Sinds de Algemene verordening gegevensbescherming (AVG) in 2018 in werking trad, hebben marketingstrategieën een significante transformatie ondergaan, met een duidelijke verschuiving naar inbound methodologieën. Het zorgen voor engagement van klanten, in plaats van het najagen van prospects is onmiddellijk de moderne standaard geworden. Ouderwetse tactieken, zoals het kopen van prospectslijsten, cold calling en het versturen van ongevraagde e-mails, zijn vervangen door een focus op het creëren van waardevolle content die gebruikers betrekt en gepersonaliseerde ervaringen.
Leadgeneratie is essentieel voor de groei van een commercieel bedrijf. Het is echter van cruciaal belang om ervoor te zorgen dat de marketingprocessen de gegevensbeschermingswetten naleven, zeker wanneer het gaat om het verwerken van persoonsgegevens van inwoners van de EU.
Hier bespreken we wat u moet weten over het naleven van de AVG en andere relevante gegevensbeschermingswetgeving. Of u nu gebruik maakt van een derde partij als een leadgeneratiebedrijf of dergelijke activiteiten inhouse onderneemt, we bespreken de belangrijkste punten waar u aan moet denken om ervoor te zorgen dat uw marketingactiviteiten voldoen aan deze wetgeving.
Het begrijpen van de AVG en de legitieme grondslagen
De Algemene verordening gegevensbescherming (AVG) biedt het wettelijke kader voor het verzamelen, verwerken en bewaren van persoonsgegevens binnen de EU.
Een belangrijk aspect van de AVG is de verplichting die bedrijven en organisaties hebben om een gepaste legitieme grondslag voor het verwerken van persoonsgegevens te kunnen geven. Dit betekent dat u, voordat u persoonsgegevens verzamelt, eerst moet definiëren en documenteren wat uw legitieme grondslag hiervoor is.
Binnen de AVG zijn er zes legitieme grondslagen:
Toestemming – wanneer een individu toestemming heeft gegeven voor het verwerken van diens persoonsgegevens
Gerechtvaardigd belang – wanneer het verwerken van de persoonsgegevens van een individu noodzakelijk is voor de gerechtvaardigde belangen van een bedrijf of organisatie, tenzij er een goede reden is om de persoonsgegevens van het individu te beschermen, wat dan belangrijker is dan die gerechtvaardigde belangen
Overeenkomst – wanneer het verwerken noodzakelijk is voor de uitvoering van een overeenkomst die een bedrijf of organisatie met een individu heeft
Wettelijke verplichting – wanneer het verwerken noodzakelijk is voor een bedrijf of organisatie om aan de wet te voldoen
Vitale belangen – wanneer het verwerken noodzakelijk is voor het beschermen van iemands leven
Taak van algemeen belang – wanneer het verwerken noodzakelijk is voor het uitvoeren van een taak van algemeen belang of voor officiële functies, en de taak of de functie heeft een duidelijke juridische basis
Na het bepalen van de legitieme grondslag, moet u deze documenteren en ervoor zorgen dat deze informatie duidelijk vermeld wordt in uw privacybeleid en privacyverklaring.
Het is belangrijk om de meest geschikte legitieme grondslag te kiezen, aangezien het moeilijk is om deze later zonder goede reden aan te passen. De grondslagen die het meest gebruikt worden voor het verwerken van persoonsgegevens voor marketing- en leadgeneratiedoeleinden zijn toestemming en gerechtvaardigd belang. Voor bepaalde soorten marketingactiviteiten is toestemming de enige geschikte legitieme grondslag om te gebruiken. Een functionaris gegevensbescherming (FG) kan een advies geven over de meest geschikte grondslagen voor uw persoonsgegevensverwerking.
ePrivacy Richtlijn
Als aanvulling op de AVG moeten bedrijven die digitale marketing- en leadgeneratie-activiteiten ondernemen ook voldoen aan de richtlijnen met betrekking tot elektronische communicatie, cookies en trackingstechnologieën.
De ePrivacy Richtlijn van de EU, vaak de ‘cookiewet’ genoemd, omvat belangrijke gebieden die te maken hebben met elektronische communicatie en privacy, waaronder toestemming voor cookies en marketingcommunicatie.
