Overzicht Actueel

Wat betekent de Algemene Verordening Gegevensbescherming voor consumenten?

Voor organisaties die persoonsgegevens inzetten voor hun marketingactiviteiten is consumentenvertrouwen belangrijker dan ooit. Een groot deel van de consumenten staat positief tegenover het gebruik van data, maar wil wel het gevoel hebben meer controle te hebben dan nu het geval, blijkt uit het meest recente DDMA Privacy Consumentenonderzoek. De Algemene Verordening Gegevensbescherming (AVG, of GDPR in het Engels) geeft mensen nu meer controle over hun eigen data. Marketeers die het vertrouwen van hun klanten willen winnen of behouden, moeten hier goed van op de hoogte zijn. In deel 3 van deze blogserie laten we daarom zien welke extra rechten consumenten vanaf mei 2018 krijgen en wat de gevolgen hiervan zijn voor marketeers.

Recht om vergeten te worden
Het recht van verzet kennen we in Nederland al. In elke marketing-uiting waarin data worden gebruikt – een e-mail, een brief, een telefoontje – moet de ontvanger de mogelijkheid hebben zich af te melden. Als een consument hier gebruik van maakt, mag je hem of haar niet meer benaderen voor marketingdoeleinden via dat specifieke kanaal. Ook hebben mensen het recht om zich in het algemeen te verzetten tegen de verwerking van hun persoonsgegevens voor marketingdoeleinden.

Naast het recht van verzet kunnen klanten vanaf 25 mei 2018 een verzoek indienen om hun persoonlijke gegevens te laten verwijderen. Dit heet het recht om vergeten te worden, ook wel bekend als ‘right to be forgotten’. In het geval van marketing kunnen mensen altijd een beroep op dit recht doen. Soms moet je voor andere doeleinden wel een deel van de gegevens bewaren, bijvoorbeeld voor de Belastingdienst. Daarom moet je duidelijk in kaart hebben welke gegevens je voor welke doeleinden verwerkt.

Recht op informatie
Net als onder de huidige wetgeving ben je als verantwoordelijke verplicht om informatie te verstrekken over de manier waarop je persoonsgegevens verwerkt, en voor welke doeleinden. De bijbehorende verplichte informatievoorziening wordt vaak aangeboden via een privacy statement. Onder de AVG ben je verplicht om uitgebreid te informeren, ook over de nieuwe rechten van mensen. Loop dus je huidige privacy statement nog eens kritisch door. Daarin moet je namelijk ook:

  • De bewaartermijnen van de gegevens (of de manier waarop je deze vaststelt) vermelden.
  • Wijzen op het recht om gegevens in te zien, te laten aanpassen, aan te vullen of te verwijderen.
  • Wijzen op het recht om bezwaar te maken tegen en het beperken van de verwerking van gegevens (recht van verzet).
  • Wijzen op de mogelijkheid om een klacht bij de Autoriteit Persoonsgegevens in te dienen.
  • Wijzen op de mogelijkheid om toestemming op ieder moment in te trekken.
  • Indien van toepassing de contactgegeven van de Functionaris Gegevensbescherming vermelden.
  • De herkomst van de gegevens toelichten, wanneer deze niet direct door de betrokken zijn ingevuld/achtergelaten.
  • Vertellen of de gegevens worden doorgegeven naar landen buiten de EU

Recht op dataportabiliteit
Waar het recht om vergeten te worden en het recht op informatie al deels bestonden, is het recht op dataportabiliteit volledig nieuw. Met dit recht kunnen mensen voortaan een deel van hun gegevens opvragen bij een organisatie. Iemand kan dan kiezen om gegevens naar een andere organisatie te laten sturen of de data zelf te ontvangen in een ‘gangbaar bestandsformaat’. Met dit recht krijgen consumenten meer controle over hun eigen gegevens. Bovendien profiteren ze van extra gebruiksgemak, als bedrijven dit goed geregeld hebben. Overstappen van de ene naar de andere aanbieder, of het opvragen van een offerte bij een andere aanbieder zou hierdoor makkelijker moeten worden.

