Wet & werkelijkheid

Privacy in marketing automation

Patrick Jordens – DMCC Nederland B.V.

© 20171

© 20172

Impact

Privacyparadox: Hoe meer we weten hoe minder we storen.

Wanneer we kijken naar de verdeling in leeftijd is de jonge digital native tussen de 25 en 34 relatief het minst bezorgd over zijn privacy (algemeen 6,0/ online 6,6).

Privacy is niet zwart-wit

Bron: DDMA Privacy Onderzoek 2016

24%

12%

11%

6%

7%

10%

14%

11%

6%

6%

8%

10%

10%

7%

5%

46%

52%

56%

69%

70%

Ik vertrouw de organisatie

De organisatie is transparant over hoe mijn gegevensworden gebruikt

Er is een online omgeving waarin ik zelf mijn gegevenskan inzien en wijzigen

De voordelen van het verstrekken van mijn gegevensworden vanaf het begin duidelijk gemaakt

Ik krijg een gratis product of dienst

1 2 3 Factor niet genoemd

Vertrouwen in de desbetreffende organisatie is voor een kwart de allerbelangrijkste factor om persoonlijke informatie te delen.

Bron: DDMA Privacy Onderzoek 2016

7%1%

3%

89%

0%

20%

40%

60%

80%

100%

Bedrijfsleven/ organisaties

Consumenten

Anders, namelijk

Weet niet

9 op de 10 mensen is van mening dat het bedrijfsleven het meest profiteert van de uitwisseling van persoonsgegevens.

Wanneer we kijken naar de verdeling in leeftijd is de jonge digital native tussen de 25 en 34 relatief het minst bezorgd over zijn privacy (algemeen 6,0/ online 6,6).

Bron: DDMA Privacy Onderzoek 2016

Gelijk hebben vs. Gelijk krijgen

Privacy

Begrippen en spelregels

© 20178

Wettelijk kader

„persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

“Bijzondere persoonsgegevens”:

Persoonsgegevens

“Bijzondere persoonsgegevens”:

• ras of etnische afkomst• politieke opvattingen• religieuze of levensbeschouwelijke overtuigingen• het lidmaatschap van een vakbond• genetische gegevens• biometrische gegevens met het oog op de unieke identificatie van een

persoon• gegevens over gezondheid• gegevens met betrekking tot iemands seksueel gedrag of seksuele

gerichtheid• strafrechtelijke gegevens

Persoonsgegevens

Prijshistorie huis?

AP = persoonsgegevenzegt iets over de individuele fiscale positie van een belanghebbende bij een onroerende zaak.

Rb Rotterdam = geen persoonsgegeven (!)

r.o. 4.5: “de op Miljoenhuizen.nl vermelde prijsgeschiedenis kan in beginsel niet worden aangemerkt als persoonsgegeven in de zin van de Wbp, dat geldt ook voor de overige gegevens van de woning. Dit zijn immers uitsluitend gegevens betreffende de woning, die bovendien niet zo kenmerkend zijn dat daardoor iemand kan worden geïdentificeerd. Hooguit blijkt uit de vermelding wie de makelaar of de geschatte waarde van de woning is” ??

(Rb Rotterdam 5 januari 2010, zaaknr 329762 / HA RK 09-91)

Persoonsgegevens

HOE:

1) Rechtmatige verwerking

Art. 8 AVG

a) met toestemming (= opt-in, denk aan e-mail, sms en cookiedata)

b) uitvoering overeenkomst (abonnement)

f) indien het een gerechtvaardigd ondernemersbelang dient , tenzij het belang

van de betrokkene prevaleert (=opt-out, denk aan telemarketing en direct

mail)

Direct Marketing is een gerechtvaardigd ondernemersbelang

Spelregels

2) Op eerlijke en zorgvuldige wijze

Art 12, 13 en 14 AVG

M.a.w. daadwerkelijk en volledig inlichten over omstandigheden waaronder

gegevens worden verkregen.

Een organisatie moet de betrokkene daarom informeren over

1) zijn identiteit

2)het doel van de verwerking

3) de gegevens die worden vastgelegd

4) het recht van de betrokkene op inzage, correctie en verzet

5) categorieën derden

6) verzet

Spelregels

Informatieplicht

1. Privacystatement papier en online

Informatie

Informatie

2. Op het moment van verkrijgen

Informatie

Informatie

Op het moment van verkrijgen

Informatie

En in iedere uiting het Recht van bezwaar bieden!!!

