Sinds de privacycommissie in ons land haar register ook via internet openbaar maakte, is er geen weg meer terug. Iedereen kan in een wip controleren of u met uw organisatie uw databestand (met persoonsgegevens) heeft aangegeven of niet. Dit is nodig om in orde te zijn met de privacywetgeving. Maar hoe zit die wetgeving in […]

Advertentie

Sinds de privacycommissie in ons land haar register ook via internet openbaar maakte, is er geen weg meer terug. Iedereen kan in een wip controleren of u met uw organisatie uw databestand (met persoonsgegevens) heeft aangegeven of niet. Dit is nodig om in orde te zijn met de privacywetgeving. Maar hoe zit die wetgeving in mekaar? Een korte checklist op basis van tien vragen.

1.) Wat valt er onder de privacywetgeving?

Privacy, en dus ook de wetgeving errond, komt op de proppen zodra er persoonsgegevens worden opgevraagd, verzameld, bewaard of bewerkt. Dat kan zowel offline als online. ‘Persoonsgegevens mag u overigens vrij breed opvatten’, situeert Peter Van de Velde, advocaat bij Bird & Bird en gespecialiseerd in de materie. ‘Het gaat hier zowel om particuliere als professionele informatie. Ook data waar u niet meteen een persoon aan kan vastkoppelen, zoals een nummerplaat of IP-adres, valt in principe onder de privacywetgeving.’

2.) Waarmee rekening houden bij het verwerken van persoonsgegevens?

De verwerking van gegevens moet gelinkt zijn aan een bepaald doel. ‘Dat doel moet worden meegedeeld aan de personen die je contacteert. Je mag de persoonsgegevens die je verwerkt voor facturatiedoeleinden dus niet zomaar voor direct mail gebruiken zonder dat de respondenten hierrond zijn ingelicht’, stelt Van de Velde. Cruciaal is ook de ondubbelzinnige toestemming van de contactpersoon om zijn persoonsgegevens te gebruiken. ‘Deze moet specifiek voor dat doel gebeuren, uit vrije wil én op basis van juiste en volledige informatie’, verduidelijkt de advocaat. ‘Ondubbelzinnige toestemming staat trouwens niet meteen gelijk met schriftelijke of expliciete toestemming. Maar vergeet niet dat in geval van betwisting de bewijslast bij u ligt als bedrijf. Het valt dus wel aan te raden.’

3.) Wat als u een databank koopt of huurt?

Ook als u van een derde partij een databank koopt of huurt, bent u in principe verantwoordelijk. Zo moet u de databank registeren bij de privacycommissie (zie verder). ‘Belangrijk is ook om in uw contract vast te leggen dat de contacten uit deze databank ook effectief hun toestemming hebben gegeven. Zo heb je in het geval van problemen achteraf verhaal ten opzichte van de leverancier van wie je de databank kocht of huurde’, vertelt Van de Velde, al benadrukt hij dat u als beheerder (‘controller’) van de databank in eerste instantie zelf instaat voor klachten van individuen.

4.) Wat kunnen individuen u vragen?

Naast de verplichte transparantie rond de aard en doeleinden van de verzamelde informatie, hebben individuen altijd het recht om hun eigen gegevens in te kijken of om deze recht te zetten. Individuen hebben ook een specifiek recht om zich te verzetten tegen het gebruik van hun persoonlijke data voor direct-marketingacties.

5.) Wat is de rol van de privacycommissie?

Wie databanken met persoonsgegevens beheert moet dat, in functie van het doel waarvoor dit gebeurt, aangeven bij de privacycommissie. In principe gebeurt dit voorafgaand aan de verwerking van de persoonsgegevens. Deze aangifte is in wezen een administratieve formaliteit die gebeurt volgens een standaardformulier.

6.) Kan de privacycommissie ook bestraffen?

