De GDPR hoeft niet langer een introductie te krijgen. Ondertussen weet iedereen (hopelijk) wel waarvoor de GDPR staat. Jammer genoeg is er nog veel onzekerheid over wat nu de gevolgen zijn van de GDPR en wat het specifiek voor jou kan betekenen. Tijd om alvast één prangende vraag op te lossen.

Veel bedrijven zijn al jarenlang bezig met een klantenbestand op te bouwen. Niet enkel bedrijven, maar bijvoorbeeld ook VZW’s en verenigingen zitten op bakken data van leden en sympathisanten. De pool aan data is overal groot. De ene is in die pool terecht gekomen via een opt-in, de andere dan weer niet. De vraag die zich hier vooral stelt is: moet ik aan iedereen nu opnieuw toestemming gaan vragen om de gegevens verder te gebruiken? Dat brengt het risico met zich mee dat velen dit zullen negeren of weigeren en je databank op spectaculaire wijze kan inkrimpen.

Voor we een antwoord geven, moeten we weten wat toestemmen tot verwerken betekent.

Wat betekent ‘toestemming’?

De toestemming is, onder de GDPR, één van de zes rechtsgronden op basis waarvan persoonsgegevens rechtmatig verwerkt kunnen worden. Toestemming is echter ook de meest volatiele. Eenieder is immers gerechtigd om zijn of haar toestemming in te trekken wanneer ze dat willen. Daarnaast is het geen geliefde rechtsgrond, want er zijn bepaalde vereisten voor de toestemming. Ze moet ondubbelzinnig zijn, expliciet, geïnformeerd, enzovoort.

Toestemming moet volgens de GDPR ook blijken uit een verklaring of uit een duidelijke actieve handeling. De opt-out en de soft opt-in verlaten dus finaal het schouwspel. Enkel de uitdrukkelijke opt-in zal nog tot een effectieve toestemming kunnen leiden.

Toestemming is echter niet de enige rechtsgrond voor verwerking. Indien je kan steunen op één van de andere vijf rechtsgronden voor verwerking onder de GDPR, mag je ook overgaan tot verwerking. In de praktijk worden veel verwerkingen gedaan voor de uitvoering van een overeenkomst, of worden gegevens bewaard omwille van een wettelijke verplichting. Boekhoudkundige en medische gegevens kunnen hier bijvoorbeeld onder vallen. Nog een andere rechtsgrond is verwerking voor de behartiging van een gerechtvaardigd belang. Nogal vaag natuurlijk, maar dat heeft het recht wel vaker.

Dit kadert allemaal binnen het doel van de GDPR, namelijk om betrokkenen meer controle en zeggenschap te geven over gegevens die op hen betrekking hebben.

Wat doe je dan met je bestaande databank van gegevens?

Bedrijven kunnen blijven berusten op de verkregen toestemming van betrokkenen voor verwerking, wanneer deze voldoet aan de standaarden van de GDPR. Dit betekent dat wanneer de toestemming werd verkregen, bijvoorbeeld aan de hand van een vooraf aangevinkte box, deze opnieuw gevraagd zou moeten worden.

Een reactiveringscampagne kan hier alvast bij helpen. Je kan een mailing uitsturen naar alle betrokkenen in je databank en hen vragen om een nieuwe opt-in. Dat kan leiden tot een grote mate van weigering, waardoor je bijvoorbeeld van 10.000 naar 1.000 betrokkenen gaat. Je zal natuurlijk wel net diegene overhouden die echt geïnteresseerd zijn in wat je doet, kwestie van het glas half vol te houden.

Ontsnappen aan de toestemmingsvereiste?

Toestemming is echter niet altijd de belangrijkste rechtsgrond. In het kader van marketing kan je bijvoorbeeld verder steunen op het gerechtvaardigd belang; de GDPR zegt letterlijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang. Wanneer je je beroept op het gerechtvaardigd belang, moet je kunnen aantonen dat jouw belangen als onderneming bij de verwerking van de persoonsgegevens voor reclamedoeleinden zwaarder doorwegen dan het recht op privacy van de betrokkene. In het geval van direct marketing geeft de Europese wetgever je het voordeel van de twijfel, maar je moet wel nog steeds een belangenafweging maken.

de GDPR zegt letterlijk dat de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als een gerechtvaardigd belang

Enkel over de GDPR spreken, is in dit geval slechts de helft van het verhaal vertellen. Naast de GDPR is er ook de e-Privacy Regulation die onder andere cookies regelt, maar ook het gebruik van (bestaande) e-mailadressen en de toestemmingsvereisten voor e-marketing. Hou er rekening mee dat de e-Privacy Regulation nog niet van kracht is en dit gebaseerd is op de e-Privacy Directive (haar voorloper).

Eenvoudig gezegd, vereisen deze regels toestemming via opt-in voor e-marketing, tenzij deze verzameld zijn in het kader van een verkoop en het individu op dat moment de mogelijkheid had om zich te verzetten (opt-out). Als er nog geen contact is geweest, moet je natuurlijk voorzien in de gangbare opt-in.

Conclusie

Uit de huidige versie van de tekst blijkt dus dat kan worden volstaan met een mogelijkheid tot opt-out of het aanbieden van een recht van verzet om rechtmatig aan e-marketing te doen. Een toestemming is in dat geval niet verplicht. De elektronische communicatie moet dan wel een ‘gelijksoortige dienst of product’ betreffen en het moet voortvloeien uit een verkoop en dus een bestaande klant zijn.

Hou dus zeker ook de e-Privacy Regulation en de ontwikkelingen van de tekst in de gaten. Als je helemaal zeker wil zijn, werk dan gewoon consequent met een opt-in volgens de GDPR. Het mag dan wat werk impliceren, het is meteen ook de weg van de minste weerstand.

Geschreven door Jan-Willem Lust, Head of Legal bij deJuristen Gent.