hou ook de e-Privacy Regulation en de ontwikkelingen van de tekst in de gaten. Als je helemaal zeker wil zijn, werk dan gewoon consequent met een opt-in volgens de GDPR. Het mag dan wat werk impliceren, het is meteen ook de weg van de minste weerstand.
Wil je een gerechtvaardigd belang inroepen voor het behoud en gebruik van (een deel van) je databasen, zorg dan dat die goed gedocumenteerd is. Wie meer (juridische) informatie wil over GDPR kan terecht bij deJuristen.
