Uitgebreide Q&A met de cultuursector over de AVG en Privacyverordening

Vragen over de AVG:

1. Hoe lang mag je persoonsgegevens bewaren?

Hoewel er over de bewaartermijn van persoonsgegevens geen nieuwe regelgeving bij is gekomen, vragen veel organisaties zich toch wat de AVG hierover zegt. Het gaat er volgens de AVG niet om hoe lang je gegevens mág bewaren, maar hoe lang het nódig is voor het doel waarvoor je deze gegevens verwerkt. Je kunt dus de bewaartermijn zelf vaststellen, als je er maar een logische, sluitende argumentatie voor hebt. Het is belangrijk deze argumentatie ook op te slaan in je verwerkingenregister, zodat je deze altijd aan toezichthouder of consument kunt voorleggen. ICT-jurist Arnout Engelfriet noemt als voorbeeld bijvoorbeeld gegevens van sollicitanten. Een logische bewaartermijn is bijvoorbeeld twee maanden na de vervulling van de functie, zodat je nog tijd hebt om na de proeftijd andere kandidaten. opnieuw te benaderen. Voor sommige gegevens, zoals fiscale informatie, gelden wettelijke bewaartermijnen – soms wel van jaren. Ga dan van deze termijn uit.

2. In hoeverre mag je mensen verplichten om informatie in te vullen bij het kopen van een ticket?

De basis van de AVG is dat je niet méér gegevens mag verwerken dan nodig is voor het doel waarvoor je de gegevens verzamelt (dataminimalisatie). Verstrekt iemand zijn gegevens om de nieuwsbrief te kunnen ontvangen, dan heb je geen telefoonnummer of geboortedatum nodig. Dat kan anders zijn als iemand online een ticket voor een evenement koopt. Daarvoor kan het nodig zijn om iemand een sms’je te kunnen sturen, bijvoorbeeld als het evenement niet doorgaat.

Veel komt hierbij ook aan op duidelijk informeren. Als het verzamelen van persoonsgegevens meerdere doelen heeft (bijvoorbeeld het tekenen van een petitie en fondsenwerving), dan moet je duidelijk uitleggen dat fondsenwerving óók een doel is van de verwerking. De betrokkene kan daar dan rekening mee houden bij het achterlaten van de gegevens en eventueel weigeren.

3. Wat moet je doen met een relatiebeheersysteem waarvoor het opslaan van de persoonsgegevens nooit expliciete toestemming is gegeven?

Het is belangrijk om te weten dat toestemming niet de enige grondslag is voor het verwerken van persoonsgegevens. Expliciete toestemming is alleen verplicht voor het verwerken van bijzondere persoonsgegevens (in Nederland onder meer religieuze of politieke voorkeur). Voor het verwerken van ‘normale’ persoonsgegevens is ondubbelzinnige toestemming één van de zes grondslagen. Er zijn dus nog vijf andere mogelijkheden die in de meeste situaties een meer logische keuze zijn dan toestemming – ook in het geval van een relatiebeheersysteem. Die gegevens kunnen zeer waarschijnlijk verwerkt worden op basis van een andere grondslag: het gerechtvaardigd belang. Marketing is ook onder de AVG erkend als gerechtvaardigd belang. Je hebt als onderneming een belang om je klanten en prospects beter te leren kennen. Je moet daarbij ook goed kijken of de gegevens noodzakelijk zijn voor verwerking en een afweging maken tussen je eigen belang en dat van de klant. Dat je gegevens van mensen mag opslaan betekent overigens niet dat je ze ook zomaar mag benaderen, bijvoorbeeld via e-mail of telefoon. De regels daarvoor staan in een andere wet, de Telecommunicatiewet, die binnenkort vervangen wordt door de Europese ePrivacy Verordening.

4. Aan welke eisen moet je minimaal voldoen bij het opslaan van persoonsgegevens? Zijn er daarbij verschillen tussen educatieve en niet-educatieve instellingen?