Op het moment van schrijven bevindt de Europese Raad zich in de laatste fase van het onderhandelen over de ePrivacy Verordening, die de ePrivacy Richtlijn moet vervangen. Deze nieuwe wetgeving heeft als doel om het toepassingsgebied van de Richtlijn uit te breiden zodat technologieën als instant messaging apps, Voice Over Internet Protocol (VoIP)-platforms en machine-to-machine-communicatie zoals het Internet of Things er ook in worden opgenomen.
Met betrekking tot websitecookies wil de voorgestelde ePrivacy Verordening afrekenen met ambiguïteit en het gebrek aan transparantie van het gebruik ervan. In essentie is het doel om een verandering tot stand te brengen in hoe bedrijven cookies en andere trackingtechnologieën hanteren, met een focus op gebruikerstoestemming en transparantie.
Elektronische communicatie en de privacyregels
De ePrivacy Richtlijn heeft specifieke normen die gelden voor het verwerken van de persoonsgegevens van individuen in de EU via elektronische communicatie en andere marketingtactieken.
U moet:
- Vóór het verzamelen van de persoonsgegevens van een individu toestemming verkrijgen
- Duidelijke en transparante informatie bieden over hoe de persoonsgegevens gebruikt zullen worden
- Uitsluitend de persoonsgegevens verzamelen die noodzakelijk zijn
- Toestemming verkrijgen vóór u niet-essentiële cookies op het apparaat van de gebruiker plaatst
- Een makkelijke manier aanbieden om geen toestemming te geven (‘opt-out’)
Toestemming
Toestemming is een fundamenteel aspect van de gegevensbeschermingswet. De AVG definieert toestemming als volgt:
elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt – Artikel 4(11)
In bepaalde situaties, of voor bepaalde verwerkingsactiviteiten, is toestemming de enige legitieme grondslag die gebruikt kan worden.
Toestemming wordt ook verplicht door de ePrivacy Verordening in gevallen waar cookies, trackingpixels, web beacons en andere gelijkaardige technologieën gebruikt worden voor het verzamelen van persoonsgegevens voor online advertenties en targeting.
Een voorbeeld: Hoe Bedrijf X potentiële klanten bereikt
Bedrijf X wil in contact komen met websitebezoekers die nog geen aankoop hebben gedaan. Een trackingpixel van een social media provider wordt geïntegreerd op hun website. De pixel trackt gebruikers nadat zij de website hebben verlaten, waardoor Bedrijf X gerichte advertenties voor de eigen producten kan weergeven wanneer de gebruiker andere websites bezoekt.
Deze strategie valt onder ePrivacy en vereist toestemming. De ePrivacy gebruikt de definitie van toestemming zoals deze in de AVG staat (zie hierboven).
Het verkrijgen van toestemming
Onder de AVG moeten organisaties expliciete toestemming verkrijgen van klanten voordat ze persoonsgegevens verzamelen. Leadgeneratietactieken zoals al aangevinkte hokjes, geïmpliceerde toestemming of het samenvoegen van het geven van toestemming met andere acties zijn niet meer toegestaan.
Hier vindt u een overzicht van de factoren die vereist zijn voor het verkrijgen van toestemming onder de AVG:
In vrijheid gegeven: Toestemming moet vrijwillig gegeven worden, zonder dwang of manipulatie. Het moet een oprechte keuze zijn voor het individu, en niet een geforceerde.
Specifiek: Toestemming moet verbonden zijn met de specifieke doeleinde. Individuen moeten geïnformeerd worden waarvoor hun persoonsgegevens worden gebruikt en hun toestemming is beperkt tot dat specifieke gebruik. Wanneer de verwerking meerdere doeleinden heeft, moet voor elk doeleinde toestemming worden verkregen.
Geïnformeerd: Individuen moeten informatie krijgen over het verwerken van hun persoonsgegevens voordat zij toestemming geven. Hiertoe behoort weten welke gegevens verzameld worden, wie er verzamelt, waarom, hoelang de gegevens worden bewaard en alle andere relevante informatie.
Ondubbelzinnig: De toestemming moet duidelijk en makkelijk te begrijpen zijn.
Actieve handeling: Toestemming moet gegeven worden door een bevestigende actie, zoals geschreven, elektronische of mondelinge verklaringen. Bijvoorbeeld het aanvinken van een hokje op een website of een geschreven toestemmingsformulier. Vooraf aangevinkte hokjes of inactiviteit zijn géén toestemming.
