4. Wanneer we kijken naar de verdeling in leeftijd is
de jonge digital native tussen de 25 en 34 relatief
het minst bezorgd over zijn privacy (algemeen
6,0/ online 6,6).
Privacy is niet zwart-wit
Bron: DDMA Privacy Onderzoek 2016
5. 24%
12%
11%
6%
7%
10%
14%
11%
6%
6%
8%
10%
10%
7%
5%
46%
52%
56%
69%
70%
Ik vertrouw de organisatie
De organisatie is transparant over hoe mijn gegevens
worden gebruikt
Er is een online omgeving waarin ik zelf mijn gegevens
kan inzien en wijzigen
De voordelen van het verstrekken van mijn gegevens
worden vanaf het begin duidelijk gemaakt
Ik krijg een gratis product of dienst
1 2 3 Factor niet genoemd
Vertrouwen in de desbetreffende organisatie is voor
een kwart de allerbelangrijkste factor om
persoonlijke informatie te delen.
Bron: DDMA Privacy Onderzoek 2016
6. 7%
1%
3%
89%
0%
20%
40%
60%
80%
100%
Bedrijfsleven/ organisaties
Consumenten
Anders, namelijk
Weet niet
9 op de 10 mensen is van mening dat het
bedrijfsleven het meest profiteert van de
uitwisseling van persoonsgegevens.
Wanneer we kijken naar de
verdeling in leeftijd is de
jonge digital native tussen
de 25 en 34 relatief het
minst bezorgd over zijn
privacy (algemeen 6,0/
online 6,6).
Bron: DDMA Privacy Onderzoek 2016
10. „persoonsgegevens”: alle informatie over een geïdentificeerde of
identificeerbare natuurlijke persoon („de betrokkene”); als
identificeerbaar wordt beschouwd een natuurlijke persoon die
direct of indirect kan worden geïdentificeerd, met name aan de
hand van een identificator zoals een naam, een
identificatienummer, locatiegegevens, een online identificator of
van een of meer elementen die kenmerkend zijn voor de fysieke,
fysiologische, genetische, psychische, economische, culturele of
sociale identiteit van die natuurlijke persoon;
“Bijzondere persoonsgegevens”:
Persoonsgegevens
11. “Bijzondere persoonsgegevens”:
• ras of etnische afkomst
• politieke opvattingen
• religieuze of levensbeschouwelijke overtuigingen
• het lidmaatschap van een vakbond
• genetische gegevens
• biometrische gegevens met het oog op de unieke identificatie van een
persoon
• gegevens over gezondheid
• gegevens met betrekking tot iemands seksueel gedrag of seksuele
gerichtheid
• strafrechtelijke gegevens
Persoonsgegevens
15. AP = persoonsgegeven
zegt iets over de individuele fiscale positie van een belanghebbende bij een
onroerende zaak.
Rb Rotterdam = geen persoonsgegeven (!)
r.o. 4.5: “de op Miljoenhuizen.nl vermelde prijsgeschiedenis kan in beginsel
niet worden aangemerkt als persoonsgegeven in de zin van de Wbp, dat geldt
ook voor de overige gegevens van de woning. Dit zijn immers uitsluitend
gegevens betreffende de woning, die bovendien niet zo kenmerkend zijn dat
daardoor iemand kan worden geïdentificeerd. Hooguit blijkt uit de vermelding
wie de makelaar of de geschatte waarde van de woning is” ??
(Rb Rotterdam 5 januari 2010, zaaknr 329762 / HA RK 09-91)
Persoonsgegevens
16. HOE:
1) Rechtmatige verwerking
Art. 8 AVG
a) met toestemming (= opt-in, denk aan e-mail, sms en cookiedata)
b) uitvoering overeenkomst (abonnement)
f) indien het een gerechtvaardigd ondernemersbelang dient , tenzij het belang
van de betrokkene prevaleert (=opt-out, denk aan telemarketing en direct
mail)
Direct Marketing is een gerechtvaardigd ondernemersbelang
Spelregels
17. 2) Op eerlijke en zorgvuldige wijze
Art 12, 13 en 14 AVG
M.a.w. daadwerkelijk en volledig inlichten over omstandigheden waaronder
gegevens worden verkregen.
Een organisatie moet de betrokkene daarom informeren over
1) zijn identiteit
2)het doel van de verwerking
3) de gegevens die worden vastgelegd
4) het recht van de betrokkene op inzage, correctie en verzet
5) categorieën derden
6) verzet
Spelregels
23. En in iedere uiting het Recht van bezwaar bieden!!!
Artikel 21 AVG
[…]
2. Wanneer persoonsgegevens ten behoeve van direct marketing
worden verwerkt, heeft de betrokkene te allen tijde het recht
bezwaar te maken tegen de verwerking van hem betreffende
persoonsgegevens voor dergelijke marketing, met inbegrip van
profilering die betrekking heeft op direct marketing.
