Overzicht Actueel

De meest gestelde vragen van retailers over de nieuwe privacywet

privacywet

Op 25 mei is de Algemene Verordening Gegevensbescherming in werking getreden. Deze privacywet, ook wel bekend als AVG of onder de Engelse afkorting GDPR, stelt strengere eisen aan de manier waarop organisaties persoonsgegevens mogen verwerken. Het is een onderwerp dat leeft onder retailers – dat is te merken aan de vele vragen die we bij DDMA, de branchevereniging voor data en marketing, dagelijks binnen krijgen. In dit artikel beantwoord ik 4 vragen die we het vaakst voorbij hebben zien komen.

Door: Matthias de Bruyne, legal counsel bij DDMA

1. Iemand met een klantenkaart heeft al zes jaar geen aankoop meer gedaan in onze winkels. Hoe lang mogen we die klantgegevens bewaren?

Dat is een interessante vraag. De AVG zegt namelijk niet hoe lang je gegevens je mág bewaren, maar verplicht je als organisatie na te gaan hoe lang het nódig is voor het doel waarvoor je de gegevens hebt gekregen. Die afweging mag je als organisatie dus zelf maken, als je er maar een logische, sluitende argumentatie voor hebt. Je aankoopstatistieken zouden hierbij kunnen helpen. Je kunt daar wellicht uit afleiden dat als iemand in de vier jaar na zijn vorige aankoop niets meer heeft gekocht, de kans miniem is dat deze persoon ooit nog in je winkel komt. Op basis hiervan kun je een bewaartermijn van ‘vier jaar na de laatste aankoop’ aanhouden. Het helpt om hierbij te denken vanuit de klant: hoe logisch is het voor je klant dat zijn data nog in jouw systemen staat? Een andere redenatie kan zijn: zolang er nog inwisselbare punten op de klantenkaart staan, bewaren we iemands gegevens. Welke argumentatie je ook gaat gebruiken, je bent altijd verplicht deze vast te leggen in je verwerkingenregister, zodat je deze aan de toezichthouder kunt voorleggen wanneer dat nodig is.

2. Veel van onze klantenkaarten worden in de winkel aangemaakt, waarbij de verkoper de gegevens van de klant direct in de computer invoert. Hoe zit dat met privacy?

Het recht op informatie van de klant is hierbij van belang: dat geldt namelijk ook als je offline gegevens vastlegt, zoals bij het aanmaken van een klantenkaart in de winkel. Vóórdat je iemands gegevens opslaat, moet je duidelijk maken wat je met die data gaat doen en hoe lang je de data gaat bewaren. Online maak je daarbij gebruik van een privacy statement, maar het lijkt niet echt werkbaar om dit privacy statement in de winkel voor te lezen terwijl de rij aan de kassa steeds langer wordt. Een tussenoplossing is dat de klant, direct na het aanmaken van de klantenkaart, een e-mail ontvangt met het privacy statement. Ook is het slim om altijd een aantal fysieke exemplaren van dit statement bij de kassa te hebben liggen, zodat je aan de klant kan geven om thuis nog eens rustig te bekijken. Dit mag een beknopte versie zijn met de belangrijkste punten, met een verwijzing naar een webpagina waar het volledige exemplaar te vinden is.

Naast het recht op informatie wil ik hier graag ook nog het onderwerp dataminimalisatie aanhalen. Dat is geen nieuw recht, maar wel belangrijk: net als bij de bewaartermijn moet je namelijk kunnen beargumenteren waarom je bepaalde gegevens wil opslaan bij het aanmaken van een klantenkaart. Naam en e-mailadres spreken voor zich, maar is het ook nodig om iemands geboortedatum en geslacht te weten? Zo ja, dan moet je daar een reden voor hebben, die je ook weer vastlegt in je verwerkingenregister.

3. Heb je toestemming nodig om houden het koopgedrag van klanten bij te houden, om op basis daarvan bijvoorbeeld de nieuwsbrief en de website te personaliseren?

Dat hangt er vanaf. Als eerste is het goed om te beseffen dat onder de AVG ondubbelzinnige toestemming niet de enige grondslag is om gegevens te verwerken – er zijn nog vijf andere grondslagen. De grondslag die bij deze vraag een rol speelt is het gerechtvaardigd belang, waartoe marketing ook behoort. Als je deze grondslag toepast, moet je daarbij altijd een afweging maken tussen het marketingbelang van je organisatie en de impact op de privacy van de klant. Als je vraagt naar iemands geslacht om op de website of in de nieuwsbrief voornamelijk maar mannen- of vrouwenkleding te laten zien, is de impact op privacy niet heel groot. Hetzelfde geldt voor het bijhouden van iemands aankopen. Dit wordt anders wanneer je een erg gedetailleerd profiel van een klant opbouwt, of hierbij ook gevoelige informatie over iemands financiële situatie betrekt. Dan kun je je doel voorbij schieten en wordt de impact op privacy groter dan het behartigen van je marketingbelang.

Over het algemeen geldt dat je vrij veel kunt doen zonder toestemming, als je de data niet deelt met derde partijen, de data niet opslaat buiten de EU en het profiel niet onnodig gedetailleerd maakt. Houd wel in de gaten dat je transparant bent over de verwerkingen die je doet. Bij de afweging die je maakt voor het gerechtvaardigd belang, is het namelijk belangrijk dat de verwerkingen die je doet ‘voorzienbaar’ zijn. Zorg er dus voor dat de consument vooraf op de hoogte is van wat je met hun persoonsgegevens doet.

4. Vallen tracking beacons ook onder de AVG?

Ja, de AVG doet uitspraken over het verwerken van persoonsgegevens. Een tracking beacon maakt gebruik van IP-adressen of MAC-adressen en dat zijn persoonsgegevens. Dat blijven ze ook als je deze data pseudonimiseert, versleutelt of hasht, omdat dit omkeerbare processen zijn die te herleiden zijn naar de bron. Alleen gegevens die geanonimiseerd zijn gelden niet als persoonsgegeven. Beacons hebben sowieso de aandacht van de Autoriteit Persoonsgegevens, omdat het meetgebied vaak lastig af te schermen. Een bedrijf kwam eerder al in opspraak doordat gegevens van bewoners boven de winkels en van voorbijfietsende mensen ook werden opgeslagen. Voor iedereen die gebruik maakt van beacons, is het in elk geval zaak in lijn te handelen met de AVG. Voor meer juridische achtergrond over de inzet van beacons verwijs ik je graag door naar dit stuk.