Artikel 21 AVG

[…]

2. Wanneer persoonsgegevens ten behoeve van direct marketing

worden verwerkt, heeft de betrokkene te allen tijde het recht

bezwaar te maken tegen de verwerking van hem betreffende

persoonsgegevens voor dergelijke marketing, met inbegrip van

profilering die betrekking heeft op direct marketing.

3. Wanneer de betrokkene bezwaar maakt tegen verwerking ten

behoeve van direct marketing, worden de persoonsgegevens niet

meer voor deze doeleinden verwerkt.

Recht van bezwaar

Data Management Platform (marketing automation)

© 201724

Met een DMP kun je op ieder klantcontactmoment gedrag, geografie en profiel van je klant in kaart brengen. Zo krijg je een integraal klantbeeld, gebaseerd op alle beschikbare eigen data en data van derden. Deze data is te gebruiken om je eigen doelgroepen nauwkeurig en real time te bereiken, via diverse marketingkanalen.

Real time segmentatieKoppeling online en offline databaseVerrijken van bestanden

Grondslag of doel?toestemminggerechtvaardigd belang/ privacybelang

Informeren?

MA – mag dat?

1. Doelbinding: Het koppelen van bestanden moet passen binnen de door adverteerder geformuleerde doeleinden voor verwerking van persoonsgegevens: een koppeling maken om (potentiele) leden beter te kunnen servicen met informatie. Plegen van direct marketing; derdenverstrekking, profilering, analyse

2. Toestemming: Adverteerder moet toestemming hebben voor het plaatsen van tracking cookies/ e-mailen.

3. Adverteerder heeft de persoonsgegevens in de bestaande database op legale wijze verzameld. Mensen zijn ten tijden van registratie geïnformeerd dat gegevens worden gebruikt voor marketing/ profilering.

MA-mag dat?

InzageArt 15 AVG[…] het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.

BezwaarArt 22 AVGDe betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

MA-mag dat?

Privacy in marketing automation

Issues

1. (Cookie) toestemming2. Klantrelatie3. Social media

© 201728

“„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;

Toestemming

Artikel 7 AVGVoorwaarden voor toestemming1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt op deze verordening, is dit gedeelte niet bindend.3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst;

Toestemming

Vrije toestemming?

De vrijheid om “nee” te zeggen tegen de overeenkomst

u mag mij alle reclame sturen die u wilt als ik maar gratis mag e-mailen.

ik krijg 10% korting op de vaste kosten van mijn abonnement, zolang ik

u niet meld dat ik geen reclame e-mail meer wil ontvangen.

Toestemming

Vrije toestemming?

Specifieke toestemming?

• Zorgvuldig geselecteerde partners

• Hoogwaardige adverteerders

• Derden

• Alles en iedereen

ACM“Vage beschrijvingen zoals 'u geeft toestemming voor de ontvangst van

e-mails van dit bedrijf en (geselecteerde) partners' zijn niet specifiek. Er moet duidelijk zijn waarvoor de ontvanger specifiek toestemming geeft.”

Toestemming

Op informatie berustende toestemming?

• Niet via akkoord op Algemene Voorwaarden op Privacy Statement:

ACM: Een bepaling in de algemene voorwaarden informeert de

ontvanger niet over 'waar hij toestemming voor geeft'.

Toestemming

• In de toestemmingsvraag werd via een hyperlink duidelijk gemaakt wie de “geselecteerde partners” waren aan wie de e-mailadressen werden verstrekt. Volgens ACM was een hyperlink in dit geval onvoldoende en had dit in de vraag duidelijk moeten worden gemaakt voor wie de adressen werden verzameld en welke (frequentie en inhoud) e-mail de consument kon verwachten.

• Doordat de opt-in gecombineerd was voor meerdere adverteerders en andere derden die niet bij naam werden genoemd, had de consument volgens ACM onvoldoende keuze om aan te geven van wie hij specifiek e-mail wilde ontvangen en van wie niet.

• Tot slot bevatte de lijst van derden ook andere publishers aan wie de e-mailadressen werden verstrekt. Deze publishers tonen ook weer advertenties van andere adverteerders en zo blijft de consument e-mail ontvangen van partijen die hij niet wil hebben.