3. Wanneer de betrokkene bezwaar maakt tegen verwerking ten
behoeve van direct marketing, worden de persoonsgegevens niet
meer voor deze doeleinden verwerkt.
Recht van bezwaar
25. Real time segmentatie
Koppeling online en offline database
Verrijken van bestanden
Grondslag of doel?
toestemming
gerechtvaardigd belang/ privacybelang
Informeren?
MA – mag dat?
26. 1. Doelbinding: Het koppelen van bestanden moet passen binnen de door
adverteerder geformuleerde doeleinden voor verwerking van
persoonsgegevens: een koppeling maken om (potentiele) leden beter te
kunnen servicen met informatie. Plegen van direct marketing;
derdenverstrekking, profilering, analyse
2. Toestemming: Adverteerder moet toestemming hebben voor het plaatsen van
tracking cookies/ e-mailen.
3. Adverteerder heeft de persoonsgegevens in de bestaande database op legale
wijze verzameld. Mensen zijn ten tijden van registratie geïnformeerd dat
gegevens worden gebruikt voor marketing/ profilering.
MA-mag dat?
27. Inzage
Art 15 AVG
[…] het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in
artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige
informatie over de onderliggende logica, alsmede het belang en de verwachte
gevolgen van die verwerking voor de betrokkene.
Bezwaar
Art 22 AVG
De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op
geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan
voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke
mate treft.
MA-mag dat?
29. “„toestemming” van de betrokkene: elke vrije, specifieke,
geïnformeerde en ondubbelzinnige wilsuiting waarmee de
betrokkene door middel van een verklaring of een ondubbelzinnige
actieve handeling hem betreffende verwerking van
persoonsgegevens aanvaardt;
Toestemming
30. Artikel 7 AVG
Voorwaarden voor toestemming
1. Wanneer de verwerking berust op toestemming, moet de verwerkingsverantwoordelijke
kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van
zijn persoonsgegevens.
2. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die
ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in
een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal
zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere
aangelegenheden. Wanneer een gedeelte van een dergelijke verklaring een inbreuk vormt
op deze verordening, is dit gedeelte niet bindend.
3. De betrokkene heeft het recht zijn toestemming te allen tijde in te trekken. Het intrekken
van de toestemming laat de rechtmatigheid van de verwerking op basis van de toestemming
vóór de intrekking daarvan, onverlet. Alvorens de betrokkene zijn toestemming geeft, wordt
hij daarvan in kennis gesteld. Het intrekken van de toestemming is even eenvoudig als het
geven ervan.
4. Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt
onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een
overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor
een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die
overeenkomst;
Toestemming
31. Vrije toestemming?
De vrijheid om “nee” te zeggen tegen de overeenkomst
u mag mij alle reclame sturen die u wilt als ik maar gratis mag e-mailen.
ik krijg 10% korting op de vaste kosten van mijn abonnement, zolang ik
u niet meld dat ik geen reclame e-mail meer wil ontvangen.
Toestemming
33. Specifieke toestemming?
• Zorgvuldig geselecteerde partners
• Hoogwaardige adverteerders
• Derden
• Alles en iedereen
ACM
“Vage beschrijvingen zoals 'u geeft toestemming voor de ontvangst van
e-mails van dit bedrijf en (geselecteerde) partners' zijn niet specifiek. Er
moet duidelijk zijn waarvoor de ontvanger specifiek toestemming
geeft.”
Toestemming
34.
35. Op informatie berustende toestemming?
• Niet via akkoord op Algemene Voorwaarden op Privacy Statement:
ACM: Een bepaling in de algemene voorwaarden informeert de
ontvanger niet over 'waar hij toestemming voor geeft'.
Toestemming
36.
37. • In de toestemmingsvraag werd via een hyperlink duidelijk gemaakt wie de
“geselecteerde partners” waren aan wie de e-mailadressen werden verstrekt.
Volgens ACM was een hyperlink in dit geval onvoldoende en had dit in de vraag
duidelijk moeten worden gemaakt voor wie de adressen werden verzameld en
welke (frequentie en inhoud) e-mail de consument kon verwachten.
• Doordat de opt-in gecombineerd was voor meerdere adverteerders en andere
derden die niet bij naam werden genoemd, had de consument volgens ACM
onvoldoende keuze om aan te geven van wie hij specifiek e-mail wilde
ontvangen en van wie niet.
