Aanbeveling GBA betreffende de verwerking van persoonsgegevens voor direct marketingdoeleinden

Geschreven door Lexalert
Foto: Blogtrepreneur  

De Gegevensbeschermingsautoriteit publiceerde op 10 februari 2020 een aanbeveling betreffende de verwerking van persoonsgegevens voor direct marketingdoeleinden. Hieronder treft u de inhoud. 

INLEIDING
 
             Voorwoord
 
1.   Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna "AVG") trad op 25 mei 2018 in werking. Zij trekt de Richtlijn van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna "Richtlijn 95/46/EG") in en bevestigt en consolideert de verordening de regels zoals die door het Hof van Justitie van de Europese Unie en door de Werkgroep Artikel 29 werden toegepast door middel van officiële standpunten en richtlijnen. Door over te stappen van een richtlijn naar een verordening heeft de Europese wetgever de bescherming van persoonsgegevens, die in artikel 8 van het Handvest van de grondrechten van de Europese Unie als grondrecht is vastgelegd, rechtstreeks en op uniforme wijze in de lidstaten toepasbaar willen maken.
 
2.   Een van de belangrijkste doelstellingen van de AVG is het versterken van de rechten van de betrokkenen.
 
De AVG kent met name de toezichthoudende autoriteiten belangrijke bevoegdheden toe, zodat ze ook sancties kunnen opleggen in geval van niet-naleving van de erin vastgelegde regels. Uit de Eurobarometer van mei 2019 over de AVG blijkt dat de kennis van de betrokkenen over de toepasselijke gegevensbeschermingsregels en over hun rechten duidelijk toeneemt. Zo oefenen ze meer dan vroeger hun rechten uit. Dit is onder meer het geval voor het intrekken van hun toestemming of het zich verzetten tegen de verwerking van hun gegevens voor commerciële boodschappen.
 
3.   Het is in het licht van deze versterkte rechten dat tal van consumenten- en burgerrechtenorganisaties het erover eens zijn dat de AVG sterk bijdraagt aan een rechtvaardige digitale samenleving, gebaseerd op het wederzijdse vertrouwen tussen betrokken personen en actoren die een rol spelen bij de verwerking van hun gegevens.
 
4.   Om deze doelstelling te garanderen, legt de AVG de nadruk op het responsabiliseren van de verschillende actoren die persoonsgegevens verwerken ongeacht, of het nu particulieren, beroepsbeoefenaars, een rechtspersoon of overheid betreft, en dit in elke fase van de verwerking, zowel op nationaal, Europees als internationaal niveau.
 
5.   Bijgevolg is de rol van de toezichthoudende autoriteiten niet beperkt tot het achteraf optreden tegen deze laatsten wanneer zij de regels van de AVG overtreden. Gelet de aanzienlijke sancties waaraan met blootstaat en het feit dat persoonsgegevens onontbeerlijk zijn geworden bij de uitoefening van de meeste sociaaleconomische activiteiten, is de ondersteuning van de verwerkingsverantwoordelijken door de gegevensbeschermingsautoriteiten een van hun voornaamste bevoegdheden.
 
Direct marketing is een van de sectoren die in het  strategisch plan van de Gegevensbeschermingsautoriteit (hierna "GBA" of “Autoriteit") als een prioriteit worden aangemerkt in de verschillende acties die zij voornemens is te ondernemen. Een van deze acties bestaat erin om door deze aanbeveling een interpretatie te geven van de regels die van toepassing zijn op de verwerking van persoonsgegevens voor direct marketingdoeleinden en wordt een kader van goede praktijken te bieden. Om te zorgen voor een geharmoniseerde aanpak van deze interpretatie en deze goede praktijken, steunt de GBA zich met name op alle relevante richtsnoeren die door de Europese Toezichthouder voor gegevensbescherming (hierna "EDPB") zijn vastgesteld.
 
De EDPB heeft echter geen algemene richtsnoeren voor direct marketing als zodanig vastgesteld. Indien dit het geval mocht zijn, en rekening houdend met een eventueel toekomstig Europees standpunt dat verband houdt met deze aanbeveling, zal de GBA hiermee rekening houden en de inhoud van deze aanbeveling zo nodig aanpassen.
 
Context en toepassingsgebied van de Aanbeveling
 
6.   Heel wat actoren maken dagelijks gebruik van direct marketingboodschappen die gericht zijn aan miljoenen betrokken. Dergelijke boodschappen brengen de verwerking van persoonsgegevens met zich mee. De regelmaat, de complexiteit en de verveelvoudiging van deze gegevensverwerking evenals van de operatoren die erin actief zijn, vormt een voedingsbodem voor het herhalen van bepaalde praktijken die soms in strijd blijken te zijn met de regels van de AVG.  Aan het marketing-adagium "de juiste boodschap richten aan de juiste persoon op het juiste moment”, dient u nog toe te voegen op de juiste manier”, want de AVG maakt voortaan integraal deel uit van uw marketingcampagnes.
 
7.   Hoewel het in de context van direct marketing voor bepaalde verwerkingsverantwoordelijken een kader van bindende regels kan lijken, is de AVG ook een onmisbare en nuttige bondgenoot in uw relatie met de betrokkenen, of het nu gaat om klanten, mogelijke gegadigden, leden, abonnees of kiezers. Het is door op een transparante manier met hen te communiceren over hoe u persoonsgegevens verwerkt en door aan te tonen dat u gepaste maatregelen treft om ervoor te zorgen dat de verwerking in overeenstemming is met de regelgeving, dat u een vertrouwensrelatie tot stand kan brengen die nodig is om uw doelstellingen te verwezenlijken en te behouden. De AVG is bijgevolg ook een -opportuniteit en een concurrentieel argument van de eerste orde.
 
8.   Om de vragen in dit verband zo goed mogelijk te beantwoorden, heeft de GBA op 12 juli 2019 een publieke consultatie gehouden voor verwerkingsverantwoordelijken die actief zijn op het gebied van direct marketing, om te peilen naar de moeilijkheden die zij sinds de inwerkingtreding van de AVG hebben ondervonden.
 
9.   Daaruit is voornamelijk gebleken dat Aanbeveling nr. 02/2013 van 30 januari 2013 betreffende direct marketing en gegevensbescherming geen antwoord biedt op alle vragen die rezen naar aanleiding van de goedkeuring van de AVG en/of de verfijning van direct marketingtechnieken, en die voornamelijk betrekking hebben op de mogelijkheid om een rechtsgrond te vinden om de beoogde verwerking van persoonsgegevens te legitimeren, op de uitoefening van de rechten van de betrokkenen of op de draagwijdte van de term direct marketing zelf, die niet door de AVG wordt gedefinieerd.
 
Het doel van deze aanbeveling is de verwerkingsverantwoordelijken die gebruik maken van (of deelnemen aan) direct marketingtechnieken te helpen de juiste reflexen te ontwikkelen zodat ze overeenkomstig de toepasselijke regels van de AVG kunnen handelen. Daarom onderzoekt deze aanbeveling de veelgestelde vragen met betrekking tot de bescherming van persoonsgegevens in het kader van direct marketing.
 
De aanbeveling houdt in voorkomend geval ook rekening met het grote aantal actoren dat met de verwerkingsverantwoordelijken kan interageren, maar is vooral gericht tot de verwerkingsverantwoordelijken.
 
De aanbeveling beperkt zich niet tot de communicaties in het kader van direct marketing, maar onderzoekt ook alle verwerkingen van persoonsgegevens die voor dit doel worden uitgevoerd en de regels die daarop van toepassing zijn.
 
De regels, concepten en beginselen zijn opgesteld op basis van de AVG en houden geen rekening met andere toepasselijke wetgevingen. De aanbeveling is echter ook niet bedoeld als een uitputtende studie van de AVG. Dit betekent niet dat de verwerkingsverantwoordelijken die gegevens voor direct marketingdoeleinden verwerken vrijgesteld zijn van de naleving van alle regels die op hen van toepassing zijn, inclusief de regels van de AVG, en die in deze aanbeveling niet worden besproken, zoals de naleving van alle rechten die aan de betrokkenen zijn toegekend op grond van de artikelen 12 tot en met 22 van de AVG of met betrekking tot internationale overdrachten, zoals geregeld in hoofdstuk V van de AVG.
 
In de aanbeveling wordt ook verwezen naar bepaalde sancties die de Gegevensbeschermingsautoriteiten in dit verband hebben vastgesteld. Tegen sommige van deze beslissingen kan echter op het moment van goedkeuring van deze aanbeveling beroep worden aangetekend of andere rechtsmiddelen worden aangewend. Deze besluiten kunnen daarom zo nodig worden herzien.
 
Juridisch kader
 
10. In de context van het thema direct marketing kunnen verschillende wetteksten van toepassing zijn. Deze aanbeveling spitst zich op vragen betreffende de verwerking van persoonsgegevens in direct marketing in het licht van de AVG. Er zal dus enkel verwezen worden naar de regels van de AVG.
 
11. De analyse van de regels van de AVG is in voorkomend geval gebaseerd op de standpunten van het Europees Comité voor gegevensbescherming (hierna “EDPB”) en van de standpunten van zijn voorganger, de Werkgroep Artikel 29 (hierna “Groep 29”). Sommige van de richtlijnen van deze laatste werden door de EDPB herzien en geactualiseerd, terwijl andere als zodanig werden aangenomen. Andere worden momenteel herzien, maar zijn op de dag dat deze Aanbeveling aangenomen wordt, nog steeds van toepassing. Indien nodig zullen wijzigingen in deze aanbeveling eventueel aangebracht worden. De EDPB dient ook standpunten in te nemen over vragen of thema’s die nog niet het voorwerp van eerdere standpuntbepalingen uitmaakten. Dit geldt met name voor het standpunt dat wordt verwacht m.b.t targeting van de sociale netwerkgebruikers. De standpunten van de GBA doen niets af van toekomstige standpunten van de EDPB, wat mogelijks bepaalde aanpassingen aan deze Aanbeveling impliceert (De GBA maakt deel uit van en is gebonden aan de standpunten van de EDPB). Hou er dus rekening mee dat er verschillende achtereenvolgende versies op de website van de GBA kunnen verschijnen.
 
12. Indien nodig en voor zover ze duidelijkheid verschaft over deze kwesties, zal Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (hierna “e-Privacy Richtlijn”) aan bod komen. In dit verband is het belangrijk om in gedachten te houden dat deze Richtlijn momenteel wordt herzien. Aangezien de Verordening die deze laatste moet vervangen, op de datum van publicatie van deze Aanbeveling nog steeds in behandeling is, wordt er verwezen naar de thans geldende artikelen en wordt er geen standpunt ingenomen over mogelijke interacties tussen de toekomstige Verordening en de AVG. Indien nodig zal de huidige Aanbeveling na de inwerkingtreding van de genoemde Verordening aangevuld worden. Voor meer informatie over de interacties tussen de AVG en de e-Privacy, verwijst de Autoriteit de lezer naar het Advies 5/2019over dit onderwerp van de EDPB dat op 12 maart 2019 werd aangenomen.
 
Direct marketing : waar hebben we het over ?
 
Direct marketing, dat is :
 
1.          Definitie
 
13. De GBA gebruikt het begrip "direct marketing", aangezien de term "prospectie", die in overweging 47 of in artikel 21.2 van de AVG onder de term "prospectie" wordt genoemd, in het algemeen alleen betrekking heeft op het zoeken naar nieuwe klanten, waarbij een onderscheid wordt gemaakt tussen potentiële en bestaande klanten. De regels van de AVG die van toepassing zijn op direct marketing zijn echter zowel van toepassing op communicatie die gericht is op "potentiële" klanten als op communicatie die gericht is op huidige en voormalige klanten, leden of abonnees. Bovendien zijn deze regels niet beperkt tot commerciële activiteiten, maar zijn ze ook in bredere zin van toepassing op elke vorm van promotie, bij de commerciële aanvaarding ervan (met inbegrip van promotie voor verkoop-, reclame-, verkiezings- of zichtbaarheidsverbeteringsdoeleinden, maar met uitsluiting van het zonder winstoogmerk bevorderen van de volksgezondheid of andere vormen van gedrag en praktijken die door de overheid bij de uitoefening van haar taken worden aangemoedigd). Ten slotte hebben zij niet alleen betrekking op de communicatie als zodanig, maar ook op alle verwerkingen in het kader van de direct marketingverrichtingen. De verwerking van persoonsgegevens met het oog op het (automatisch) aanpassen van de prijs van een product of dienst op basis van een klantprofiel, zijn direct marketingverrichtingen.
 
14. De AVG definieert niet wat onder “direct marketing” verstaan wordt. Tot op heden bestaat er geen wettelijke, officiële of algemeen aanvaarde definitie van dit begrip op Europees niveau. Voortbouwend op Aanbeveling nr. 02/2013 van onze voorganger van 30 januari 2013 betreffende direct marketing en bescherming van persoonsgegevens enerzijds en het voorstel van verordening van het Europees Parlement en de Raad van 18 september 2019 betreffende eerbiediging van de privacy en de bescherming van persoonsgegevens bij elektronische communicatie en tot intrekking van Richtlijn 2002/58/EG, stelt de Autoriteit voor om het begrip direct marketing als volgt te definiëren:
 
Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.
 
Sleutelbegrippen
 
Elke communicatie, gevraagd of ongevraagd
 
15. Deze definitie omvat alle vormen van communicatie, ongeacht of deze gericht zijn op de promotie van goederen of diensten, de promotie van ideeën, voorgesteld of ondersteund door een persoon of organisatie, maar ook de promotie van die persoon of organisatie zelf, met inbegrip van haar merkimago of de merken die haar eigendom zijn of door haar worden gebruikt, met uitzondering van de promotie die wordt uitgevoerd op initiatief van overheidsinstanties die strikt handelen in het kader van hun wettelijke verplichtingen of openbare dienstverleningstaken voor diensten waarvoor zij alleen verantwoordelijk zijn.
 
Voorbeeld 1: Een bedrijf dat schoonmaakproducten verkoopt, neemt contact op met de klanten die in zijn lijst staan om hen te laten weten dat zijn producten milieuvriendelijk zijn.
 
Voorbeeld 2: Een NGO stuurt een mobilisatiebrief voor een nieuwe campagne naar haar leden- en danteurslijst.
 
Voorbeeld 3: Een politieke partij stuurt een uitnodiging naar haar contacten om deel te nemen aan een ontmoetings- of evenementendag om het nieuwe werkingsjaar te vieren.
 
16. Het is belangrijk om in gedachten te houden dat het begrip "marketing" niet noodzakelijkerwijs moet worden opgevat als boodschap met een commercieel oogmerk of lucratieve doeleinden.
 
17. Bovendien verwijst het begrip direct marketing zowel naar gevraagde als naar ongevraagde communicatie.
 
Voorbeeld 4:  Mevrouw Verdura neemt contact op met het ollectief "Vers van het land", dat gratis allerlei tuininformatie verstrekt en op haar online platform natuurlijke producten verkoopt om planten te helpen groeien. Mevrouw Verdure vult het vereenvoudigde online contactformulier in om te vragen welk prodcut ze moet gebruiken om de slakken in haar tuin op een natuurlijke manier te bestrijden. Ze moet haar e-mailadres invullen, om een antwoord te verkrijgen. 
 
Mevrouw Verdura krijgt snel een "technisch" antwoord op haar vraag (de generieke naam van de stof die over het algemeen wordt gebruikt om slakken te bestrijden) met een aanbod voor hun wonderproduct om dit ongedierte te bestrijden. En enkele dagen later ontvangt ze de nieuwsbrief van "Vers van het land".
  • Het technische antwoord zou niet bestempeld mogen worden als "direct marketing" zonder de toevoeging van een aanprijzing van het wonderproduct van de verkoper.
  • De verzending van de nieuwsbrief omvat verschillende gegevensverwerkingen voor direct marketingdoeleinden. 
 
18. Tot slot heeft het begrip direct marketing geen betrekking op advertenties die willekeurig op het internet verschijnen, zoals banneradvertenties, zolang ze aan elke bezoeker van de betreffende site verschijnen, zonder dat persoonsgegevens worden verzameld. Als een banneradvertentie op een gerichte manier op het scherm verschijnt, bijvoorbeeld op basis van browsegeschiedenis van de bezoeker, is dit direct marketing. Hetzelfde geldt voor folders die in alle brievenbussen van het Koninkrijk, een Gewest of een gemeente worden verspreid. De "ongeadresseerde post" is niet a priori een instrument voor direct marketing. Als echter bijvoorbeeld reclamefolders specifiek worden verspreid in de brievenbussen van mensen die nog geen klant zijn van een zaak die in hun buurt is gevestigd en hen uitnodigt om de producten te komen testen, dan is dat direct marketing.
 
19. Elke marketingboodschap die geen enkele verwerking van persoonsgegevens vereist, is uitgesloten van het begrip "direct marketing" en dus van het toepassingsgebied van de regels die voortvloeien uit de AVG. Gericht op het promoten van een organisatie of een persoon, diensten, producten, zowel betalend als gratis, evenals merken of ideeën
 
20. Het  doel  van  direct  marketingcommunicatie  is  om  iets  te  promoten,  zonder  dat  deze  promotie noodzakelijkerwijs betrekking moet hebben op goederen of diensten.
 
Voorbeeld 5: Meneer Betrokken ontvangt regelmatif e-mails van een vereniging die strijdt tegen vervuiling. Deze vereniging informeert zijn leden over de acties die wereldwijd worden gevoerd. Men vraagt niet om financiële ondersteuning en biedt geen diensten of goederen aan. 
  • Toch vallen de verzonden e-mails onder de regels van direect marketing omdat ze promotie maken voor de acties van de vereniging en voor hun imago naar het publiek toe. 
 
21. Anderzijds zijn de regels inzake direct marketing niet van toepassing wanneer contact wordt gelegd met personen, bijvoorbeeld consumenten, voor een marktonderzoek, peilingen of tevredenheidsenquêtes, op voorwaarde dat de contactname uitsluitend voor dat doel geschiedt.
 
22. Deze uitzondering is niet van toepassing indien het marktonderzoek of de peiling ook bedoeld is om goederen of diensten te verkopen of te promoten, of indien het toelaat om persoonsgegevens te verzamelen die vervolgens voor marketingdoeleinden zullen worden gebruikt. Als dit de bedoeling is, moet dit duidelijk zijn en moeten de personen naar wie het onderzoek, de enquête of de peiling wordt gestuurd, duidelijk worden geïnformeerd. Bijgevolg zijn de regels iznake direct marketing van toepassing.
Indien een boodschap onder het mom van een peiling of marktonderzoek aan de betrokkenen wordt gericht zonder dat wordt onthuld dat het eigenlijke doeleinde of ten minste één van de doeleinden direct marketing is, is er sprake van afwenden van het doeleinde en dus van een overtreding van de AVG-regels. Het zou ook een schending van de e- Privacy-richtlijn kunnen zijn als de communicatie geschiedt zonder de toestemming van het individu, terwijl dat wel had moeten gebeuren.
 
23. Tot   slot   worden   mededelingen  van   overheidsdiensten  die   bepaalde   campagnes   voeren   (bv. vaccinatiecampagnes) of diensten (bv. telefooncentra voor bijstand aan personen in moeilijkheden) promoten waarvoor zij wettelijk verantwoordelijk zijn of die zij als openbare dienst aanbieden, niet beschouwd als direct marketingcommunicatie, tenzij zij tegelijkertijd specifieke diensten of producten promoten die door particuliere dienstverleners worden aangeboden.
 
Voorbeeld 6: Een overheidsdienst die belast is met gezondheidsgerelateerde taken richt zich rechtstreeks tot de betrokkenen, op basis van leeftijds- en /of geslachtscriteria, met berichten om hen bewust te maken van bepaalde ziekten zoals het papillomavirus voor vrouwen in een bepaalde leeftijdsgroep, of het bof in geval van een epidemie om ouders van jonge kinderen te waarschuwen, of griep, voor personen die het meest kwetsbaar zijn vanwege hun oudere leeftijd. 
Deze vorm van communicatie is geen direct marketingcommunicatie.
Als in deze mededeling daarentegen de naam van het door het farmaceutische bedrijf XY ontwikkelde vaccin XX wordt vermeld, zal deze mededeling worden beschouwd als direct marketing en dus moeten voldoen aan de regels die daarop van toepassing zijn.
 
Door wie ?
 
24. Boodschappen die onder de regels van direct marketing vallen, kunnen door elk type organisatie verstuurd worden, ongeacht of ze al dan niet een commercieel doel nastreven. De communicatie kan dus uitgaan van bedrijven met lucratieve doeleinden, maar evengoed van vzw’s, stichtingen en overheden. Het kan ook om personen gaan die geen winstoogmerk nastreven, zolang hun berichten gericht zijn op het promoten van zaken zoals door hen ondernomen acties (bijvoorbeeld de overheid die promotie maakt voor het vaccin van het bedrijf XY), ideeën of standpunten, tenzij ze plaatsvinden in het kader van strikt particuliere en huishoudelijke activiteiten.
 
Voorbeeld 7: "Natura First", een NGO voor natuurbescherming neemt contact op met mensen die hebben aangegeven te willen doneren om hun bankgegevens te bevestigen. Als dit contact zich beperkt tot deze verificatie, zijn de regels van direct marketing hierop niet van toepassing, omdat de organisatie geen ideeën, diensten of producten promoot.
Als hierbij mensen worden aangemoedigd om verdere giften te doen of als er indormatie wordt vermeld over de gevoerde campagnes, is dit wel direct marketing en zijn de betreffende regels wel van toepassing.
 
Voorbeeld 8: Een politieke mandataris stuurt zijn nieuwjaarsgroet naar een aantal van zijn contacten uit zijn privé social media-account, met een privé-bericht via zijn privé-account. Het verzonden bericht, dat beperkt blijft tot de nieuwjaarsgroet, is geen direct marketingcommunicatie.
  • Als hij met zijn bericht ook informatie had verstuurd over verschillende acties en campagnes van het afgelopen jaar of voor dit jaar, gaat het wel om direct marketing.
  • Als hij gebruik had gemaakt van zijn contactpersonenlijst uit zijn publieke social media-account of een andere bron die hij niet op louter private basis heeft, om privé-berichten met de beste wensen te sturen, dan is dit direct marketing. 
 
25. De  redenering  gehanteerd  in  bovenstaand  voorbeeld  is  ook  van  toepassing  op  niet-commerciële organisaties, zoals liefdadigheidsinstellingen.
 
26. Daarentegen  vallen   niet   a   priori   onder   direct   marketing   de   communicaties  verrichten  door overheidsinstanties die handelen in het kader van hun wettelijke verplichtingen of de uitoefening van hun taken van openbare dienst. Indien zij echter rechtstreeks berichten sturen naar bepaalde burgers die een specifieke privédienst of organisatie promoten, zijn de regels voor direct marketing van toepassing.
 
27. Tot slot vallen niet onder direct marketing de boodschappen die door natuurlijke personen worden verzonden in het kader van zuiver huishoudelijke activiteiten in de zin van artikel 2 en overweging 18 AVG, die de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van strikt persoonlijke of huishoudelijke activiteiten en dus geen betrekking heeft op een professionele of commerciële activiteit. (bijvoorbeeld het verzenden van een uitnodiging voor een bruiloft en het bijhouden van een databank met de antwoorden) uitsluiten van het toepassingsgebied van de AVG is uitgesloten.
 
Voorbeeld 9: Lucy wordt 18. Voor de gelegenheid nodigen haar ouders al haar vrienden uit om dit te komen vieren en te gaan karten. Zolang het verjaardagsfeestje niet gesponsord wordt door de kartinguitbater en de ouders geen gratis T-shirts en pasjes weggeven die door de uitbater worden aangeboden aan alle mensen die naar het verjaardagsfeestje komen, is de uitnodiging uiteraard geen direct marketing actie.
 
Voor wie ?
 
28. De boodschap moet gericht zijn aan een of meer natuurlijke, geïdentificeerde of identificeerbare personen.
 
29. Het begrip "geïdentificeerde of identificeerbare natuurlijke persoon" is onlosmakelijk verbonden met de definitie van persoonsgegevens, die bepalend is voor de toepassing van de AVG.
 
30. Zodra de boodschap gericht is aan een persoon, hetzij op naam hetzij op basis van informatie van die persoon die toelaat om er contact mee op te nemen (zoals bijvoorbeeld zijn IP-adres), spreken we van direct marketing, voor zover dat aan de andere criteria van de definitie is voldaan.
 
Voorbeeld 10: Tijdens een bezoek aan de website "Cherry on the cake", een merk voor keukenapparatuur, bekijkt meneer Sosweet een paar minuten de verschillende modellen taartvormen die te koop worden aangeboden. Hij sluit de website zonder iets te kopen en opent zijn mailbox. Dan ziet hij rechts in zijn scherm een pop-upvenster met verschillende taartvormen die hij heeft bekeken, met de vermelding: "Zin om te bakken? Klik hier!".
  • "Cherry on the cake" heeft cookies geÏnstalleerd op de computer van meneer Sosweet, waardoor ze informatie kunnen verzamelen zoals zijn IP-adres en de producten waar hij op geklikt heeft. Op basis van deze gegevens kon "Cherry on the cake" de navigatie van meneer Sosweet volgen en pop-up met gerichte direct marketingboodschappen tonen in de ruimte op de pagina van de host van de e-mailaccount van meneer Sosweet.
  • Het bericht in het pop-upvenster valt onder de regels van direct marketing.
  • Het gebruik van cookies door "Cherry on the cake" voor direct marketingdoeleinden moet voldoen aan de regels van de AVG en de richtlijn e-privacy, die we in deze aanbeveling niet bespreken. 
 
