Iedereen een privacy verklaring

Vrijwel niemand met een e-mailadres bleef bespaard, iedereen kreeg een privacy statement toegestuurd van.. bijna iedereen. Terecht of onterecht? De misverstanden op een rijtje...

Dat de AVG ook misverstanden oplevert, bewijst het feit dat iedere organisatie ineens een privacy verklaring de deur uit doet, al dan niet ter goedkeuring. Wellicht heeft ook jouw werkgever of bedrijf reeds een privacy verklaring verstuurd, wellicht is in je eigen mailbox het enige dat je nog ziet, privacy updates.

De privacy statement misverstanden

Er heerst dus nog wel eens een misverstand rondom goedkeuring c.q. toestemming op privacy statements. Hoe het wèl zit:

Op een privacy statement zelf, hoeft geen goedkeuring te worden gegeven

Een privacy statement is in de regel een eenzijdig document, waardoor er geen goedkeuring benodigd is. In de regel, want er kunnen (al dan niet onterecht) bepalingen in opgenomen worden, welke niet thuis horen in een privacy statement.
Voor opvolgende verwerking van persoonsgegevens is uiteraard wel goedkeuring benodigd.

Of sterker, is een grondslag nodig om persoonsgegevens te mogen verwerken. Daarom is het handig om op de pagina waar je contactformulier, nieuwsbrief inschrijfformulier, bestelformulier, sollicitatieformulier of registratieformulier zich bevindt, ook te verwijzen naar de privacy statement. Een privacy statement is dus ter kennisgeving. Refereer hier vanuit het formulier desnoods nog eens naar. Zo kan men vooraf kennis nemen van wat er met de ingevoerde gegevens gaat gebeuren.

Cookies als onderdeel van privacy statement

Zonder grondslag kan er niet worden overgegaan op verwerking van persoonsgegevens. Voor adresgegevens in een bestelformulier, betreft het dus uitvoering van een overeenkomst (levering van goederen). Zonder goedkeuring, mag om die reden bijvoorbeeld geen ip-adressen worden verwerkt voor analytische doeleinden (tip: anonimiseer ip-adressen voor stukje AVG compliance).

Voor het plaatsen van tracking cookies (als dus ook niet-geanonimiseerde analytische cookies) is conform Telecommunicatiewet en binnenkort ePrivacy wetgeving, wèl toestemming benodigd. Deze toestemming hoeft logischerwijs pas gevraagd te worden op het moment dat men de website bezoekt en kan lastig via mail verkregen worden.

Goedkeuring op algemene voorwaarden

In het geval van een bestelformulier of registratieformulier, gaat er wellicht een dienst geleverd worden. Denk aan bezorging van een product of een SaaS / cloud oplossing. Hier tegenover staan veelal algemene voorwaarden. Daar zal een akkoord op moeten komen, maar de algemene voorwaarden zegt normaliter iets over de te leveren dienst of product, niet hoe er wordt omgegaan met de persoonsgegevens die je hebt achtergelaten voor de dienst.

Desondanks mogen gegevens niet langer bewaard blijven dan nodig

Bijvoorbeeld, heeft een accounthouder 3 jaar niet ingelogd? Overweeg dan om persoonsgegevens gerelateerd aan dat account, te verwijderen of te anonimiseren conform AVG
Is een sollicitant niet in dienst getreden? Ook hier is verwijderen wellicht niet altijd een optie, doordat je nog rapportages en analyses wilt kunnen maken op verworven sollicitatie data. Anonimiseer in dat geval de data na ongeveer 4 of desnoods 6 week, in plaats van ze te verwijderen.

Goedkeuring voor mailing niet altijd nodig

Soms kan er gewoonweg gemaild worden naar betrokkenen. Bijvoorbeeld:

  • Iemand heeft iets besteld. Dan mag er in het kader van de dienstverlening gemailed worden, bijvoorbeeld omdat een besteld product geleverd is of omdat een geleverd product een fabricagefout bevat. Logischerwijs mag iemand niet zonder toestemming ook op een andere al dan niet commerciële mailinglijst belanden;
  • Iemand heeft zich juist ingeschreven voor de nieuwsbrief (betreft dus toestemming), dan kun je gewoonweg nieuwsbrieven blijven versturen;
  • Je hebt met een uitzendbureau of bedrijf gecommuniceerd over een openstaande vacature. Zij mogen je terug mailen, maar het is niet de bedoeling dat je stilzwijgend op hun mailinglijst of updates met vacatures terecht komt;
  • Je hebt een dienst afgenomen, bijvoorbeeld een Cloud of SaaS oplossing. In dat geval mag een organisatie geautomatiseerde updates over de dienst versturen, bijvoorbeeld in geval van onderhoud, of account gerelateerde zaken (nieuwe mogelijkheden binnen je account).