Kan ingetrokken worden: Individuen die van gedachten veranderen hebben het recht om hun toestemming op enig moment in te trekken. Het intrekproces moet net zo makkelijk zijn als het geven van de toestemming.
Het verzamelen, bewijzen en beheren van toestemming
In lijn met het verantwoordingsprincipe van de AVG, dat stelt dat organisaties verantwoording moeten afleggen voor wat ze doen met de persoonsgegevens, is het vereist dat het proces van het verkrijgen van toestemming bewezen wordt.
Dit betekent dat, in aanvulling op het verkrijgen van de toestemming van een individu om diens gegevens te verwerken, u hiervan ook documentatie dient bij te houden om het proces te kunnen bewijzen.
Laten we eens kijken naar de kritische aspecten van toestemmingsbeheer en de gegevens die u dient vast te leggen:
Wie heeft er toestemming gegeven: De naam van het individu, of een ander identificatiemiddel (bijvoorbeeld een online gebruikersnaam of een sessie-ID).
Wanneer er toestemming is gegeven: Een gedateerd document of online dossier met een tijdsvermelding. Voor mondelinge toestemming is een notitie met de tijd en datum van het gesprek vereist.
Wat er op dat moment aan de persoon verteld is: Een kopie van het document of een gegevensvastleggingsformulier met de toestemmingsverklaring en een kopie van de privacyverklaring of andere privacy-informatie, inclusief versienummers en een datum die overeenkomt met de datum waarop de toestemming gegeven is. Voor mondelinge toestemming dienen uw dossiers een kopie te bevatten van het script dat op dat moment gebruikt is.
Hoe er toestemming is gegeven: Een kopie van het relevante document of gegevensvastleggingsformulier. Voor online toestemming dienen uw dossiers de ingediende gegevens te bevatten en een tijdsvermelding om het te kunnen koppelen aan het relevante gegevensvastleggingsformulier. Voor mondelinge toestemming hoeft niet het gehele gesprek vastgelegd te worden, maar enkel een notitie van het tijdstip waarop het gesprek heeft plaatsgevonden.
Of de toestemming is ingetrokken: Indien dit het geval is, wanneer.
Beoordeel en werk het toestemmingsproces bij als er iets verandert. Het wordt aanbevolen om het toestemmingsproces elke twee jaar bij te werken.
Hoe zit het met gerechtvaardigde belangen?
De AVG stelt dat het verwerken van persoonsgegevens voor directe marketingdoeleinden beschouwd kan worden als een geldige reden of een gerechtvaardigd belang (AVG overweging 47). Echter, aangezien marketing over het algemeen in het belang is van het bedrijf, moet de geldigheid van het gebruik van gerechtvaardigde belangen als grondslag voor het verwerken van gegevens zorgvuldig overwogen worden, met aandacht voor enige mogelijke gevolgen voor het individu.
Een LIA (Legitimate Interests Assessment, beoordeling van de gerechtvaardigde belangen) is een nuttige tool die gebruikt kan worden voor het identificeren en overwegen van deze grondslag als een mogelijke rechtvaardiging voor het verwerken van persoonsgegevens onder de AVG.
Een LIA bestaat uit de volgende drie toetsingen:
- De doeleindetoetsing (identificeren van het gerechtvaardigd belang)
- De noodzakelijkheidstoetsing (overwegen of de verwerking noodzakelijk is)
- De afwegingstoetsing (aandacht voor de belangen van het individu)
Het gebruiken van gerechtvaardigde belangen als grondslag is enkel toelaatbaar als het geen groot negatief effect heeft op de fundamentele rechten en vrijheden van het individu, aangezien die altijd het belangrijkst zijn. Dit betekent dat de focus bij het gebruik van gerechtvaardigde belangen als grondslag niet moet liggen op het voorkomen van elke negatieve consequentie of resultaat, maar op ervoor zorgen dat potentiële negatieve gevolgen niet excessief zijn of buiten proportie in verhouding tot de beoogde voordelen of doeleinden. Het gaat om het behoud van een goed evenwicht.
Een voorbeeld: Hoe Bedrijf X gepersonaliseerde advertenties levert
Toen Persoon A een jaar geleden klant werd van Bedrijf X, heeft deze persoon zijn e-mailadres opgegeven voor communicatiedoeleinden. Tijdens de eerste communicatie heeft Bedrijf X Persoon A op de hoogte gesteld van twee belangrijke punten: namelijk dat (i) het e-mailadres gebruikt zou worden voor advertenties voor gelijkaardige Bedrijf X-producten op social media, en dat (ii) de persoon op elk moment het recht heeft om hier bezwaar tegen te maken.