31. Bovendien, ongeacht of de boodschap gericht is aan een persoon in het kader van zijn of haar “privéleven”, bijvoorbeeld via een persoonlijk e-mailadres, of in het kader van een beroepsactiviteit, via een professioneel e-mailadres, blijft dit direct marketing, op voorwaarde dat aan de andere criteria van de definitie is voldaan.
 
Voorbeeld 11: Het bedrijf "Hi Tech" stuurt een van zijn medewerkers naar een beurs over nieuwe technologieën, die door "Technologia" wordt georganiseerd. Er zijn verschillende merlen aanwezig in presentatiestand en er worden ook conferenties en workshops georganiseerd. Na deelname aan een van deze workshops vult de medewerker een tevredenheidsformulier in over de workshop maar ook, meer algemeen, over de gehele organisatie van de beurs. Hij wordt gevraagd om zijn gegevens en de naam van zijn bedrijf in te vullen als hij in het kader van zijn werk is gekomen. Het formulier vermeldt "u geeft ons toestemming om uw gegevens te gebruiken om u te informeren over toekomstige events en beurzen". De deelnemers worden ook gevraagd om hun visitekaartjes af te geven, dat gaat sneller dan het invullen van het formulier. Ze kunnen hun kaartjes in de speciaal daarvoor bestemde doos doen. De medewerker heeft haast, hij laat zijn visitekaartje achter met daarop zijn naam, voornaam en e-mailadres, evenals de adresgegevens van het bedrijf "Hi Tech".
  • Indien de organisatoren van de beurs toekomstige mededelingen over hun volgende evenementen naar "Hi Tech" sturen op basis van de verstrekte algemene contactgegevens (zonder vermelding van de naam en de achternaam van de medewerker of zijn/haar specifieke functie) ,is dit geen direct marketing, aangezien er geen sprake is van de verwerking van de persoonsgegevens;
  • Als dezelfde mededelingen aan de Hi Tech-medewerker worden gedaan op basis van de zakelijke contactgegevens die op zijn visitekaartjes zijn vermeld, gelden de regels inzake gegevensbescherming voor direct marketing, zelfs als het gaat om zijn zakelijke contactgegevens. Dit houdt met name in dat de ccontactgegevens van de werknemer niet voor andere doeleinden mogen worden gebruikt dan die welke in het formulier zijn aangegeven en dat er dus geen sprake kan zijn van het toesturen van direct marketingberichten over iets anders dan de evenementen en vakbeurzen die "Technologia" zelf organiseert.
Laten we nu doen alsof de Hi Tech-medewerker zijn visitekaartje spontaan gaf aan een aantal deelnemer of personen die hij tijdens het evenement ontmoette, om zo nodig contact te houden of gewoon om elkaar af en toe weer te zien. Terug op zijn werk besluit een van de personen aan wie hij zijn kaartje gaf, om die contactgegevens, evenals alle andere contactgegevens die hij op deze manier heeft verkregen, te coderen in zijn database, met het oog op het versturen van berichten met betrekking tot de producten en diensten van zijn bedrijf. 
  • Met het afgeven van zijn visitekaartje heeft de werknemer niet ingestemd met de verwerking van zijn gegevens voor direct marketingdoeleinden;
  • Deze verwerking van persoonsgegevens gaat voorbij aan het doeleinde waarvoor het visitekaartje oorspronkelijk is afgegeven.
 
32. Tot slot, zonder vooruit te lopen op de voorwaarden die nodig zijn om de wettigheid van boodschappen gericht aan deze personen te waarborgen, vallen boodschappen gericht aan een geïnteresseerde of aan een klant/aangeslotene/abonnee/lid evenzeer onder direct marketingcommunicatie, zolang ze gericht zijn op het promoten van uw producten, uw diensten, uw merkimago, uw bedrijf of zelfs uw ideeën.
 
33. Een prospect of een geïnteresseerde (bijvoorbeeld een potentiële klant die veel informatie over uw producten of diensten, of over uw organisatie heeft gevraagd) onderscheidt zich van uw bestaande klanten, abonnees, aangeslotenen of leden aangezien de eerstgenoemden nog geen product van uw organisatie hebben gekocht, nog niet hebben ingestemd met de levering van een van uw diensten, of nog geen vaste verbintenis zijn aangegaan met wat u aanbiedt. In tegenstelling tot een geïnteresseerde, heeft een “pure” prospect geen enkele relatie met u.
 
Met welke middelen ?
 
34. Direct marketingcommunicatie kan vele vormen aannemen. Het meest voor de hand liggende onderscheid is het verschil tussen elektronische en niet-elektronische communicatie.
 
35. Niet-elektronische communicatie omvat postzendingen of menselijke interactie waarbij geen gebruik gemaakt wordt van elektronische technische middelen, zoals van deur tot deur gaan bijvoorbeeld, wanneer dit tot doel heeft om een dienst te leveren of iets te verkopen en dit de verwerking van persoonsgegevens met zich meebrengt, die bestemd zijn om in een bestand te worden opgenomen. Het begrip “bestand” is belangrijk omdat het de materiële werkingssfeer van de AVG omkadert.
 
Voorbeeld 12: Elk jaar maakt de Scout Fellowship koekjes die ze verkopen om geld in te zamelen voor de zomerkampen, om materiaal te kopen en om hun terrein te verbeteren. Ze sturen een aantal scouts op pad om ze te verkopen. Die gaan van deur tot deur met de dozen met koekjes. Ze bellen aan bij zoveel mogelijk huizen en appartementen in de hoop zoveel mogelijk geld op te halen. 
  • Als de scouts volledig willekeurig aanbellen en alleen koekjes verkopen, is er geen sprake van direct marketing omdat er geen persoonlijke gegevens in eeen georganiseerd bestand staan of worden opgevraagd (zoals een lijst van specifieke huizen of een nominale lijst van mensen die een doos met koekjes hebben gekocht);
  • Maar als de scouts naar specifieke huizen of appartementen worden gestuurd om dozen te verkopen aan personen die zijn geïdentificeerd op basis van bevoorbeeld een lijst die in voorgaande jaren is opgesteld van personen die al eerder koekjes hebben gekocht, dan is dit direct marketing, aangezien dit de verwerking van persoonsgegevens in een bestand omvat.
 
36. De elektronische communicaties beogen berichten in de vorm van tekst, video, foto's, beelden of geluiden, uitgevoerd met technologische middelen, zoals telefoongesprekken, SMS, MMS, e-mails, chatrooms, pop- ups of andere advertenties waarvan de inhoud rechtstreeks verband houdt met de verwerking van persoonsgegevens. Deze verwerking kan worden uitgevoerd met behulp van verschillende technieken en/of technologieën zoals targeting (met inbegrip van microtargeting) of real time bidding en op verschillende kanalen zoals sociale netwerkplatformen die gepersonaliseerde inhoud weergeven die is gepersonaliseerd op basis van de voorkeuren van de titularis van de account. In dit verband vestigt de Autoriteit de aandacht op de richtsnoeren die de EDPB voorbereidt m.b.t de problematiek van targeting van sociale netwerkgebruikers. Elk standpunt dat over deze kwestie in deze aanbeveling wordt ontwikkeld, zal in voorkomend geval worden herzien om in overeenstemming te zijn met het standpunt dat de EDPB hierover zal innemen.
 
Direct  marketing  en  bescherming  van  persoonsgegevens :  hoe  te handelen in overeenstemming met de regels?
 
Actoren en rollen in direct marketing gedefinieerd door de AVG
 
37. Er kunnen heel wat personen, natuurlijke of rechtspersonen, betrokken zijn bij de verwerking van de persoonsgegevens die nodig zijn voor uw marketingactiviteiten, en de relaties met hen kunnen soms complex zijn. Als verwerkingsverantwoordelijke maakt u waarschijnlijk gebruik van de diensten van verschillende partners die soms als zuivere verwerkers optreden of soms samen met u als gezamenlijke verwerkingsverantwoordelijken. Het is belangrijk dat u de rol van elkeen bepaalt om zowel uw verplichtingen als deze van hen goed te begrijpen.
 
1.          Verwerkingsverantwoordelijke en gezamenlijke verantwoordelijken
 
38. U bent “verwerkingsverantwoordelijke” wanneer u, alleen of samen met anderen, de doeleinden en de middelen voor de verwerking van persoonsgegevens bepaalt.
 
39. Het is belangrijk om te onthouden dat een organisatie niet "van nature" een verwerkingsverantwoordelijke of verwerker is. Alles hangt af van de manier waarop de organisatie zich daadwerkelijk gedraagt. U dient zich voor elke handeling die u met persoonsgegevens verricht, af te vragen wie het doel van de verwerking bepaalt en de manier waarop de gegevens in kwestie worden verwerkt.
 
40. Om uw rol en die van andere partijen (zoals technische dienstverleners of derden die u gegevens verstrekken) te verduidelijken, stel uzelf volgende vragen:
  • Wie  beslist  in  eerste  instantie  om  persoonsgegevens  te  verzamelen  en  welk(e)  type(s) persoonsgegevens er verzameld dienen te worden;
  • Wie bepaalt de betrokken personen of betrokken categorieën van personen;
  • Wie bepaalt welke gegevens of welke categorieën van gegevens verzameld dienen te worden;
  • Wie bepaalt het/de doel(einden) waarvoor de gegevens gebruikt worden;
  • Wie bepaalt en waarborgt de rechtsgrond om dit te doen (toestemming, wettelijke verplichting, gerechtvaardigd belang, enz.);
  • Wie bepaalt of de gegevens moeten worden doorgegeven, en zo ja, aan wie;
  • Wie bepaalt de inhoud van de informatie die aan de betrokken personen wordt verstrekt m.b.t de verwerking of verwerkingshandelingen die op hun gegevens worden toegepast;
  • Wie bepaalt hoe lang de gegevens bewaard worden; en
  • Wie bepaalt hoe gereageerd wordt wanneer betrokkenen hun rechten uitoefenen.
 
41. Al deze beslissingen kunnen enkel genomen worden door de verwerkingsverantwoordelijke in de context van zijn of haar algemene controle over de gegevensverwerking. Neemt u een van deze beslissingen, dan bent u meer dan waarschijnlijk verwerkingsverantwoordelijke.
 
42. Artikel 26 van de AVG voorziet ook in de situatie waarin twee of meer verwerkingsverantwoordelijken co- existeren, de zogenaamde “gezamenlijke verwerkingsverantwoordelijken”. Dit is het geval wanneer meerdere operatoren/organisaties gezamenlijk het doel van en de middelen voor de verwerking bepalen. Artikel 26 van de AVG bepaalt dat in dat geval de gezamenlijke verantwoordelijken hun respectieve verplichtingen op een transparante manier moeten vastleggen door middel van een overeenkomst, die hun respectieve rollen ten aanzien van de betrokken personen correct weergeeft.
 
Voorbeeld 13: De winkelketen "Goed en Koop" heeft besloten een gemeenschappelijk internetplatform op te zetten met andere wwinkelketens zoals "The Good one" en "Vous c'est Nous", om hun samenwerking als zakenpartner te verbeteren. Dit platform richt zich vooral op interactie met hun eigen en/of gedeelde klanten. De partners maken afspraken over belangrijke elementen, zoals de categorieën van gegevens die worden verzameld, wie toegang heeft tot de informatie, de informatie die aan de betrokkenen wordt verstrekt of de veiligheidsmaatregelen die moeten worden genomen. Verder wordt besloten de persoonsgegevens van hun klanten te delen, voor betere marketingacties.
  • In dit geval zijn "Goed en Koop" en de andere deelnemende bedrijven gezamenlijk verantwoordelijk, omdat ze beslissen, hoe en waarom hun respectievelijke klantgegevens worden verwerkt. 
 
43. Als u persoonsgegevens verwerkt in samenwerking met bepaalde partners die zelf hun eigen doeleinden nastreven en de middelen voor de verwerking bepalen, dan moet u zich strikt houden aan artikel 26 van de AVG en in een onderlinge regeling uw respectieve rollen bepalen, zodat in alle transparantie wordt gehandeld ten aanzien van de betrokken personen.
 
Wist U dat: EHVJ (Europees Hof van Justitie) uitspraak C-40/17 “Fashion ID” van 29 juli 2019
 
Het EHVJ heeft in zijn arrest "Fashion ID GmbH & Co. KG v. Verbraucherzentrale NRW eV" besloten dat de exploitant van een website die is uitgerust met de "Like"-knop van Facebook, samen met Facebook verantwoordelijk kan zijn voor het verzamelen en doorgeven aan Facebook van de persoonsgegevens van de bezoekers van zijn site.
 
Zij besliste ook dat een rechtspersoon of natuurlijke persoon die, voor wat zijn eigen doeleinden betreft invloed heeft op de verwerking van persoonsgegevens en daardoor meewerkt aan de vaststelling van het doel van en de middelen voor deze verwerking, beschouwd kan worden als verwerkingsverantwoordelijke (arrest van 10 juli 2018, Jehova todistajat, C-25/17, punt 68).
 
Zij had ook besloten dat de gezamenlijke verantwoordelijkheid van verschillende actoren voor dezelfde verwerking op grond van die bepaling niet veronderstelt dat elk van hen toegang heeft tot de betrokken persoonsgegevens (arrest  van  5  juni  2018,  Wirtschaftsakademie Schleswig-Holstein, C-201/16,  punt  38),  noch  dat  elk  van  de verwerkingsverantwoordelijken  een  gelijkwaardige verantwoordelijkheid  heeft,  maar  dat  zij  integendeel  in verschillende  stadia van die verwerkingen  en in verschillende  mate betrokken kunnen zijn, zodat de verantwoordelijkheid van eenieder moet worden beoordeeld met inachtneming van alle relevante omstandigheden.
 
Door het invoegen van een Facebook "Like"-knop op haar website biedt Fashion ID bewust aan Facebook Ireland de mogelijkheid om persoonsgegevens te verkrijgen van de bezoekers van haar website op het moment dat zij de website bezoeken, ongeacht of deze bezoekers al dan niet een Facebook-account hebben of zelfs al dan niet op de "Like"-knop hebben geklikt zonder daarvan op de hoogte te zijn gesteld (punten 75 en 77 van het arrest). Door het invoegen van een dergelijke knop heeft Fashion ID dus een beslissende invloed op het verzamelen en doorgeven van de persoonsgegevens van de bezoekers van haar site ten voordele van de aanbieder van deze knop, namelijk Facebook.
 
Wat de doeleinden betreft, specificeert het EHVJ dat de invoeging door Fashion ID van de "Like"-knop op haar website haar in staat stelt om de reclame voor haar producten te optimaliseren door ze beter zichtbaar te maken op het sociale netwerk Facebook wanneer een bezoeker van haar website op de genoemde knop klikt. Fashion ID heeft, op zijn minst impliciet, ingestemd met het verzamelen en het meedelen van de persoonsgegevens van de bezoekers van haar website, om te profiteren van een commercieel voordeel dat bestaat uit meer reclame voor haar producten. De aldus uitgevoerde verwerkingen worden dus verricht in het economisch belang van zowel Facebook als Fashion ID. In dergelijke omstandigheden bepalen die twee organisaties dus gezamenlijk de doeleinden van het verzamelen en meedelen van persoonsgegevens (punten 80 en 81 van het arrest).
 
44. Houd er ook rekening mee dat wanneer u gebruik maakt van persoonsgegevens die via sociale media zijn verzameld, u zich niet kan beroepen op de gebruiksvoorwaarden van deze sociale netwerken om de betrokkenen van wie u de persoonsgegevens verwerkt (of van wie de gegevens via u worden verwerkt) te informeren over de verschillende verwerkingen die geschieden en de nagestreefde doeleinden. Het is namelijk     uw      taak      om      als      verwerkingsverantwoordelijke,     zelfs     als      gezamenlijke verwerkingsverantwoordelijke, transparante  informatie  te  verstrekken  aan  de  betrokkenen  over  de verwerking van de persoonsgegevens die u verricht.
 
45. Deze informatie heeft betrekking op uw verwerkingen die, in voorkomend geval, gepaard kunnen gaan met het mededelen van gegevens aan derden die zo nauwkeurig mogelijk geïdentificeerd moeten worden. Bovendien moeten de verwerkingsdoeleinden waarvoor de verzamelde gegevens bestemd zijn, ook duidelijk geïdentificeerd en gespecificeerd worden. Dit betekent dus dat u ook aandacht moet hebben voor de doeleinden van de derden waarmee u samenwerkt, en dat u ook informatie moet veschaffen over hun verwerkingsdoeleinden. Een eenvoudige verwijzing naar het beleid inzake gegevensgebruik van deze derden volstaat niet altijd om te voldoen aan de transparantie-vereisten van artikel 12 van de AVG, gelet op de complexiteit en de lengte van dergelijke teksten.
 
2.          Verwerker
 
46. Wanneer een overheids- of private instantie of een natuurlijke persoon namens u, op basis van uw instructies, persoonsgegevens verwerkt met als enige doel u in staat te stellen uw doeleinden te realiseren, is er sprake van een verwerkersrelatie.
 
47. Het inschakelen van een verwerker heeft tot gevolg dat de vereisten van artikel 28 van de AVG nageleefd moeten worden.
 
48. Onthoud in de eerste plaats dat u ongeacht de situatie en ongeacht de verwerker, van zodra u als verwerkingsverantwoordelijke optreedt, gebonden bent aan de verplichtingen die de AVG u oplegt en dat u in voorkomend geval verantwoording dient af te leggen voor inbreuken op deze verplichtingen. Het is daarom dat artikel 28.1 van de AVG bepaalt dat u enkel een beroep mag doen op verwerkers die voldoende garanties bieden aangaande het treffen van passende technische en organisatorische maatregelen. Dit vloeit ook voort uit artikel 24 van de AVG dat u verplicht om passende technische en organisatorische maatregelen te nemen teneinde zowel te waarborgen als aan te tonen dat uw gegevensverwerking in overeenstemming met de AVG wordt uitgevoerd. Een beroep doen op een gecertificeerde verwerker of een verwerker die zich bij een goedgekeurde gedragscode heeft aangesloten, vormt een element dat het bestaan van voldoende garanties zoals vereist door artikel 28.1 en 4 van de AVG kan aantonen.
 
49. In geval van een schending van de verplichtingen van de AVG, bepaalt artikel 83 van de AVG dat de verwerkingsverantwoordelijke en zijn verwerker door de Autoriteit aan verschillende sancties onderworpen kunnen worden. Een goede samenwerking tussen u en uw verwerker is daarom essentieel. In het geval van een inbreuk in verband met persoonsgegevens (data breach) bijvoorbeeld, bepaalt artikel 33.2 van de AVG dat de verwerker, zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens, de verwerkingsverantwoordelijke zonder onredelijke vertraging op de hoogte moet stellen. Aangezien u als verwerkingsverantwoordelijke slechts 72 uur de tijd heeft om de Autoriteit in kennis te stellen van elke inbreuk die een risico inhoudt voor de rechten en vrijheden van natuurlijke personen, verzekert u zich er best van dat uw verwerker zijn meldingsplicht zal nakomen.
 
50. Uw relatie met uw verwerker moet het voorwerp uitmaken van een overeenkomst of een andere rechtshandeling, en deze handeling of overeenkomst moet in schriftelijke, of zelfs elektronische vorm opgesteld zijn, zodat u kan voldoen aan uw documentatieplicht en aan artikel 30 van de AVG. Deze overeenkomst of rechtshandeling moeten het onderwerp en de duur van de verwerking(en), evenals de doeleinden en de aard van deze aan de verwerker toevertrouwde verwerkingen vastleggen. Ze moeten ook het soort persoonsgegevens en de categorieën van betrokkenen definiëren evenals uw rechten en plichten als verwerkingsverantwoordelijke in herinnering brengen. Ten slotte moeten ze ten minste de in artikel 28.3 a) tot h) van de AVG vermelde specificaties bevatten, met inbegrip van het feit dat de verwerker enkel persoonsgegevens mag verwerken volgens de gedocumenteerde instructies van de verwerkingsverantwoordelijke.
 
51. Indien u niet zeker bent van de inhoud van de overeenkomst die u met uw verwerker moet sluiten, kan u zich laten inspireren door de modelcontractbepalingen die door de Deense toezichthoudende autoriteit werden vastgesteld overeenkomstig artikel 28 van de AVG en die het voorwerp waren van advies 14/2019 van het EDPB. Zelfs als deze modelbepalingen door een andere nationale autoriteit werden vastgesteld, belet de AVG niet dat de verwerkingsverantwoordelijken en verwerkers uit andere lidstaten er inspiratie uithalen (zie in die zin overweging 81 van de AVG).
 
52. Terwijl in een ideale situatie de verwerkingsverantwoordelijke volledige instructies geeft betreffende de verwerking die aan de verwerker is toevertrouwd, is dit in de realiteit vaak minder vanzelfsprekend en kan het zijn dat bepaalde elementen niet door de verwerkingsverantwoordelijke, maar door zijn verwerker bepaald worden op grond van diens deskundigheid op het vlak van de technologieën die toegepast worden bij de verwerking en/of de meest geschikte beveiligingsmaatregelen van de gegevens. Het feit dat een verwerker over meer deskundigheid beschikt dan u over de te gebruiken technische middelen bij de gegevensverwerking, leidt op zich niet tot een herkwalificatie van zijn of haar positie van verwerker naar die van verwerkingsverantwoordelijke. Bepaalde verwerkers bieden kant-en-klare oplossingen aan zonder dat dit afbreuk doet aan uw verplichting om als verwerkingsverantwoordelijke de vereiste beslissingen te nemen met betrekking tot de verwerkte gegevens, de nagestreefde doeleinden en/of de middelen om die te bereiken.
 
53. In de overeenkomst die u sluit met een verwerker kan deze laatste beslissingen nemen over aanvullende elementen met betrekking tot de middelen van de verwerking:
  • de gebruikte computersystemen of andere methoden om persoonsgegevens te verzamelen;
  • de methoden voor het opslaan van persoonsgegevens;
  • details van veiligheidsmaatregelen ter bescherming van persoonsgegevens;
  • hoe  de  persoonsgegevens  van  de  ene  organisatie  naar  de  andere  zullen  worden overgedragen;
  • hoe de persoonsgegevens van bepaalde mensen verzameld zullen worden;
  • hoe de bewaartermijn van de gegevens gewaarborgd zal worden;
  • hoe de gegevens geschrapt of verwijderd zullen worden.
 
54. Wat de expertise van uw verwerker ook is, u moet oplettend blijven voor wat hij u aanbiedt en de controle houden over uw verwerking. Aangezien uw verwerker altijd volgens uw instructies moet handelen, moet u kunnen blijven weigeren wat hij u aanbiedt of, op er op zijn minst opnieuw kunnen over onderhandelen voordat u er een overeenkomst (of een andere rechtshandeling) mee afsluit. Een verwerker die, behalve waar dit wettelijk vereist is, handelt buiten de instructies van zijn verwerkingsverantwoordelijke, overtreedt de AVG en is vatbaar voor sanctionering zoals voorzien door deze Verordening.
 
55. Bovendien moet u, aangezien u verplicht bent een verwerker te kiezen die voldoende waarborgen biedt dat de verwerking voldoet aan de vereisten van de AVG, ervoor zorgen dat deze garanties aanwezig zijn voor en tijdens de overeengekomen verwerking. U bent vrij om te kiezen hoe u hiervoor zorgt; u kan bijvoorbeeld voorzien dat er op regelmatige tijdstippen controles en audits worden uitgevoerd om na te gaan of uw verwerker zijn verplichtingen nakomt. De verwerker is verplicht mee te werken aan deze audits (artikel 28.3, h) van de AVG) en zich te schikken naar de resultaten ervan.
 
56. Indien een verwerker die persoonsgegevens verwerkt het doel/de doeleinden en de middelen van de verwerking bepaalt, moet hij voor de betreffende verwerking(en) als verwerkingsverantwoordelijke beschouwd worden en de verantwoordelijkheden en verplichtingen op zich nemen die bij deze rol horen (artikel 28.10 van de AVG).
 
Voorbeeld 14: Het bedrijf "Coconut Tree" levert marketing- en reclamecommunicatieservices aan verschillende bedrijven. Het bedrijf "Incredible Monkey" doet een beroep op deze diensten en sluit een verwerkersovereenkomst met "Coconut Tree". "Coconut Tree" gebruikt echter de klantgegevens die het ontavngt van "Incredible Monkey" om deze te verrijken met andere gegevens waarover ze beschikt en verkoopt die door aan andere bedrijven die klant zijn van "Coconut Tree".
  • In het kader van deze andere verwerking treedt "Coconut Tree" niet op als onderaannemer van "Incredible Monkey", maar als een volwaardige verwerkingsverantwoordelijke, aangezien het zijn eigen doeleinden nastreeft los van de instructies die "Incredible Monkey". Hier rijst ook de vraag naar de transparantie van een dergelijke verwerking en naar de rechtmatigheid ervan.
 
