Mag je nog wel persoonsgegevens verwerken volgens de AVG?

De gedachte leeft dat onder de AVG ongeveer niks meer mag. Maar als je de wet nauwkeurig leest, valt het op dat de AVG ongeveer hetzelfde regelt als de Wet Bescherming Persoonsgegevens. Er is praktisch niets veranderd. Dus als je je al aan de wet hield, is dat na 25 mei nog steeds het geval. Toch?

De twee belangrijkste veranderingen zijn dat de boetes zijn verhoogd en dat verduidelijkt wordt op welke drie onafhankelijke regels je wordt geacht te kunnen aantonen dat je compliant bent. En met name die drie regels zorgen voor veel onduidelijkheid. Ze worden door elkaar gehaald, er worden onderlinge verbanden verondersteld die er niet zijn, ze worden anders geïnterpreteerd dan de wet zegt. Wat je wordt geacht aan te tonen om aan de wet te voldoen:

Regel 1 Grondslag: heb ik het recht om persoonsgegevens verwerken voor marketingdoeleinden?

Ja, dat recht heb je. Zolang je er maar een goede reden voor hebt die door de wet wordt erkend. In de wet worden dit grondslagen genoemd. Er zijn er zes (onder andere noodzakelijk voor de uitvoering van een contractuele verplichting, vitaal belang, publiekrechtelijke taak, enzovoort). Je zal meestal een beroep doen op ofwel permissie/toestemming, ofwel gerechtvaardigd belang. Merk op dat direct marketing expliciet wordt genoemd in de wet als domein waarop gerechtvaardigd belang als grondslag van toepassing is.

Permissie is dus lang niet altijd verplicht en dus ook niet altijd nodig. Permissie is wel verplicht op persoonsgegevens die via elektronische weg zijn verzameld (bijvoorbeeld cookie informatie en e-mailadressen) en dus onder de telecommunicatiewet van 2016 vallen. Maar dat is al meer dan twee jaar zo, dus daar is niks veranderd onder de AVG. Informatie zoals CRM-data, transactiehistorie, informatie ten behoeve van klantprofielen van derden kan ook worden ingezet onder de grondslag gerechtvaardigd belang.

Regel 2 Doelbinding: Voor welk doel mag ik persoonsgegevens verwerken?

Je mag persoonsgegevens verwerken voor het doel waarvoor je die gegevens verzameld hebt (doelbinding). De truc is dat je moet aantonen dat je aan de eisen van doelbinding voldoet. Dat betekent dat je in een document moet vastleggen voor welke doelen je de gegevens verwerkt. Het privacybeleid is een prima plaats daarvoor. Vervolgens moet je er ook voor zorgen dat de individuen van wie je persoonsgegevens verwerkt, hiervan op de hoogte kunnen zijn door transparante communicatie. En je moet je houden aan de doelen die je hebt vastgelegd in je privacydocument. Als je dan vragen krijgt, kun je enerzijds aantonen dat je je aan het beginsel van doelbinding houdt en anderzijds dat het individu dit had kunnen weten.

Doelbinding staat los van grondslag. Je moet aan de eisen van doelbinding voldoen ongeacht van welke grondslag je je bedient. Je moet ook transparant zijn in jouw communicatie en consumenten het recht bieden van inzage, verwijdering, vergetelheid, portabiliteit, ongeacht de grondslag die je gebruikt. Andersom is er ook geen eis over welke grondslag je moet gebruiken, gekoppeld aan enig doel. Dus het zijn allebei harde eisen maar ze hebben in beginsel geen relatie onderling.

Regel 3 Verwerking: Op welke manier mag ik persoonsgegevens verwerken?

Je mag persoonsgegevens verwerken op verschillende manieren. Je kunt persoonsgegevens in een kaartenbak in je kluis bewaren, ze op individuele basis laten oproepen door je callcentermedewerkers ter ondersteuning van telefoongesprekken, je kunt er statistische analyses mee maken of selecties. Je kunt ze ook gebruiken voor profiling. zoals het segmenteren van doelgroepen en het maken van (klant)profielen en persona’s. Al deze toepassingen zijn mogelijk en toegestaan. Wel is bij profiling een extra regel van toepassing. Immers, omdat profiling gebruik maakt van voorspellingstechnieken en veronderstelde correlaties, is het niet toegestaan om geautomatiseerd beslissingen te nemen over individuen die rechtsgevolgen hebben voor het individu. Maar keuzes over welke marketingboodschap je aan wie communiceert mogen zeker op basis van profiling worden gemaakt.

Ook hier geldt weer dat er geen relatie is tussen de eisen rond verwerking en de andere twee regels (grondslagen en/of doelbinding). Als je besluit profiling in te zetten, moet je je houden aan de profiling regels. Er is geen verband met of je de grondslag permissie gebruikt of de grondslag gerechtvaardigd belang. En de regels rond doelbinding veranderen ook niet op basis van welke verwerkingsmethode je hanteert.

Het is voor marketeers toegestaan persoonsgegevens te verwerken voor hun marketingpraktijk. Zolang je maar een in de wet vastgelegde reden of grondslag hebt. Voor data die onder de telecommunicatiewet valt is permissie verplicht, het gebruik van andere persoonsgegevens is prima te rechtvaardigen onder de grondslag “gerechtvaardigd belang”. En zolang je je aantoonbaar aan de regels van doelbinding en transparantie houdt is de AVG niet veel anders dan de WBP. Wel een aanzienlijk grotere administratieve taak maar niet een beperking van de marketingmogelijkheden.