Bedrijf X heeft vervolgens het e-mailadres van Persoon A toegevoegd aan de klantendatabase en deze gedeeld met een social media provider. Deze samenwerking stelde Bedrijf X in staat om zijn lijst met klante-mailadressen af te stemmen met de adressen in het bezit van de social media provider. Als resultaat daarvan kreeg Bedrijf X de mogelijkheid om gelijkaardige producten heel precies aan Persoon A te laten zien via diens social media feed.
Deze strategie valt onder de AVG en kan terugvallen op de grondslag van gerechtvaardigde belangen.
Het gebruik van leadgeneratiebedrijven
Leadgeneratiebedrijven gebruiken verschillende marketingstrategieën om gekwalificeerde leads te leveren die potentieel omgezet kunnen worden in klanten.
Het is echter van belang om op te merken dat uw gegevensverwerkingsverantwoordelijkheden nog steeds bestaan en dat daar aan voldaan moet worden, ongeacht het gebruik van een service van een derde partij.
De AVG maakt onderscheid tussen organisaties enerzijds en derden anderzijds door het gebruik van de termen ‘gegevensverantwoordelijke’ en ‘gegevensverwerker’.
Gegevensverantwoordelijke: Dit is een persoon of organisatie die bepaalt hoe en waarom persoonsgegevens worden verzameld en gebruikt. Verantwoordelijken hebben de algehele controle over de gegevens en daarom het hoogste niveau van nalevingsverantwoordelijkheid.
Gegevensverwerker: Dit is een persoon of organisatie die de persoonsgegevens verwerkt namens de verantwoordelijke. Verwerkers zijn verantwoordelijk om ervoor te zorgen dat de gegevensverwerking in lijn is met de instructies van de verantwoordelijke, in aanvulling op de andere wettelijke verplichtingen, waaronder het op de hoogte stellen van de verantwoordelijke in het geval van een datalek.
Voldoet uw externe leadgeneratie aan de AVG?
Als verantwoordelijke is het belangrijk om een due diligence-onderzoek uit te voeren op elke derde partij van wiens diensten u overweegt gebruik te maken. U dient zich ervan te verzekeren dat de derde partij de AVG en andere relevante gegevensbeschermingswetgeving naleeft, zoals de ePrivacy Verordening, zoals hierboven uiteengezet.
Het is van essentieel belang dat het bedrijf waaraan u de leadgeneratie uitbesteedt beschikt over voldoende technische en organisatorische maatregelen om de persoonsgegevens te beschermen die zij namens u verwerken.
Voor meer informatie over het uitvoeren van een due diligence-onderzoek op uw gegevensverwerkers, leest u hier: vendor due diligence and GDPR compliance with 5 practical steps
Samenvatting
Leadgeneratie is een belangrijk aspect van bedrijfsgroei, maar moet uitgevoerd worden in lijn met de relevante gegevensbeschermingswetgeving. Voor de persoonsgegevens van inwoners van de EU zijn dit onder meer de EU AVG en de ePrivacy Verordening.
Voordat u een leadgeneratiestrategie opstelt, is het van essentieel belang dat de juiste maatregelen genomen zijn, waaronder het bepalen van de meest geschikte grondslagen en garanderen dat de verplichtingen en verantwoordelijkheden die u heeft als gegevensverantwoordelijke begrepen en geïmplementeerd worden.
Door de relevante regelgeving te begrijpen en na te leven, kunnen organisaties toekomstige non-complianceproblemen voorkomen, en daarnaast het vertrouwen, de zekerheid en de betrokkenheid van klanten versterken.
Het hebben van zekere klanten leidt tot een verhoogde loyaliteit, wat zich weer vertaalt naar het worden van een succesvol en duurzaam bedrijf.
Ga naar The DPO Centre om te ontdekken hoe een externe gegevensbeschermingsdienst u kan ondersteunen bij het maximaliseren van de marketing-ROI terwijl u voldoet aan alle EU- gegevensbeschermingswetgeving.
U kunt ook contact opnemen door het formulier hieronder in te vullen.
Volg The DPO Centre op LinkedIn voor meer inzichten en nieuws over gegevensbescherming