Omdat dit een nieuw recht is, is het nog lastig inschatten of en hoe mensen hiervan gebruik zullen maken. Een situatie die voor de hand ligt is het wisselen van bank, telecomprovider of zorgverzekeraar. Met dit nieuwe recht kunnen mensen bijvoorbeeld hun bel-verleden opvragen om te kijken welke aanbieder het beste bij hen past.

De Europese toezichthouders noemen als voorbeelden onder andere een online muziek streaming dienst waarbij je een playlist kunt exporteren zodat iemand weet wat hij/zij het meest luistert en dus wat hij/zij wil kopen. Of zodat je je muziek voorkeuren kunt meenemen als je van Spotify overstapt naar Google Music, Deezer of iTunes. Een ander voorbeeld dat wordt genoemd is een e-maildienst waarbij iemand zijn contactenlijst kan exporteren om een uitnodigingenlijst voor een feest te maken.

Het recht om vergeten te worden staat overigens los van het recht op dataportabiliteit. Je bent als organisatie niet verplicht data te verwijderen na het overdragen. Als iemand daar wel om vraagt dan moet je daar uiteraard mee aan de slag.

Uitdagingen
Uiteraard brengen deze extra rechten van individuen voor organisaties een aantal uitdagingen met zich mee. Als iemand een beroep doet op het recht van inzage, moet je weten welke persoonsgegevens je van hem of haar verwerkt, waar die gegevens vandaan komen en wat de grondslag is om die gegevens te verwerken. Dat vergt structurering van de data(systemen), en dat is voor veel organisaties een uitdaging. Met name wat betreft oude data, ook wel legacy data genoemd, kan dat een hele kluif zijn.

Een extra uitdaging daarbij is dat het bij de nieuwe rechten nog niet precies duidelijk is welke persoonsgegevens daaronder vallen, of hoe je in de praktijk te werk moet gaan. Wat is bijvoorbeeld ‘machineleesbaar’? Niet iedereen heeft de mogelijkheid om een API naar de concurrent in te bouwen. De Europese toezichthouder heeft al toelichting gegeven , maar in de praktijk blijven er veel open eindjes. De verwachting is dat daar voor 25 mei meer duidelijkheid over is, maar het bemoeilijkt de voorbereiding natuurlijk wel. Wat je in ieder geval kunt doen is je zo goed mogelijk voorbereiden op de zaken die wél bekend zijn, zoals eerder in dit stuk beschreven.

Vertrouwen
De toegenomen controle van consumenten over hun eigen data biedt ook kansen voor bedrijven op het vlak van service en gebruiksgemak. In plaats van je af te vragen of mensen wel gebruik gaan maken van deze rechten, kun je ook kijken hoe je deze verzoeken zo makkelijk mogelijk kunt maken – voor jezelf en voor je klant. Daarmee laat je zien dat je als marketeer en als organisatie belang hecht aan privacy en databescherming en bouw je vertrouwen op bij je (potentiële) klanten.

Dat kan bijvoorbeeld door proactief aan te bieden dat mensen al hun gegevens uit jouw applicatie kunnen downloaden. Of door transparant te zijn over waarom je om bepaalde gegevens vraagt. Natuurlijk moet je privacy statement juridisch kloppen, maar bij het invulformulier kun je met een paar heldere zinnen al duidelijk maken wat je intenties zijn. Je geeft de klant een veilig gevoel als je bij de opt-in direct aangeeft dat hij of zij ieder moment zijn of haar gegevens kan laten verwijderen. Van het vertrouwen dat je daarmee opbouwt profiteer je uiteindelijk zelf ook.

In dit artikel lag de focus op de rechten van consument op de AVG, maar dat betekent niet dat deze nieuwe wet geen implicaties heeft voor B2B-organisaties. Daarover meer in deel 4 van deze blogserie.

Lees hier deel 1 (Marketeers nog lang niet klaar voor GDPR) en deel 2 (De 17 meest gestelde vragen over de GDPR) van deze blogserie.