Er is geen minimum of maximum aan eisen. Elke organisatie die persoonsgegevens verwerkt, moet aan de AVG voldoen. Dat geldt voor goede doelen, multinationals, scholen, ziekenhuizen, gemeenten en culturele instellingen. Hoe hoger het risico (bijvoorbeeld méér gegevens, gevoeligere gegevens etc.), hoe strenger de regels zijn. Omdat educatieve instellingen waarschijnlijk eerder gegevens van kinderen verwerken, komen deze al snel in een categorie met hoger risico. Toezichthouder Autoriteit Persoonsgegevens legt op haar site hoe school om moeten gaan met de nieuwe verantwoordelijkheden om gegevens van leerlingen te beschermen.

5. Hoe ga om met het verzamelen van gegevens van jongeren onder de 16 jaar? Is daar altijd toestemming voor nodig, of zijn er uitzonderingen als het om een wedstrijd gaat?

Als je toestemming nodig hebt (ofwel als grondslag, of omdat je iets doet waarvoor toestemming nodig is zoals het sturen van een e-mail of het plaatsen van cookies) voor het verwerken van gegevens van kinderen, dan moet dit toestemming van de ouders zijn. Zie hiervoor deze uitleg van de AP. Het maakt dan niet uit of om een wedstrijd gaat of om iets anders. Maar, zoals bij vraag 3 beschreven: je hebt niet altijd toestemming nodig voor het verwerken van gegevens. Als een jongere zichzelf inschrijft voor de wedstrijd, dan heb je het recht deze gegevens op te slaan. Alleen – dat maakt het weer lastig – je heb dus wel toestemming nodig van ouders om vervolgens een mail te kunnen sturen, bijvoorbeeld over of deze persoon heeft gewonnen. Bovendien gaat het in het geval van gegevens van kinderen al snel om verwerking met een hoge impact op de privacy. Toestemming als grondslag lijkt daardoor logischer dan het bij vraag 3 besproken gerechtvaardigd belang.

6. Is mijn organisatie aansprakelijk voor persoonsgegevens die een extern mailsysteem voor me verzamelt, zoals de open rate of click through rate?

Ja. Een extern mailsysteem geldt voor de AVG als ‘verwerker’, terwijl jij als opdrachtgever de ‘verantwoordelijke’ bent. Als een extern bureau of E-mail Service Provider deze mails voor jou verzendt, gelden dezelfde regels: jij blijft verantwoordelijke. Je bent als verantwoordelijke verplicht om met deze partijen afspraken te maken over onderwerpen als beveiliging, geheimhouding, datalekken en bewaartermijnen. Die afspraken moeten schriftelijk gemaakt worden en vind je meestal terug in een verwerkersovereenkomst. Wanneer er iets misgaat bij de verwerker blijf je als verantwoordelijke aansprakelijk richting de betrokkene. Hierbij is het goed om te weten dat niet alleen een naam of e-mailadres, maar ook het klik- en opengedrag van een persoon geldt als persoonsgegeven.

7. Mag je iemand verplichten de privacyvoorwaarden via een vinkje te tekenen, door in te stellen dat deelname of het kopen van tickets niet mogelijk zonder die voorwaarden te accepteren?

Hierover bestaan veel misverstanden, het privacy statement hoeft namelijk niet geaccepteerd te worden. Dit heeft in ieder geval geen enkele juridische waarde. In de VS is dit wél geldig en gebruikelijk, en we vermoeden dat het op die manier is overgewaaid. In Europa heeft het privacy statement maar één doel en dat is informeren. Wees er waakzaam op dat je geen toestemming kunt vragen via het privacy statement of de algemene voorwaarden. Als je hier bijvoorbeeld in zet dat iemand akkoord gaat met het delen van zijn gegevens met derde partijen, en iemand geeft akkoord op het privacy statement, dan is dit volgens de AVG (en de huidige Wet bescherming persoonsgegevens) geen geldige toestemming.