De privacywet is een strafwet, al gebeurt de effectieve vervolging niet door de privacycommissie zelf. ‘In tegenstelling tot in veel van onze buurlanden kan de commissie zelf geen administratieve boetes opleggen’, vertelt Van de Velde. ‘Maar de commissie heeft wel ruime onderzoeksbevoegdheden en kan zaken voor vervolging doorverwijzen naar het parket.’Volgens Van de Velde ziet de privacycommissie in ons land zich in de eerste plaats als bemiddelaar, niet als bestraffer. Maar dat wil niet zeggen dat u de dienst moet onderschatten. Neem als ondernemer vragen tot informatie vanuit de privacycommissie dus altijd au sérieux’, raadt hij aan.
De geldstraffen in de wet voor overtredingen gaan van 550 tot 550.000 euro, naast andere maatregelen, zoals de mogelijke verplichte publicatie van een vonnis. ‘Een bedrijf kan echter ook schade lijden doordat zijn imago of reputatie besmeurt raakt.’

7.) Wat met de plicht tot beveiliging?

De partij die de data beheert is volgens de wet ook verplicht tot ‘aangepaste’ beveiliging ervan. ‘Zeker bij de transmissie van de data over een netwerk als internet, dringt de wetgever aan op een passende beveiliging van de data’, verduidelijkt Van de Velde. ‘Ook al gaat de wetgever hier niet in detail, toch is duidelijk dat het om meer gaat dan de zorgvuldigheid van de traditionele goede huisvader. De privacycommissie stelde trouwens recent een aantal concrete richtlijnen op voor de beveiliging van persoonsgegevens.’
8.) Wat zijn de specifieke regels bij e-mailmarketing?

Bij het verzamelen van persoonsgegevens voldoen elektronische media als e-mail en mobiel aan een strenger regime dan traditionele offline marketing zoals de klassieke direct mail. Volgens het algemene principe geldt bij e-mail een opt-in, wat betekent dat het gebruik van persoonsgegevens verboden is voor deze kanalen, zonder de vrije, specifieke en ondubbelzinnige toestemming van de ontvanger van de berichten.
‘Uitzondering op deze regel zijn berichten of e-mails naar rechtspersonen, zoals bijvoorbeeld [email protected] Ook e-mails naar bestaande klanten zijn toegestaan onder het lossere opt-out regime, al moet het dan wel om aanbiedingen voor gelijkaardige producten of diensten gaan.

9.) Wat met cookies?

Ook voor cookies, kleine bestandjes die op de harde schijf van de bezoeker van sites worden achtergelaten, bestaat er een regeling. ‘In de wet op de elektronische communicatie staat zelfs dat de surfer de mogelijkheid moet hebben om cookies te weigeren vóóraleer deze worden aangebracht’, benadrukt de advocaat. ‘Maar in de praktijk is dat niet zo evident.’

10.) Is er een regeling voor virale marketing?

Virale marketing, is de online variant van mond-aan-mond-reclame. Een aparte wettelijke regeling bestaat er niet voor, al bracht de FOD Economie hier wel een brochure voor uit. ‘In de praktijk komt het er – ook hier – op neer dat u de ‘vrienden’ van uw contactpersonen niet zomaar in uw eigen databank mag bewaren, zonder dat deze daar zelf hun ondubbelzinnige toestemming voor gaven.’

Extraatje: om over na te denken

Is het geven van uw business card aan iemand een wettelijke aanzet voor het versturen van e-mail reclame?

Als u louter om contact te houden uw business card aan iemand geeft, mag deze informatie in principe niet worden gebruikt om die betreffende persoon reclame per e-mail te versturen. Daarvoor is een specifieke opt-in vereist.

Mag je bezoekers van een site met een geschenk of wedstrijd motiveren om zich op te geven voor opt-in?

Zolang de contactpersoon zelf vrij en actief kan beslissen om zich als opt-in aan te bieden, vormt een aanmoediging in principe geen probleem.

Advertentie