Spring naar content

Transparantie is niet optioneel

Een van de zwaarst meewegende kritiekpunten van de CNIL: Solocal informeerde betrokkenen onvoldoende. De gebruikte informatie kwam uit openbare bronnen (zoals bedrijfsgidsen), maar mensen wisten niet dat hun gegevens daarna werden doorverkocht of gebruikt voor direct marketing. Volgens artikel 14 van de AVG geldt ook wanneer gegevens niet rechtstreeks bij de betrokkene zijn verkregen een informatieplicht: moet men actief geïnformeerd worden over de bron, het doel en de grondslag van de verwerking. Solocal liet dat na. De informatie die zij met hun privacyverklaring wel hadden gepubliceerd was niet vindbaar genoeg en ging niet in op de specifieke verwerkingen. Het beroep op de disproportionaliteitsexceptie, dat een uitzondering op de informatieplicht toestaat als dit onevenredige inspanning vergt, slaagde niet.

Geen rechtsgeldige grondslag voor verwerking

De Franse toezichthouder oordeelde daarnaast dat Solocal zich ten onrechte beriep op een ‘gerechtvaardigd belang’ voor het uitvoeren van profilering. Een gerechtvaardigd belang kan alleen een grondslag zijn als aan drie cumulatieve eisen wordt voldaan; het belang moet legitiem zijn; de verwerking moet noodzakelijk zijn; en er moet een zorgvuldige belangenafweging zijn gedaan. Solocal slaagde daar niet in. De profilering ging verder dan redelijkerwijs te verwachten viel, en de belangen van betrokkenen werden onvoldoende beschermd.

Profilering: wat is wel toegestaan?

De boete van de CNIL roept de vraag op: wat mag dan wel? Profilering voor direct marketing is niet verboden, maar vraagt om zorgvuldigheid. Transparantie, een passende grondslag, en de mogelijkheid tot bezwaar zijn daarbij essentieel. Met name als er gebruik wordt gemaakt van verrijkte of samengestelde datasets. Marketeers die met externe dataleveranciers werken, doen er goed aan te controleren of deze partijen voldoen aan hun informatieplichten en verwerkingsgronden goed onderbouwen.

Wat zijn de risico’s voor marketeers?

De boete aan Solocal is een waarschuwing aan de hele sector. Organisaties die data inkopen of huren, moeten kritisch zijn. Organisaties blijven zelf verantwoordelijk voor het rechtmatig gebruik van ingekochte data. Een beroep op ‘het was geleverd door een derde’ houdt juridisch geen stand. Betrokkenen kunnen altijd gebruik maken van hun rechten of zelfs schadevergoeding eisen via collectieve procedures. Daarnaast is er altijd een reputatierisico. Publiciteit rond een boete raakt niet alleen de databroker zelf, maar ook de partijen die met hun data werken.

De Solocal-zaak maakt duidelijk dat datakwaliteit gaat over herkomst, transparantie en juridische onderbouwing. Wie aan databrokers denkt, denkt vaak aan grote Amerikaanse partijen – maar ook in Europa worden deze praktijken steeds scherper gereguleerd. Nu toezichthouders zoals de CNIL, GBA en AP actiever handhaven, is het goed om kritisch te kijken naar de bronnen van je data.

Wil je weten of jouw organisatie compliant omgaat met profilering en dataverwerking voor marketingdoeleinden? Neem contact op met het legal team van DDMA.

Sara Mosch

Legal counsel

Ook interessant

Lees meer
E-mail |

Herziene Code E-mail goedgekeurd door Stichting Reclamecode

De herziene Code E-mail is officieel goedgekeurd door de Stichting Reclamecode (SRC). Dat betekent dat de veranderingen in de Code vanaf 15 augustus 2025 voor alle organisaties in Nederland gelden.
Lees meer
AI Act |

Digital Humans in Marketing: Wettelijke kaders voor inzet vóór en achter de schermen

Digital humans en twins, virtuele influencers – we zien ze steeds vaker. Digitale representaties van klanten, doelgroepen en experts zijn al langer onderdeel van marketingstrategieën, maar dankzij de geavanceerde capaciteiten…
Lees meer
AI Act |

AI & Contentcreatie: Transparantie en Aansprakelijkheid bij Online Reclame op Sociale Media

“Deze video is gegenereerd met hulp van AI” – is dit verplicht om te vermelden bij (influencer)content op TikTok of Instagram? Creators en marketeers experimenteren steeds vaker met AI-tools: van…