Waarom ontvang je dan toch (zo veel) privacy verklaringen?

Het feit dat een ieder zijn of haar mailbox toch volloopt met updates van privacy verklaringen, kan meerdere oorzaken hebben. De AVG deadline van 25 mei, liet menig organisatie nog eens goed stil staan bij onder meer ook de Telecommunicatiewet. Maar in de afweging die men heeft gemaakt of route die men voorheen met jouw persoonsgegevens heeft gekozen, is nog wel eens iets fout gegaan. Op een rijtje:

Je bent op een nieuwsbrief beland

Zonder goedkeuring is je e-mailadres wellicht naar aanleiding van een eventueel contactmoment over een bestelling, sollicitatie of andere dienst op een nieuwsbrief beland. Veel bedrijven hebben zich hier in de afgelopen jaren schuldig aan gemaakt en proberen dat nu middels een e-mail bericht (met al dan niet een meegestuurde privacy verklaring) te corrigeren.

Beloning voor goedkeuring
In dat geval, zou je bij wet niets hoeven doen. De betreffende organisatie zat onder de Telecommunicatie wet reeds fout, en dus zou jouw e-mailadres reeds verwijderd moeten hebben. Sommige bedrijven geven aan dat je bij geen tegenbericht van jouw kant, gewoon in hun nieuwsbrief/mailing lijst blijft staan. Wederom incorrecte gang van zaken.
Sommige bedrijven proberen met lokkertjes, je goedkeuring te krijgen. Denk aan een gegarandeerde geldelijke tegemoetkoming bij goedkeuring. Op zijn minst dubieus of onethisch te noemen.

Toestemming is onzeker

Soms is je e-mailadres wellicht met toestemming op een nieuwsbrief lijst terecht gekomen. Veelal is een nieuwsbrief-mailinglijst een verzameling van verschillende lijsten waarvan de maker de oorzaak of toestemming niet altijd meer kan achterhalen. En juist dit laatste, toestemming, is benodigd om iemand een mailing te kunnen sturen.

Het gevolg van deze onzekerheid is dat deze specifieke personen een bericht krijgen voor uitdrukkelijke toestemming. Soms krijgt gewoonweg iedereen een mailbericht, doordat het technisch wellicht niet mogelijk is specifieke personen te berichten, of omdat de toestemming voorheen niet uitdrukkelijk werd opgeslagen.

Als één schaap over de dam is...

Niet elk bedrijf heeft de middelen om een jurist in te schakelen en/of regelgeving te doorpluizen. Tegelijkertijd zien ze andere bedrijven updates omtrent privacy verklaring en toestemming de deur uit doen. Ze gaan twijfelen en besluiten hetzelfde te gaan doen, terwijl dat bij wet niet nodig was.

Namedropping en reputatiemanagement

Een andere beweegreden om de gehele e-mailbestand te gebruiken om een mailbericht te versturen, is om te zorgen dat ook de merknaam of bedrijfsnaam van hen weer eens in je mailbox belandt. Of bijvoorbeeld om eventuele eerdere negatieve berichtgeving over de AVG compliance van de betreffende organisatie enigszins de kop in te drukken. Tussen al dan niet hun concurrenten in die ook in je mailbox te vinden zijn, komen op zijn minst ook zij bovendien voorbij in je inbox.

Verplichting versus onzin
Hierbij laten ze de gelegenheid niet onbenut om aan te geven dat ze met je privacy begaan zijn en dit in begrijpelijke taal duidelijk willen maken. Onzin natuurlijk, want beide is bij wet gewoonweg verplicht.

Andere reden tegengekomen waarom je een privacy statement ontvangen hebt? Wij horen het graag en vullen de lijst graag aan.

Meer AVG feitjes en weetjes