57. Eenzelfde instantie kan zowel de rol van verwerker als van verwerkingsverantwoordelijke vervullen, maar niet voor dezelfde verwerking van persoonsgegevens. Een verwerker die zo handelt, moet ervoor zorgen dat zijn systemen en procedures een onderscheid maken tussen de persoonsgegevens die hij verwerkt in zijn hoedanigheid van verwerkingsverantwoordelijke en de persoonsgegevens die hij verwerkt in zijn hoedanigheid van verwerker. Indien bepaalde gegevens identiek zijn, moeten deze systemen een onderscheid kunnen maken tussen deze twee situaties, zodat op elke situatie verschillende processen en maatregelen toegepast kunnen worden.
 
58. Indien een organisatie gelijktijdig optreedt als verwerkingsverantwoordelijke en verwerker voor verschillende verwerkingen maar op basis van dezelfde persoonsgegevens, moeten de betrokkenen naar behoren worden geïnformeerd zowel door de organisatie die verwerker is als door de organisatie die verwerkingsverantwoordelijke is. Dit is vanzelfsprekend voor zover de verwerkingen rechtmatig zijn.. Dit geldt met name voor bedrijven die u het gebruik van hun klantenkaartsysteem aanbieden en die namens u een databank beheren met daarin bijvoorbeeld de gegevens over de personen die in het bezit zijn van een kaart voor uw winkel, de aankopen of categorieën van aankopen die ze deden, de frequentie, de periodes en de bedragen, om u te helpen uw klanten beter te targeten en ze meer doelgerichte promoties aan te bieden. Het is mogelijk dat diezelfde organisaties, naast de zuivere verwerking, ook andere activiteiten uitoefenen door bijvoorbeeld “klantprofielen” te verstrekken aan andere winkels, op basis van de gegevens die via die klantenkaart worden verzameld. De te verstrekken informatie moet de verschillende verwerkingen vermelden evenals de verzamelde gegevens, de ontvangers van de gegevens en hun eigen doeleinden.
 
59. Wanneer    een    verwerker    een    andere    verwerker    in    dienst    neemt    om    namens    de verwerkingsverantwoordelijke specifieke verwerkingen te verrichten, zijn dezelfde verplichtingen inzake gegevensbescherming van toepassing zijn als die welke zijn vastgelegd tussen de verwerkingsverantwoordelijke en zijn verwerker. Ze moeten dus aan de tweede verwerker worden opgelegd door middel van een contract of een andere rechtshandeling (zie in deze zin artikel 28.4 van de AVG). De verwerker moet de voorafgaande, algemene of specifieke schriftelijke toestemming van de verwerkingsverantwoordelijke hebben om een beroep te doen op de diensten van een verwerker. In geval van een algemene, voorafgaandelijke toestemming moet hij de verwerkingsverantwoordelijke op de hoogte houden van alle beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de mogelijkheid wordt geboden bezwaar te maken (artikel 28.2 van de AVG). Ook de relatie tussen de initiële verwerker en de verwerker waarop hij beroep doet moet het voorwerp van een overeenkomst uitmaken.
 
60. Uw  werknemers zijn  niet  uw  verwerkers. Zolang  zij  onder  uw  gezag  handelen in  een  band  van ondergeschiktheid, maken zij integraal deel uit van uw organisatie.

  

3.          Verkoop, verhuur, verrijking van persoonsgegevens

61. In toenemende mate wordt bij direct marketing gebruik gemaakt van verschillende organisaties die diensten aanbieden voor het beschikbaar stellen, via makelaars, de verkoop of de huur van persoonsgegevens uit verschillende bronnen, al dan niet aangepast via verrijking, koppeling van gegevens, met of zonder profilering. Deze organisaties, of ze nu voornamelijk actief zijn als "data brokers" of andere bedrijven die actief zijn in de reclame-industrie (inclusief bedrijven die gegevens over hun eigen klanten of andere contacten verhuren of verkopen), lijken soms noodzakelijk om u te helpen uw doelen te bereiken.

62. Zowel het aantal als het type actoren die in deze sector actief zijn, evenals de bronnen van herkomst van de gegevens en de gebruikte middelen zijn divers en gevarieerd. De gegevens kunnen rechtstreeks bij de betrokkenen verzameld zijn of onrechtstreeks, online of offline). Alle verwerkingen van deze persoonsgegevens zijn onderworpen aan de regels van de AVG en dus aan de sancties voorzien door artikel 83 van de AVG indien deze regels niet in acht worden genomen.

63. In de praktijk, komt het vaak voor dat de betrokkenen niet weten dat deze organisaties over hen persoonsgegevens verzamelen en, a fortiori, wat ze ermee doen. Het rapport "Out of control" dat op 14 januari 2020 werd gepubliceerd door Forbrukerradet, lid van de Europese Unie van Consumentenverenigingen (BEUC), maakt melding van een wijdverbreide praktijk van het verzamelen en gebruiken van persoonlijke gegevens zonder medeweten van de eigenaars en gebruikers van smartphones. Transparantie is nochtans cruciaal om gegevens eerlijk en rechtmatig te kunnen verwerken. Het gevolg van dit gebrek aan transparantie is een totaal verlies van controle over hun gegevens door de betrokkenen en een duidelijk risico voor hun fundamentele rechten en vrijheden, aangezien zij niet eens meer in staat zijn hun rechten uit te oefenen.

64. Deze  verplichting  tot  transparantie  bestaat  in  hoofde  van  alle  organisaties  die  persoonsgegevens uitwisselen.  De  verwerkingsverantwoordelijken  die  de  gegevens  rechtstreeks  bij  de  betrokkenen (bijvoorbeeld hun klanten of prospecten) verzamelen en die van plan zijn deze gegevens te verstrekken aan organisaties die gespecialiseerd zijn in de verwerking ervan voor direct marketingdoeleinden, moeten de betrokkenen duidelijk informeren. Zij moeten, indien het (daadwerkelijk) niet mogelijk is om de specifieke ontvangers te identificeren, minstens de betrokken categorieën van ontvangers (bijvoorbeeld hun sector) identificeren, de door deze ontvangers verrichte activiteiten (bijvoorbeeld het soort diensten of producten die ze aanbieden) en de verwerking van persoonsgegevens die ze van plan zijn uit te voeren (bijvoorbeeld de verrijking van deze gegevens met gegevens uit database XY of X-databanken die gegevens van het type Y bevatten en het verstrekken van de uit deze verrijking voortvloeiende gegevens aan ondernemingen die actief zijn in sector Z met het oog op het gebruik ervan voor het verzenden van reclameboodschappen via e-mail met een maximale jaarlijkse frequentie van 4 berichten per getargete persoon). Tevens moeten zij de voorafgaande toestemming verkrijgen van de betrokkenen voor de verwerking van hun persoonsgegevens (waarvan de lijst aan hen verstrekt moet worden), door deze categorieën van derden, in het kader van de doeleinden die zij nastreven en naargelang van de verwerkingshandelingen (verrijking, ontdubbeling, profilering, enz.) van de te beschrijven gegevens. Dit vloeit voort uit de naleving van artikel 13 van de AVG.

65. Op dezelfde manier moet aan de betrokkenen transparante en duidelijke informatie worden verstrekt door organisaties die rechtstreeks bij hen, of indirect uit verschillende bronnen, persoonsgegevens verzamelen om er als tussenpersoon handel mee te drijven voor klanten die geïnteresseerd zijn om toegang te krijgen tot lijsten met al dan niet gerangschikte, gekoppelde of verrijkte gegevens.

66. Als  deze  organisaties  die  gespecialiseerd  zijn  in  het  aggregeren,  doorverkopen,  verhuren  of  de tussenhandel van gegevens, dergelijke informatie niet verstrekken, overtreden ze ofwel artikel 13 van de AVG (in het geval dat ze de gegevens rechtstreeks bij de betrokkenen verzamelen, met name door middel van vragenlijsten over consumptiegewoonten die zij rechtstreeks aan particulieren richten), ofwel met artikel 14 van de AVG (wanneer zij deze gegevens onrechtstreeks verzamelen, bijvoorbeeld door gegevenslijsten bij andere organisaties aan te kopen). Het betekent ook dat de bron van herkomst van de gegevens geïdentificeerd moet worden. Het gebrek aan informatie kan desgevallend gerechtvaardigd worden op basis van de hypotheses vermeld in paragraaf 5 van artikel 14 van de AVG, die vereisten dat aangetoond wordt dat de betrokkenen alle vereiste informatie reeds hebben ontvangen of dat het verstrekken van dergelijke informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen.

67. Organisaties waarvan het zakenmodel gebaseerd is op het massaal verzamelen van persoonsgegevens met als doel er handel mee te drijven, dienen aan te tonen dat ze niet over de technische middelen beschikken om de betrokkenen te informeren zonder onevenredig veel inspanning te leveren. In de meest voorkomende actuele modellen beschikken deze organisaties immers op zijn minst over een adres of e-mailadres, zodat ze deze personen onbetwistbaar rechtstreeks kunnen contacteren. Ze blijven in ieder geval verplicht om de passende maatregelen te nemen om de rechten en vrijheden alsook de gerechtvaardigde belangen van de betrokkenen te beschermen, onder meer door deze informatie openbaar te maken, bijvoorbeeld op hun website. Een publicatie op de website van uw organisatie volstaat echter niet om te voldoen aan de vereisten van artikelen 13 en 14 van de AVG indien u over andere middelen beschikt om de betrokkenen te informeren.

Wist U dat:

De Poolse Gegevensbeschermingsautoriteit heeft op 25 maart 2019 een onderneming gesanctioneerd wegens het niet nakomen van haar informatieplicht voor een bedrag van bijna 220.000 EUR (943.000 PLN).

Het betrof een onderneming die voor commerciële doeleinden gegevens van betrokkenen verwerkt afkomstig uit openbaar toegankelijke bronnen, zoals het centrale elektronische register, en informatie over de economische activiteit van die betrokkenen. Het bedrijf heeft niet voldaan aan zijn informatieplicht ten opzichte van meer dan 6 miljoen mensen.

De Autoriteit verifieerde de niet-naleving van de informatieplicht ten aanzien van natuurlijke personen die een economische activiteit uitoefenen - zowel ondernemers die deze activiteit momenteel uitoefenen of hebben opgeschort, als ondernemers die deze activiteit in het verleden hebben uitgeoefend. De verwerkingsverantwoordelijke heeft uitsluitend voor wat betreft de personen waarvan hij e-mailadressen had aan de informatieplicht voldaan door de informatie te verstrekken vereist op grond van art. 14 (1) - (3) van de AVG.

In het geval van andere personen voldeed de verwerkingsverantwoordelijke niet aan de informatieplicht - zoals tijdens de procedure werd uitgelegd - vanwege de hoge operationele kosten. Daarom plaatste hij de informatieclausule alleen op zijn website.

De Poolse Autoriteit was van mening dat een dergelijke maatregel onvoldoende was, aangezien dit bedrijf postadressen en telefoonnummers van bepaalde personen had. Hij had dus kunnen voldoen aan zijn informatieplicht jegens hen, d.w.z. hen met name informeren over: hun gegevens, de bron van hun gegevens, het doel en de duur van de geplande verwerking, en de rechten van de betrokkenen in het kader van de AVG.

De Autoriteit was van mening dat de inbreuk begaan door de verwerkingsverantwoordelijke opzettelijk was, omdat de onderneming - zoals tijdens de procedure is vastgesteld - op de hoogte was van de verplichting om de relevante informatie te verstrekken en van de noodzaak om personen rechtstreeks te informeren.

Als u meer wilt lezen over deze zaak: https://edpb.europa.eu/news/national-news/2019/first-fine-imposed-president- personal-data-protection-office_en

68. Wanneer u met deze intermediaire organisaties samenwerkt om uw marketingcampagnes te verbeteren door bij hen persoonsgegevens op te vragen waarover u niet beschikt, bent u ook verplicht om de vereiste informatie te verstrekken aan de betrokkenen, overeenkomstig artikel 14 van de AVG, uiterlijk op het moment van het eerste contact met hen.

69. Bovendien moet u zich vergewissen van de kwaliteit van de gegevens die u via deze weg verkrijgt. Uw verantwoordelijkheid houdt ook in dat u er zorg voor draagt om partners te selecteren die u op een effectieve manier kunnen garanderen dat de persoonsgegevens op een rechtmatige en eerlijke manier werden verzameld. Het is uw taak om de herkomst van de gegevens na te gaan, hoe ze werden verzameld, op welke rechtsgrond, door wie, voor welke doeleinden, gedurende welke termijnen voor welke verwerkingen.

70. Het is dus raadzaam om de volgende vragen te stellen aan de organisaties waarvan u gegevens verkrijgt:

  • Werden de gegevens rechtstreeks bij betrokkenen ingezameld of onrechtstreeks?
  • Door wie en in welke context?
  • Op basis van welke rechtsrechtsgrond werden ze verwerkt?
  • Indien er toestemming werd verkregen, vraag dan om een bewijs, vraag wanneer en hoe die toestemming verkregen werd;
  • Werden de betrokkenen geïnformeerd? Waarover (controleer of de overdracht van hun gegevens aan uw organisatie of organisaties van uw categorie voor het door u beoogde gebruik duidelijk geregeld werd), hoe en door wie?

71. Ga ook na of de organisatie waarvan u gebruik wenst te maken, al dan niet deel uitmaakt van een beroepsorganisatie, lid is van een charter of geaccrediteerd is door een onafhankelijke instantie.

72. Al deze voorzorgsmaatregelen maken deel uit van de inspanning voor de inovereenstemmingsbrenging ("due diligence") die van een verwerkingsverantwoordelijke wordt verwacht en de toepassing van artikel 25 van de AVG, dat u verplicht om de bescherming van persoonsgegevens te integreren vanaf het conceptstadium van uw verwerkingen en dit gedurende uw hele verwerkingsoperatie.

4. Dochterondernemingen – Fusies, splitsingen en overnames

73. Houd er rekening mee dat de betrokkenen ook geïnformeerd moeten worden over de mogelijkheid dat hun gegevens aan derden worden doorgegeven, inclusief aan dochterondernemingen van een organisatie of aan een derde partij in het geval van een fusie, splitsing of overname waarbij de verwerkingsverantwoordelijke betrokken is (ongeacht de vorm van deze operatie).

74.  Wanneer zich een bedrijfsconcentratie (of elke andere operatie die een impact heeft op de identiteit van de verwerkingsverantwoordelijke of op de toegang tot de gegevens waarvoor hij verantwoordelijk is) voordoet, is het de verantwoordelijkheid van de derde partij die aldus toegang krijgt tot de gegevens, om de betrokkenen te informeren over zijn identiteit, doeleinden, verwerkingsactiviteiten, de verwerkte gegevens, de bewaartermijn, de eventuele (nieuwe) ontvangers van die gegevens en de rechten waarover de betrokkenen beschikken, zoals het recht om bezwaar te maken tegen de verwerking van hun gegevens.

 

 

 

Bepaal uw verwerkingsdoeleinden
 
Artikel 5.1, b) van de AVG
 
De persoonsgegevens moeten "voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; (...)"
 
1.          Initië(e)l(e) doel(einden)
 
75. Het is een cruciale verplichting van een verwerkingsverantwoordelijke om het (de) doel(einden) waarvoor de persoonsgegevens verwerkt worden te bepalen. Met andere woorden, de doelstellingen die hij wil bereiken door persoonsgegevens te gebruiken.
 
76. De correcte bepaling van uw verwerkingsdoeleinden is essentieel voor de proportionaliteitstoets van de gegevens en dus van uw verwerkingen (verplichte oefening die tot doel heeft te verzekeren dat de verwerkte gegevens en de verwerking ervan proportioneel zijn met de nagestreefde doeleinden). U dient eerst uw verwerkingsdoeleinden duidelijk af te bakenen en vast te leggen, zodat u vervolgens de verwerkingen nader kunt bepalen die nodig zullen zijn om die doelen te bereiken.
 
77. Hierbij enkele voorbeelden van direct marketingdoeleinden:
  • uw klanten informeren over uw nieuwe producten of diensten;
  • een profiel van uw klanten opstellen;
  • het  mogelijk  maken  dat  derden  de  gegevens  van  uw  klanten  gebruiken  om kiezersprofielen op te stellen;
  • gepersonaliseerde aanbiedingen doen voor de verjaardag van uw klanten;
  • uw klanten op de hoogte houden van verschillende acties;
  • uw merkimago promoten bij het grote publiek;
  • uw  klanten  of  prospecten  uitnodigen  voor  evenementen  (ter  promotie  van  uw organisatie);
  • uw  klanten  op  de  hoogte  brengen  van  gerichte  aanbiedingen  die  mogelijks tegemoetkomen aan hun interesses;
  • nieuwe klanten, abonnees of leden werven.
 
78. U dient ze vervolgens zo nauwkeurig mogelijk te beschrijven in uw register van verwerkingsactiviteiten (zie overwegingen 90, 91 en 92 van deze Aanbeveling) alsook in het document dat u gebruikt om de vereiste informatie aan de betrokkenen te verstrekken (de nauwkeurigheid van uw verwerkingsdoeleinden is ook van essentieel belang om te kunnen voldoen aan de transparantieverplichting zoals voorzien in artikelen 13 en 14 van de AVG die uitdrukkelijk bepalen dat de betrokkenen geïnformeerd dienen te worden over de verwerkingsdoeleinden).
 
In de meeste gevallen kwalificeert de mededeling "wij verwerken uw gegevens voor direct marketingdoeleinden" niet als nauwkeurige informatieverstrekking in de zin van de AVG. De vereiste mate van detaillering hangt met name af van het type marketingcommunicatie (sms, e-mail, telefoon, post, enz.), de frequentie ervan (maandelijks, halfjaarlijks, enz.), de inhoud ervan (informatie over het merk, een product, een dienst, een nieuwsbrief, kortingsbonnen) of de complexiteit van de betreffende verwerking (bijvoorbeeld op basis van profilering en de nauwkeurigheid ervan).
 
Transparantie over de doeleinden van uw verwerking betekent ook eerlijk zijn. Melden dat "wij uw gegevens verwerken om onze diensten te verbeteren" wanneer het doel van uw marketingcommunicatie is om uw diensten te promoten en uw klanten aan te moedigen deze te gebruiken, is niet geschikt om de betrokkene te informeren dat u van plan bent zijn of haar gegevens te verwerken voor direct marketingdoeleinden.
 
2.          Verder(e) doel(einden)
 
79. Let er in dit verband ook op dat u duidelijke informatie verschaft over uw verdere verwerkingsdoeleinden, die ook deel moeten uitmaken van de informatie die u aan de betrokkenen verstrekt.
 
Artikel 13.3 van de AVG
 
"Wanneer de verwerkingsverantwoordelijke voornemens is de persoonsgegevens verder te verwerken voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld, verstrekt de verwerkingsverantwoordelijke de betrokkene vóór die verdere verwerking informatie over dat andere doel en alle relevante verdere informatie als bedoeld in lid 2."
 
80. Indien de verdere verwerking niet berust op de toestemming van de betrokkene, noch op een norm, dient u de verenigbaarheid te onderzoeken tussen het oorspronkelijke doeleinde en het verdere doeleinde, zoals onder meer voorzien in artikel 6.4 van de AVG en samengevat in overweging 50:
 
Grond 50 van de AVG
 
"Om na te gaan of een doel van verdere verwerking verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld, moet de verwerkingsverantwoordelijke, nadat hij aan alle voorschriften inzake rechtmatigheid van de oorspronkelijke verwerking heeft voldaan, onder meer rekening houden met: een eventuele koppeling tussen die doeleinden en de doeleinden van de voorgenomen verdere verwerking; het kader waarin de gegevens zijn verzameld; met name de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik ervan; de aard van de persoonsgegevens; de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen."
 
81. Dit onderzoek naar verenigbaarheid moet uitgevoerd worden door de eerste verwerkingsverantwoordelijke, zowel voor zijn verwerkingsactiviteiten als de verwerkingsactiviteiten die worden beoogd door derden, verwerkingsverantwoordelijken, aan wie hij van plan is de gegevens door te geven.
 
Dit geldt voor alle gegevens die u voor verdere doeleinden kunt gebruiken, zelfs als deze gegevens als "openbaar" kunnen worden beschouwd (bijv. persoonsgegevens die door de betrokkenen zelf op hun social media-accounts worden gepubliceerd). Het gaat er niet om dat de gegevens openbaar beschikbaar zijn, maar of het doel waarvoor ze oorspronkelijk zijn verwerkt al dan niet verenigbaar is met het (de) verdere doel(en).
 
82. Wanneer dezelfde verwerkingsverantwoordelijke voornemens is de  persoonsgegevens die hij zelf heeft verzameld te hergebruiken voor direct marketing, terwijl hij ze initieel voor een ander doeleinde heeft verzameld, is hij verplicht de verenigbaarheid daarvan te testen. Indien de voorafgaande toestemming (die voldoet aan de door de AVG-verordening opgelegde geldigheidsvoorwaarden) van de betrokkenen is verkregen voor het gebruik van hun gegevens door de organisatie die deze gegevens wil hergebruiken, is de verenigbaarheidstest niet nodig. Indien daarentegen geen enkele toestemming is verleend, moet de verenigbaarheidstest worden uitgevoerd op het doel waarvoor de gegevens zijn verzameld en het direct marketingdoel. Een dergelijk hergebruik kan onwettig zijn in geval van onverenigbaarheid met het oorspronkelijke doel, onder meer omdat er geen relatie bestaat tussen de betrokkenen en deze organisatie en het bijgevolg onmogelijk is te concluderen dat een dergelijk gebruik in overeenstemming is met de redelijke verwachtingen van de betrokkenen.
 
Voorbeeld 15: Het bedrijf "Gloednieuw" is gespecialiseerd in bouwwerkzaamheden. Het wil meer bekendheid verwerven bij nieuwe klanten. Daarom doet het een beroep op de dienst van het bedrijf "In the pocket" dat een database heeft die regelmatig wordt aangevuld met namen en contactgegevens van personen die recentelijk grond hebben gekocht in de regio en die zeker arbeidskrachten nodig zullen hebben om hun huizen te bouwen. "In the pocket" laat "Gloednieuw" weten dat het deze gegevens rechtstreeks van de lokale autoriteiten verkrijgt in het kader van hun beheer van de bouwvergunningsaanvragen. De baas van "Gloednieuw" interpelleert "In the pocker" naar de rechtmatigheid van het hergebruik van deze gegeens door zijn bedrijf. 
 
Die stelt hem gerust: de lokale autoriteiten zouden zeker niets illegaals doen en hij meent te weten dat de betrokken personen door de gemeentelijke administraties waren geïnformeerd dat hun gegevens zouden worden doorgegeven aan commerciële bedrijven voor direct marketingdoeleinden. "In the pocket" zelf informeert niet de betrokken personen. 
 
"Gloednieuw" is overtuigd en gebruikt de database van "In the pocket" om een brief te schrijven aan de personen die grond hebben gekocht binnen zijn activiteitengebied, om zijn diensten aan te bieden. In de brief legt het bedrijf aan deze mensen uit via wie en hoe het kennis heeft genomen van hun persoonsgegevens en geeft aan welke gegevens zijn verzameld, voor welke doeleinden het deze verwerkt en welke verwerkingen zijn uitgevoerd. Het bedrijf deelt de gecontacteerde personen mee dat zij te allen tijde bezwaar kunnen maken tegen de verwerking van hun gegevens en verklaart dat, indien zij niet binnen 6 maanden antwoorden, de gegevens in iederen geval uit hun gegevensbank zullen worden verwijderd. 
 
Het doel van deze verdere verwerking (en dus de verwerking zelf) is op verschillende niveaus problematisch:
1° De persoonsgegevens werden in eerste instantie door de gemeentebesturen verzameld om te voldoen aan een wettelijke verplichting. Door de mededeling van hun persoonsgegevens hebben de betrokkenen niet ingestemd met de mededeling van hun gegevens aan een derde partij voor gebruik voor commerciële doeleinden. Zij konden redelijkerwijs ook geen verdere verwerking voor dat doel verwachten. 
  • De gemeentelijke administraties zijn dusin overtreding m.b.t. de verplichtingen uit hoofde van artikel 5, 1.b), artikel 6, 4, en artikel 13 van de AVG
  • De voorafgaande, vrije, geïnformeerde, ondubbelzinnige en speficieke bestemming van de betrokkenen n.a.v. de initiële gegevensverzameling moeten worden gevraagd.  
2° Op het ogenblik van de gegevensverzameling door "In the pocket" bij de gemeentelijke administraties heeft eerstgenoemde de betrokkenen niet gemeld dat het hun gegevens van de gemeenschappelijke administraties had gekregen noch hoe het deze zou verwerken. De betrokkenen die in het begin niet op geïnformeerd waren, konden dan ook niet toestemmen met een dergelijke verdere verwerking, die niet meer verenigbaar is met de eerste verwerking. 
  • "In the pocket" is in overtreding m.b.t. de verplichtingen uit hoofde van de paragrafen 5.1(b), 6.4 en 14 AVG.
3° "Gloednieuw" zelf respecteert wel zijn verplichtingen die voortvloeien uit artikel 14 van de AVG, maar dit is niet voldoenden. Aangezien de gegevens verder zijn verwerkt zonder toestemming van de betrokkenen en voor doeleinden die onverenigbaar zijn met de doeleinden waarvoor zijn zijn verzameld, vormt dit in zijnen hoofde ook een inbreuk op artikel 5.1,b) en 6.4 van de AVG.
 