• Tot slot bevatte de lijst van derden ook andere publishers aan wie de e-
mailadressen werden verstrekt. Deze publishers tonen ook weer advertenties
van andere adverteerders en zo blijft de consument e-mail ontvangen van
partijen die hij niet wil hebben.
Toestemming
40. 18 (…) In the digital economy, services are often supplied against counter
performance other than money, for instance by end-users being exposed to
advertisements. For the purposes of this Regulation, consent of an end-user,
regardless of whether the latter is a natural or a legal person, should have the same
meaning and be subject to the same conditions as the data subject's consent under
Regulation (EU) 2016/679. Basic broadband internet access and voice
communications services are to be considered as essential services for individuals to
be able to communicate and participate to the benefits of the digital economy.
Consent for processing data from internet or voice communication usage will not be
valid if the data subject has no genuine and free choice, or is unable to refuse or
withdraw consent without detriment.
Einde van de cookiewall op komst?
42. • Een organisatie die telemarketing bedrijft op de consumentenmarkt
verplicht ontdubbelen met het wettelijk bel-me-niet register
• Bij e-mail (B2B en B2C) moet voorafgaande toestemming van de
ontvanger zijn verkregen
TENZIJ
de contactgegevens zijn verkregen in het kader van de verkoop van
een product of dienst of in het kader van schenking aan een ideële of
charitatieve organisatie en deze worden gebruikt voor het
overbrengen van communicatie (..)met betrekking tot eigen
gelijksoortige producten of diensten of schenkingen aan de ideële of
charitatieve organisatie.
Klantrelatie
43. • Als een opdrachtgever zonder voorafgaande toestemming e-mailt naar
klanten of klanten belt zonder te ontdubbelen, moet hij hen ten tijde van
de registratie van deze contactgegevens wel hebben verteld dat hij ze
gebruikt voor marketing en moet hij het recht van verzet hebben
geboden.
• Als een adverteerder de klantdata verrijkt heeft met e-mailadressen of
telefoonnummer mag hij wettelijk niet onder de klantrelatie mailen/
bellen.
14. Op 17 augustus 2012 heeft de rapporteur een aanvullend onderzoeksrapport toegezonden aan
GDL. In dit aanvullend onderzoeksrapport constateert de rapporteur dat de telefoonnummers van
de abonnees die GDL het college aanvullend heeft toegezonden,24 niet alle door GDL zijn
verkregen in het kader van de verkoop van een product of dienst.
Klantrelatie
44. Klantrelatie volgens ACM
‘Wanneer is iemand klant? Op het moment dat de contactgegevens zijn
verkregen in het kader van de verkoop van een product of dienst’ – ACM
‘Eigen’ legt ACM zo uit dat het moet gaan om producten of diensten van
dezelfde onderneming die de klantgegevens van de consument heeft
verkregen. Hierbij kijkt ACM naar de juridische entiteit.
Klantrelatie
45. Ongevraagde communicatie
Volgens ACM is bellen op grond van toestemming – ongevraagd en dient
ontdubbeld te worden met BMNR
‘indien een consument heeft ingestemd met het gebruik van zijn gegevens’ –
bijvoorbeeld door het invullen van een enquête of meedoen aan een prijsvraag
– er nog steeds sprake is van ongevraagde communicatie’ - ACM
Gevraagde communicatie
46. Gevraagde communicatie
Pas wanneer een consument ‘zelf op eigen initiatief en voor iedere
afzonderlijke communicatie verzoekt om gebeld te worden’, hoeft niet
ontdubbeld te worden met het bel-me-niet register.
58. Daarnaast kan een vakje dat de consument kan aanvinken met
daarachter de tekst ‘houd mij op de hoogte van nieuws en acties van de
Goede Doelen Loterijen’,61 geen gevraagde communicatie opleveren.
Ook bij deze wijze van gegevensverkrijging weet de abonnee niet wat hij
kan verwachten, van wie en in welke vorm (post, telefoon, sms, email,
fax) en met welk doel. Van een uitdrukkelijk en ondubbelzinnig verzoek
om communicatie is derhalve, ook bij het aanvinken van een dergelijke
tekst, geen sprake.
Gevraagde communicatie
49. 1. Natural or legal persons may use electronic communications services for the
purposes of sending direct marketing communications to end-users who are
natural persons that have given their consent.
