8 minute read
Ook na de AVG mag er nog genoeg
from Vf 20 | 2
WET- & REGELGEVING
Ook na de AVG mag er nog genoeg
door Jaap Zeekant, in gesprek met Patrick Jordens
Naarmate het ‘AVG-moment’ naderde, nam de stroom e-mails waarin mensen toestemming werd gevraagd om te mogen blijven mailen, stormvloedproporties aan. Dat was niet zo slim van de verzenders.
We hebben sinds de nieuwe eeuw een aantal digitale alarmmomenten gekend, waarbij het soms leek alsof er massaal paniek uitbrak. Herinner je je nog de milenniumbug? SEPA was ook zo’n moment. En onlangs was het de Algemene Verordening Persoonsgegevens, in Europees verband bekend als General Data Protection Regulation (GDPR). Dat de regeling serieuze gevolgen heeft voor de manier waarop organisaties hun processen moeten inrichten, is helder. Maar paniek is overdreven en niet zonder risico. Die massale vraag om toestemming was niet zo slim.
Wat e‐mail betreft hebben we niet alleen direct te maken met de AVG, maar vooral met de Telecommunicatiewet. Daaruit valt op te maken dat het aannemelijk moet zijn dat degene wiens e-mailadres het betreft er geen bezwaar tegen heeft dat het wordt gebruikt voor bijvoorbeeld aanbiedingen of nieuwsbrieven. De vele verzoeken om toestemming die iedereen onlangs heeft ontvangen, zijn ongetwijfeld verzonden naar e-mailadressen die al geruime of zelfs langere tijd geleden in die bestanden terecht zijn gekomen. Zeker wanneer dergelijke nieuwsbrieven altijd voorzien zijn geweest van een link waarmee de ontvanger zich zonder belemmeringen kon afmelden, is er geen reden om als gevolg van de AVG nu plotseling om toestemming te vragen. Nou kun je denken de invoering van de AVG een goed moment is om toch actief om toestemming te vragen aan de ontvangers. Maar dan loop je een serieus risico op minimalisering van het bestand dat je in de loop der tijden hebt opgebouwd. Want voor elk e-mailadres waarvanaf niet wordt gereageerd op dat verzoek, geldt dat het niet meer gebruikt mag worden. Dat is het gevolg als je actief om toestemming vraagt, terwijl je die toestemming in het verleden al hebt gekregen, of je mailt met donateurs, waarvoor geen toestemming vereist is. Ons bereiken inmiddels serieuze signalen dat de respons op die onnodige mailings enorm tegenvalt.
Het is belangrijk dat nieuwsbrieven en vergelijkbare digitale uitingen voorzien zijn van een simpele manier voor de ontvanger om zijn of haar e-mailadres te laten verwijderen uit het mailbestand. Daar mogen van de wet geen belemmeringen aan toegevoegd worden. Er mag wel gevraagd worden naar de reden van afmelding, maar die velden mogen niet verplicht zijn. Het is ook toegestaan om te vragen of de ontvanger zich totaal wil afmelden, of alleen voor bepaalde categorieën. Dergelijke keuzes door de ontvanger leveren belangrijke klantinformatie op en voorkomen bovendien irritatie als gevolg van berichten die buiten hun interessegebied vallen. Maar ook hier geldt dat die velden niet verplicht mogen zijn en dat het uitsluitend aanklikken van de afmeldbutton voldoende moet zijn.
Een veel gestelde vraag is of het ongevraagd versturen van persberichten een overtreding van de AVG is. Dat is niet zo. Maar het hangt er wel van af hoe je dat doet. Een persbericht versturen naar een daarvoor bestemd e-mailadres van een publicatie is natuurlijk geen probleem. Maar je moet wel toestemming van de ontvanger hebben voor persberichten waarmee eigenlijk een commerciële boodschap wordt overgebracht en die naar personen uit een database worden gestuurd. En bij de ongetwijfeld voorkomende tussenvormen is het vooral zaak de inhoud vooraf goed te beoordelen.
Een grote misvatting is dat je voor het registreren, officieel ‘verwerken’ genoemd, altijd toestemming nodig hebt van de betrokkene. Wanneer iemand gever is, kun je de gegevens die nodig zijn om die relatie in stand te houden gewoon verwerken. Je moet wel op een toegankelijke plek vermelden dat je dat doet. Voor bepaalde gegevens geldt echter dat daarvoor wel nadrukkelijk toestemming nodig is: de bijzondere persoonsgegevens. Dat zijn bijvoorbeeld gegevens over gezondheid, geloof of seksuele voorkeur. Voor bepaalde organisaties, zoals die van patiënten, is er al gauw sprake van zo’n situatie. Ook een foto wordt door de wet beschouwd als een persoonsgegeven, waarvoor voor het gebruik toestemming van de betrokkene vereist is. Hier zijn ook portretrecht en auteursrecht van toepassing. De komende jaren wordt vanuit Europa vernieuwde wetgeving verwacht op dat gebied, waar ook goede doelen mee te maken krijgen.