83. Als verwerkingsverantwoordelijke is het uw plicht om de betrokkenen te informeren, alsook om uzelf voldoende te informeren wanneer u op een onrechtstreekse manier gegevens verzamelt. Als u niet over de juiste informatie beschikt aangaande de rechtmatigheid van de initiële verwerking, kan u de betrokkenen niet naar behoren informeren, noch de verenigbaarheidstest uitvoeren, die u zou toelaten de gegevens voor uw eigen verdere verwerkingsdoeleinden te gebruiken. Het risico bestaat dus dat uw verwerkingsactiviteiten onrechtmatig zijn en er dus sancties opgelegd kunnen worden.
 
84. U mag persoonsgegevens alleen verwerken voor reële en bestaande doeleinden of, indien het om potentiële doeleinden gaat, voor doeleinden die in de nabije toekomst realistisch zijn in het licht van uw huidige activiteit. U mag bijvoorbeeld niet aangeven dat u het gegeven "geboortedatum" verzamelt "om een verjaardagscadeau te sturen" als u in werkelijkheid geen cadeau stuurt, zelfs niet “voor het geval we u een verjaardagscadeau willen sturen”, als dit niet realistisch is.
 
Definieer uw verwerkingsoperaties
 
1.          Begrip
 
Artikel 4.2 van de AVG: definitie van de verwerking van persoonsgegevens
 
"elke verwerkingshandeling of elk geheel van verwerkingshandelingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het beperken, wissen of vernietigen van gegevens."
 
85. Uw verwerking begint met het verzamelen van deze gegevens en gaat door tot deze gegevens verwijderd zijn, nadat ze zijn opgeslagen in een database of doorgegeven zijn aan derden. U verwerkt ook gegevens (bijvoorbeeld naam, voornaam, adres of e-mailadres) wanneer u uw direct marketingberichten naar de betrokkenen stuurt.
 
86. De doeleinden van de gegevensverwerking mogen niet verward worden met de verwerking zelf. Voor de voorbeelden uit overweging 77 van deze Aanbeveling zouden dit bijvoorbeeld de verwerkingsactiviteiten zijn:
  • Een profiel opstellen van bepaalde personen, door verschillende gegevens over hen te kruisen, verkregen door middel van de informatie die deze personen rechtstreeks aan uw organisatie en uw commerciële partners verstrekten, om ze te informeren over uw nieuwe producten;
  • Uw toekomstige diensten promoten door gebruik te maken van het telefoonnummer van prospecten om hen een sms te sturen;
  • Gebruikmaken van de berichtendienst van een sociaal netwerk om berichten te sturen om zo gepersonaliseerde aanbiedingen te doen voor de verjaardag van uw klanten;
  • Het e-mailadres van uw klanten gebruiken om ze op de hoogte te houden van verschillende acties, om ze uw newsletter toe te sturen;
  • Uitnodigingen versturen voor evenementen ter promotie van uw organisatie, door uw klanten per post te contacteren;
  • Nieuwe klanten, abonnees of leden werven door van deur-tot-deur te gaan (zie overweging 35 voor meer toelichting over dit onderwerp).
 
87. Net als over uw verwerkingsdoeleinden, moet u tegenover de betrokkenen ook transparant zijn over de verwerkingen die u op uw gegevens uitvoert. In de praktijk komt het er dus op neer dat u ze gedetailleerde informatie verstrekt over deze verwerkingen vooraleer u ermee aanvangt. De mate van detail hangt onder meer af van het type betrokkenen (kinderen, professionals, experts, enz.), de manier waarop hun persoonlijke gegevens verwerkt worden en de mate waarin dergelijke verwerkingen een inmenging op hun recht op privacy met zich meebrengen.
 
88. Merk op dat de precisering van de verwerkingen die u voor elk doeleinde uitvoert, u toelaat om de proportionaliteit (en dus de toelaatbaarheid) van deze verwerkingen te beoordelen in relatie tot uw doeleinden (doelstellingen). Het zal bijvoorbeeld moeilijk zijn om gegevensverwerking aan de hand van profilering te rechtvaardigen om naar al uw klanten een identieke nieuwsbrief te sturen.
 
89. Houd er bovendien rekening mee dat dezelfde gegevensverwerking soms geschiedt voor verschillende doeleinden en dat hierover dan nauwkeurige informatie moet verstrekt worden.
 
Beeld u in dat u de naam en adresgegevens van uw klanten verwerkt om hen uw maandelijkse promotieaanbiedingen toe te sturen op basis van hun voorafgaande toestemming. Als zij hun toestemming voor de verwerking van hun gegevens voor dit doel intrekken, betekent dit niet dat u hun gegevens volledig uit uw systemen moet verwijderen OP VOORWAARDE DAT u een geldige rechtsgrond heeft voor een ander doel, bijvoorbeeld het versturen van maandelijkse facturen.
 
U kunt dezelfde gegevens echter niet meer verwerken voor het verzenden van promotionele aanbiedingen. Dit betekent dat u voor dit doel deze gegevensverwerking moet stopzetten.
 
90. Vergeet ook niet om uw register van de verwerkingsactiviteiten up-to-date te houden.
 
Artikel 30 AVG
 
"Elke verwerkingsverantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. (…)"
 
Deze  verplichting  geldt  voor  organisaties  met  meer  dan  250  medewerkers  en  voor  organisaties  waarvan  de verwerking(en):
 
I.          Een risico kan/kunnen gaan vormen voor de rechten en vrijheden van betrokken personen;
II.         Niet incidenteel is/zijn;
III.       Of als de verwerking(en) vooral betrekking heeft/hebben op de bijzondere categorieën van gegevens als bedoeld in artikel 9.1, van de AVG of op gegevens die onder artikel              10 van de AVG vallen.
 
91. Dit  register  moet  het  mogelijk  maken  om  een  overzicht  te  hebben  van  uw  verwerkingen  van persoonsgegevens en ze te identificeren. Het bevat ook andere informatie zoals de persoonsgegevens of de categorieën van persoonsgegevens die u verwerkt.  Dit register moet schriftelijk (elektronisch) worden opgesteld en moet helder en begrijpelijk zijn.
 
92. Het register helpt u dus ook om de gegevens die u verwerkt nauwkeurig te inventariseren en is daarom een onmisbaar hulpmiddel om inzicht te krijgen in uw ecosysteem van de gegevensverwerkingen waarvoor u verantwoordelijk bent. Een correct bijgehouden register bespaart u dus tijd bij het nakomen van uw AVG- verplichtingen en maakt dat alle mensen die in uw organisatie werken en betrokken zijn bij de verwerking van gegevens die nuttig zijn voor uw organisatie, indien nodig geraadpleegd kunnen worden en/of geïnformeerd zijn over de verwerkingen binnen de organisatie, wat op alle niveaus ook bijdraagt tot een groter bewustzijn inzake gegevensbescherming. Het zal u ook helpen om, indien nodig, een gegevensbeschermingseffectbeoordeling op te stellen, en om samen te werken met de GBA in het geval dat die vragen heeft betreffende enkele van uw verwerkingsactiviteiten.
 
2.          Profilering
 
93. Net als voor de andere verwerkingen die regelmatig gebruikt worden voor direct marketingdoeleinden, is profilering een gegevensverwerking waarover u de betrokkenen duidelijk moet informeren. Profilering is geen doeleinde, maar wel degelijk een verwerking die wordt uitgevoerd om bepaalde doeleinden te bereiken, zoals bijvoorbeeld het verkopen van gegevens of om uw klanten leren beter te targeten.
 
Voorbeeld 16: Klanten die bestellen via de webshop van de winkel "Chic et Chok", kunnen lezen dat hun persoonsgegevens nodig zijn om "Chic et Chock" in staat te stellen een kopersprofiel op te stellen om haar klanten beter te leren kennen".
  • "Chic et Chok" wil een profiel opstellen van zijn klanten. Op deze manier gepresenteerd, suggereert het ten onrechte dat profilering een verwerkingsdoel zou zijn, terwijl profilering een verwerking is en geen doel op zich. 
 
94. Artikel 4.4 van de AVG definieert profilering als “elke vorm van geautomatiseerde  verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen”.
 
95. Aan profilering wordt bijzondere aandacht geschonken, omdat het proces ervan vaak onzichtbaar is voor de betrokkenen. Het geeft aanleiding tot het creëren van nieuwe persoonsgegevens die afgeleid zijn van gegevens die eerder rechtstreeks door deze personen zijn verstrekt, van transactiegegevens of informatie en sporen die door hen zijn achtergelaten tijdens het surfen op websites.
 
96. Profilering kan bovendien leiden tot negatieve gevolgen voor de betrokkenen omdat deze onbetrouwbaar kan zijn door bijvoorbeeld het soort informatie dat aan bepaalde categorieën van betrokkenen wordt verstrekt, te beperken of toe te spitsen (zoals politieke targeting op sociale media) en/of aanleiding kan geven tot discriminatie, bijvoorbeeld als het leidt tot een weigering van toegang tot een dienst of er getarget wordt met duurdere of zelfs financieel risicovolle producten.
 
97. Het is vanwege de bijzonderheden van deze verwerking dat de AVG specifieke aandacht schenkt aan profilering, dat in drie facetten wordt onderzocht. Het kan namelijk gaan om een algemene profilering, een besluitvorming op basis van profilering met tussenkomst van een natuurlijke persoon of een profilering die kan leiden tot een uitsluitend geautomatiseerde besluitvorming, zonder menselijke tussenkomst. De eerste twee facetten zijn als een verwerking van persoonsgegevens volledig onderworpen aan de AVG. Het derde facet is, naast de algemeen geldende regels van de AVG, onderworpen aan strengere regels die voortvloeien uit artikel 22 van de AVG.
 
98. De AVG is immers bijzonder streng wanneer de profilering de geautomatiseerde besluitvorming ten aanzien van een betrokkene zonder tussenkomst van een natuurlijke persoon, mogelijk maakt. Zo bepaalt artikel 22 van de AVG dat elke betrokkene het recht heeft om zich te verzetten tegen het worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.
 
Als u uitsluitend op basis van een geautomatiseerde verwerking een besluit wilt vormen, let dan op dat u een uitdrukkelijke toestemming van de betrokken persoon krijgt. U bent ook verplicht om de persoon de gelegenheid te bieden zijn of haar standpunt kenbaar te maken en, indien nodig, de aldus genomen beslissing aan te vechten. Wees u er ook van bewust dat u de uitdrukkelijke toestemming van de betrokkene moet krijgen als u van plan bent een geautomatiseerd besluit te nemen op basis van de in artikel 9 van de AVG bedoelde gegevens (tenzij de verwerking noodzakelijk is om redenen van zwaarwegend algemeen belang). Let er ook op dat een dergelijke verwerking geen betrekking mag hebben op speciale categorieën van gegevens, zoals bedoeld in artikel 9 van het AVG, tenzij de uitdrukkelijke toestemming van de betrokkene specifiek voor dat doel wordt verzameld. Tot slot moet u passende maatregelen nemen om ervoor te zorgen dat de fundamentele rechten en vrijheden en de belangen van de betrokkenen worden gewaarborgd.
 
99. Direct marketing kan in bepaalde situaties beslissingen voortbrengen die uitsluitend gebaseerd zijn op een geautomatiseerde verwerking "waaraan voor een natuurlijke persoon rechtsgevolgen zijn verbonden of wat hem anderszins in aanmerkelijke mate treft”. De EDPB geeft aan dat dit afhankelijk van de specifieke kenmerken van de situatie het geval kan zijn, waaronder:
  • Het intrusieve karakter van het profileringsproces, met inbegrip van het volgen van mensen op verschillende websites, apparaten en diensten;
  • De verwachtingen en wensen van de betrokkenen;
  • De manier waarop de advertentie wordt verspreid; of
  • Het gebruik van bekende kwetsbaarheden van de betrokkenen.
 
100.     De EDPB herinnert er ook aan dat "Verwerking die personen in het algemeen weinig treft, kan bepaalde groepen van de maatschappij, zoals minderheden of kwetsbare volwassenen, mogelijk in aanmerkelijke mate treffen” en dat “verschillende prijzen gebaseerd op persoonsgegevens of persoonlijke kenmerken kan personen ook in aanmerkelijke mate treffen als, bijvoorbeeld, extreem hoge prijzen iemand feitelijk de toegang tot bepaalde goederen of diensten blokkeren.”
 
Voorbeeld 17: Het bedrijf "Alleswetend of bijna" verkoopt aan het bedrijf "Toutassurix", een verzekeringsmaatschappij, profielen van personen zonder hun toestemming of zonder de onderliggende gegevens te kennen. De profielen classificeren de consumenten in categorieën met kwalificaties als "tweede generatie etnisch profiel: reist vaak", "jong huishouden: gemotoriseerd", "groot gezin: moeilijk rond te komen", of een notitie die de nadruk legt op de gezinssituatie en/of financiële kwetsbaarheid van de betrokkenen. 
'"Toutassurix" heeft verschillende verzekeringsproducten, maar wil een voorselectie maken en bepaalde producten en/of voorwaarden voor bepaalde categorieën van klanten reserveren. Zij stuurt daarom informatie over haar verzekeringsproducten per e-mail naar haar bestaande klanten, onder verschillende voorwaarden, op basis van deze min of meer door Alleswetend opgestelde profielen. De bestaande verschillen tussen de verschillende producten en voorwaarden van "Toutassurix" zijn groot en kunnen aanzienlijke financiële gevolgen hebben, het kan zelfs onmogelijk zijn er een beroep op te doen, omdat men dan in de schulden raakt, terwijl er andere oplossingen bestaan.
Alle beslissingen die "Toutassurix" genomen heeft met betrekking tot de inhoud van de berichten aan de betrokkenen zijn uitsluitend gebaseerd op een geautomatiseerde verwerking, aangezien geen van de medewerkers van "Toutassurix" de profielen of de klantendossiers heeft gecontroleerd en/of aangepast alvorens de e-mails te versturen. 
  • "Toutassurix" moet vooraf de uitdrukkelijke toestemming van haar klanten vragen voor dergelijke gegevensverwerking;
  • De klanten van "Toutassurix" moeten kunnen begrijpen waarom hen dergelijke producten worden aangeboden en ze moeten kunnen vragen dat voorstellen opnieuw worden geëvalueerd, waarbij rekening wordt gehouden met andere elementen, of zelfs om de voorstellen te verbeteren op basis waarvan de profielen werden gevormd. Ze moeten ook dergelijke beslissingen kunnen weigeren. 
 
101.     Profilering en zuiver geautomatiseerde besluitvorming zijn echter niet noodzakelijk met elkaar verbonden. Een geautomatiseerde beslissing kan namelijk genomen worden zonder profilering en een profilering kan uitgevoerd worden zonder dat dit tot een geautomatiseerde beslissing leidt. In het algemeen vereist een gegevensverwerking door middel van profilering dat u bijzondere aandacht besteedt aan het aantal en het type gegevens dat gebruikt wordt, het proces zelf, alsook de bronnen waaruit de gegevens afkomstig zijn. Dus zelfs als de profilering die u toepast op persoonsgegevens niet leidt of niet bedoeld is om te leiden tot een geautomatiseerd besluit, is een dergelijke gegevensverwerking door middel van profilering volledig onderworpen aan de regels van de AVG. U moet erop letten dat u tegenover de betrokkenen specificeert op welke manier ze geprofileerd zullen worden en waarom (artikelen 13 en 14 AVG).
 
102.     Onthoud tot slot dat als u niet in staat bent om u te vergewissen van de herkomst van de profielen die u gebruikt, noch van de informatie die hierover aan de betrokkenen werd verstrekt, het beter is om deze persoonsgegevens niet te verwerken, teneinde elk risico te vermijden.
 
Identificeer  de  gegevens  die  nodig  zijn  bij  het  nastreven  van  uw doeleinden
 
1.          Het begrip « persoonsgegeven »
 
Artikel 4.1 AVG
"Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als ‘identificeerbaar’ wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon"
 
103.     De  termen  “geïdentificeerd”  en  “identificeerbaar”  zijn  cruciaal  om  te  begrijpen  wat  een persoonsgegeven is. Terwijl gegevens die toelaten een persoon direct te identificeren vaak evident zijn (bijvoorbeeld een combinatie van achternaam, voornamen en adres of geboortedatum of een uniek identificatienummer, zoals een klantnummer), is het soms moeilijker om te weten wat moet worden verstaan onder "gegevens waardoor een persoon indirect geïdentificeerd kan worden" (bijvoorbeeld gepseudonimiseerde gegevens).
 
104.     Elk stuk informatie dat gekoppeld is aan een persoon, hoe gering het voor u ook lijkt als u het op zichzelf beschouwt (bijvoorbeeld een leeftijd, een woonplaats, de kleur van de ogen of het geslacht, of zelfs een registratienummer), is een persoonsgegeven van zodra het in combinatie met een of meer andere gegevens een natuurlijke persoon kan identificeren, individualiseren. Zodoende is de AVG van toepassing op persoonsgegevens die gepseudonimiseerd zijn. In principe kunnen gepseudonimiseerde gegevens niet langer aan een specifieke betrokkene worden toegeschreven zonder gebruik te maken van aanvullende informatie en op voorwaarde dat deze informatie afzonderlijk wordt bewaard en dat er technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de gegevens niet aan een geïdentificeerde of identificeerbare persoon kunnen worden toegeschreven. Gepseudonimiseerde gegevens vallen daarom onder de definitie van persoonsgegevens en dus ook onder de AVG, voor zover ze kunnen leiden tot het identificeren van een persoon.
 
105.     Zogenaamde "geanonimiseerde" gegevens worden daarentegen niet als persoonsgegevens beschouwd, omdat een persoon identificeren met dergelijke gegevens niet mogelijk mag zijn, zelfs niet met behulp van aanvullende informatie. Hoewel de AVG om deze reden nog steeds de zogenaamde "anonieme" gegevens van zijn toepassingsgebied uitsluit, blijkt de grens tussen beide aanzienlijk smaller te worden.
 
Wist U dat:
 
Een onderzoek uitgevoerd door een onderzoeksteam van de Katholieke Universiteit Leuven en de Imperial College London, toont aan dat het mogelijk is om natuurlijke personen te identificeren op basis van 4 "geanonimiseerde" gegevens van hun bankverrichtingen, met een zekerheidsgraad van 90%, door het toepassen van een bepaald algoritme.
 
Op basis van de waarschijnlijkheid en de statistische correlaties die worden toegepast op de metagegevens van de banktransacties, is het dus mogelijk om met quasi zekerheid een persoon te identificeren die naar een doe-het-zelfzaak is geweest, vervolgens naar zijn of haar gymzaal, voordat hij of zij naar een restaurant gaat, en die de dag beëindigt door naar de bioscoop te gaan.
 
Voor meer informatie over deze studie:
 
106.     Wat geldt voor gegevens die als "anoniem" worden beschouwd, geldt a fortiori voor persoonsgegevens. Het koppelen van bepaalde persoonsgegevens (zoals leeftijd, woonplaats, geslacht en kleur van de ogen) maakt het mogelijk om personen te identificeren die met u in contact staan, zoals bijvoorbeeld klanten, prospecten, abonnees of kiezers.
 
107.     Onthoud tot slot dat enkel gegevens van levende natuurlijke personen persoonsgegevens zijn.
 
2.          Principe van gegevensminimalisatie
 
Artikel 5.1, c) AVG
"Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt minimale gegevensverwerking."
 
108.     Een van uw eerste taken als verwerkingsverantwoordelijke is het doornemen van de persoonsgegevens en/of categorieën van persoonsgegevens waarover u beschikt. Het minimalisatieprincipe naleven is cruciaal indien u ervoor wil zorgen dat uw verwerkingsactiviteiten in overeenstemming zijn met de AVG.
 
109.     Deze oefening moet permanent in uw werkzaamheden geïntegreerd zijn en maakt deel uit van wat men “privacy by design” noemt, een basisprincipe van de nieuwe regelgeving en essentieel in het licht van het overkoepelende principe van “accountability” (verantwoordingsplicht).
 
110.     Dit houdt in dat u een beoordeling uitvoert van de gegevens die u wil verzamelen of waarover u al beschikt: zijn ze toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden die u nastreeft en van de verwerkingen die u op deze gegevens plant uit te voeren. Deze analyse kan alleen uitgevoerd worden indien u van tevoren alle gegevens die u verwerkt, hebt vastgelegd, alsook de doeleinden die u met behulp van deze gegevens wil bereiken.
 
111.     De commerciële mogelijkheden die de massale verzameling van gegevens, maar ook door hun profilering of door goedkopere opslagkosten bieden, kunnen u ten onrechte aanmoedigen om meer persoonsgegevens te verzamelen dan u werkelijk nodig hebt, voor het geval dit in de toekomst van pas zou komen.
 
Het gaat er niet om zoveel mogelijk gegevens te verzamelen, te genereren of op te slaan, omdat het technisch "mogelijk" is. Het is een kwestie van het verzamelen, genereren of opslaan van alleen die gegevens die u echt nodig hebt om uw bestaande of toekomstige doeleinden uit te voeren, zolang ze maar realistisch zijn op de korte termijn.
 
112.     Dit minimalisatieprincipe opgelegd door de AVG kan ook een hulpmiddel zijn om uw eigen direct marketingbehoeften te perfectioneren. Door gebruik te maken van relevante gegevens, verbetert u de kwaliteit van uw werking. U verbetert zo ook de kwaliteit van uw interacties met uw klanten, abonnees of anderen, en daarmee ook uw imago.
 
113.     Het minimalisatieprincipe vereist in het bijzonder dat de bewaartermijn voor gegevens tot het strikte minimum wordt beperkt.
 
Artikel 5.1, e) van de AVG
 
Dit artikel verduidelijkt het beginsel van de beperking van de gegevensbewaring door te bepalen dat gegevens in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verwerkt.
 
114.     Uw gegevens kennen betekent ook dat u gegevens kan identificeren die behoren tot de specifieke categorieën die zijn vastgelegd in artikel 9 en 10 van de AVG of die verbonden zijn aan kwetsbare personen, zoals gegevens die betrekking hebben op minderjarigen of personen die niet over de nodige competentie beschikken om bepaalde handelingen te verrichten.
 
Artikel 9.1 AVG stelt het principiële verbod op verwerking van gegevens die tot de volgende categorieën behoren
"persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijkt, alsmede de verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een natuurlijke persoon, gegevens over de gezondheid of gegevens over het seksuele leven of de seksuele geaardheid van een natuurlijke
 
115.     Als u de toestemming van de betrokkenen hebt om bepaalde specifieke categorieën van gegevens te verwerken, is dit niet zonder gevolgen voor de organisatie van uw activiteit. U zal namelijk waarschijnlijk een functionaris voor gegevensbescherming moeten aanstellen en een gegevensbeschermingseffectbeoordeling moeten uitvoeren.
 
116.     Opgelet, zelfs al kunnen bepaalde gegevens u op het eerste gezicht “eenvoudige” persoonsgegevens lijken die niet rechtstreeks onder de categorie van gegevens in artikel 9 van de AVG vallen, zoals gegevens met betrekking tot leefgewoonten, gegevens betreffende sportieve prestaties of voedingsvoorkeuren, kunnen dit gevoelige gegevens blijken te zijn, omdat ze mogelijks heel wat informatie over de betrokkene kunnen onthullen. Voedingsgewoonten kunnen immers gezondheidsproblemen of filosofische of religieuze overtuigingen aantonen. Sportgegevens kunnen ook gevoelig worden wanneer ze als gezondheidsgegevens worden verwerkt. In geval van twijfel is het beter om waakzaam te zijn en dit soort gegevens te beschouwen als gegevens die onder artikel 9 van de AVG vallen.
 
117.     Een van de manieren om te voorkomen dat gevoelige gegevens worden verwerkt die u niet nodig zou hebben of waarvoor u geen toestemming hebt, is: vermijden dat u er expliciet naar vraagt, de mogelijkheden beperken om tekst in vrije velden in te voeren en uw opslagruimten zoals uw databases te bewaken om deze gevoelige gegevens zo goed mogelijk te beheren, en indien nodig snel te verwijderen.
 
3.          Houd de controle over uw gegevensbeheer
 
118.     Artikel 25 van de AVG legt de basisprincipes van de gegevensbescherming vast “door ontwerp” (privacy by design) en “door standaardinstellingen” (privacy by default).
 
119.     Rekening houdend met de bestaande technologieën en mogelijkheden, de financiële en menselijke middelen waarover u beschikt, moet u de bescherming van de gegevens waarborgen vanaf het conceptie van uw verwerkingen en uw verwerkingsmiddelen, door middel van passende technische (bijvoorbeeld de pseudonimisering van persoonsgegevens) en organisatorische maatregelen om de mogelijke risico’s in te perken die uw verwerkingen op basis van hun specifieke kenmerken met zich mee kunnen brengen (door rekening te houden met het aantal en het type persoonsgegevens, uw verwerkingsactiviteiten zelf, de bewaartermijn, de personen die toegang hebben tot de gegevens enz.).
 
120.     Privacy by design betekent dat u al voor aanvang van uw verwerkingsactiviteiten de beginselen inzake gegevensbescherming (die opgenomen zijn in artikel 5 van de AVG) integreert, alsook de vrijheden en fundamentele rechten van de betrokkenen, waaronder de rechten waarover ze beschikken in overeenstemming met artikelen 12 tot 22 van de AVG.
 
