Dat op 25 mei 2018 nieuwe privacywetgeving in werking treedt, zal intussen voor de meesten (hopelijk) geen verrassing meer zijn. De nieuwe regels voor de verwerking van persoonsgegevens zullen voor vrijwel iedere organisatie belangrijk zijn. Maar bij de praktische toepassing van de GDPR staan voor de meesten nog vele vraagtekens.
Waar moet bijvoorbeeld op gelet worden bij het aanbieden van een (gratis) download zoals een e-book of brochure? Waar je in dit soort situaties op moet letten en wat wel en niet mag, zetten wij in deze blog even op een rijtje.
Het aanbieden van een download op je website is natuurlijk een ideale situatie om gegevens over je potentiële klanten te verzamelen, om ze vervolgens te kunnen benaderen met meer gerichte aanbiedingen. De aanvrager moet bijvoorbeeld een online formulier invullen, vooraleer de download kan starten. Hoe pertinenter de download voor je klanten, hoe meer gegevens je zal kunnen verzamelen. Met de GDPR zal je hier wel enkele zaken in de gaten moeten houden ...
De GDPR vereist namelijk:
Zoals hierboven vermeld, is het belangrijk je bezoekers te informeren over welke gegevens je over hen zal opvragen en waarom. Indien zij hiermee akkoord gaan, mag jij ze verwerken.
Het voornaamste persoonsgegeven dat je zal opvragen in deze situatie, is het e-mailadres van de persoon die iets van je website wil downloaden. Dit is ook logisch: dat adres heb je waarschijnlijk nodig om het ebook op te sturen.
Stel nu, bovenop het e-mailadres had je graag naam, leeftijd en opleidingsniveau gekend. Zo kan jij een idee krijgen van het publiek dat geïnteresseerd is in je download, maar in de toekomst ook meer beter afgestemde aanbiedingen sturen naar deze bezoekers.
Hier hebben we dus al drie verschillende doelen voor de verwerking:
Daar bovenop zal je rekening moeten houden met het principe van dataminimalisatie. Dit houdt in dat zo min mogelijk gegevens worden verzameld.
Je moet de verwerking dus echt kunnen verantwoorden met een specifiek doel: is het bijvoorbeeld noodzakelijk het opleidingsniveau te kennen van je publiek, als je hondenvoer verkoopt? Waarschijnlijk niet. Let dus op dat je geen onnodige informatie opvraagt.
Iedere bezoeker die geïnteresseerd is in de download, zal op voorhand op de hoogte moeten zijn wat er met zijn of haar gegevens gebeurt. Het is dan ook zeker niet voldoende om te verwijzen naar ingewikkelde en lange algemene voorwaarden ergens op je website, waar de betrokkene dan zelf door moet ploeteren om erachter te komen wat jij met de gegevens zal doen.
Beter is het om kort en duidelijk te vermelden, op het ogenblik van de download, dat de gegevens gebruikt zullen worden voor bepaalde doelen (zoals promotionele acties). Hierbij kan je dan een hyperlink plaatsen naar zowel je algemene voorwaarden als je privacyverklaring, waarin de betrokkene de informatie nog eens uitgebreid kan nalezen.
Zorg er ook voor dat de betrokkene actief zijn of haar toestemming verleent voor het verwerken van de gegevens. De GDPR stelt uitdrukkelijk dat deze toestemming vrij, geïnformeerd, ondubbelzinnig en actief gegeven moet worden.
Wat betekent dit concreet?
Een voorbeeld van een download bij Unbounce (we hebben bewust een 'oude' download genomen van 2015):
Deze download is niet GDPR-proof op een aantal niveau's:
Het kan soms interessant zijn om een partnership aan te gaan met andere bedrijven. Stel, een betrokkene downloadt op jouw website een document waarin recepten staan en laat hiervoor e-mailadres en woonplaats achter. Jouw bedrijfje heeft een deal met een supermarktketen en je verkoopt die gegevens van de betrokkene aan de supermarkt door. Die stuurt de betrokkene vervolgens een e-mail met diverse interessante promoties voor het kerstdiner. Maakt het leven van iedereen gemakkelijker, toch?
Een dergelijke samenwerking is zeker mogelijk, zolang de betrokkene hierover is geïnformeerd en actief zijn toestemming heeft gegeven. Dit moet dus zeker uitdrukkelijk in de informatie die je, zoals hierboven wordt uitgelegd, moet communiceren. Voordat de betrokkene het document downloadt op je website, zal je duidelijk moeten aangeven dat de verstrekte informatie wordt doorgegeven aan diverse derde partijen en wat zij met je gegevens doen. Deze bedrijven, of op z’n minst de categorieën bedrijven, zal je vervolgens expliciet moeten benoemen.
Dit kan bijvoorbeeld op de volgende manier:
< > Ik geef toestemming dat partners (link) mij per e-mail mogen benaderen voor interessante aanbiedingen.
Door daarop te klikken kan vervolgens een lijst worden getoond die eenvoudig kan worden aangepast.
De betrokkene zal vervolgens bijvoorbeeld een ‘vinkje’ moeten zetten zodat de expliciete toestemming is verkregen.
Naast bovenstaande informatieverplichtingen, ben je ook verplicht om betrokkenen te wijzen op de diverse rechten die zij hebben. Deze rechten zijn bijvoorbeeld het recht om te vragen welke gegevens een organisatie over de betrokkene heeft, het recht om gegevens te verbeteren, het recht om te vragen dat de betrokkene ‘vergeten’ wordt, en het recht om bezwaar aan te tekenen tegen de verwerking van gegevens.
In deze specifieke situatie zal het bijvoorbeeld belangrijk zijn om de betrokkene te wijzen op dat recht van bezwaar. Dit betekent dat iedere betrokkene de mogelijkheid moet krijgen om kosteloos en op een laagdrempelige manier aan te geven dat zijn of haar gegevens niet langer gebruikt mogen worden voor bepaalde doeleinden, zoals directe marketing.
Een manier om dat te doen is na het downloaden van het ebook die info expliciet in je mail te plaatsen:
Vanaf dat moment dat iemand zich uitschrijft, zal jij de betrokkene niet langer mogen benaderen met promotionele acties of nieuwsbrieven. De toestemming die hiervoor werd gekregen wordt dan namelijk ingetrokken, waardoor de grondslag voor verwerking van de persoonsgegevens vervalt.
Let dus goed op wanneer je straks een download aanbiedt op je website en denk na over welke gegevens daadwerkelijk nodig zijn om het doel te bereiken dat je voor ogen hebt.
Zorg daarnaast dat je de betrokkene op correcte wijze informeert. Je zal voldoende transparant moeten zijn over de verwerking van iemand zijn persoonsgegevens zodat een betrokkene weet waar hij mee instemt.
Ten slotte zal je ook het recht op bezwaar moeten benoemen en een duidelijke optie dienen aan te geven waarmee een betrokkene zich kan afmelden voor marketingberichten. Na een afmelding mag je deze persoon ook niet meer benaderen, tenzij je de gegevens opnieuw verkrijgt na toestemming via bijvoorbeeld een nieuwe download.
Dit lijken misschien wel veel regels, maar uiteindelijk gaat het erom één gestroomlijnde procedure op te zetten en deze correct op te volgen. Bovendien vinden we het op persoonlijk vlak toch ook maar geruststellend, dat onze gegevens niet op obscure plekken terechtkomen?
Wie meer (juridische) informatie wil over GDPR kan terecht bij deJuristen.