2. Where a natural or legal person obtains electronic contact details for electronic
mail from its customer, in the context of the sale of a product or a service, in
accordance with Regulation (EU) 2016/679, that natural or legal person may
use these electronic contact details for direct marketing of its own similar
products or services only if customers are clearly and distinctly given the
opportunity to object, free of charge and in an easy manner, to such use. The
right to object shall be given at the time of collection and each time a message
is sent. […]
4. Notwithstanding paragraph 1, Member States may provide by law that the
placing of direct marketing voice-to-voice calls to end-users who are natural
persons shall only be allowed in respect of end-users who are natural persons
who have not expressed their objection to receiving those communications.
Niet meer koud bellen?
51. Social Media toestemming of gerechtvaardigd belang?
Onderscheid
Push: adverteerder is verzender
Pull: consument vraagt om communicatie
Bij push, ongevraagde electronische communicatie = toestemming
Bij pull (vriendverzoek, followen) gerechtvaardigd belang
Push of pull
52.
53. • Gericht specifieke personen targeten in Facebook
• E-mailadressen, telefoonnummers of Facebook ID’s van de betreffende
doelgroep lokaal gecodeerd. Daarna geüpload en verzonden aan
Facebook.
• Wat doet/kan Facebook met de gegevens?
• Bewerker of derdenverstrekking?
Custom Audience diensten
54. Bewerker of derde?
AV FB
§ C. De hashgegevens die je voor het matchproces aan ons verstrekt, worden niet
gedeeld met derden of andere adverteerders, en worden verwijderd zodra het proces
is voltooid. Facebook bewaakt de vertrouwelijkheid en veiligheid van hashgegevens
en de verzameling van Facebook-gebruikers-ID's van je aangepaste doelgroep ("je
aangepaste doelgroep"), inclusief door middel van technische en fysieke beveiliging
die (a) de veiligheid en integriteit van gegevens in de Facebook-systemen beschermen
en (b) waken tegen onbedoelde of ongeautoriseerde toegang en het onbedoeld of
ongeautoriseerd gebruiken, wijzigen of delen van gegevens in de Facebook-systemen.
Daarnaast zal Facebook geen toegang tot of informatie over je aangepaste doelgroep
doorgeven aan derden of andere adverteerders, deze niet gebruiken om aan onze
gebruikers te koppelen, profielen te creëren op basis van interesses of op enige
manier te koppelen aan je merk(behalve voor het bieden van services), tenzij we
hiervoor jouw toestemming hebben of hiertoe wettelijk verplicht zijn.
Custom Audience diensten
55. Goede toestemming & afmeldmogelijkheid
FB AV geeft aan dat adverteerder
• Toestemming moet hebben om de gegevens te gebruiken (opt-in);
• Een afmeldmogelijkheid moet bieden voor het ontvangen van gerichte
advertenties, welke je respecteert als die is benut.
Custom Audience diensten
56. • “FNV Horeca gebruikt het e-mailadres van haar leden tevens voor Custom
Audience targeting via Facebook. FNV Horeca maakt een Custom Audience aan
door e-mailadressen van haar leden te uploaden in een advertising-tool. Deze
groep kan vervolgens worden gekoppeld aan een specifieke Facebookcampagne:
alleen deze Facebook gebruikers krijgen de campagne te zien. Zie voor meer
informatie over Custom Audience targeting (…).
• Indien jij (…) geen deel uit wilt maken van een Custom Audience advertising tool,
kun je dit op ieder moment aangeven via het volgende e-mailadres:
communicatie@fnvhorecabond.nl.”
Custom Audience diensten
61. 61
Verplichtingen
• Recht op vergetelheid (Art. 17)
• Recht op gegevensoverdraagbaarheid (Art. 20)
• Recht om niet onderworpen te worden aan profilering (Art. 22)
Nieuwe verplichtingen
63. 63
Zeven verplichtingen
• Privacy by design en by default (art. 25 vo.)
• Vewerkersovereenkomst (art. 28 lid 3 vo.)
• Verwerkingenregister (documentatieplicht, art. 30 vo.)
• Beveiligingseisen en meldplicht datalekken (artikel 32-34 vo.)
• Privacy Impact Assessment (PIA) (artikel 35 en 36 vo.)
• Functionaris Gegevensbescherming (FG/DPO) (art. 37-39 vo.)
Nieuwe verplichtingen
64. Patrick Jordens (06-15058797)
DMCC Nederland B.V.
DMCC geeft organisaties praktische
handvatten om privacy- en
consumentenwetgeving in hun bedrijfsvoering
te implementeren en monitoren.
64
Telefoon : 088-7779311
E-mail: info@dmcc.nl
Website: www.dmcc.nl