Volgens de AVG is toestemming niet de enige grondslag voor de het opnemen van een e-mailadres in je bestand. Bij donateurs bijvoorbeeld geldt uitvoering van een overeenkomst als geldige grondslag. Maar je mag als fondsenwervende organisatie niet zomaar e-mailadressen ergens vandaan halen om die vervolgens te benaderen. Wanneer je gewend was om e-mailadressen van adressenleveranciers te huren, dan moet van elk e-mailadres wel duidelijk zijn dat het gebruikt mag worden voor de uitingen van een goed doel. Het lukraak verzamelen van e‐mailadressen via allerlei spelletjes, testjes en enquêtes op internet, levert dus geen e-mailadressen op waar je als goed doel gebruik van kunt maken.
De privacyfunctionaris
De commotie rond de AVG heeft nog een groot misverstand opgeleverd, dat de ronde doet in de fondsenwervingssector. Dat is dat je een privacyfunctionaris nodig hebt, als je meer dan 100.000 donateurs in je bestand hebt. Ergens is door iemand dat advies gegeven. Maar het is aperte onzin. Zo strikt ligt dat helemaal niet. Er zijn wel omstandigheden waarin organisaties zo’n functionaris moeten aanstellen, maar of dat geldt voor de meeste non-profitorganisaties, ook die met meer dan 100.000 donateurs, is nog maar zeer de vraag. Want dan moet er sprake zijn van grootschalige verwerking van de data.
Wat precies onder grootschalige verwerking wordt verstaan is niet gedefinieerd door de wetgever. Ook de Autoriteit Persoonsgegevens geeft hiervoor nog geen duidelijke aanwijzing. Het wordt dan moeilijk om vast te stellen wat grootschalige verwerking is. Vast staat bijvoorbeeld wel dat telecomproviders en energiebedrijven zo veel klanten en data hebben dat er sprake is van grootschalige verwerking. Maar dat je bij meer dan 100.000 donateurs in je database verplicht een privacyfunctionaris moet hebben, is gewoon niet waar. Het is wel verstandig om de afweging te maken en vast te leggen waarom je van mening bent dat je organisatie geen privacyfunctionaris hoeft te hebben. Dan kun je als dat nodig is, aantonen dat je serieus met de materie omgaat. Maar let op: ook hier spelen weer die bijzondere persoonsgegevens. Als die gegevens verwerkt worden, dan is de kans groot dat er wel een privacyfunctionaris moet zijn. Overigens kunnen we ons ook wel weer voorstellen dat grotere non-profits die zich dat kunnen permitteren, wel besluiten een privacyfunctionaris aan te stellen. De AVG verplicht organisaties veel te regelen en ervoor te zorgen dat ze ook daarna compliant blijven. Dan is het een uitstekende oplossing om een deskundige in de eigen organisatie daarmee te belasten. Intussen geldt dat dergelijke experts zo veelgevraagd zijn dat ze nauwelijks meer te vinden zijn. Laten we intussen die ongemotiveerde grens van 100.000 records snel vergeten.
De verwerkingsovereenkomst
Op grond van onze contacten in de markt merken we dat er veel fondsenwervers zijn die nog geen schriftelijke afspraken hebben gemaakt met hun leveranciers. Dat is alarmerend, alleen al omdat tweederde van alle datalekken plaatsvindt bij derde partijen. Verwerkingsovereenkomsten met die organisaties die je data verwerken, zijn verplicht. Bovendien zijn ze ook heel belangrijk omdat de verantwoordelijkheid en daarmee de aansprakelijkheid, op de juiste plek komt te liggen. Soms heb je op dit punt te maken met een keten. Zo stuur je adressen naar de prepostale verwerker om het blad van je goede doel te kunnen verzenden naar de lezers. Vaak loopt die verzending via Sandd. Dat betekent dat je een verwerkingsovereenkomst moet hebben met de prepostale verwerker én met Sandd. Er is ook een andere oplossing mogelijk: je hebt alleen een verwerkingsovereenkomst met de prepostale verwerker en die heeft op zijn beurt een overeenkomst met Sandd. Toch is het in zo’n geval verstandig om de overeenkomst met Sandd bij de prepostale verwerker op te vragen. De meest waterdichte methode is dat je zelf met beide partijen een verwerkingsovereenkomst afsluit.
In een verwerkingsovereenkomst moet in elk geval precies en sluitend worden omschreven wat er met de data gebeurt. We horen af en toe dat goede doelen soms te veel geneigd zijn akkoord te gaan met de overeenkomst die door hun leverancier wordt aangeboden en waarin de aansprakelijkheid van de leverancier onnodig beperkt wordt. In die verwerkingsovereenkomsten moet je dus goed regelen wie waarvoor verantwoordelijk en dus aansprakelijk is.