121.    Het is in dit verband belangrijk dat u een duidelijk zicht hebt op de verschillende middelen en modaliteiten van gegevensopslag die u gebruikt, zoals bijvoorbeeld uw databases, zodat u de persoonlijke gegevens waarover u beschikt, zorgvuldig kan beheren. Deze gegevens worden vaak gekopieerd en verspreid in verschillende systemen binnen uw organisatie of bij uw verwerkers. Hoewel het maken van backups moet worden aangemoedigd om gegevensverlies te voorkomen, worden door de vermenigvuldiging van kopieën van deze gegevens in verschillende systemen, databases en toepassingen de risico’s onnodig groter en het belet u het overzicht behoudt van deze gegevens en dus van de mensen op wie ze betrekking hebben.
 
Artikel 25.2 van de AVG (Privacy by default)
 
"De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Dit geldt voor de hoeveelheid verzamelde persoonsgegevens, de reikwijdte van de verwerking ervan, de duur van de opslag en de toegankelijkheid ervan. Deze maatregelen zorgen er met name voor dat gegevens niet standaard toegankelijk worden gemaakt voor een onbepaald aantal natuurlijke personen zonder tussenkomst van de betrokken natuurlijke persoon."
 
122.     U moet ervoor zorgen dat er niet meer gegevens verzameld worden dan nodig en u moet instaan voor de kwaliteit van de gegevens waarover u beschikt. Met nauwkeurige en geactualiseerde gegevens hebt u een betere greep op de verwerkingen van deze gegevens, wat ze doeltreffender maakt, en brengt u ze ook in overeenstemming met de AVG.
 
Artikel 5.1, d) van de AVG
De persoonsgegevens moeten "nauwkeurig zijn en zo nodig worden bijgewerkt; alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onnauwkeurig zijn, onverwijld worden gewist of gecorrigeerd."
 
123.     Merk in dit verband op dat artikel 5ter van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen onder bepaalde strikte voorwaarden toestaat aan meerderjarige personen die met instellingen een contractuele relatie onderhouden, en waarvan de uitvoering opeenvolgende prestaties vereist, toestaat onder strikte voorwaarden toelating te geven aan deze organisaties om informatie te ontvangen van de diensten van het Rijksregister over wijzigingen die aan hun gegevens werden aangebracht. Neem deze bepaling en de bijbehorende toepassingsvoorwaarden zorgvuldig door, zodat u er indien nodig gebruik van kan maken.
 
124.     U bent in het bijzonder gebonden aan de opslagbeperking van gegevens: gegevens mogen niet langer verwerkt worden dan noodzakelijk voor de verwezenlijking van de doeleinden. Door uw databases correct te beheren, kan u snel gegevens identificeren die achterhaald zijn of niet meer verwerkt mogen worden, bijvoorbeeld omdat een persoon zich heeft verzet of zijn toestemming heeft ingetrokken.
 
Wist U dat:
De  Deense  Autoriteit  voor  gegevensbescherming heeft  IDdesign  een  boete  van  1,5  miljoen  DKK  (meer  dan 200.000 euro) opgelegd voor het niet verwijderen van gegevens van ongeveer 385.000 klanten.
 
Een van de kwesties die tijdens het bezoek van de Autoriteit aan hun kantoren werden besproken, was de vraag of het bedrijf termijnen had vastgesteld voor het verwijderen van klantgegevens en of deze termijnen in acht waren genomen. Tijdens de inspectie werd vastgesteld dat sommige meubelzaken van het bedrijf een ouder systeem gebruikten, dat in de andere winkels was vervangen door een nieuwer systeem. In het oude systeem werd informatie over de namen, adressen, telefoonnummers, e-mailadressen en aankoopgeschiedenis van zo'n 385.000 klanten verzameld. Tijdens de controle verklaarde IDdesign ook dat er nooit persoonlijke gegevens uit het oude systeem waren verwijderd.
 
IDdesign gaf niet aan wanneer de persoonsgegevens in het oude systeem niet meer nodig waren voor de doeleinden van de verwerking en preciseerde dus ook niet binnen welke termijn de in het systeem verwerkte persoonsgegevens moesten worden gewist.
 
De Autoriteit voor gegevensbescherming is daarom van mening dat IDdesign niet heeft voldaan aan de gegevensbeschermingsvoorschriften van de AVG door persoonsgegevens langer dan nodig te verwerken.
 
 
125.     Het beheren van uw opslagruimte betekent ook dat u "gevoelige" gegevens van anderen kunt scheiden zodat u passende beveiligingsmaatregelen kunt treffen. Het stelt u ook in staat om specifiek voor gevoelige gegevens na te gaan en te bepalen op welke rechtsgrond vermeld in artikel 9.2 van de AVG u uw verwerking baseert.
 
126.     Dit stelt u ook in staat om, indien nodig, de databases met klanten/leden/abonnees te scheiden van die met “prospecten”, maar ook om de uitoefening van de rechten van de betrokkenen efficiënt te beheren, zoals bijvoorbeeld het intrekken van de toestemming of het recht om bezwaar te maken tegen de verwerking van hun gegevens voor uw direct marketingdoeleinden (zie overwegingen 127, 131, 161 tot 166, 215 en 238).
 
Wist U dat:
 
De Griekse gegevensbeschermingsautoriteit heeft een geldboete opgelegd aan een telecomoperator wegens niet- naleving van het recht van verzet en het beginsel van privacy by design met betrekking tot de opslag van de persoonsgegevens van zijn abonnees.
 
Uit onderzoek naar aanleiding van talrijke klachten van bestemmelingen van direct marketingberichten van deze operator bleek dat hun verzet tegen de verwerking van hun gegevens voor dergelijke doeleinden nooit werd verwerkt vanwege een technische fout.
 
De telecomoperator beschikte niet over passende organisatorische maatregelen, d.w.z. een specifieke procedure waardoor hij kon vaststellen dat het recht van verzet van de betrokkene niet effectief kon worden uitgeoefend.
 
Vervolgens heeft de operator ongeveer 8.000 mensen uit de bestemmelingen van zijn berichten verwijderd, die sinds 2013 tevergeefs hadden geprobeerd gebruik te maken van hun recht van verzet. De Autoriteit heeft een schending vastgesteld van het recht om bezwaar te maken tegen de verwerking voor direct marketing (artikel 21, lid 3, van de AVG) en van artikel 25 (gegevensbescherming by design) van de AVG en heeft op basis van de criteria van artikel 83, lid 2, van de AVG een administratieve geldboete van 200.000 EUR opgelegd.
 
 
127.     Zorg er ook voor dat u in uw databanken regelmatig, automatisch indien technisch mogelijk, uw lijsten integreert en bijwerkt, zoals de  https://www.dncm.be/nl/staat-mijn-nummer-op-de-bel-me-niet-meer-lijst die specifiek is opgesteld om mensen de mogelijkheid te geven niet telefonisch benaderd te kunnen worden voor direct marketing doeleinden.
 
128.   Als u meer wil weten over de maatregelen die van toepassing zijn in het kader van gegevensbescherming “by design” en “by default”, raadpleeg dan de richtljinen die de EDPB over dit onderwerp heeft aangenomen.
 
Controleer of u over een rechtsgrond beschikt
 
1.          Waarom een rechtsgrond?
 
129.      Verwerking van persoonsgegevens is enkel toegestaan als die gebaseerd is op een van de zes rechtsgronden voorzien in artikel 6 van de AVG. U kan geen gegevens verwerken zonder rechtsgrond, u moet er dus voor zorgen dat u er één hebt vooraleer u met uw verwerking aanvangt.
 
130.     Het is ook van essentieel belang dat u zich afvraagt wat uw rechtsgrond is, aangezien de voorwaarden van elk van de rechtsgronden voorzien in artikel 6 van de AVG, verschillend zijn.
 
131.     De rechtsgrond heeft gevolgen voor de rechten van de betrokkenen, waarvan u de bijzonderheden moet kennen, niet alleen om hen correct te kunnen informeren, maar ook om de effectieve uitoefening van hun rechten te waarborgen.
 
132.    Houd er ten slotte rekening mee dat bepaalde specifieke wetgeving vereist dat u een of andere rechtsgrond gebruikt om een bepaalde verwerking te onderbouwen. Voor wat betreft commerciële prospectie in elektronische vorm, vereist de e-Privacy-richtlijn, als algemene regel, de toestemming van de betrokkenen, maar staat zij bij wijze van uitzondering en onder bepaalde voorwaarden het gebruik van de zogenaamde "soft opt-in" toe, wat een afgezwakte toepassing is van de rechtsgrond gerechtvaardigd belang.
 
133.     Afgezien van de zeer specifieke gevallen waarin deze mogelijke wetten voorzien, is er geen enkele “automatische” rechtsgrond. U moet rekening houden met de context van de verwerking die u wil uitvoeren.
 
2.          Is het mogelijk om de rechtsgrond te wijzigen ?
 
134.     De rechtsgrond kan niet gewijzigd worden tijdens de verwerking. Dit betekent dat als u aangeeft dat u over een ongeschikte rechtsgrond beschikt, of dat deze “vervalt” omdat de voorwaarden ervan niet of niet meer vervuld zijn, de verwerking niet langer kan worden voortgezet.
 
135.     Indien een verwerking bijvoorbeeld gebaseerd is op toestemming, moet u, van zodra de persoon zijn toestemming intrekt, alle gegevensverwerkingen die op deze rechtsgrond gebaseerd zijn, stopzetten, tenzij u dezelfde gegevens blijft verwerken in het kader van een ander doeleinde waarvoor u een andere geldige rechtsgrond hebt.
 
136.     Het is ook niet mogelijk om twee rechtsrechtsgronden te hebben voor hetzelfde verwerkingsdoeleinde, noch om van de ene naar de andere te wisselen. U moet een keuze maken en zich daaraan houden.
 
Uitzondering: de toestemming verkregen in het kader van richtlijn 95/46/CE
Toen de AVG in werking trad, werden veel verantwoordelijken voor de verwerking van gegevens die actief zijn op het gebied van direct marketing en die hun gegevensverwerking baseren op toestemming, geconfronteerd met een specifieke situatie. Aangezien de AVG de voorwaarden voor de geldigheid van de toestemming had aangescherpt, was het niet langer mogelijk om op basis van eerder verkregen toestemming persoonsgegevens voor direct marketingdoeleinden te verwerken, tenzij die toestemming eerder was verkregen in overeenstemming met de eisen van de AVG.
 
Indien dit niet het geval is, dan bieden de richtlijnen van WP259 inzake toestemming in de zin van Verordening 2016/679, aangenomen op 28 november 2017 door de G29 en herzien op 10 april 2018 en vervolgens bevestigd door de EDPB tijdens zijn eerste plenaire zitting, de verwerkingsverantwoordelijken de mogelijkheid om, indien nodig, de rechtsgrond tijdens de verwerking te wijzigen. (Zie hiervoor pagina 36 van de hierboven genoemde richtlijnen)
 
De verwerkingsverantwoordelijken kunnen dus ofwel de eerder verkregen toestemming verlengen door een nieuwe toestemming aan te vragen overeenkomstig de vereisten van de AVG, ofwel de verwerkingen op een andere rechtsgrond baseren en er tegelijkertijd voor zorgen dat de aldus nagestreefde verwerkingsactiviteiten in overeenstemming zijn met de beginselen van billijkheid en verantwoordelijkheid.
 
Het merendeel van de verwerkingsverantwoordelijken die actief zijn op het gebied van direct marketing hebben ervoor gekozen de betrokkenen opnieuw om toestemming te vragen om ervoor te zorgen dat de nieuwe toestemming voldoet aan de eisen van artikel 7 van het AVG. Anderen hebben gekozen voor de voortzetting van hun verwerkingsactiviteiten op basis van gerechtvaardigd belang en hebben daarom onder meer hun klanten alle nodige informatie over de verwerking van hun gegevens verstrekt en hen in de gelegenheid gesteld zich onmiddellijk tegen een dergelijke verwerking te verzetten.
 
In dit verband hebben sommigen gebruik gemaakt van de "soft opt-in"-uitzondering van de ePrivacy-richtlijn. Deze uitzondering is alleen geldig voor mededelingen aan klanten en dit uitsluitend in het kader van elektronische communicatie voor de promotie van goederen of diensten die vergelijkbaar zijn diegene die deze klanten al hebben aangeschaft.
 
3.          Welke rechtsgrond voor direct marketingverwerkingen?
 
137.     Zoals vermeld in overweging 132, wordt in bepaalde specifieke wetten de rechtsgrond gespecificeerd waarop de verwerkingsverantwoordelijken zich moeten baseren om gegevens te mogen verwerken. Het is dus uw verantwoordelijkheid om na te gaan of u op basis van een specifieke wet verplicht bent een specifieke rechtsgrond te gebruiken. Wanneer u persoonsgegevens vermeld in artikel 9 van de AVG verwerkt, moet u bovendien kunnen aantonen dat uw gegevensverwerking gebaseerd is op een van de rechtsgronden vermeld in artikel 9.2 van de AVG. Let er ook op dat gegevens die onder artikel 10 van de AVG vallen, alleen onder de in dat artikel vastgestelde voorwaarden mogen worden verwerkt.
 
138.     Vergeet niet om in ieder geval, om overeenkomstig de vereisten van artikel 13 of artikel 14 van de AVG, de betrokkenen te informeren over de rechtsgrond van uw verwerkingen. Op welke rechtsgrond u zich ook baseert, u dient deze aan de betrokkenen mee te delen.
 
139.      Er bestaat geen hiërarchie tussen de rechtsgronden die de AVG voorziet. Het is aan u om aan te tonen dat uw verwerking geldig gebaseerd is op de rechtsgronden die zijn vastgelegd in artikel 6 van de AVG (en artikel 9.2 van de AVG, indien van toepassing). Sommige rechtsgronden zijn meer aangepast dan andere aan de realiteit van de verwerking van persoonsgegevens voor direct marketingdoeleinden. Voor andere rechtsgronden kan het moeilijk zijn om ze geldig toe te passen gelet op de voorwaarden die eraan verbonden zijn. Dit is met name het geval voor de rechtsgrond "de overeenkomst” zoals bepaald in artikel 6.1, b) van de AVG. Deze rechtsgrond vereist dat de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst afgesloten met de betrokkene of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen om van toepassing te zijn.
 
140.     Het fundamentele begrip waarmee rekening moet worden gehouden bij het onderzoek naar een mogelijk gebruik van deze rechtsrechtsgrond, is dat van "noodzaak". Om gestoeld te kunnen zijn op een overeenkomst, moet de gegevensverwerking strikt noodzakelijk zijn voor de uitvoering van deze overeenkomst, of voor de maatregelen voorafgaand aan de overeenkomst waar de betrokkene om gevraagd heeft. Om de rechtsgrond “de overeenkomst” te gebruiken, moeten het voorwerp, de inhoud en het hoofddoel van deze overeenkomst specifiek gedefinieerd worden. Dit betekent ook dat elke gegevensverwerking die niet strikt noodzakelijk is voor de verwezenlijking van dit doel, niet op deze rechtsgrond gebaseerd kan worden.
 
141.     In zijn advies over de rechtsgrond “de overeenkomst” herinnert de EDPB eraan dat een overeenkomst de categorieën van gegevens of het soort verwerkingsoperaties die nodig zijn voor de uitvoering van de overeenkomst waarbij de betrokkene partij is, niet kunstmatig mag uitbreiden, en dat hetgeen onder een overeenkomst valt, niet enkel afhangt van het perspectief van de verwerkingsverantwoordelijke, maar ook van de redelijke verwachtingen van de betrokkene. Gezien de extreme precisie van deze rechtsgrond, is de toepassing ervan dan ook zeer beperkt.
 
Voorbeeld 18: Mevrouw Latige bestelt 2 zakken potgrond en 6 potten geraniums op de website van "De Groene Vinger". Ze wil deze thuis laten bezorgen en betalen met creditcard. Om het contract van levering aan huis te kunnen uitvoeren, moet u haar gegevens "naam, voornaam, adres en bankgegevens" verkrijgen. 
  • Deze gegevens zijn noodzakelijk voor de uitvoering van het contract
Als De Groene Vinger ook vraagt om gegevens met betrekking tot geboortedatum en haar voorkeur wat betreft de kleur van bloemen, zijn deze gegevens niet nodig voor de uitvoering van het contract.
 
142.     Er moet in het bijzonder rekening gehouden worden met het specifieke voorwerp en de context van de overeenkomst tussen de verwerkingsverantwoordelijke en de betrokkene. Het is deze specificiteit die inherent is aan contractuele relaties die de mogelijkheid beperkt om de rechtsgrond van artikel 6.1, b) te gebruiken voor direct marketingdoeleinden, behalve in eventuele gevallen waarin de overeenkomst tussen de betrokkene en een organisatie precies en uitsluitend tot doel heeft om direct marketingberichten te ontvangen en de verstrekte persoonsgegevens dus enkel voor dit doeleinde verwerkt zouden worden.
 
143.     Wanneer een andere dienst kan geleverd worden buiten de gegevensverwerking die noodzakelijk is voor de uitvoering van de overeenkomst, dan moet deze andere dienst een andere rechtsgrond hebben.
 
Voorbeeld 18bisMevrouw Latige vraagt om haar bestelling van potgrond en bloempotten bij haar thuis te bezrogen en geeft haar contactgegevens door zodat ze haar bestelling kan ontvangen. De week daarop vond ze in haar brievenbus de herfst-wintercatalogus van "De Groene Vinger" en een "niuewsbrief" van een van haar zusterbedrijven, dat zich bezighoudt met tuinonderhoud.
  • De verwerking van de gegevens van mevrouw Latige om haar de catalogus toe te sturen of om ze door te geven aan commerciële partners was niet nodig voor de uitvoering van het contract voor de levering van haar bestelling.
  • Om het goed te doen, had het bedrijf moeten anticiperen en had:
    • Ofwel toestemming moeten vragen aan mevrouw Latige, conform de vereisten van in artikel 7 van de AVG;
    • Ofwel moeten aangeven dat haar gegevens verwerkt zouden kunnen worden voor de verzending van informatie over vergelijkbare producten van "De Groene Vinger", om haar de mogelijkheid te bieden hier bezwaar tegen te maken.
  • In het andere geval zal de verwerking van de gegevens van mevrouw Latige voor deze verdere verwerking de compatibiliteitstest van artikel 6, lid 4, van de AVG moeten doorstaan.
  • In beide gevallen had mevrouw Latige kwaliteitsvolle informatie moeten krijgen waaruit blijkt dat De Groene Vinger haar persoonlijke gegevens verwerkt om haar de productcatalogus toe te sturen en dat zij haar gegevens doorgeeft aan zakenpartners van "De Groene Vinger" zodat ook deze haar promotionele mededelingen, zoals nieuwsbrieven, kunnen toesturen.
 
4.          Gerechtvaardigd belang
 
Voordat u onderzoekt hoe de rechtsgrond gerechtvaardigd belang werkt, moet u onderzoeken of u al dan niet onder de toepassing van een speciale wet valt die u belet ervan gebruik te maken. Ter herinnering, wanneer u ongevraagde direct marketingberichten elektronisch verstuurd, ook via geautomatiseerde oproep- en communicatiesystemen zonder menselijke tussenkomst (automatische oproepapparaten), faxapparaten of elektronische post, voor commerciële doeleinden, moet u voorafgaande toestemming hebben gekregen van abonnees of gebruikers (artikel 13.1 van de e-Privacy richtlijn).
Artikel 13, lid 2, van deze richtlijn voorziet echter in een zogenaamde "soft opt-in"-uitzondering voor elektronische post (gedefinieerd als: elk bericht in de vorm van tekst, spraak, geluid of beeld dat via een openbaar communicatienetwerk wordt verzonden en dat in het netwerk of de eindapparatuur van de ontvanger kan worden opgeslagen totdat de ontvanger het ophaalt) met het oog op direct marketing, gericht aan bestaande klanten of abonnees van wie een organisatie de elektronische contactgegevens heeft verkregen in het kader van de verkoop van een product of dienst op zichzelf. In dit verband is deze organisatie gemachtigd om aan deze categorieën personen elektronische post te sturen met het oog op direct marketing van soortgelijke producten of diensten die zij levert, op voorwaarde dat deze klanten duidelijk en uitdrukkelijk de mogelijkheid wordt geboden om kosteloos en op eenvoudige wijze bezwaar te maken tegen een dergelijk gebruik van elektronische contactgegevens op het moment dat zij worden verzameld en op het moment van elk bericht, indien zij een dergelijk gebruik niet van meet af aan hebben geweigerd.
Deze regels gelden alleen in deze specifieke context en uitsluitend in deze. Indien u gebruik wenst te maken van deze uitzondering, dient u zich te houden aan al haar voorwaarden.
De  uiteengezette  beginselen  zijn  ook  nuttig  voor  de  analyse  van  de  rechtsgrond  van  het gerechtvaardigd belang van de verwerkingsverantwoordelijken die er een beroep op wensen te doen   zonder   dat   zij   zich   in   situaties  van   gegevensverwerking  begeven   die   onder   het toepassingsgebied van de e-Privacy-richtlijn vallen.
 
Artikel 6.1, f) van de AVG
De verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
 
a.  Beoordeling van gerechtvaardigd belang
144.     Deze rechtsgrond moet op drie aspecten worden onderzocht:
Ten eerste is het essentieel dat de belangen die u als verwerkingsverantwoordelijke nastreeft, of die van derden aan wie u de gegevens wenst door te geven, als gerechtvaardigd worden erkend(a.1).
Ten tweede moeten de beoogde verwerkingen noodzakelijk zijn voor de verwezenlijking van deze belangen (a.2).
Ten derde moet de afweging van deze belangen ten opzichte van de belangen, fundamentele vrijheden en grondrechten van de betrokkenen doorwegen in het voordeel van de verwerkingsverantwoordelijke zijn (a.3).
 
a.1. Identificatie van uw gerechtvaardigd(e) belang(en)
145.     Overweging 47 van de AVG biedt een antwoord en stelt dat “de verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.”
146.     Zonder dit uitdrukkelijk te zeggen, maakt deze stelling het in ieder geval mogelijk om direct marketing te beschouwen als een doel dat als gerechtvaardigd in de zin van artikel 6.1, f) van de AVG kan beschouwd worden. Deze bepaling betekent echter niet dat elke verwerking van persoonsgegevens voor prospectiedoeleinden als gerechtvaardigd beschouwd kan worden. Het wordt enkel niet principieel uitgesloten, het blijft mogelijk.
 
a.2. Zijn uw verwerkingen noodzakelijk voor de verwezenlijking van de doeleinden die in het kader van uw gerechtvaardigd(e) belang(en) worden nagestreefd?
147.     Stel uzelf de vraag of u met andere middelen die u ter beschikking heeft, hetzelfde resultaat zou bereiken voor uw activiteiten zonder de verwerking van persoonsgegevens of zonder een onnodig ingrijpende verwerking voor de betrokkenen. Is het antwoord neen, dan kan u overgaan tot de laatste stap: de afweging.
 
Voorbeeld 19: Het reisbureau "Tornado" wil zijn nieuwe bestemmingencatalogus naar zijn recente klanten sturen. Het stuurt de catalogus per post, maar wil er wel voor zorgen dat de geadresseerden in hun brievenbus kijken. Daarom stuurt het bureau ook een SMS en een e-mail naar de klanten met de mededeling dat ze de catalogus zullen ontvangen en dat het jammer zou zijn als ze deze niet inkijken. 
  • Het doel is "de catalogus per post naar mijn recente klanten sturen";
  • De verwerking van de gegevens "teledoonnummer" en "e-mailadres" van deze klanten is hiervoor niet nodig.
 
a.3. Afweging
 
148.     U dient te beoordelen of uw belangen (volk lokken naar de opening van uw nieuwe winkel, het bekendmaken van uw nieuwe assortiment of uw merk in de picture houden na de komst van een grote concurrent) kunnen doorwegen op de belangen, fundamentele vrijheden en grondrechten van de mensen van wie u de persoonsgegevens wil verwerken.
 
149.     Om deze afweging te maken, biedt overweging 47 van de AVG een belangrijke parameter, er wordt namelijk in bepaald dat er rekening moet worden gehouden met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke. Deze "redelijke verwachtingen" zijn de verwachtingen die de betrokkene kan hebben ten aanzien van de verwerkingen van zijn gegevens kunnen of zullen uitgevoerd worden, ten aanzien van de gegevens die op hem betrekking hebben en het voorwerp kunnen zijn van deze verwerkingen, ten aanzien van de reden(en) of het (de) doel(einden) waarvoor ze zullen of kunnen verwerkt worden en door wie.
In dit verband moet u in het bijzonder rekening houden met de doelgroep waarvan u de gegevens verwerkt en aan wie u uw direct marketingberichten richt. Als deze betrekking hebben of kunnen hebben op minderjarigen, moet u uiterst voorzichtig zijn alvorens u vindt dat uw belangen zwaarder doorwegen dan hun fundamentele rechten en vrijheden en hun eigen belangen. Een autoriteit zal bij de beoordeling strenger zijn wanneer er minderjarigen betrokken zijn..
 