Toestemming

cookietoestemming

cookietoestemming

18 (…) In the digital economy, services are often supplied against counter

performance other than money, for instance by end-users being exposed to

advertisements. For the purposes of this Regulation, consent of an end-user,

regardless of whether the latter is a natural or a legal person, should have the same

meaning and be subject to the same conditions as the data subject's consent under

Regulation (EU) 2016/679. Basic broadband internet access and voice

communications services are to be considered as essential services for individuals to

be able to communicate and participate to the benefits of the digital economy.

Consent for processing data from internet or voice communication usage will not be

valid if the data subject has no genuine and free choice, or is unable to refuse or

withdraw consent without detriment.

Einde van de cookiewall op komst?

Privacy in marketing automation

Issues1. (Cookie) toestemming

2. Klantrelatie3. Social Media

© 201741

• Een organisatie die telemarketing bedrijft op de consumentenmarkt

verplicht ontdubbelen met het wettelijk bel-me-niet register

• Bij e-mail (B2B en B2C) moet voorafgaande toestemming van de

ontvanger zijn verkregen

TENZIJ

de contactgegevens zijn verkregen in het kader van de verkoop van

een product of dienst of in het kader van schenking aan een ideële of

charitatieve organisatie en deze worden gebruikt voor het

overbrengen van communicatie (..)met betrekking tot eigen

gelijksoortige producten of diensten of schenkingen aan de ideële of

charitatieve organisatie.

Klantrelatie

• Als een opdrachtgever zonder voorafgaande toestemming e-mailt naar

klanten of klanten belt zonder te ontdubbelen, moet hij hen ten tijde van

de registratie van deze contactgegevens wel hebben verteld dat hij ze

gebruikt voor marketing en moet hij het recht van verzet hebben

geboden.

• Als een adverteerder de klantdata verrijkt heeft met e-mailadressen of telefoonnummer mag hij wettelijk niet onder de klantrelatie mailen/ bellen.

14. Op 17 augustus 2012 heeft de rapporteur een aanvullend onderzoeksrapport toegezonden aan GDL. In dit aanvullend onderzoeksrapport constateert de rapporteur dat de telefoonnummers van de abonnees die GDL het college aanvullend heeft toegezonden,24 niet alle door GDL zijn verkregen in het kader van de verkoop van een product of dienst.

Klantrelatie

Klantrelatie volgens ACM

‘Wanneer is iemand klant? Op het moment dat de contactgegevens zijn

verkregen in het kader van de verkoop van een product of dienst’ – ACM

‘Eigen’ legt ACM zo uit dat het moet gaan om producten of diensten van

dezelfde onderneming die de klantgegevens van de consument heeft

verkregen. Hierbij kijkt ACM naar de juridische entiteit.

Klantrelatie

Ongevraagde communicatie

Volgens ACM is bellen op grond van toestemming – ongevraagd en dient

ontdubbeld te worden met BMNR

‘indien een consument heeft ingestemd met het gebruik van zijn gegevens’ –

bijvoorbeeld door het invullen van een enquête of meedoen aan een prijsvraag

– er nog steeds sprake is van ongevraagde communicatie’ - ACM

Gevraagde communicatie

Gevraagde communicatie

Pas wanneer een consument ‘zelf op eigen initiatief en voor iedere

afzonderlijke communicatie verzoekt om gebeld te worden’, hoeft niet

ontdubbeld te worden met het bel-me-niet register.

58. Daarnaast kan een vakje dat de consument kan aanvinken met daarachter de tekst ‘houd mij op de hoogte van nieuws en acties van de Goede Doelen Loterijen’,61 geen gevraagde communicatie opleveren. Ook bij deze wijze van gegevensverkrijging weet de abonnee niet wat hij kan verwachten, van wie en in welke vorm (post, telefoon, sms, email, fax) en met welk doel. Van een uitdrukkelijk en ondubbelzinnig verzoek om communicatie is derhalve, ook bij het aanvinken van een dergelijke tekst, geen sprake.

Gevraagde communicatie

Maar wat wel?

Gevraagde communicatie

1. Natural or legal persons may use electronic communications services for the

purposes of sending direct marketing communications to end-users who are

natural persons that have given their consent.

2. Where a natural or legal person obtains electronic contact details for electronic

mail from its customer, in the context of the sale of a product or a service, in

accordance with Regulation (EU) 2016/679, that natural or legal person may

use these electronic contact details for direct marketing of its own similar

products or services only if customers are clearly and distinctly given the

opportunity to object, free of charge and in an easy manner, to such use. The

right to object shall be given at the time of collection and each time a message

is sent. […]

4. Notwithstanding paragraph 1, Member States may provide by law that the

placing of direct marketing voice-to-voice calls to end-users who are natural

persons shall only be allowed in respect of end-users who are natural persons

who have not expressed their objection to receiving those communications.