Je moet informeren over de volgende onderwerpen:

• de identiteit en contactgegevens van de verantwoordelijke
• de (categorieën) persoonsgegevens die verwerkt worden
• de verwerkingsdoeleinden waarvoor de persoonsgegevens zijn bestemd, en- recht op inzage en correctie
• recht op inzage/rectificatie/wissing
• recht op verzet tegen verwerking voor DM
• de rechtsgrond voor de verwerking;
• bewaartermijnen (dan wel hoe je die bepaalt)
• als gerechtvaardigd belang, welk belang dan precies
• (indien van toepassing) naam en contactgegevens functionaris voor de gegevensverwerking
• derde ontvangers/of categorieën ontvangers
• derde landen waar de gegevens worden verwerkt (als het buiten de EU is, de getroffen waarborgen vermelden)
• Informatie over de herkomst, als de gegevens niet van de betrokkene zelf komen
• extra rechten melden: schorsing verwerking, gegevensoverdraagbaarheid
• recht toestemming in te trekken
• recht een klacht in te dienen bij de toezichthouder
• geautomatiseerde besluitvorming: plus onderliggende logica

8. Wie is de eigenaar van persoonsgegevens na ticketverkoop, het theater of het gezelschap dat er speelt? En mogen zij onderling deze gegevens zomaar uitwisselen?

Het begrip ‘eigendom’ kennen we niet in de context van privacywetgeving. Je bent ‘verantwoordelijke’, ‘verwerker’ of ‘betrokkene’. Uiteraard kunnen organisaties onderling afspraken maken over het wel of niet uitwisselen van gegevens, maar dit staat los van de AVG/GDPR. Deze wet bepaalt wél wanneer je gegeven mág delen. Daarvoor moet je kijken naar de grondslagen die bij vraag 3 zijn besproken. Doorgifte aan een andere organisatie is namelijk ook een verwerking. Je moet daarvoor beoordelen of dat ‘verenigbaar’ is met het doel waarvoor de betrokkene zijn gegevens heeft achtergelaten en wat de grondslag is.
Het delen van deze gegevens tussen het theater en het gezelschap is niet nódig voor de uitvoering van de overeenkomst (namelijk: toegang geven tot het evenement) en het is ook niet verplicht vanuit de wet. Je komt daardoor uit bij het gerechtvaardigd belang of bij toestemming. Je moet dezelfde afweging maken als bij vraag 3. Daarvoor zijn met name de volgende twee punten bepalend:

Is de betrokkene (de ticketkoper) voorafgaand aan het verzamelen van de gegevens duidelijk geïnformeerd welke gegevens er gedeeld worden, met wie, en voor welk doel?
Heeft de betrokkene een mogelijkheid gehad om te voorkomen dat de gegevens gedeeld worden (is er gewezen op het recht van verzet)?

Als het antwoord in beide gevallen ‘ja’ is, kun je het gerechtvaardigd belang als grondslag gebruiken en kunnen zowel het theater als het gezelschap de gegevens verwerken.

9. Valt het (ongevraagd) fotograferen en filmen van mensen ook onder deze wetgeving? Heb je hier altijd toestemming voor nodig?

Als je filmt of fotografeert leg je persoonsgegevens vast. De AVG is dus inderdaad van toepassing. Dat betekent niet automatisch dat je toestemming nodig hebt. Zoals wij bij de bovenstaande vragen meermaals te lezen is, zijn er ook andere grondslagen dan toestemming. Bijvoorbeeld als cameratoezicht wettelijk verplicht is. Dan is de wettelijke plicht hiervoor de grondslag voor het filmen van mensen. In het geval van deze vraag is er echter geen sprake van verplichte opnamen, maar van een situatie waarin het publiek in beeld komt bij het opnemen van een voorstelling. Dan kom je opnieuw uit bij het gerechtvaardigd belang of toestemming. Als je aan de voorwaarden voor het gerechtvaardigd belang hebt voldaan, is toestemming volgens de AVG niet nodig. Ongeacht de grondslag moet je voorafgaand aan het vastleggen van de beelden wél de bezoekers moeten informeren, zodat zij zelf kunnen kiezen of zij gefilmd willen worden. Wie hier geen prijs op stelt, kan dan een kaartje voor een andere voorstelling kopen.

Als het voor betrokkenen niet vooraf duidelijk is dat ze gefilmd zullen worden, is filmen niet mogelijk op basis van het gerechtvaardigd belang. Dan zal voorafgaand aan het filmen toestemming gevraagd moeten worden. Dat is echter lastig, omdat je niet zeker weet of de koper van het kaartje ook de uiteindelijke bezoeker is. Een bord bij ingang van de zaal zal in dat geval onvermijdelijk zijn.