150.     Merk op dat u zich in geen geval kan beroepen op enig belang van de personen tot wie uw communicatie zich richt (of meer in het algemeen om hun gegevens te verwerken voor direct marketingdoeleinden). Het zijn uitsluitend uw belangen, te weten in het algemeen het promoten van uw producten, diensten of moeten afgewogen worden tegen de belangen, fundamentele vrijheden en grondrechten van de betrokkenen.
 
151.     Als u bij de afweging rekening wil houden met de belangen van derden, vergeet dan niet dat die belangen niet noodzakelijkerwijs voorrang hebben op die van de betrokkenen en dat de redelijke verwachtingen van deze laatsten voorop staan in uw afweging. Als u bijvoorbeeld de nieuwe adressen hebt van uw klanten in geval van een verhuis, en derden zijn geïnteresseerd in deze nieuwe contactgegevens om hun eigen bestanden van klanten/prospecten bij te werken, voor zover deze belangen gerechtvaardigd zijn (eerste punt dat u moet nagaan), mag u niet alleen rekening houden met de aanbelangen, maar moet u ook de redelijke verwachtingen van de betrokkenen in aanmerking nemen. Het is dan ook belangrijk dat u deze mogelijkheid opneemt in de informatie die u vooraf aan uw klanten/leden verstrekt, zodat zij in voorkomend geval bezwaar kunnen maken tegen een dergelijke gegevensmededeling aan derden.
 
U moet ook rekening houden met de categorieën van persoonlijke gegevens die u van plan bent te verwerken. Indien deze gegevens bevatten of kunnen bevatten die onder de categorie "gevoelige" gegevens vallen, kunt u uw verwerking niet baseren op de rechtsgrond gerechtvaardigd belang, overeenkomstig artikel 9 van de AVG, tenzij u voldoet aan de voorwaarden van artikel 9.1, d).
 
Artikel 9.1, d)
“de verwerking wordt verricht door een stichting, een vereniging of een andere instantie zonder winstoogmerk die op politiek, levensbeschouwelijk, godsdienstig of vakbondsgebied werkzaam is, in het kader van haar gerechtvaardigde activiteiten en met passende waarborgen, mits de verwerking uitsluitend betrekking heeft op de leden of de voormalige leden van de instantie of op personen die in verband met haar doeleinden regelmatig contact met haar onderhouden, en de persoonsgegevens niet zonder de toestemming van de betrokkenen buiten die instantie worden verstrekt.”
 
Wist U dat:
 
In zijn arrest C-708/18 van 11 december 2019 "TK tegen Asociaţia de Proprietari blok M5A-ScaraA" heeft het EHVJ op basis van de bepalingen van Richtlijn 95/46/EG de volgende beginselen met betrekking tot gerechtvaardigd belang en de bijhorende afweging in herinnering gebracht:
 
"Het criterium van de ernst van de inbreuk op de rechten en vrijheden van de betrokkene vormt een essentieel element van de door artikel 7, sub f, van richtlijn 95/46 vereiste weging of afweging per geval." (overweging 56 van het arrest)
 
“Als zodanig moet met name rekening worden gehouden met de aard van de betrokken persoonsgegevens, in het bijzonder met de mogelijk gevoelige aard van die gegevens, alsmede met de aard en de concrete modaliteiten van de verwerking van de betrokken gegevens, met name het aantal personen dat toegang heeft tot die gegevens en de modaliteiten van deze toegang. ” (overweging 57 van het arrest)
 
“Ook relevant voor deze afweging zijn de redelijke verwachtingen van de betrokkene dat zijn of haar persoonsgegevens niet zullen worden verwerkt wanneer, in de gegeven omstandigheden van het geval, de betrokkene redelijkerwijs geen verdere verwerking van de gegevens kan verwachten." (overweging 58 van het arrest)
 
Voor het integrale arrest:
 
152.     Hetzelfde geldt voor persoonsgegevens die onder artikel 10 van de AVG vallen en die enkel verwerkt mogen worden onder toezicht van de overheid of op basis van een wet.
 
153.     Het tweede element waarmee bij deze afweging rekening moet worden gehouden, is de verplichting om aanvullende waarborgen te voorzien die de eventuele ongewenste gevolgen voor de betrokkene kunnen beperken. Onder die waarborgen wordt met name verstaan: gegevensminimalisatie, het gebruik van privacyversterkende technologieën, absolute transparantie en het aantonen van het algemene en onvoorwaardelijke recht om bezwaar te maken tegen de verwerking.
 
154.     De mogelijkheid om bezwaar te maken tegen gegevensverwerking is namelijk een noodzakelijk element in het onderzoek naar de waarborgen die voorzien moeten worden indien u van plan bent de rechtsgrond gerechtvaardigd belang te gebruiken als basis voor uw gegevensverwerkingen voor direct marketingdoeleinden. Zonder het aanbieden van een reëel en doeltreffend recht van bezwaar kan geen evenwicht gevonden worden tussen de gerechtvaardigde belangen die u nastreeft en de fundamentele vrijheden en grondrechten van de betrokkenen.
 
b.  Het recht van bezwaar
 
155.     In de eerste plaats dient te worden opgemerkt dat het recht van bezwaar niet alleen bestaat in het kader van verwerkingen voor marketingdoeleinden, noch beperkt is tot verwerkingen die berusten op gerechtvaardigde belangen. Het kan eveneens uitgeoefend worden voor verwerkingen verricht met het oog op de uitoefening van een taak van algemeen belang.
 
156.     Afgezien daarvan, is het niet alleen een van de noodzakelijke voorwaarden voor de vaststelling van voldoende waarborgen voor een gegevensverwerking die berust op gerechtvaardigde belangen; de AVG voorziet specifiek in een onvoorwaardelijk recht om bezwaar te maken tegen het verwerken van persoonsgegevens voor direct marketingdoeleinden:
 
Artikel 21.2 van de AVG
"wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van  hem  betreffende persoonsgegevens voor  dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing.”
 
157.     Dit specifieke recht om bezwaar te maken tegen gegevensverwerking voor direct marketingdoeleinden bestond al vóór de AVG, aangezien het al voorzien werd in artikel 14 b) van Richtlijn 95/46/EG.
 
158.     De onvoorwaardelijkheid van het recht van bezwaar is specifiek voor verwerkingen ten behoeve van direct marketing, in die zin dat wanneer een betrokkene gebruik maakt van zijn recht van bezwaar overeenkomstig artikel 21.1 van de AVG, los van enig direct marketingdoeleinde, er een tweede afweging volgt tussen de “specifieke situatie" van de betrokkene en de dwingende gerechtvaardigde rechtsgronden die de verwerkingsverantwoordelijke kan aanvoeren en die kunnen rechtvaardigen dat de verwerking, ondanks het bezwaar, wordt voortgezet.
 
159.     Echter, wanneer gebruik wordt gemaakt van het recht van bewaar in het kader van direct marketing, geeft dit bezwaar onmiddellijk en zonder bijkomend onderzoek aanleiding tot de regelrechte stopzetting van elke verwerking van gegevens betreffende de betrokkene ten behoeve van direct marketing, overeenkomstig artikel 21.3 van de AVG.
 
Bij de doeltreffendheid van het bezwaarmechanisme wordt rekening gehouden met het gemak waarmee de betrokken personen het kunnen uitoefenen, enerzijds, en met de doeltreffendheid van de uitoefening
 
b.1. Faciliteren van het recht van bezwaar
 
Overweging 70 van de AVG
"Wanneer persoonsgegevens worden verwerkt ten behoeve van direct marketing dient de betrokkene, ongeacht of het een aanvankelijke dan wel een verdere verwerking betreft, het recht te hebben te allen tijde en kosteloos bezwaar te maken tegen deze verwerking, ook in het geval van profilering voor zover deze betrekking heeft op de direct marketing." Dat recht moet uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie, onder de aandacht van de betrokkene worden gebracht.
 
160.     Faciliteren bekent onder meer dat u het recht van bezwaar duidelijk kenbaar maakt, in een eenvoudige en ondubbelzinnige taal, het in al uw direct marketingberichten opneemt, vanaf het eerste bericht, en dat u dit uiteraard gratis aanbiedt.
 
161.     Het is niet voldoende om de mogelijkheid om dit recht uit te oefenen in uw “privacybeleid” (of een equivalent daarvan) aan te geven, die mogelijkheid moet uitdrukkelijk aan de betrokkenen worden voorgesteld, op een geschikt medium waarvan u met zekerheid kan aantonen dat het onder de aandacht van deze personen werd gebracht, op een zodanige manier dat het niet mogelijk is dat ze het niet gezien hebben.
 
162.     De betrokkene moet dit recht ook rechtstreeks kunnen uitoefenen (van zodra u de verplichte informatie over de gegevensverwerking verstrekt die u moet meedelen overeenkomstig de vereisten van artikel 13 van de AVG in het geval van een rechtstreekse verzameling, of de vereisten van artikel 14 van de AVG in het geval van een onrechtstreekse verzameling), gemakkelijk (als de verplichte informatie digitaal wordt verstrekt of als u de persoon contacteert via digitale kanalen, zou één enkele klik moeten volstaan), zonder extra stappen (eenmaal ze bezwaar hebben gemaakt, kan niet worden geëist dat ze hun verzoek herhalen of bevestigen) en zonder kosten (directe of indirecte).
 
163.     De informatie die over dit recht van bezwaar wordt verstrekt, moet helder en transparant zijn. De gebruikte termen moeten nauwkeurig en ondubbelzinnig zijn, zodat de betrokkene goed begrijpt waartegen hij bezwaar kan maken, op welke manier en wat de gevolgen (beperkt tot het ontbreken van de toekomstige verwerking van zijn gegevens voor direct marketingdoeleinden) van een dergelijk bezwaar zijn.
 
Voorbeeld 20: "Chrystalclear", een bedrijf dat gespecialiseerd is in de verkoop van glaswerk, stuurt haar klanten die onlangs wijnglazen hebben besteld een e-mail met een speciale aanbieding voor bijpassende waterglazen. Door deze e-mail te openen kunnen klanten, in volgorde, de naam van het bedrijf, de titel van het aanbod, een bijlage over hun recht van verzet en de inhoud van het aanbod lezen. In deze bijlage staat "U ontvangt deze mededeling omdat u onlangs onze producten heeft gekocht. Indien u dergelijke communicatie niet langer wenst te onvangen en wij de verwerking van uw persoonsgegevens voor onze direct marketing doeleinden stopzetten, klik dan hier."
  • De ruimte die deze mogelijkheid tot verzet inneemt en de uitleg die in verband daarmee wordt gegeven, vergemakkkelijken en garanderen dat de betrokkene zich kan verzetten tegen de verwerking van zijn gegevens voor direct marketingdoeleinden. 
 
Voorbeeld 21: Het bedrijf "Rookscherm", dat gespecialiseerd is in de verkoop van elektronische sigaretten, stuurt klanten die onlangs op zijn site navullingen hebben gekocht een marketingbericht per e-mail met de aanbieding van een gratis navulling bij de aankoop van twee exemplaren. Klanten die de e-mail openen, zien de bedrijfsnaam en de inhoud van het aanbod in een aantrekkelijke kleur. Helemaal onderaan staat in kleinere letters en zonder onderscheidende tekens, de mededeling "Ik wil me uitschrijven" met een link naar het privacybeleid van de website van het bedrijf "Rookscherm" waar de klanten van het bedrijf, onder het kopje "waarom verwerken we uw gegevens?" bezwaar kunnen indienen door middel van een geautomatiseerd formulier. 
 
In dit tegenvoorbeeld staat een aantal problemen die, elk op zich, betekenen dat het bedrijf niet voldoet aan de eisen inzake het gemak om het recht van bezwaar uit te oefenen:
  • De plaatsing van de kennisgeving van het recht van bezwaar is niet conform. Mensen kijken er gemakkelijk overheen.
  • De gebruikte typologie vestigt de aandacht van de betrokkenen niet op hun recht van bezwaar.
  • De gebruikte terminologie is verwarrend. Uitschrijven", "afmelden" of "niet langer wensen te ontvangen" houdt niet in dat de verwerking van persoonsgegevens voor marketingdoeleinden wordt stopgezet.
  • Het feit dat de betrokkene zich niet zo gemakkelijk bezwaar kan uiten tegen de verwerking van zijn of  haar  gegevens  via  het  kanaal  waarlangs  hij  of  zij  deze marketingmededelingen  ontvangt,  is
 
164.     Niets weerhoudt er echter van om de betrokkenen toe te staan de verwerkingen te selecteren waartegen ze bezwaar willen maken in het kader van uw direct marketingdoeleinden. Zo kan u, indien uw procedures dit toelaten, de betrokkenen toestaan om bezwaar te maken tegen de verwerking van hun gegevens in het kader van profilering en/of het verzenden van nieuwsbrieven via e-mail en/of promotionele sms-berichten. Dit op voorwaarde dat uw intern databasebeheer het daadwerkelijk mogelijk maakt om met zekerheid de rechten van de betrokkenen te respecteren en de gegevensverwerkingen waartegen ze bezwaar hebben gemaakt, stop te zetten.
 
 
b.2. Doeltreffendheid van het recht van bezwaar
 
Artikel 21.3 van de AVG
"Wanneer  de  betrokkene  bezwaar  maakt  tegen  verwerking  ten  behoeve  van  direct  marketing,  worden  de persoonsgegevens niet meer voor deze doeleinden verwerkt."
 
165.     Dit betekent niet alleen dat u niet langer andere direct marketingberichten kan verzenden (zelfs geen bericht dat erop gericht is de betrokkene ertoe aan te zetten om op zijn beslissing terug te komen), maar ook dat u de persoonsgegevens van deze persoon helemaal niet meer mag verwerken voor dit direct marketingdoeleinde, met inbegrip van profileringsdoeleinden bijvoorbeeld, voor zover u daarvan gebruik maakt voor uw direct marketingcommunicatie. Alle gegevensverwerkingen die verband houden met marketingdoeleinden moeten worden stopgezet, tenzij diezelfde verwerkingen noodzakelijk zijn voor de verwezenlijking van andere doeleinden waarvoor u een geldige rechtsgrond hebt.
 
Wist U dat:
De Berlijnse Gegevensbeschermingsautoriteit heeft een boete van 195.407 EUR opgelegd aan "Delivery Hero Germany GmbH", dat in 2018 werd verkocht aan de Nederlandse groep "Takeaway". Dit bedrijf bood ook de leveringsdiensten "Foodora", "Lieferheld" en "Pizza.de aan".
 
De boete werd opgelegd voor meerdere schendingen van de AVG, waaronder het niet respecteren van het recht op bezwaar dat door bepaalde gebruikers en voormalige klanten werd uitgeoefend. Zo hadden acht voormalige klanten van "Delivery Hero" "geklaagd over ongevraagde reclame-mails van het bedrijf". Bovendien had één persoon 15 promotionele e-mails ontvangen, hoewel hij uitdrukkelijk bezwaar had gemaakt tegen de verzending van dergelijke berichten.
 
Daarnaast hadden verschillende personen geen informatie ontvangen over de informatie die "Delivery Hero" over hen had opgeslagen.
 
 
Wanneer in artikel 21, lid 3, wordt bepaald dat "gegevens niet langer voor deze doeleinden worden verwerkt", moet bovendien worden toegegeven dat dit niet alleen uw gegevensverwerking voor marketingdoeleinden betreft, maar ook die van derden aan wie u deze gegevens voor dergelijke doeleinden hebt verstrekt, en moet u hen daarvan op de hoogte brengen. Als een verwerking vervalt, zal dit ook het geval zijn voor andere verwerkingen die erop volgen.
 
166.     Dit betekent ook dat als u bepaalde gegevens uitsluitend voor uw marketingdoeleinden verzamelde, u die in principe niet meer mag bewaren, met uitzondering van de opslag ervan met het oog op een betwisting en de verdediging in rechte van de betrokkene, ter bescherming en verdediging van de rechten van een andere persoon of om gewichtige redenen van algemeen belang voor de Unie of voor een lidstaat. In dit geval moet u de verwerking van gegevens echter beperken tot dit doeleinde, overeenkomstig artikel 18.1, c) en 18.2 van de AVG.
 
c.  Artikel 6.1, f): een duidelijke rechtsgrond voor verwerkingen ten behoeve van direct marketing?
 
167.     Naast de hierboven vermelde voorbehouden, rijst ook de vraag of deze rechtsgrond gebruikt kan worden voor alles wat gedefinieerd kan worden als “verwerking van persoonsgegevens voor direct marketingdoeleinden".
 
168.     Allereerst moet een onderscheid gemaakt worden tussen berichten die gericht zijn aan een bestaande klant en berichten die gericht zijn aan een prospect. De redelijke verwachtingen van een bestaande klant zijn niet dezelfde als die van een prospect, daar er geen relatie bestaat tussen u en die prospecten. Wanneer u nooit enige relatie met een betrokkene heeft gehad, of deze relatie een hele tijd teruggaat zonder dat deze ondertussen werd opgevolgd, kan de rechtsgrond gerechtvaardigd belang niet worden ingeroepen, omdat de ontvangst van uw bericht niet tot hun redelijke verwachtingen behoort.
 
169.     Er kunnen zich ook meer genuanceerde situaties voordoen, zoals wanneer personen interesse hebben getoond in uw diensten, producten en acties. Stel uzelf altijd de vraag wat hun redelijke verwachtingen zijn.
 
Voorbeeld 22: De heer Curiosa bezoekt de website van "Hagelwit", die tandbleekmiddelen verkoopt. Hij wil graag meer weten over een van de aangeboden producten en stuurt een verzoek in het daarvoor gereserveerde contact tabblad. Daarvoor voert hij zijn e-mailadres in.
  • Met het invullen van zijn e-mailadres om de gevraagde informatie te ontvangen, verwacht de heer Curiosa redelijkerwijs niet dat hem nieuwjaarsbrieven en andere promotionele mededelingen van "Hagelwit" worden toegestuurd. Het bedrijf kan de heer Curiosa echter in hun reactie vragen of hij ermee instemt om in  de toekomst reclameboodschappen van "Hagelwit" te ontvangen.
  • Als de heer Curiosa, toen hij contact opnam met "Hagelwit", had gezegd "Ik ben een grote fan van uw producten, ik wil graag alles over ze weten, kunt u me dan op de hoogte houden van uw producten en promoties?", zou zijn redelijke verwachting natuurlijk zijn om direct marketingcommunicatie van dat bedrijf te ontvangen. Toch moet "Hagelwit", bij de eerste mededeling, de heer Curiosa op de hoogte brengen van zijn recht om bezwaar te maken.
 
170.     Dit voorbeeld betekent daarentegen niet dat het verzenden van direct marketingcommunicatie naar een klant op basis van de rechtsgrond van het gerechtvaardigd belang, enkel omdat het om een “klant” is, hoe dan ook gerechtvaardigd is. Het is aan u om vooraf te beoordelen of in alle opzichten aan de voorwaarden is voldaan voor een rechtmatig gebruik van deze rechtsgrond.
 
171.     In verband hiermee reikt artikel 13.2 van de e-Privacy-richtlijn een belangrijk element aan om in overweging te nemen. Het bepaalt dat een persoon de persoonsgegevens van zijn bestaande klanten mag gebruiken om hen elektronische post toe te sturen “voor eigen gelijkaardige producten of diensten”.
 
172.     Wanneer u voor uw verwerkingen ten behoeve van direct marketing het gebruik van gerechtvaardigde belangen als rechtsgrond overweegt, houd dan rekening met de al dan niet gelijkaardige of vergelijkbare aard van hetgeen u in uw berichten promoot, alsook met de al dan niet bestaande banden tussen uw organisatie en de bestemmelingen van uw berichten. Als u bijvoorbeeld in 2019 een computer aan een persoon hebt verkocht en u aan die persoon marketingberichten stuurt over chocolade, die uw organisatie ook verkoopt, kan u zich moeilijk baseren op het criterium van gelijkwaardige en vergelijkbare producten. Als de berichten daarentegen betrekking hebben op antivirussoftware, gaat het wel om gelijkwaardige en vergelijkbare producten. Dit betekent dat, zelfs als uw organisatie of winkel een breed gamma van uiteenlopende producten of diensten aanbiedt, het niet volstaat om te analyseren of de personen naar wie u direct marketingberichten wil sturen, al dan niet klanten zijn. In uw afweging moet u ook rekening houden met alle criteria die de redelijke verwachtingen van deze personen bepalen, wat een fundamentele vereiste van de AVG is.
 
Voorbeeld 23: De heer Curiosa bestelt een tandbleekset op de site van "Hagelwit". Zo wordt hij klant van dit bedrijf. Enkele maanden na deze bestelling ontwikkelt Hagelwit een nieuwe activiteitenpoot en begint met textielbleekmiddelen. Dat willen ze aan alle bestaande klanten laten weten. 
  • Aan het criterium van soortgelijke of analoge producten wordt niet voldaan. 
  • Het verdient de voorkeur om de rechtsgrond van de toestemming te gebruiken om te voorkomen dat men wordt gesanctioneerd voor het verwerken van gegevens zonder een geldige rechtsgrond.
 
173.     Deze illustratie op basis van artikel 13 van de e-Privacy-richtlijn betekent niet dat niet-elektronische communicatie uitgesloten wordt van de mogelijkheid om, in voorkomend geval gebaseerd te worden op de rechtsgrond gerechtvaardigd belang; het betekent evenmin dat deze rechtsgrond niet gebruikt kan worden door organisaties die geen producten of diensten promoten. Bent u bijvoorbeeld een liefdadigheidsinstelling en wil u per post of e-mail uw activiteiten en werken promoten, dan kan u onderzoeken of de rechtsgrond gerechtvaardigd belang van toepassing kan zijn voor uw verwerkingen van persoonsgegevens.
 
174.     In het licht van de bovenstaande analyse moet u er rekening mee houden dat, hoewel de rechtsgrond gerechtvaardigd belang niet automatisch moet worden uitgesloten als basis voor de verwerking van persoonsgegevens in het kader van direct marketing, het niet noodzakelijkerwijs gemakkelijk is om die toe te passen, en dat ze niet altijd geldig is, gelet op de specifieke kenmerken van uw verwerkingsactiviteiten.
 
5.          De toestemming
a.  Begrip
 
Artikel 4.11 van de AVG
"elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt."
 
175.     Schematisch ziet een geldige toestemming er als volgt uit :

176.     De criteria voor de geldigheid van de toestemming in de zin van de AVG vormen een ondeelbaar geheel. Er kan geen toestemming zijn die alleen specifiek, vrij en ondubbelzinnig is, als ze niet geïnformeerd is, en vice versa.
 
Indien u de gegevens verwerkt voor direct marketingdoeleinden op basis van de toestemming van de betrokkenen, moet u ervoor zorgen dat aan de vier bovengenoemde voorwaarden wordt voldaan, anders beschikt u niet over een geldige rechtsgrond voor uw gegevensverwerking, waardoor deze onwettig is en dus aan sancties onderworpen is.
 
Wist U dat: 
 
De CNIL, de Franse Gegevensbeschermingsautoriteit, heeft in beperkte samenstelling op 21 januari 2019 een sanctie van 50 miljoen euro uitgesproken lastens het bedrijf GOOGLE LLC in toepassing van de AVG wegens gebrek aan transparantie, onbevredigende informatie en het ontbreken van geldige toestemming voor de personalisering van de reclame.
 
Zij heeft vastgesteld dat de door GOOGLE verstrekte informatie niet gemakkelijk toegankelijk, duidelijk en begrijpelijk is voor de gebruikers en dat het niet duidelijk is dat de rechtsgrond voor de verwerking van gegevens met het oog op het personaliseren van reclame de toestemming is.
 
De CNIL in beperkte samenstelling kwam tot het besluit dat de toestemming om twee redenen niet op geldige wijze wordt verzameld.
 
Ten eerste werd de toestemming van gebruikers niet voldoende geïnformeerd. Doordat de informatie over deze verwerkingen versnipperd is over verschillende documenten, krijgt de gebruiker geen inzicht in de omvang ervan. Zo is het in de sectie gewijd aan "Ad personalisatie", niet mogelijk om kennis te nemen van de veelheid aan diensten, sites, applicaties die betrokken zijn bij deze verwerking (Google Search, YouTube, Google Home, Google Maps, Play Store, Google Photo...) en dus het volume van de gegevens die worden verwerkt en gecombineerd.
 
Ten tweede werd geoordeeld dat de verkregen toestemming niet "specifiek" of "ondubbelzinnig" is. Hoewel GOOGLE de gebruiker de mogelijkheid biedt om de opties voor het gebruik van zijn diensten in te stellen bij het aanmaken van een account, wordt de AVG niet gerespecteerd omdat de gebruiker op "meer opties" moet klikken om toegang te krijgen tot de instellingen, waarbij bovendien de weergave van gepersonaliseerde advertenties standaard is aangevinkt.
 
