Spring naar content

1. Iemand met een klantenkaart heeft al zes jaar geen aankoop meer gedaan in onze winkels. Hoe lang mogen we die klantgegevens bewaren?

Dat is een interessante vraag. De AVG zegt namelijk niet hoe lang je gegevens je mág bewaren, maar verplicht je als organisatie na te gaan hoe lang het nódig is voor het doel waarvoor je de gegevens hebt gekregen. Die afweging mag je als organisatie dus zelf maken, als je er maar een logische, sluitende argumentatie voor hebt. Je aankoopstatistieken zouden hierbij kunnen helpen. Je kunt daar wellicht uit afleiden dat als iemand in de vier jaar na zijn vorige aankoop niets meer heeft gekocht, de kans miniem is dat deze persoon ooit nog in je winkel komt. Op basis hiervan kun je een bewaartermijn van ‘vier jaar na de laatste aankoop’ aanhouden. Het helpt om hierbij te denken vanuit de klant: hoe logisch is het voor je klant dat zijn data nog in jouw systemen staat? Een andere redenatie kan zijn: zolang er nog inwisselbare punten op de klantenkaart staan, bewaren we iemands gegevens. Welke argumentatie je ook gaat gebruiken, je bent altijd verplicht deze vast te leggen in je verwerkingenregister, zodat je deze aan de toezichthouder kunt voorleggen wanneer dat nodig is.

2. Veel van onze klantenkaarten worden in de winkel aangemaakt, waarbij de verkoper de gegevens van de klant direct in de computer invoert. Hoe zit dat met privacy?

Het recht op informatie van de klant is hierbij van belang: dat geldt namelijk ook als je offline gegevens vastlegt, zoals bij het aanmaken van een klantenkaart in de winkel. Vóórdat je iemands gegevens opslaat, moet je duidelijk maken wat je met die data gaat doen en hoe lang je de data gaat bewaren. Online maak je daarbij gebruik van een privacy statement, maar het lijkt niet echt werkbaar om dit privacy statement in de winkel voor te lezen terwijl de rij aan de kassa steeds langer wordt. Een tussenoplossing is dat de klant, direct na het aanmaken van de klantenkaart, een e-mail ontvangt met het privacy statement. Ook is het slim om altijd een aantal fysieke exemplaren van dit statement bij de kassa te hebben liggen, zodat je aan de klant kan geven om thuis nog eens rustig te bekijken. Dit mag een beknopte versie zijn met de belangrijkste punten, met een verwijzing naar een webpagina waar het volledige exemplaar te vinden is.

Naast het recht op informatie wil ik hier graag ook nog het onderwerp dataminimalisatie aanhalen. Dat is geen nieuw recht, maar wel belangrijk: net als bij de bewaartermijn moet je namelijk kunnen beargumenteren waarom je bepaalde gegevens wil opslaan bij het aanmaken van een klantenkaart. Naam en e-mailadres spreken voor zich, maar is het ook nodig om iemands geboortedatum en geslacht te weten? Zo ja, dan moet je daar een reden voor hebben, die je ook weer vastlegt in je verwerkingenregister.

3. Heb je toestemming nodig om houden het koopgedrag van klanten bij te houden, om op basis daarvan bijvoorbeeld de nieuwsbrief en de website te personaliseren?

Dat hangt er vanaf. Als eerste is het goed om te beseffen dat onder de AVG ondubbelzinnige toestemming niet de enige grondslag is om gegevens te verwerken – er zijn nog vijf andere grondslagen. De grondslag die bij deze vraag een rol speelt is het gerechtvaardigd belang, waartoe marketing ook behoort. Als je deze grondslag toepast, moet je daarbij altijd een afweging maken tussen het marketingbelang van je organisatie en de impact op de privacy van de klant. Als je vraagt naar iemands geslacht om op de website of in de nieuwsbrief voornamelijk maar mannen- of vrouwenkleding te laten zien, is de impact op privacy niet heel groot. Hetzelfde geldt voor het bijhouden van iemands aankopen. Dit wordt anders wanneer je een erg gedetailleerd profiel van een klant opbouwt, of hierbij ook gevoelige informatie over iemands financiële situatie betrekt. Dan kun je je doel voorbij schieten en wordt de impact op privacy groter dan het behartigen van je marketingbelang.

Over het algemeen geldt dat je vrij veel kunt doen zonder toestemming, als je de data niet deelt met derde partijen, de data niet opslaat buiten de EU en het profiel niet onnodig gedetailleerd maakt. Houd wel in de gaten dat je transparant bent over de verwerkingen die je doet. Bij de afweging die je maakt voor het gerechtvaardigd belang, is het namelijk belangrijk dat de verwerkingen die je doet ‘voorzienbaar’ zijn. Zorg er dus voor dat de consument vooraf op de hoogte is van wat je met hun persoonsgegevens doet.

4. Vallen tracking beacons ook onder de AVG?

Ja, de AVG doet uitspraken over het verwerken van persoonsgegevens. Een tracking beacon maakt gebruik van IP-adressen of MAC-adressen en dat zijn persoonsgegevens. Dat blijven ze ook als je deze data pseudonimiseert, versleutelt of hasht, omdat dit omkeerbare processen zijn die te herleiden zijn naar de bron. Alleen gegevens die geanonimiseerd zijn gelden niet als persoonsgegeven. Beacons hebben sowieso de aandacht van de Autoriteit Persoonsgegevens, omdat het meetgebied vaak lastig af te schermen. Een bedrijf kwam eerder al in opspraak doordat gegevens van bewoners boven de winkels en van voorbijfietsende mensen ook werden opgeslagen. Voor iedereen die gebruik maakt van beacons, is het in elk geval zaak in lijn te handelen met de AVG. Voor meer juridische achtergrond over de inzet van beacons verwijs ik je graag door naar dit stuk.

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA

Ook interessant

Lees meer
Cookies |

Call for respondents: take part in the DDMA Barometer 2022: Cookieless world

Data-driven marketing is currently undergoing an unprecedented transformation. Tech parties are taking privacy measures and stricter legislation is on the horizon. One of the most impactful developments is the disappearance…
Lees meer
DDMA |

DDMA organiseert DDMA NEXT: een nieuw congres voor beslissers

DDMA organiseert op 11 oktober 2022 in Capital C in Amsterdam een nieuw congres: DDMA NEXT. Onder de noemer ‘Shaping the future’ brengt de branchevereniging beslissers op het gebied van…
Lees meer
Influencermarketing |

Branche blij met duidelijkheid: extra regels en toezicht voor influencers met meer dan 500.000 volgers – Sector roept voorlichtingswebsite over regels in het leven   

Amsterdam, 17 mei 2022 – Influencers met meer dan 500.000 volgers vallen voortaan onder toezicht van het Commissariaat voor de Media. Zij krijgen te maken met extra reclameregels in de…