Los van de privacywetgeving heb je hier ook te maken met portretrecht. Als de opnamen niet in een openbare ruimte gemaakt zijn, bijvoorbeeld in een theater, dan mogen de beelden niet zomaar openbaar gemaakt worden. Wie op beeld staat, kan door uitoefening van het portretrecht publicatie van beelden voorkomen, mits diegene daar een redelijk belang bij hebt. Om die reden is het ook hier van belang dat aanwezigen goed geïnformeerd worden, wie niet op de hoogte is kan zijn rechten niet uitoefenen.

Vragen over de Privacy Verordening

10. Mag ik adressen uit de ticketverkoop gebruiken om mensen in de toekomst te informeren over soortgelijk aanbod (bijvoorbeeld op basis van genre of gezelschap?

De AVG bepaalt onder welke voorwaarden je gegevens, zoals het e-mailadres dat je nodig hebt voor een nieuwsbrief, mag verwerken. Of en wanneer je die e-mail mag verzenden staat echter niet in de AVG, de regels daarover staan namelijk in de Telecommunicatiewet. Die wet verandert niet met de komst van de AVG, maar wordt binnenkort wel vervangen door de ePrivacy Verordening.

Om te weten of je deze personen mag mailen moet je beoordelen of er bij de bestaande klanten aan de wettelijke voorwaarden voor de ‘soft opt-in’ is voldaan. Deze uitzondering op de reguliere opt-in staat in Artikel 11.7 lid 3 van de Telecommunicatiewet. Hierin staat dat je aan bestaande klanten, wiens gegevens je hebt verkregen in het kader van verkoop van een product of dienst, géén toestemming gevraagd hoeft te worden. Dit mag als:
het eigen en gelijksoortige producten of diensten betreft.
de communicatie gestuurd wordt vanuit dezelfde juridische entiteit (bijv. geen dochteronderneming). De toezichthouder Autoriteit Consument en Markt geeft aan dat het bij het begrip ‘eigen’ moet gaan om producten of diensten van dezelfde onderneming en kijkt hierbij naar de juridische entiteit.
er op het moment van registratie van het e-mailadres in een bijschrift is verteld dat dit gebruikt zal worden om (commerciële) e-mail te sturen
er bij het verzamelen de mogelijkheid is gegeven tot verzet / afmelding (een opt-out). De toezichthouder vindt het onvoldoende als je dit alleen vermeldt in algemene voorwaarden of een privacy statement. In de praktijk is dat meestal een vooraf aangevinkt hokje met een tekst erbij als ‘ja, ik ontvang graag de wekelijkse nieuwsbrief met updates en aanbiedingen van [organisatie]. Wie geen prijs stelt op e-mail kan het hokje leeg maken.

Als aan bovenstaande eisen niet is voldaan dan moet je dus terugvallen op een reguliere opt-in. Daarvoor is de AVG wél relevant, omdat de Telecommunicatiewet de definitie voor toestemming leent uit de Wet bescherming persoonsgegevens, en die wet wordt vervangen door de AVG.

11. Mag je adressen uit de ticketverkoop en nieuwbriefadressen gebruiken voor publieksonderzoek?

In het geval van post: ja. Post (papier) is namelijk opt-out. Dat betekent dat je zonder toestemming post mag sturen, tenzij deze persoon heeft laten weten dat hier geen prijs op gesteld wordt. Die opt-out vindt voor ongeadresseerde post plaats met de bekende nee/nee sticker. Voor geadresseerde post is er het Postfilter. Zorg ervoor dat je ook ontdubbelt met je eigen suppressielijst. Daarop staan alle mensen die hebben aangegeven niet meer door uw organisatie benaderd te willen worden.
In het geval van e-mail: dat hangt er vanaf. Een marktonderzoek mag zonder toestemming naar bestaande klanten worden gestuurd volgens de Telecommunicatiewet, maar alleen als er géén sprake is van directe koppeling tussen de verzamelde informatie en verkoop of werving. Dan is het namelijk geen direct marketing en is de bepaling (artikel 11.7 Tw) niet van toepassing. Als het onderzoek echter een commerciële boodschap bevat, valt het wél onder de bepaling is toestemming een vereiste. Denk aan een marktonderzoek waarin je een aanbieding doet, oproept tot een donatie of je organisatie promoot.