Volgens de AVG is toestemming pas "eenduidig", wanneer de gebruiker een actieve handeling verricht (bijv. het aanvinken van een niet-aangekruist vakje). Tot slot wordt de gebruiker gevraagd om, voordat hij een account aanmaakt, de vakjes "Ik ga akkoord met de servicevoorwaarden van Google" en "Ik ga ermee akkoord dat mijn informatie wordt gebruikt zoals hierboven beschreven en gedetailleerd in het Privacybeleid" aan te vinken om een account aan te maken. Dat betekent dat de gebruiker en bloc toestemming geeft voor alle doeleinden die GOOGLE nastreeft (personalisering van de reclame, spraakherkenning, enz.). Maar toestemming is volgens de AVG alleen "specifiek", als deze voor elk doel afzonderlijk wordt gegeven.
 
 
b.  Onderzoek van de voorwaarden voor een geldige toestemming
 
b.1. Een geïnformeerde toestemming
 
177.    De persoon die zijn toestemming geeft, moet perfect begrijpen waarvoor en waartoe hij zijn toestemming geeft. Deze voorwaarde is onlosmakelijk verbonden met de informatie die door de verwerkingsverantwoordelijke aan de betrokkene moet worden verstrekt, op het moment dat diens gegevens verzameld worden indien ze rechtstreeks bij de betrokkene worden verzameld, of binnen een redelijke termijn als ze niet rechtstreeks bij deze persoon worden verzameld. Deze informatie moet uitdrukkelijk zijn (en niet alleen  maar "toegankelijk" zijn maar vanaf het begin aan de persoon worden voorgelegd, zodat hij ze zeker onder ogen krijgt), helder, geformuleerd in een begrijpelijke taal en volledig (en moet bijvoorbeeld ook betrekking hebben op elke profilering die zou worden uitgevoerd, naast andere vormen van gegevensverwerking die zichtbaarder zijn voor de betrokkene).
 
178.     Bovendien moet  het  verzoek  om  toestemming  afzonderlijk  van  alle  andere  verzoeken worden voorgelegd (inclusief het aanvaarden van de algemene voorwaarden, het privacybeleid of het verder surfen).
 
Artikel 7.2 van de AVG
"Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal (…) gepresenteerd (…)"
 
179.     De eis van transparantie is een van de fundamentele pijlers van AVG. Samen met de principes van eerlijkheid en rechtmatigheid van de verwerking is ook het verstrekken van kwaliteitsvolle informatie aan de betrokkenen onontbeerlijk om hen in staat te stellen een weloverwogen beslissing te nemen.
 
180.     Opdat de toestemming geïnformeerd zou zijn, moet uw informatiedocument in overeenstemming zijn met artikelen 13 en/of 14 van de AVG, en dus minstens de volgende aspecten bevatten:
  • De identiteit van de verwerkingsverantwoordelijke en de ontvangers van de gegevens, op zijn minst de categorieën van ontvangers en de doeleinden die ze nastreven,
  • Het doel van elk e verwerkingen waarvoor toestemming wordt gevraagd,
  • De   verwerkingen,  met   name   de   meest   ingrijpende  (bijvoorbeeld  profilering  en/of geautomatiseerde besluitvorming in overeenstemming met artikel 22, §2, c) van de AVG, indien van toepassing,),
  • De gegevens of categorieën van gegevens die verzameld en gebruikt worden,
  • Het recht om de toestemming te allen tijde in te trekken,
  • In geval van doorgifte van de gegevens naar bepaalde landen buiten de EER, informatie over de mogelijke risico's verbonden met de overdracht van gegevens bij ontstentenis van een adequaatheidsbesluit en van passende waarborgen zoals beschreven in artikel 46 van de AVG.
 
b.2. Een vrije toestemming
De overwegingen 42 en 43 van de AVG kunnen als volgt worden samengevat:
Toestemming als rechtsgrond is niet geldig indien:
  • De persoon wordt gedwongen die te geven om een benadeling te voorkomen;
  • De persoon zijn toestemming niet op elk moment kan intrekken; of
  • De indien de toestemming wordt gepresenteerd als een niet-onderhandelbaar deel van de algemene voorwaarden.
 
181.     De persoon die gevraagd wordt om toestemming te geven voor de verwerking van zijn gegevens, moet een reële mogelijkheid hebben om te aanvaarden of te weigeren, zonder dat hem in het geval van een weigering de toegang tot een dienst of enig ander voordeel wordt ontzegd (zoals bijvoorbeeld de toegang tot persartikels die gratis online worden gezet, mag niet afhankelijk zijn van de verwerking van persoonsgegevens voor direct marketingdoeleinden).
Maak de levering van uw producten of diensten (zelfs gratis) niet afhankelijk van de aanvaarding van de verwerking van persoonsgegevens die niet noodzakelijk zijn voor de levering van de dienst of de levering van het product. Probeer de betrokkenen niet te dwingen of op enigerlei wijze aan te zetten tot het geven van toestemming voor een dergelijke verwerkingen.
 
182.     Bij het bepalen of de toestemming vrijelijk kan worden gegeven, wordt volgens artikel 7.4 van de AVG “onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst,  toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. ”
 
183.    Het gebruik van de woorden "onder meer" betekent dat heel wat andere situaties onder het toepassingsgebied van deze bepaling kunnen vallen en dat elke ongepaste druk of invloed op de betrokken persoon die hem belet om zijn wil uit te oefenen, de toestemming ongeldig zal maken, met alle gevolgen van dien.
 
Voorbeeld 24: Een mobiele app voor sportbegeleiding vraagt haar toekomstige gebruikers om hun persoonlijke gegevens te kunnen verwerken "om ze te laten werken en gedragsreclame te kunnen sturen". Gedragsreclame is niet nodig om de mobiele applicatie goed te laten werken. De app laat de keuze echter niet aan de toekomstige gebruikers over: zij accepteren alles o f hebben nergens recht op. 
Aangezien de personen de mobiele app niet kunnen gebruiken zonder toestemming voor de verwerking van hun gegevens voor reclamedoeleinden, kan hun toestemming niet worden beschouwd als vrij gegeven, zelfs niet als sommige personen daadwerkelijk toestemming geven voor de verwerking van hun gegevens voor dergelijke doeleinden. 
 
Wist U dat:
 
Onze Autoriteit heeft een sanctie van 10.000 euro opgelegd aan een handelaar die de elektronische identiteitskaart heeft gebruikt om een klantenkaart te creëren, zonder enig ander alternatief identificatiemiddel aan te bieden.
 
Omdat klager zijn identiteitskaart niet wilde tonen, werd hem de klantenkaart geweigerd, hoewel hij de handelaar aanbood zijn gegevens schriftelijk te verstrekken om een klantenkaart te kunnen krijgen. Als klanten weigeren hun elektronische identiteitskaart te laten gebruiken om een klantenkaart te creëren, worden ze gestraft en kunnen ze niet profiteren van dezelfde voordelen en kortingen als anderen, bij gebrek aan alternatief.
 
De Geschillenkamer van de GBA vond deze praktijk in strijd met de AVG, met name omdat de in deze zaak gegeven toestemming niet kan worden beschouwd als vrij gegeven omdat de cliënten geen alternatief wordt geboden.
 
 
b.3. Een specifieke toestemming
 
184.     De toestemming moet gegeven worden voor "een of meer specifieke doeleinden". Bovendien moet de betrokkene, in geval van meerdere doeleinden, kunnen kiezen uit deze doeleinden, indien hij met enkele van die doeleinden niet wil instemmen.
 
185.     Deze vereiste spruit voort uit de wens om betrokkenen een zekere mate van controle te geven met betrekking tot het gebruik van hun persoonsgegevens. Hetzelfde geldt voor de verplichting tot transparantie ten aanzien van de betrokkenen en hun vrijheid om in te stemmen met bepaalde verwerkingen en niet met andere, met name met betrekking tot het plaatsen van cookies, waarvoor u onder andere een duidelijk onderscheid moet maken tussen functionele cookies en niet-functionele cookies, zoals analytische cookies.
 
Wist U dat:
 
Op 17 december 2019 heeft onze Autoriteit een sanctie van 15.000 euro opgelegd aan een bedrijf omwille van zijn techniek voor het verzamelen van toestemming om cookies te plaatsen die in strijd werd geacht met de regels van de AVG.
 
De GBA stelde vast dat deze onderneming herhaaldelijk onzorgvuldig is geweest ten aanzien van haar verplichting tot transparantie zoals voorzien in de artikelen 12 en 13 van de AVG en dat zij geen geldige toestemming (opt-in) heeft verkregen voor het plaatsen van cookies.
 
De volledige tekst van het besluit is beschikbaar via de volgende link: www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/BETG_12-2019_NL.PDF
 
Voorbeeld 25: plaatsing van cookies op uw website
  • U moet de bezoekers van uw website informeren over de cookies die u wilt gebruiken, hun doel(en) en de gegevens die ze verzamelen. Deze informatie moet zichtbaar, duidelijk en toegankelijk zijn zodra de persoon in kwestie uw website opent. Het gebruik van een informatiebanner is hiervoor het handiste. 
  • In deze informatiebanner (bijvoorbeeld) moet u de mogelijkheid en de wijze van het plaatsen van cookies aangeven, zodat de betrokkene de mogelijkheid heeft om al dan niet toestemming te geven dat sommige van hun gegevens verzameld worden door het plaatsen van bepaalde soorten cookies. Om deze keuze mogelijk te maken, moet u zeer duidelijk zijn over de doeleinden waarvoor via cookies gegevens worden verzameld bijvoorbeeld:
    • Accepteert u het plaatsen en ebruik van cookies zodat wij (naam van organisatie) kunnen analyseren waar u belangstelling voor heeft en u reclame kunnen bieden die daarop is aangepast?
    • Accepteert u het plaatsen en gebruik van cookies zodat onze partners (overzicht van betreffende partners) kunnen analyseren waar u belangstelling voor heeft en u reclame kunnen bieden die daarop is aangepast? 
    • Accepteert u het plaatsen en gebruik van cookies zodat wij (naam van organisatie) kunnen analyseren waar u belangstelling voor heeft en u reclame kunnen bieden die daarop is aangepast? 
    • Accepteert u het plaatsen en gebruik van cookies zodat onze partners (overzicht van betreffende partners) kunnen analyseren waar u belangstelling voor heeft en u reclame kunnen bieden die daarop is aangepast?
    • Accepteert u het plaatsen en gebruik van cookies voor de analyse van uw navigatie om het bezoek aan onze website te kunnen meten?
 
186.     Intrusieve en niet-functionele cookies moeten standaard als niet-actief worden ingesteld. U mag in geen geval van de betrokkenen verlangen dat zij telkens terugkeren naar hun eigen browserinstellingen om het plaatsen van niet-functionele cookies te voorkomen.
 
187.     Zoals alle eisen die aan de toestemming worden gesteld, is ook het specifieke karakter van de toestemming onlosmakelijk verbonden met de volledige informatie die door de verwerkingsverantwoordelijke moet verstrekt worden. U moet daarom elk van de nagestreefde doeleinden duidelijk en specifiek vermelden, anders is de gegeven toestemming niet geldig, net omdat ze niet specifiek is.
 
Voorbeeld 26: Het bedrijf "HouseKeyper" biedt verschillende dienstan aan zijn klanten, die alle of sommige van de aangeboden diensten afnemen. "Housekeyper" verzamelt persoonlijke gegevens in het kader van de levering van elk van zijn diensten, in overeenstemming met het contract met zijn klanten. Het bedrijf wil zijn marketing verbeteren door meer gerichte communicatie naar zijn klanten te sturen. Hiervoor wil dit bedrijf de gegevens die het verzamelt in het kader van zijn bezorgservice aan huis aanvullen met, of koppelen aan de gegevens die het verzamelt in het kader van zijn spaarrekeningdienst. Het zou dit resultaat ook graag willen doorgeven aan derden die belangstelling hebben voor deze samenvoeging.
  • Om deze gegevensmatching/-verrijking te kunnen uitvoeren, is "Housekeyper" verplicht om de afzonderlijke, geïnformeerde, specifieke, vrije en ondubbelzinnige toestemming van haar klanten te vragen voor deze gegevensmatching/-verrijking.
 
188.   De precisie van de doeleinden maakt het mogelijk om een afwending in het gebruik van persoonsgegevens te voorkomen. De persoon heeft ingestemd met doel A, maar niet met doel B. Als de persoon in kwestie niet wist dat zijn gegevens voor doeleinden A en B zouden worden verwerkt, kan de toestemming die voor het ene gegeven werd, niet voor het andere gebruikt worden. Dit geldt zowel voor doeleinden die door eenzelfde verwerkingsverantwoordelijke worden nagestreefd, als voor (al dan niet verdere) doeleinden die door derden worden nagestreefd.
 
Voorbeeld 26bis: Als "Housekeyper" het goed wil aanpakken, moet het, naast volledige, duidelijke, transparante en toegankelijke informatie over het doel en de verwerking, op de volgende manier de toestemming van haar klanten vragen:
"Ik ga ermee akkoord dat de persoonlijke gegevens over mij die via 'dit formulier' worden verzameld in het kader van de bezorgdienst waarop ik geabonneerd ben, kunnen worden aangevuld of gecombineerd met de persoonlijke gegevens over mij die door "Housekeyper" worden verzameld in het kader van mijn contract voor eeen spaarrekening:
  • om bestanden te kunnen aanmaken, zoals een typisch consumentenprofiel, die nuttig zijn voor onze marketingcampagne om u beter gerichte producten aan te kunnen bieden: JA/NEE
  • het resultaat hiervan en het samenvoegen van dit resultaat met een standaardprofiel alsmede uw e-mailgegevens zullen worden gecommuniceerd aan en gebruikt door (naam van de betreffende organisatie), actief in de sector van de verkoop van (beschrijf de categorie van activiteiten) let het oog op het verzenden van gerichte advertenties per e-mail (beschrijf): JA/NEE"
 
189.     Als u gegevens wil verwerken voor een ander doel dan datgene waarvoor u ze oorspronkelijk hebt verzameld en deze eerste verwerking is gebaseerd op toestemming als rechtsgrond, dan moet u ter aanvulling toestemming vragen voor dit nieuwe doel.
 
Voorbeeld 27: Een telecomoperator beschikt over de gegevens van de klant om toegang te verschaffen tot de televisiezenders en voor het administratieve beheer. Het wil hen gerichte reclame zenden op basis van de voorkeuren en gewoonten, dus in de praktijk, op basis van een analyse van de programma's die zij bekijken. Dit doel van gedragsanalyse met het oog op het verzenden van gerichte reclame was niet voorzien op het moment dat de persoonsgegevens van zijn klanten voor het eerst werden verzameld. Hiervoor moet hen dus eerst op specifieke manier toestemming worden gevraagd.
 
190.     Indien u verschillende direct marketingdoeleinden nastreeft en/of indien deze doeleinden verschillende soorten verwerkingen met zich meebrengen, wees dan specifiek. Zorg ervoor dat de persoon voor elke afzonderlijke verwerking zijn toestemming kan geven. Gebruik niet één enkele knop om te accepteren (“all- in” toestemming door middel van knoppen als “alles accepteren”) of te algemene bewoordingen. Vermeld duidelijk de verschillende doeleinden (en de bijbehorende verwerkingen) waarvoor u toestemming vraagt, zodat de betrokkenen indien nodig selectief hun toestemming kunnen geven.
 
b.4. Een ondubbelzinnige toestemming
 
191.     De AVG bepaalt dat de toestemming een duidelijke positieve handeling vereist, die moet worden gegeven door middel van een schriftelijke of mondelinge verklaring. Deze voorwaarde dient voornamelijk ter voorkoming van de minste onduidelijkheid over de wil van de betrokkene om zijn toestemming te geven.
 
192.    Deze vereiste maakt een einde aan de methode van vooraf aangevinkte selectievakjes, aan selectievakjes die aangevinkt moeten worden om toestemming te weigeren (opt-out), alsook aan de techniek om aan te kondigen dat verder surfen op de website gelijk staat aan toestemming geven (voor het verzamelen van gegevens via cookies bijvoorbeeld).
 
Nieuw: Wanneer de gekozen rechtsgrond voor uw verwerking de toestemming is, kunt u op grond van het criterium van de actieve handeling dat door de AVG wordt gehanteerd, het stilzwijgen of de inactiviteit van de betrokkene niet als een indicatie van zijn of haar keuze beschouwen, evenmin als het enkele feit dat hij of zij een dienst blijft gebruiken of een vooraf aangevinkt vakje niet uitvinkt.
 
Wist U dat:
 
In zijn arrest C-673/17 van 1 oktober 2019, genaamd "Planet49", oordeelde het EHVJ dat de toestemming die werd gegeven door middel van een opt-out en/of een vooraf aangevinkt vakje geen geldige toestemming van de internetgebruikers is voor het plaatsen van cookies.
 
Internetgebruikers die wilden deelnemen aan een door Planet49 georganiseerde wedstrijd werden doorgestuurd naar een webpagina waar ze hun naam en adres moesten invullen. Onder de in te vullen vakjes voor het adres bevonden zich twee vermeldingen, vergezeld van twee aan te kruisen vakjes, waarvan het tweede het onderwerp vormde van de prejudiciële vraag die aan het EHVJ werd voorgelegd.
 
Dit vakje was standaard aangevinkt en er stond het volgende:
"Ik accepteer dat de webanalyse ‘Remintrex’ bij mij wordt geactiveerd. Als gevolg hiervan zal de organisator van het promotionele spel, [Planet49], na toelating van het promotionele spel, cookies installeren, waardoor ‘Remintrex’ mijn webbrowsing en bezoeken aan de websites van de reclamepartners kan gebruiken en op interesse gebaseerde reclame kan versturen. Ik kan de cookies op elk gewenst moment verwijderen. Lees hier meer."
Door het activeren van de elektronische link die verschijnt in de vermelding bij de tweede checkbox, onder het woord "hier", zou informatie over het plaatsen van cookies op de harde schijf van de internetgebruikers verschijnen.
Het Hof oordeelde dat de toestemming van de betrokkene een dergelijke verwerking rechtmatig kan maken, mits deze toestemming "ondubbelzinnig" door de betrokkene wordt gegeven. Ze zegt echter dat "alleen actief gedrag van die persoon om toestemming aan te tonen van aard is om aan deze eis te voldoen". Zij voegt daaraan toe dat "het in dit verband praktisch onmogelijk lijkt om objectief vast te stellen of de gebruiker van een website daadwerkelijk toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens door een standaard aangevinkt vakje niet uit te vinken en in ieder geval of die toestemming op een geïnformeerde manier is gegeven. Het kan immers niet worden uitgesloten dat de genoemde gebruiker de standaard aangevinkte informatie niet heeft gelezen of zelfs niet heeft gezien voordat hij zijn activiteit op de door hem bezochte website voortzet."
 
 
193.     In een digitale context (aankoop van producten online, diverse inschrijvingen, enz.) krijgen betrokkenen tal van verzoeken om toestemming, wat ertoe kan leiden dat ze de controle verliezen en dat er een zekere vermoeidheid optreedt, die hen ertoe aanzet om automatisch op alles “ja” of “neen” te antwoorden.
 
194.     Om dit risico te vermijden, kunt u de manier waarop de toestemming wordt verkregen variëren. Het aanvinken van vakjes is niet de enige mogelijke techniek.
 
Voorbeeld 28: Bij het doorbladeren van een website verschijnt er een banner met de tekst "door de balk naar links te slepen, stemt u in met het gebruik vna informatie X voor doel Y." De banner wordt op de website weergegeven. Herhaal de beweging om te bevestigen".
Zolang de instructief duidelijk zijn, zodat de persoon precies begrijpt waar hij of zij mee instemt, dat hij of zij ermee instemt door de beweging te maken, en dat hij of zij kan blijven surfen zonder de beweging te maken, is de op deze manier verzamelde toestemming geldig onder de AVG. Op dezelfde manier zijn het zwaaien met je hand voor een slimme camera, het draaien van je smartphone in de aangegeven richting of het opnemen van een verbale toestemming allemaal manieren om de toestemming van de persoon geldig te verkrijgen. 
 
Vergeet niet dat het toepassen van de zogenaamde opt-out niet leidt tot het verkrijgen van een geldige toestemming!
 
Voorbeeld 29: Het bedrijf "Niet Gezien Niet Gepakt" wil zijn klantenbestand gebruiken om hen informatie te sturen over de nieuwe diensten die het aanbiedt om alibi's te leveren. Het bedrijf had niet vooraf aan zijn klanten gevraagd of zij wel of niet dergelijke commerciële berichten wilden ontvangen. Het bedrijf overweegt daarom om hen een brief of een e-mail te sturen waarin staat dat het hen vrij staat om dergelijke berichten te weigeren. In die mail staat een e-mailadres waarnaar klanten een bericht kunnen sturen als ze deze berichten niet willen ontvangen. In de e-mail staat hiervoor een aan te vinken vakje. In beide berichten staat dat, indien de klant niet het tegendeel doorgeeft of een "vinkje" in het vakje zet, dit zal worden beschouwd als toestemming voor het ontvangen van promotionele reclame.
  • Het niet reageren door klanten van "Niet Gezien Niet Gepakt" vormt volgens de AVG geen geldige toestemming.
 
195.  Het feit dat een persoon niet op een opt-out-vakje klikt, betekent niet dat de verwerkingsverantwoordelijke met zekerheid kan concluderen dat die persoon zijn ondubbelzinnige toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Bovendien voegt de AVG, zoals hieronder zal blijken, een verplichting toe voor de verwerkingsverantwoordelijke om een bewijs te leveren voor de toestemming die hij als juridische grondslag voor zijn gegevensverwerking wil gebruiken. Zonder dergelijk bewijs is de verwerking onrechtmatig en kan ze dus aanleiding geven tot sancties. Het is daarom altijd beter om een mechanisme zoals een opt-in te gebruiken.
 
De eis om een actieve toestemmingshandeling te verkrijgen kan niet los worden gezien van de andere eisen die aan de toestemming worden gesteld. Ter herinnering, toestemming moet op geïnformeerde wijze worden gegeven. Dit houdt onder meer in dat de persoon niet alleen moet begrijpen waar hij of zij mee instemt, maar ook dat hij of zij bezig is in te stemmen.
 
196.     De betrokkenen moeten de keuzemogelijkheden waarover zij beschikken duidelijk kunnen begrijpen en, indien er meerdere keuzemogelijkheden zijn, moet de keuze om in te stemmen met de verwerking van hun persoonsgegevens voor specifieke direct marketingdoeleinden duidelijk zichtbaar zijn en vergelijkbaar met elke andere keuze. Ook als de verwerkingsverantwoordelijke van plan is om deze gegevens voor verschillende direct marketingdoeleinden te gebruiken, moet de betrokkene, indien nodig, de kans krijgen om bepaalde doeleinden te aanvaarden en andere te weigeren. Eén enkele knop waarmee de persoon alle vakjes kan aanvinken waarvoor zijn toestemming wordt gevraagd, is dus niet geldig.
 
Voorbeeld 30: Iemand bestelt een artikel op de site van confectiemode "VerborgenMiserie". Om de bestelling af te ronden, moet deze persoon zijn contactgegevens opgeven. Nadat de gegevens zijn ingevuld, verschijnt een pop-up, waarin duidelijk leesbaar staat "Uw gegevens worden gebruikt om u de bestelling te kunnen toesturen. Geeft u ons toestemming om deze gegevens te gebruiken voor de facturatie?". Rechts onderin dit kader staat een duidelijk zichtbare knop in een goed te onderscheiden kleur, met de vermelding "Alles accepteren". Linksboven, in een klein lettertype en overlopend in het venster, toont een venstervergrotingspijl de hele boodschap, die ookk aangeeft dat "u ons toestemming geeft om uw gegevens te gebruiken om u onze reclameaanbiedingen te sturen. U stemt ermee in dat wij uw gegevens aan commerciële partners doorgeven".
  • Hoewel de betrokkene de gelegenheid kreeg om kennis te nemen van deze aanvullende informatie en om te beslissen of hij deze verschillende gegevensverwerkingsoperaties al dan niet accepteerde, was deze mogelijkheid niet duidelijk. Als gevolg daarvan kon de klant geen geldige toestemming geven voor alle verwerkingen van zijn gegevens.
 
197.     Vraag niet om toestemming op een dubbelzinnige of oppervlakkige manier. De toestemming van de persoon moet ondubbelzinnig zijn. Dit geldt dus ook voor u.
 
198.     Bovendien betekent het feit dat er toestemming gegeven werd voor het ontvangen van reclame- of informatieve berichten via e-mail niet dat er ook is toegestemd met het ontvangen van telefonische oproepen. Daarom is het noodzakelijk om ervoor te zorgen dat u een ondubbelzinnige toestemming verkrijgt, zowel over de inhoud van de berichten als over de middelen die hiervoor worden gebruikt. Als er meerdere communicatiemiddelen gebruikt kunnen worden, moeten de verzoeken om toestemming dus opgesplitst worden, in plaats van één enkel verzoek te formuleren.
 
199.     Als u ten slotte mondeling toestemming verkrijgt, zorg er dan voor dat u die ofwel opneemt (na voorafgaande kennisgeving), ofwel schriftelijk laat bevestigen. Dit vloeit ook voort uit uw verantwoordingsplicht, die vereist dat u uw verwerkingen van persoonsgegevens documenteert.
 
