De groeiende inzet van data is ook de culturele sector niet voorbijgegaan. Persoonsgegevens worden verzameld bij de verkoop van tickets, gebruikt om bezoekers te benaderen met een nieuwsbrief en vormen de basis van gerichte online advertenties om een voorstelling of tentoonstelling onder de aandacht te brengen. Bovendien heeft elke culturele organisatie wel een databestand of klantrelatiesysteem waarin de gegevens van donateurs, bezoekers of leden in zijn opgeslagen.
De AVG moet er nu voor gaan zorgen dat mensen zelf meer controle krijgen over deze gegevens en stelt daarom strengere eisen aan de verwerking ervan door organisaties. Deze nieuwe verplichtingen hebben grote impact op de bedrijfsvoering van culturele organisaties en vragen om intensieve voorbereiding op juridisch, organisatorisch en technisch vlak. De sector is daarvan op de hoogte, zo blijkt uit de vele vragen die jullie instuurden. De vragen later echter ook zien dat er nog veel onduidelijkheid bestaat.
1. In hoeverre mag je mensen verplichten om informatie in te vullen bij het kopen van een ticket?
De basis van de AVG is dat je niet méér gegevens mag verwerken dan nodig is voor het doel waarvoor je de gegevens verzamelt (dataminimalisatie). Verstrekt iemand zijn gegevens om de nieuwsbrief te kunnen ontvangen, dan heb je geen telefoonnummer of geboortedatum nodig. Dat kan anders zijn als iemand online een ticket voor een evenement koopt. Daarvoor kan het nodig zijn om iemand een sms’je te kunnen sturen, bijvoorbeeld als het evenement niet doorgaat. Veel komt hierbij ook aan op duidelijk informeren. Als het verzamelen van persoonsgegevens meerdere doelen heeft (bijvoorbeeld het tekenen van een petitie en fondsenwerving), dan moet je duidelijk uitleggen dat fondsenwerving óók een doel is van de verwerking. De betrokkene kan daar dan rekening mee houden bij het achterlaten van de gegevens en eventueel weigeren.
2. Wat moet je doen met een relatiebeheersysteem waarvoor het opslaan van persoonsgegevens nooit expliciete toestemming is gegeven?
Het is belangrijk om te weten dat toestemming niet de enige wettelijke grondslag is voor het verwerken van persoonsgegevens. Expliciete toestemming is alleen verplicht voor het verwerken van bijzondere persoonsgegevens (in Nederland onder meer religieuze of politieke voorkeur). Voor het verwerken van ‘normale’ persoonsgegevens is ondubbelzinnige toestemming één van de zes grondslagen. Er zijn dus nog vijf andere mogelijkheden die in de meeste situaties een meer logische keuze zijn dan toestemming – ook in het geval van een relatiebeheersysteem. Die gegevens kunnen zeer waarschijnlijk verwerkt worden op basis van een andere grondslag: het gerechtvaardigd belang. Marketing is ook onder de AVG erkend als gerechtvaardigd belang. Je hebt als onderneming een belang om je klanten en prospects beter te leren kennen. Je bent daarbij wel verplicht te beoordelen of de gegevens noodzakelijk zijn voor het doel waarvoor je opvraagt, en vervolgens moet je een afweging maken tussen je eigen belang en dat van de klant. Dat je gegevens van mensen mag opslaan betekent overigens niet dat je ze ook zomaar mag benaderen, bijvoorbeeld via e-mail of telefoon. De regels daarvoor staan in een andere wet, de Telecommunicatiewet, die binnenkort vervangen wordt door de Europese ePrivacy Verordening.
3. Wie is de eigenaar van persoonsgegevens na ticketverkoop, het theater of gezelschap dat er speelt? En mogen zij onderling deze gegevens zomaar uitwisselen?
Het begrip ‘eigendom’ kennen we niet in de context van privacywetgeving. Je bent ‘verantwoordelijke’, ‘verwerker’ of ‘betrokkene’. Uiteraard kunnen organisaties onderling afspraken maken over het wel of niet uitwisselen van gegevens, maar dit staat los van de AVG/GDPR. Deze wet bepaalt wél wanneer je gegeven mág delen. Daarvoor moet je kijken naar de grondslagen die hierboven zijn besproken. Doorgifte aan een andere organisatie is namelijk ook een verwerking. Je moet daarvoor beoordelen of dat ‘verenigbaar’ is met het doel waarvoor de betrokkene zijn gegevens heeft achtergelaten en wat de grondslag is.
Het delen van deze gegevens tussen het theater en het gezelschap is niet nódig voor de uitvoering van de overeenkomst (namelijk: toegang geven tot het evenement) en het delen is ook niet verplicht vanuit de wet. Je komt daardoor uit bij het gerechtvaardigd belang of bij toestemming. Je moet dezelfde afweging maken als bij de vorige vraag. Daarvoor zijn met name de volgende twee punten bepalend:
– Is de betrokkene (de ticketkoper) voorafgaand aan het verzamelen van de gegevens duidelijk geïnformeerd welke gegevens er gedeeld worden, met wie, en voor welk doel?
– Heeft de betrokkene een mogelijkheid gehad om te voorkomen dat de gegevens gedeeld worden (is er gewezen op het recht van verzet)?
Als het antwoord in beide gevallen ‘ja’ is, kun je het gerechtvaardigd belang als grondslag gebruiken en kunnen zowel het theater als het gezelschap de gegevens verwerken.
Nog meer vragen en antwoorden over de AVG
Op de website van DDMA beantwoorden we nog acht andere vragen uit de culturele sector over de AVG. Ook kun je daar terecht voor onze AVG Checklist, waarin we je laten zien hoe je jouw organisatie in tien stappen optimaal kunt voorbereiden op de nieuwe wetgeving. Als laatste willen we je wijzen op de gratis DDMA AVG Status Check, waarmee je kan zien hoe goed jouw organisatie is voorbereid op de AVG en hoe je het doet in vergelijking met andere organisaties. Succes!
Ook interessant
Vacature: Commissielid DDMA Telemarketing – Goed doel (op vrijwilligersbasis)
Springbok Agency, Funnelboost, and LevelUp Group nominated for the EMAS Battle of the Agencies 2024