Niet meer koud bellen?

Privacy in marketing automation

Issues1. (Cookie) toestemming2. Klantrelatie

3. Social Media

© 201750

Social Media toestemming of gerechtvaardigd belang?

Onderscheid

Push: adverteerder is verzender

Pull: consument vraagt om communicatie

Bij push, ongevraagde electronische communicatie = toestemming

Bij pull (vriendverzoek, followen) gerechtvaardigd belang

Push of pull

• Gericht specifieke personen targeten in Facebook

• E-mailadressen, telefoonnummers of Facebook ID’s van de betreffende

doelgroep lokaal gecodeerd. Daarna geüpload en verzonden aan

Facebook.

• Wat doet/kan Facebook met de gegevens?

• Bewerker of derdenverstrekking?

Custom Audience diensten

Bewerker of derde?

AV FB

§ C. De hashgegevens die je voor het matchproces aan ons verstrekt, worden niet gedeeld met derden of andere adverteerders, en worden verwijderd zodra het proces is voltooid. Facebook bewaakt de vertrouwelijkheid en veiligheid van hashgegevensen de verzameling van Facebook-gebruikers-ID's van je aangepaste doelgroep ("je aangepaste doelgroep"), inclusief door middel van technische en fysieke beveiliging die (a) de veiligheid en integriteit van gegevens in de Facebook-systemen beschermen en (b) waken tegen onbedoelde of ongeautoriseerde toegang en het onbedoeld of ongeautoriseerd gebruiken, wijzigen of delen van gegevens in de Facebook-systemen. Daarnaast zal Facebook geen toegang tot of informatie over je aangepaste doelgroep doorgeven aan derden of andere adverteerders, deze niet gebruiken om aan onze gebruikers te koppelen, profielen te creëren op basis van interesses of op enige manier te koppelen aan je merk(behalve voor het bieden van services), tenzij we hiervoor jouw toestemming hebben of hiertoe wettelijk verplicht zijn.

Custom Audience diensten

Goede toestemming & afmeldmogelijkheid

FB AV geeft aan dat adverteerder

• Toestemming moet hebben om de gegevens te gebruiken (opt-in);

• Een afmeldmogelijkheid moet bieden voor het ontvangen van gerichte advertenties, welke je respecteert als die is benut.

Custom Audience diensten

• “FNV Horeca gebruikt het e-mailadres van haar leden tevens voor CustomAudience targeting via Facebook. FNV Horeca maakt een Custom Audience aandoor e-mailadressen van haar leden te uploaden in een advertising-tool. Dezegroep kan vervolgens worden gekoppeld aan een specifieke Facebookcampagne:alleen deze Facebook gebruikers krijgen de campagne te zien. Zie voor meerinformatie over Custom Audience targeting (…).

• Indien jij (…) geen deel uit wilt maken van een Custom Audience advertising tool,kun je dit op ieder moment aangeven via het volgende e-mailadres:communicatie@fnvhorecabond.nl.”

Custom Audience diensten

Custom Audience diensten

Custom Audience diensten

Custom Audience diensten

Rechten

© 201760

61

Verplichtingen

• Recht op vergetelheid (Art. 17)

• Recht op gegevensoverdraagbaarheid (Art. 20)

• Recht om niet onderworpen te worden aan profilering (Art. 22)

Nieuwe verplichtingen

Accountabillity

© 201762

63

Zeven verplichtingen

• Privacy by design en by default (art. 25 vo.)

• Vewerkersovereenkomst (art. 28 lid 3 vo.)

• Verwerkingenregister (documentatieplicht, art. 30 vo.)

• Beveiligingseisen en meldplicht datalekken (artikel 32-34 vo.)

• Privacy Impact Assessment (PIA) (artikel 35 en 36 vo.)

• Functionaris Gegevensbescherming (FG/DPO) (art. 37-39 vo.)

Nieuwe verplichtingen

Patrick Jordens (06-15058797)

DMCC Nederland B.V.

DMCC geeft organisaties praktische handvatten om privacy- en consumentenwetgeving in hun bedrijfsvoering te implementeren en monitoren.

64

Telefoon : 088-7779311E-mail: info@dmcc.nlWebsite: www.dmcc.nl