Voorbeeld 31: De NGO "Hope for climate" organiseert een fondenwervingsetentje met een veiling. Veel bedrijven kopen plaatsen en sturen er werknemers naartoe. De receptioniste vertelt hen dat ze na het diner een bedankkaartje zullen ontvangen. Ze vraagt de gasten ook of ze gefotografeerd mogen worden, en als ze accepteren dat de NGO hen later een nieuwsbief zal sturen en informatie over activiteiten.
Personen die toestemming geven voor een dergelijke gegevensverwerking doen dit mondeling aan de receptionist. Die zet "OK1" naast de naam van de personen die geaccepteerd hebben gefotografeerd te worden, "OK2" bij acceptatie van de nieuwsbrief en overige direct marketingcommunicatie. Naast de namen van diegenen die allebei accepteren, wordt "OK3" gezet.
  • Deze notities zijn geen garantie voor bewijs van verkregen toestemming.
  • Een manier om een bewijs van toestemming te verkrijgen, is om, samen met de bedankkaart de deelnemers uit te nodigen om hun toestemming te bevestigen voor het ontvangen van direct marketingcommunicatie. Zonder die bevestiging mag de NGO "Hope for climate" hun gegevens niet verwerken voor direct marketingdoeleinden.
200.     Ongeacht hoe u de toestemming verkrijgt, bijvoorbeeld via een elektronisch formulier of op papier, zorg ervoor dat het verzoek om toestemming helder, beknopt en eenduidig is. Als u de toestemming mondeling verkrijgt, zorg er dan voor dat hierover duidelijk werd gecommuniceerd en dat de informatie door de betrokkene begrepen werd. Vergeet niet om het verzoek om toestemming, en de versterkte toestemming, ofwel op te nemen, ofwel te laten bevestigen. Dit laat u toe aan te tonen dat u de informatie correct verstrekt hebt en dat er toestemming is gegeven.
 
b.5 De uitdrukkelijke toestemming
 
201.     Indien de verwerking van persoonsgegevens in het kader van uw direct marketingdoeleinden de verwerking van gegevens met zich meebrengt die onder artikel 9 van de AVG vallen, moet u rekening houden met een bijkomende geldigheidsvoorwaarde voor de toestemming om dergelijke gegevens te verwerken: ze moet “expliciet” zijn.
 
202.    Dit betekent dat u een systeem moet opzetten dat de betrokkene toelaat om zijn toestemming uitdrukkelijk te geven, bijvoorbeeld door middel van een schriftelijke verklaring van de betrokkene, eventueel voorzien van diens handtekening. U kan de betrokkene ook vragen om zijn toestemming uitdrukkelijk te bevestigen via e-mail of door hem een online formulier te laten invullen. U kan de betrokkene ook vragen om zijn toestemming mondeling te bevestigen terwijl u dit opneemt, op voorwaarde dat hij hierover voldoende duidelijke en volledige informatie heeft gekregen.
 
c.  Kan een minderjarige om toestemming worden gevraagd?
 
203.     Wanneer uw activiteiten gericht zijn of kunnen gericht zijn op een publiek waaronder kinderen, dan moet u er in het bijzonder op letten dat zij geldig kunnen instemmen met de verwerking van hun gegevens ten behoeve van direct marketing. De vereiste   dat de toestemming “geïnformeerd” moet zijn, kan ontbreken wanneer het gaat om minderjarigen die niet over het volledige onderscheidingsvermogen beschikken.
 
204.     U moet er daarom voor zorgen dat de minderjarigen kunnen begrijpen waar ze waarmee instemmen, met name door in uiterst eenvoudige bewoordingen zeer volledig uitleggen welke gegevens u wenst te gebruiken, voor welke doeleinden en hoe u ze gaat verwerken, waarbij u benadrukt dat ze hun toestemming op elk moment kunnen intrekken.
 
Nieuw: In het kader van de diensten van de informatiemaatschappij die rechtstreeks aan kinderen worden aangeboden, gelden specifieke regels. Artikel 8 van de AVG stelt een extra beschermingsniveau vast ten opzichte van Richtlijn 95/46/CE wanneer persoonsgegevens van minderjarigen worden verwerkt in het kader van dit soort diensten.
 
Overweging 38 van de AVG preciseert daar deze specifieke bescherming met name geldt voor het gebruik van de gegevens van marketingdoeleinden of het opstellen van personaliteitsprofielen.
 
205.     Wanneer u actief bent in de sector van de diensten van de informatiemaatschappij en uw publiek uit minderjarigen kan omvatten, moet u de regels van artikel 8 van de AVG naleven. Om na te gaan of diensten niet op kinderen gericht zijn, wordt er rekening mee gehouden of de toegang ertoe eventueel beperkt wordt tot personen van 18 jaar en ouder, op voorwaarde dat zulks niet wordt tegengesproken door andere elementen, zoals de inhoud van de website of de marketingplannen ervan.
 
206.     In de context van het aanbieden van dergelijke diensten, kan u in België persoonsgegevens van minderjarigen alleen verwerken op basis van hun toestemming als ze de leeftijd van 13 jaar hebben bereikt. Het criterium van de leeftijd voor de "digitale toestemming” wordt door artikel 8.1 van de AVG aan het oordeel van de nationale wetgevers overgelaten. Sommige lidstaten hebben een hogere leeftijd behouden, zoals Frankrijk, dat de leeftijd op 16 jaar houdt. Wees daarom alert voor dit cruciale verschil wanneer u gegevens van minderjarige gebruikers verzamelt bij grensoverschrijdende activiteiten. De beste oplossing in dat geval is om zelf de hoogste leeftijd toe te passen voor het verkrijgen van een geldige toestemming.
 
207.     Wanneer de betrokkenen van wie u de gegevens verwerkt, nog niet de leeftijd hebben bereikt die u toelaat ze als volwassenen te beschouwen (omdat zij in staat zijn hun onderscheidingsvermogen aan te tonen), moet u de toestemming van de minderjarige laten valideren door de volwassene die de ouderlijke verantwoordelijkheid draagt. In dit geval moet u met behulp van alle beschikbare technologische middelen redelijke inspanningen leveren om na te gaan of de gevalideerde of gegeven toestemming inderdaad die van de houder van de ouderlijke verantwoordelijkheid is.
 
208.     De EDPB preciseert: "als de gebruikers aangeven dat ze de leeftijd voor digitale toestemming hebben bereikt, kan de verwerkingsverantwoordelijke passende controles uitvoeren om na te gaan of deze bewering klopt. Hoewel de noodzaak om redelijke inspanningen te verrichten om de leeftijd te verifiëren niet uitdrukkelijk in de AVG is opgenomen, is deze wel impliciet vereist, omdat in het geval een kind toestemming geeft wanneer het niet oud genoeg is om in eigen naam een geldige toestemming te geven, dit de verwerking van gegevens onrechtmatig maakt. “
 
209.     Tot slot dient te worden opgemerkt dat leeftijdscontrole niet mag leiden tot overmatige bijkomende gegevensverwerking. Het mechanisme dat u gebruikt om de leeftijd te controleren is afhankelijk van de risico's die aan de verwerking zijn verbonden. Als de voorgenomen verwerkingen een laag risico met zich meebrengen, kan een niet onfeilbaar, maar toereikend mechanisme erin bestaan om het geboortejaar op te vragen of om een formulier te laten invullen waarin verklaard wordt dat de leeftijd van de digitale toestemming bereikt werd. Indien u zich in een situatie bevindt waarin u de toestemming van de houder van de ouderlijke verantwoordelijkheid moet verkrijgen, hangt de methode die u moet gebruiken ook af van de risico's die de verwerking met zich meebrengt en van de beschikbare technologieën.
 
d.  Hoe lang blijft de toestemming geldig?
 
210.     In de AVG is niet vastgelegd hoe lang een verkregen toestemming geldig blijft. Alles hangt af van de context, met inbegrip van de draagwijdte van de initiële toestemming, de aard van uw activiteit en de rechtmatige en redelijke verwachtingen van de persoon die de toestemming heeft gegeven. Het is vooral een kwestie van gezond verstand.
 
211.     Het is dus uw verantwoordelijkheid om voor de gegevens een bewaartermijn te voorzien die rekening houdt met het proportionaliteitsbeginsel.
 
212.     De EDPB adviseert “om toestemming met passende tussenpozen te vernieuwen. Ook hier helpt het verstrekken van alle informatie om ervoor te zorgen dat de betrokkene goed geïnformeerd blijft over hoe zijn of haar gegevens worden gebruikt, en hoe zijn of haar rechten kunnen worden uitgeoefend. “ Dit advies geldt des te meer als u van plan bent om voormalige klanten te contacteren, of klanten die gebruik hebben gemaakt van een unieke dienst (bijvoorbeeld de verhuur van krukken) of een eenmalige aankoop bij u hebben gedaan.
 
213.    Gebruik die hernieuwing van de toestemming als een communicatiemiddel bij uitstek. Lanceer bijvoorbeeld preventiecampagnes rond gegevensbescherming, door uit te leggen hoe uw organisatie gegevens beheert en maak van de gelegenheid gebruik om uw klanten, abonnees of leden te bedanken dat ze hebben ingestemd met de verwerking van hun gegevens voor uw marketingdoeleinden. Leg uit waarom dit interessant is en herinner hen eraan dat ze op elk moment, via een eenvoudige methode, hun toestemming kunnen intrekken.
 
e.  Bijkomende voorwaarden voor de geldigheid van de toestemming
 
Nieuw: De AVG geeft nadere toelichting en details over de voorwaarden voor het verkrijgen en aantonen van een geldige toestemming: de bewijslast berust bij de verantwoordelijke voor de gegevensverwerking die toestemming heeft verkregen en de mogelijkheid voor de betrokkene om die toestemming te allen tijde in te trekken.
 
Artikel 7 van de AVG
1.   Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.
2.   (…)
3.   De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. (…) Alvorens de betrokkene zijn toestemming geeft, wordt hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het geven ervan.
4.   (…)
 
e.1. Bewijs van toestemming
 
214.     De AVG stelt expliciet dat de verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven. Dit vloeit eveneens voort uit de meer algemene verantwoordingsplicht, die door de AVG aan verwerkingsverantwoordelijken wordt opgelegd.
 
215.     Om aan deze eis te voldoen, staat het u vrij om de methode te gebruiken die u het meest geschikt acht. Deze verplichting heeft niet de bedoeling om u overmatige werklast te bezorgen. Ze is vooral bedoeld om het u makkelijk te maken om in het geval van een klacht van de betrokkene of van een controle door de GBA aan te tonen dat u in regel bent.
 
216.     Om deze toestemming te bewijzen is het bovendien niet nodig om nog meer persoonsgegevens te verzamelen dan die waarover u al beschikt.
 
217.     U kan bijvoorbeeld de ontvangen toestemmingsverklaringen bijhouden, zodat u kan aantonen hoe de toestemming is verkregen, wanneer ze werd verkregen en welke informatie de betrokkene daarvoor heeft verstrekt.
 
218.     De verplichting om de toestemming te kunnen aantonen geldt zolang de verwerking plaatsvindt. Nadat die verwerking is afgelopen, mag het bewijs van toestemming niet langer worden bewaard dan nodig is voor de naleving van deze wettelijke verplichting of voor de instelling, uitoefening of onderbouwing van een rechtsvordering, zoals voorzien in 17.3, b) en e) van de AVG.
 
e.2. Intrekking van toestemming
 
219.     De AVG geeft personen die toestemming hebben gegeven voor de verwerking van hun gegevens de mogelijkheid deze op elk moment in te trekken.
 
220.     Dit houdt ook in dat een dergelijke intrekking gratis moet kunnen geschieden zonder nadelige gevolgen zoals bijvoorbeeld een vermindering van het tot dan toe geleverde niveau van dienstverlening.
 
Voorbeeld 32: Een muziekfestival verkoopt tickets via een online platform. Bij elk ticket dat verkocht wordt, vraagt het toestemming aan de koper om zijn gegevens te mogen gebruiken voor commerciële doeleinden. Voor het al dan niet bevestigen van zijn toestemming voor het gebruik van zijn gegevens voor dit doel, kan de klant "nee" of "ja" selecteren. De voor verwerking verantwoordelijke informeert de klanten dat ze de mogelijkheid hebben om hun toestemming in te trekken. 
Hiervoor kunnen  ze gratis een callcenter bellen op werkdagen tussen 8u en 17u.
Op deze manier houdt de voor verwerking verantwoordelijke zich niet aan artikel 7.3 van de AVG. Hoewel het gratis is, is het hier moeilijker zijn toestemming in te trekken dan ze te geven.
 
221.     Hoewel de AVG een prominente plaats toekent aan het intrekken van toestemming, schrijft ze niet voor in welke vorm die intrekking moet of mag gebeuren. De EDPB stelt in dit verband: “Wanneer toestemming echter wordt verkregen via elektronische middelen, door middel van slechts één muisklik, veeg of toetsenaanslag, moet de betrokkene deze toestemming, in de praktijk, ook even eenvoudig kunnen intrekken. “  Betrokkenen verplichten om een complex pad te volgen via links naar onderliggende elektronische documenten of dat hen verplicht om een wachtwoord in te voeren, voldoet niet aan de eis dat de intrekking even eenvoudig moet kunnen plaatsvinden. Wanneer er cookies “van derden” geplaatst worden, voldoet het doorverwijzen van de internetgebruiker naar de informatiepagina's van die derden en hem verplichten daar voor elk van die partijen te zoeken naar de manier om zijn intrekking/weigering van toestemming uit te drukken, evenmin aan die eis.
 
222.     Wanneer een persoon zijn toestemming intrekt, moeten alle gegevensverwerkingsactiviteiten die op de toestemming van deze persoon berusten, stopgezet worden. Dit doet echter geen afbreuk aan de wettigheid van de verrichtingen die zijn uitgevoerd op basis van de geldig gegeven toestemming vóór de intrekking.
 
223.     Bovendien moet u in geval van intrekking van de toestemming beoordelen of het bewaren van de gegevens die voor uw direct marketingdoeleinden werden gebruikt, al dan niet gerechtvaardigd is, zelfs als de betrokkene geen verzoek tot verwijdering heeft ingediend. Overeenkomstig artikel 5.1, e) van de AVG, moet het bewaren van persoonsgegevens worden beperkt tot het nagestreefde doeleinde.
 
224.     Indien deze gegevens noodzakelijk zijn bij het uitvoeren van een verwerking voor andere doeleinden waarvoor u een geldige rechtsgrond hebt, kan u deze gegevens misschien bewaren (zie in die zin overwegingen 166, 217 en 218 van deze Aanbeveling). Als er daarentegen geen andere rechtsgrond is voor de verwerking van deze gegevens, moeten ze verwijderd worden.
 
Wees transparant
 
Artikel 12.1 van de AVG
"De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is.
De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt.
Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is."
 
225.     Om te voldoen aan de regels inzake gegevensverwerking voor direct marketingdoeleinden, is het van cruciaal belang dat u nauwgezet toeziet op de naleving van uw verplichting tot transparantie, zoals voorzien in artikel 12 van de AVG en die zowel betrekking heeft op de informatie die u aan de betrokkenen moet verstrekken, als op de uitoefening van de rechten die op grond van artikelen 15 tot en met 22 van de AVG aan de betrokkenen zijn verleend.
 
226.     Betreffende artikelen 13 en 14 van de AVG, die meermaals in deze Aanbeveling worden vermeld (zie in die zin overwegingen 64, 66,67, 78, 101, 134, 158 en 176), moet u er goed op letten dat het eerste gericht is op verwerkingsverantwoordelijken die de gegevens rechtstreeks bij de betrokkenen verzamelen, en het tweede tot verwerkingsverantwoordelijken die persoonsgegevens op een onrechtstreekse manier verzamelen. Houd er rekening mee, ongeacht dit in welke van beide situaties u zich bevindt, dat hoe meer informatie u op een duidelijke en begrijpelijke manier verstrekt, hoe beter u tegemoetkomt aan de eis tot transparantie, zoals bepaald in artikel 12 van de AVG.
 
227.     Let op de tijdscriteria die voor beide artikelen verschillend zijn.  Wanneer u de gegevens rechtstreeks bij de betrokkene verzamelt, moet u de betrokkene alle informatie die in artikel 13 van de AVG wordt vermeld, verstrekken op het moment waarop de gegevens worden verkregen. Wanneer de gegevens niet rechtstreeks van de betrokkene worden verkregen, legt artikel 14 van de AVG u op om de informatie te verstrekken binnen een redelijke termijn, uiterlijk binnen één maand na de verkrijging van de persoonsgegevens en op het moment van het eerste contact met de betrokkene indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene.
 
228.     Gebruik tegenover uw gesprekspartner altijd duidelijke, eenvoudige en toegankelijke bewoordingen.
 
Overweging 58 van de AVG
"Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek of voor de betrokkene beknopt, eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal en, in voorkomend geval, aanvullende visualisatie worden gebruikt."
 
229.     Het privacybeleid dat bij de bevolking bekend is onder verschillende namen, blijkt vaak lang en lastig om te ontcijferen, de lectuur ervan is ontmoedigend en vaak onbegrijpbaar en ze wordt onder een rubriek aan het einde van de pagina geplaatst.
 
230.     De toegankelijkheid van de informatie is niet beperkt tot de gebruikte termen, maar geldt ook voor de manier waarop u ze communiceert en de plaats waar deze informatie wordt aangeboden. Als u geen enkele vorm van communicatie wordt opgelegd, bent u verplicht om de meest doeltreffende te kiezen, of zelfs om verschillende communicatievormen te gebruiken om de informatie te verspreiden: een tekst, een audioboodschap, een begeleidend filmpje.
 
231.     Als u bijvoorbeeld een internetsite hebt, zou uw privacybeleid, om zo toegankelijk mogelijk te zijn, onmiddellijk op het scherm moeten verschijnen, om zo de bezoekers van uw website uit te nodigen er kennis van te nemen. Privacyverklaringen die in kleine lettertjes onderaan de pagina worden geplaatst, zonder enige aandacht te trekken, voldoen niet aan de eisen van artikel 12 van de AVG. Zorg er ook voor dat u informatie verstrekt die essentieel is om de verwerking(en) en de verzamelde gegevens te begrijpen, waarbij een duidelijk onderscheid wordt gemaakt tussen de verwerkingen die onder uw verantwoordelijkheid vallen en diegene die onder de verantwoordelijkheid vallen van de eventuele ontvangers van de gegevens.
 
232.     Vergeet niet dat u de informatie die u op grond van artikelen 13 en 14 van de AVG verplicht moet verstrekken, niet kan opnemen in een document dat een ander doel heeft, zoals bijvoorbeeld uw algemene voorwaarden. Net zoals bij het beleid betreffende het gebruik van cookies, moet u deze documenten afzonderlijk voorleggen.
 
233.     Voor wat de inhoud van de informatie betreft, wordt u geen enkele vorm opgelegd. Artikel 12.7 van de AVG bepaalt in het bijzonder dat de te verstrekken informatie voorzien mag worden van standaardiconen om een goed, gemakkelijk zichtbaar en duidelijk leesbaar overzicht van de beoogde verwerking te geven.
 
234.     De informatie die overeenkomstig artikelen 13 en 14 van de AVG moet worden verstrekt, moet met name betrekking hebben op de rechten van de betrokkenen. Het is uw verantwoordelijkheid om de uitoefening van die rechten te waarborgen en te faciliteren (zie artikel 12.2 van de AVG) door aan de betrokkenen op een zichtbare en begrijpelijke manier uit te leggen welke rechten zij hebben. Er moet worden vermeden dat de betrokkenen meerdere stappen moeten ondernemen om hun rechten uit te oefenen.
 
Vergeet de betrokkenen naast het recht van bezwaar (artikel 21 van de AVG) of hun recht om de toestemming in te trekken (artikel 7.3 van de AVG), indien van toepassing, en hun recht om niet onderworpen te zijn aan een besluit dat uitsluitend op geautomatiseerde verwerking is gebaseerd (artikel 22 van de AVG), niet te informeren over hun recht op toegang (overeenkomstig de voorwaarden van artikel 15 van de AVG) en recht op rectificatie (overeenkomstig artikel 16 van de AVG), hun recht op gegevenswissing (overeenkomstig de voorwaarden van artikel 17 van de AVG), hun recht op beperking van de verwerking (overeenkomstig artikel 18 van de AVG), hun recht op de hoogte gesteld te worden van de rectificatie of de wissing van hun gegevens (zie artikel 19 van de AVG) en hun recht op gegevensoverdraagbaarheid (zie artikel 20 van de AVG). U moet niet alleen informeren maar ook deze rechten garanderen.
 
235.     Een persoon kan gebruik maken van zijn recht op gegevenswissing wanneer hij bijvoorbeeld de eerder gegeven toestemming intrekt. Het spreekt voor zich dat u, wanneer een persoon zijn toestemming intrekt, geen rechtsgrond meer hebt om diens gegevens te verwerken, afgezien van de gevallen waarin u wettelijk verplicht zou zijn om die gegevens te bewaren. Het is dus uw taak om, nog voordat deze persoon gebruik heeft gemaakt van het recht op gegevenswissing, zelf over te gaan tot het verwijderen van de betrokken persoonsgegevens. U kan dus een automatische melding voorzien waarin de personen die hun toestemming intrekken, geïnformeerd worden over het feit dat hun gegevens uit uw databases verwijderd zullen worden. Dit geldt ook in het geval dat betrokkenen bezwaar maken tegen de verwerking van hun gegevens op basis van uw gerechtvaardigd belang. Artikel 17.1, d) van de AVG bepaalt immers dat een betrokkene om de wissing van zijn gegevens kan verzoeken indien deze onrechtmatig zijn verwerkt. In het geval van bezwaar tegen de verwerking van hun gegevens voor marketingdoeleinden, en buiten het geval dat u deze gegevens moet bewaren voor het waarborgen van een ander doeleinde (met een geldige rechtsgrond), wordt de verwerking ervan onrechtmatig.
 
Zelfs als u denkt dat u niet hoeft in te gaan op een van de rechten die door een betrokkene worden uitgeoefend, moet u hem of haar altijd op de hoogte houden van het gevolg dat aan zijn of haar verzoek wordt gegeven, en dit uiterlijk een maand na ontvangst van zijn of haar verzoek, te verlengen met twee maanden als het verzoek complex is of als u te veel verzoeken moet verwerken voor de capaciteit van uw organisatie. De persoon op de hoogte houden van de genomen maatregelen betekent ook hem/haar op de hoogte houden als de termijn voor de behandeling van zijn/haar aanvraag wordt verlengd.
 
Conclusie
 
236.     Gezien het aantal en de verscheidenheid van de betrokken actoren, het aantal en de categorieën verwerkte gegevens, alsook de soorten verwerkingen die voor direct marketingdoeleinden worden uitgevoerd en soms zeer intrusief zijn, behoren de verwerkingsverantwoordelijken die op dit gebied actief zijn, tot de prioriteiten van de toezichthoudende autoriteiten, zowel op het vlak van begeleiding als op het vlak van controle. Gezien het aantal actoren, betrokkenen en het aantal gegevens die in deze sector worden verwerkt, is direct marketing een van de actieprioriteiten in het strategisch plan 2020-2025 van de Gegevensbeschermingsautoriteit.
 
237.     De AVG biedt tal van verduidelijkingen voor operatoren die actief zijn in direct marketing. De verordening introduceert ook een nieuw paradigma doordat het verwerkingsverantwoordelijken verplicht vanaf de conceptie van hun gegevensverwerkingen en gedurende alle stadia van de verwerking rekening te houden met de bescherming van persoonsgegevens. Zo moeten verwerkingsverantwoordelijken ervoor zorgen dat de betrokkenen hun gegevens kunnen controleren. Personen zijn onvermijdelijk betrokken bij en spelen een centrale rol in het beheer van hun persoonsgegevens.
 
238.     U zal uw verwerkingsdoeleinden dus nauwkeurig moeten bepalen, ervoor moeten zorgen dat u over een geldige rechtsgrond beschikt om deze na te streven, dat u uw verplichtingen inzake transparantie kan nakomen door volkomen duidelijk en eerlijk te zijn tegenover de betrokkenen over wat u met hun persoonsgegevens doet en door de uitoefening van hun rechten te waarborgen en te eerbiedigen. U moet ook passende veiligheidsmaatregelen treffen in het licht van de risico's die uw verwerkingsactiviteiten met zich mee kunnen brengen voor de persoonsgegevens waarvoor u verantwoordelijk bent. U moet ook op elk moment kunnen aantonen wat u hebt ondernomen om in regel te zijn met de AVG, overeenkomstig het principe van verantwoordingsplicht.
 
239.     U moet het naleven van de AVG niet laten bepalen door het risico op sancties, maar eerder door uw bereidheid om door de regels voor gegevensbescherming na te leven, een echte vertrouwensrelatie op te bouwen met de betrokkenen die essentieel zijn voor het voortzetten van uw activiteiten. De AVG moet een gemeenschappelijke taal worden voor alle actoren tot wie ze zich richt, waarvan de codes en de woordenschat moeten worden beheerst, zodat de verschillende betrokken partijen elkaar kunnen begrijpen en de naleving ervan kunnen waarborgen, om zo de bescherming van de persoonsgegevens en de personen met wie ze verbonden zijn, te verzekeren.
 
240.     Tot slot is handelen in overeenstemming met de AVG niet alleen een verplichting met betrekking tot de persoonsgegevens die u verwerkt. Het gaat evenzeer om ethisch gedrag op de markt, zowel ten opzichte van betrokkenen als van partners. Om te zorgen voor uniformiteit en consistentie van direct marketingpraktijken onder verwerkingsverantwoordelijken die op dit gebied actief zijn en om deze praktijken op een duidelijke en transparante manier aan de betrokkenen te kunnen communiceren, beveelt de Gegevensbeschermingsautoriteit aan om gedragscodes op te stellen voor de betrokken sectoren, zoals bepaald in artikel 41 van de AVG.