Wat betekent GDPR voor consumenten?

9 november 2017, 10:00

Voor organisaties die persoonsgegevens inzetten voor hun marketingactiviteiten is consumentenvertrouwen belangrijker dan ooit. Een groot deel van de consumenten staat positief tegenover het gebruik van data, maar wil wel het gevoel hebben meer controle te hebben dan nu het geval, blijkt uit het meest recente DDMA Privacy Consumentenonderzoek. De GDPR (of Algemene Verordening Gegevensbescherming, kortweg AVG, in het Nederlands) geeft mensen meer van die controle. Marketeers die het vertrouwen van hun klanten willen winnen of behouden, moeten hiervan goed op de hoogte zijn. In deel 3 van deze blogserie laten we daarom zien welke extra rechten consumenten vanaf mei 2018 krijgen en wat de gevolgen hiervan zijn voor marketeers.

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

Recht om vergeten te worden

Het recht van verzet kennen we in Nederland al. In elke marketinguiting waarin data worden gebruikt – een e-mail, een brief, een telefoontje – moet de ontvanger de mogelijkheid hebben zich af te melden. Als een consument hiervan gebruikmaakt, mag je hem of haar niet meer benaderen voor marketingdoeleinden via dat specifieke kanaal. Ook hebben mensen het recht zich in het algemeen te verzetten tegen de verwerking van hun persoonsgegevens voor marketingdoeleinden.

Naast het recht van verzet kunnen klanten vanaf 25 mei 2018 een verzoek indienen om hun persoonlijke gegevens te laten verwijderen. Dit heet het recht om vergeten te worden, ook wel bekend als ‘right to be forgotten’. In het geval van marketing kunnen mensen altijd een beroep op dit recht doen.

Soms moet je voor andere doeleinden wel een deel van de gegevens bewaren, bijvoorbeeld voor de Belastingdienst. Daarom moet je duidelijk in kaart hebben welke gegevens je voor welke doeleinden verwerkt.

Recht op informatie

Net als onder de huidige wetgeving ben je als verantwoordelijke verplicht informatie te verstrekken over de manier waarop je persoonsgegevens verwerkt en voor welke doeleinden. De bijbehorende verplichte informatievoorziening wordt vaak aangeboden via een privacy statement.

Onder de GDPR ben je verplicht om uitgebreid te informeren, ook over de nieuwe rechten van mensen. Loop dus je huidige privacy statement nog eens kritisch door. Daarin moet je namelijk ook:

  • De bewaartermijnen van de gegevens (of de manier waarop je deze vaststelt) vermelden.
  • Wijzen op het recht om gegevens in te zien, te laten aanpassen, aan te vullen of te verwijderen.
  • Wijzen op het recht om bezwaar te maken tegen en het beperken van de verwerking van gegevens (recht van verzet).
  • Wijzen op de mogelijkheid om een klacht bij de Autoriteit Persoonsgegevens in te dienen.
  • Wijzen op de mogelijkheid om toestemming op ieder moment in te trekken.
  • Indien van toepassing de contactgegevens van de functionaris gegevensbescherming (data privacy officer) vermelden.
  • De herkomst van de gegevens toelichten, wanneer deze niet direct door de betrokken zijn ingevuld/achtergelaten.
  • Vertellen of de gegevens worden doorgegeven naar landen buiten de EU.

Recht op dataportabiliteit

Waar het recht om vergeten te worden en het recht op informatie al deels bestonden, is het recht op dataportabiliteit volledig nieuw. Met dit recht kunnen mensen voortaan een deel van hun gegevens opvragen bij een organisatie. Iemand kan dan kiezen om gegevens naar een andere organisatie te laten sturen of de data zelf te ontvangen in een ‘gangbaar bestandsformaat’.

Met dit recht krijgen consumenten meer controle over hun eigen gegevens. Bovendien profiteren ze van extra gebruiksgemak als bedrijven dit goed geregeld hebben. Overstappen van de ene naar de andere aanbieder of het opvragen van een offerte bij een andere aanbieder zou hierdoor makkelijker moeten worden.