Het moet een evenwichtig geheel zijn. Verder zie je in dergelijke overeenkomsten nogal eens dat de data pas definitief worden verwijderd als de overeenkomst wordt beëindigd. Maar dat betekent dat bij een jarenlange samenwerking ook die data heel lang worden bewaard. En hoe langer dat gebeurt, hoe groter het risico dat er iets misgaat. Daarom is het veel beter om in de overeenkomst die termijn te beperken tot bijvoorbeeld een jaar na de afronding van de opdracht in kwestie.
Een beeld dat we ook krijgen vanuit de non-profitsector is dat er een groot verschil is in professionaliteit tussen de verwerkers op dit punt. De ene leverancier biedt evenwichtige en volledige verwerkingsovereenkomsten aan en de andere schiet eenvoudig tekort. Ongeacht of de organisatie de verwerkingsovereenkomst opstelt of de leverancier, zorg hoe dan ook dat je het met de inhoud volledig eens bent en laat je zo nodig adviseren door een expert.
Een ander punt om rekening mee te houden is dat werknemers, ook van goede doelen, op de laptops en telefoons die ze voor hun werk gebruiken ongetwijfeld data van hun organisatie hebben staan van personen en andere gegevens die niet in handen van derden mogen komen. Een verloren laptop, zonder toegangspassword en met niet beveiligde gegevens, is een datalek en moet onverwijld bij de Autoriteit Persoonsgegevens worden gemeld. Het is daarom zaak om ook dat onderdeel van je organisatie goed te regelen.
Privézaken
De data die je als individuele persoon verzamelt, vallen onder privé en daarmee buiten de AVG. Maar dan moet het ook wel echt privé zijn. Als je je werpt op het verzamelen van bijzondere persoonsgegevens waar je op enig moment wellicht iets zakelijks mee wilt doen, dan kom je toch al snel onder de werkingssfeer van de AVG.
Het gebruik van Facebook als kanaal voor fondsenwerving ligt onder het vergrootglas. Facebook stelt zich op als een verwerker en heeft een nietaanpasbare verwerkersovereenkomst. Zij leggen alle verantwoordelijkheden bij de adverteerder voor het verkrijgen van toestemming voor het gebruik van e-mailadressen om mensen op Facebook een advertentie te kunnen laten zien (of juist niet). Die toestemming hebben adverteerders veelal ook niet verkregen. Dan zijn er ook weer juristen die zeggen dat die toestemming helemaal niet nodig is en dat het een gerechtvaardigd belang van de organisatie is om potentieel geïnteresseerden een advertentie te laten zien. Op dit moment is er in de markt dus onduidelijkheid. Voor sommigen is dat reden om Facebook niet meer in te zetten en voor anderen niet. We moeten de praktijk afwachten voor hier met zekerheid iets over te zeggen valt. We verwachten wel dat de Autoriteit Persoonsgegevens de Facebooks van deze wereld op de voet zal volgen.
Er mag nog altijd heel veel
De AVG heeft voor nogal wat nieuwe regelgeving en procedures gezorgd. Maar het valt moeilijk te ontkennen dat het zorgvuldig omgaan met de gegevens van mensen enorm belangrijk is, in een tijd waar maar weinig hoeft fout te gaan of allerlei vertrouwelijke gegevens liggen mondiaal op straat. Daarom is het zaak om je bedrijfsprocessen goed te regelen. Maar nog altijd is er dan heel veel mogelijk met je data, ook al omdat direct marketing door de wet wordt gezien als een ‘gerechtvaardigd belang.’ Bovendien geldt dat waar de wetgever zaken niet precies definieert, zoals de bewaartermijn van data, er wordt geappelleerd aan goed huisvaderschap. Denk bijvoorbeeld aan hoe lang je gegevens bewaart. Het is logisch dat dat niet oneindig is. En dus is het goed dat je een procedure hebt, die ervoor zorgt dat je op gezette tijden je bestanden opschoont en informatie die niet meer nodig is, definitief verwijdert.
Er zijn organisaties die heel hard hebben gewerkt en nu compliant zijn. Er zijn er ook die nog aan de bak moeten. Maar wat je ook doet, zorg dat de AVG de aandacht blijft krijgen en dat je de processen in je organisatie blijft beheersen. Zorg dat het in je hele organisatie bekend is en leeft. Zo toon je dat je de belangen van gevers en anderen van wie data in je systemen zitten, serieus neemt. Want dat zijn de mensen op wie jij van ook jouw kant kunt rekenen. ◊
Patrick Jordens is oprichter en directeur van DMCC dat goede doelen en ondernemingen ondersteunt op het gebied van compliance bij datagedreven klantcontact.
