Er bestaan twee juridische gronden die het mogelijk maken om persoonlijke gegevens voor direct marketingdoeleinden op een GDPR-conforme manier te verwerken
Hoe kunnen bedrijven of organisaties die persoonlijke gegevens gebruiken voor direct marketingdoeleinden hun activiteiten rechtvaardigen? GDPR voorziet twee wettelijke gronden:
- Door het verkrijgen van de goedkeuring van het datasubject. GDPR schrijft voor dat de privacyclausule die deze goedkeuring vraagt, transparant, informatief en specifiek moet zijn. De clausule moet opgesteld zijn in duidelijke en eenvoudige taal.
- ‘Wanneer de verwerking van de gegevens noodzakelijk is voor het legitiem belang van de datacontroleur of een derde partij’. Direct marketing wordt door de GDPR-verordening beschouwd als een ‘legitiem belang’.
Hoe impacteert de GDPR datagedreven prospectie
Wat gebeurt er wanneer consumenten of b2b-contacten hun toestemming geven, waardoor hun gegevens gebruikt kunnen worden voor direct marketingactiviteiten van derde partijen? De GDPR specifieert dat de toestemmingsclausules specifiek moeten zijn. In dit geval klinkt ‘data gebruikt door derde partijen’ nogal vaag. Daarom moeten derde partijen die deze gegevens gebruiken voor prospectie, beroep doen op de tweede juridische grond om GDPR-conform te zijn, namelijk ‘legitiem belang’ hebben (natuurlijk voor het gebruik van het e-mailadres, alleen de toestemming is mogelijk).
Bisnode is er zich terdege bewust van dat het ‘legitiem belang’ zorgvuldig dient afgewogen te worden tegen de belangen, rechten en vrijheden van het individu. Daarom hebben we externe juridische experten betrokken om correcte en betrouwbare procedures te ontwikkelen. Dit resulteerde in een ‘drie stappen aanpak’ die passend inspeelt op de rechtmatige verwachtingen van alle datasubjecten.
Bisnode’s drie stappen aanpak om datasubjecten gerust te stellen
- Volledige transparantie. Volgens de GDPR informeert Bisnode betrokkenen op de meest transparante manier over het gebruik van hun gegevens. We nodigen de datasubjecten uit om zich verder te informeren over hun rechten via onze speciale website www.bisnodeenu.be. Deze site verduidelijkt in gemakkelijk te begrijpen termen hoe Bisnode persoonlijke gegevens verzamelt en gebruikt op een GDPR-conforme manier. De site specifieert ook de rechten van de datasubjecten en hoe deze te gebruiken. Bisnode dringt er bij al zijn bronpartners en klanten op aan om zich te aligneren aan deze privacyclausule, inclusief een duidelijke vermelding en link naar dit GDPR-rechten platform.
- Rechten. Bisnode biedt datasubjecten extra bescherming aan bovenop hun GDPR-rechten. Deze rechten, en hoe ze uit te oefenen, worden verduidelijkt op https://www.bisnode.be/nl-be/uw-rechten/
- Data Protection Impact Assessment. Deze methodologie streeft ernaar een eerlijke balans te zijn tussen de belangen van bedrijven en die van de datasubjecten. Bisnode volgt de methodologie die door de Franse Privacycommissie werd ontwikkeld om zijn eigen DPIA te maken. We zijn hier nog volop mee bezig, en zullen tijdig communiceren via onze website.
Twee hefbomen om de Belgische Privacycommissie te overtuigen
De drie stappen aanpak van Bisnode voor het beschermen van de persoonlijke gegevens van datasubjecten gaat verder dan de vereisten van de GDPR. Met deze goed voorbereide en volledig gedocumenteerde maatregelen kunnen we een sterke casus voorleggen aan de Belgische Privacycommissie.
Bisnode ondersteunt ook de lobbyactiviteiten van onze verschillende bedrijfsfederaties: ACC Belgium, BAM, UBA, ... Zij ontwikkelden en publiceerden een position paper om onze zakelijke belangen te verdedigen in het licht van de GDPR. Direct marketing is een drijvende kracht achter onze economie. Om onze toekomst te beschermen, moeten we een eerlijke balans vinden tussen de individuele goedkeuring en de legitieme belangen van onze business. Wij zijn ervan overtuigd dat GDPR ruimte biedt voor datagedreven targeting en prospectie. Dat is waarom we geloven dat de Belgische Privacycommissie beide GDPR-gronden moet aanvaarden bij het verwerken van persoonlijke gegevens: zowel de toestemming van het datasubject als het ‘legitiem belang’.
Hier kan u de position paper downloaden.
Hoe uw IT-beveiliging bewerken voor de GDPR?