Omdat dit een nieuw recht is, is het nog lastig inschatten of en hoe mensen hiervan gebruik zullen maken. Een situatie die voor de hand ligt, is het wisselen van bank, telecomprovider of zorgverzekeraar. Met dit nieuwe recht kunnen mensen bijvoorbeeld hun bel-verleden opvragen om te kijken welke aanbieder het beste bij hen past.

De Europese toezichthouders noemen als voorbeelden onder andere een online-muziekstreamingdienst waarbij je een playlist kunt exporteren, zodat iemand weet wat hij/zij het meest luistert en dus wat hij/zij wil kopen. Of zodat je je muziekvoorkeuren kunt meenemen als je van Spotify overstapt naar Google Music, Deezer of iTunes. Een ander voorbeeld dat wordt genoemd, is een e-maildienst waarbij iemand zijn contactenlijst kan exporteren om een uitnodigingenlijst voor een feest te maken.

Het recht om vergeten te worden staat overigens los van het recht op dataportabiliteit. Je bent als organisatie niet verplicht data te verwijderen na het overdragen. Als iemand daarom vraagt, moet je daar uiteraard mee aan de slag.

Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.

Uitdagingen

Uiteraard brengen deze extra rechten van individuen voor organisaties een aantal uitdagingen met zich mee. Als iemand een beroep doet op het recht van inzage, moet je weten welke persoonsgegevens je van hem of haar verwerkt, waar die gegevens vandaan komen en wat de grondslag is om die gegevens te verwerken. Dat vergt structurering van de data(systemen) en dat is voor veel organisaties een uitdaging. Met name wat betreft oude data, ook wel legacy data genoemd, kan dat een hele kluif zijn.

Een extra uitdaging daarbij is dat het bij de nieuwe rechten nog niet precies duidelijk is welke persoonsgegevens daaronder vallen of hoe je in de praktijk te werk moet gaan. Wat is bijvoorbeeld ‘machineleesbaar’? Niet iedereen heeft de mogelijkheid om een API naar de concurrent in te bouwen.

De Europese toezichthouder heeft al toelichting gegeven, maar in de praktijk blijven er veel open eindjes. De verwachting is dat daar vóór 25 mei meer duidelijkheid over is, maar het bemoeilijkt de voorbereiding natuurlijk wel. Wat je in ieder geval kunt doen, is je zo goed mogelijk voorbereiden op de zaken die wél bekend zijn, zoals eerder in dit stuk beschreven.

Vertrouwen

De toegenomen controle van consumenten over hun eigen data biedt ook kansen voor bedrijven op het vlak van service en gebruiksgemak. In plaats van je af te vragen of mensen wel gebruik gaan maken van deze rechten, kun je ook kijken hoe je deze verzoeken zo makkelijk mogelijk kunt maken – voor jezelf en voor je klant. Daarmee laat je zien dat je als marketeer en als organisatie belang hecht aan privacy en databescherming en bouw je vertrouwen op bij je (potentiële) klanten.

Dat kan bijvoorbeeld door proactief aan te bieden dat mensen al hun gegevens uit jouw applicatie kunnen downloaden. Of door transparant te zijn over waarom je om bepaalde gegevens vraagt. Natuurlijk moet je privacy statement juridisch kloppen, maar bij het invulformulier kun je met een paar heldere zinnen al duidelijk maken wat je intenties zijn. Je geeft de klant een veilig gevoel als je bij de opt-in direct aangeeft dat hij of zij ieder moment zijn of haar gegevens kan laten verwijderen. Van het vertrouwen dat je daarmee opbouwt, profiteer je uiteindelijk zelf ook.

Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.

Matthias De Bruyne
Legal Counsel bij DDMA

Matthias De Bruyne is legal counsel bij DDMA, branchevereniging voor data en marketing. In deze functie helpt hij DDMA-leden te voldoen aan de geldende (Europese) privacywetgeving. Hij biedt juridische ondersteuning bij vraagstukken die spelen binnen marketingcampagnes en geeft advies en voorlichting over de juridische ontwikkelingen op het gebied van (onder meer) privacy, data security, telecom, reclame, kansspelen en consumentenrecht. Hierbij ligt de focus op de praktische vertaalslag van wetgeving, regels en richtlijnen naar de marketingpraktijk.

Categorie
Tags

Marketingfacts. Elke dag vers. Mis niks!