Menu

Direct marketing en privacy: een gevoelige combinatie

Wat mag er wel en wat mag er niet op het gebied van privacy bij direct marketing? De Gegevensbeschermingsautoriteit (GBA) beloofde in haar strategisch plan dat ze een aantal moeilijke topics in verband met de privacyregelgeving zou verduidelijken. Zo publiceerde de GBA concrete aanbevelingen over hoe je correct aan direct marketing doet.

Met deze aanbeveling wil de GBA organisaties ondersteunen die persoonsgegevens verwerken voor direct marketing. De bedoeling is om de toepasselijke regels te verduidelijken en zo de juiste reflexen te creëren bij deze bedrijven of organisaties.

De uitgebreide aanbevelingen van de GBA kan je hier lezen. Of je leest hieronder onze handige samenvatting.

Volgens onze expert zijn dit de belangrijkste punten:

Laat ons beginnen met te verduidelijken wat de GBA concreet definieert als ‘direct marketing’.

Wat is de definitie van ‘direct marketing’?

Op Europees niveau (met name de GDPR of de ePrivacy-richtlijn) bestaat er geen specifieke definitie van het concept ‘direct marketing’, waarbij persoonsgegevens (zoals e-mailadressen) worden gebruikt.

De GBA definieert direct marketing als: “elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan één of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.”

Dit is een ruime definitie, waarvan de focus vooral lijkt te liggen op het element ‘promoten’.

Dit betekent bijgevolg ook dat volgende communicaties géén direct marketing zijn:

  • communicaties om marktonderzoek, peilingen of tevredenheidsenquêtes uit te voeren. Enkel wanneer deze berichten geen promotie bevatten én via deze weg geen persoonsgegevens verzameld worden voor direct marketing;
  • mededelingen van overheidsdiensten die campagnes voeren (bv. vaccinatiecampagnes) of andere diensten promoten (bv. telefooncentra voor bijstand aan personen in moeilijkheden) waarvoor zij wettelijk verantwoordelijk zijn;
  • ongeadresseerde post toebedeeld via elke postbus in een gemeente, stad, provincie, … . Tenzij die post specifiek wordt toebedeeld aan een bepaald doelpubliek, zoals mensen die in de buurt van een winkel wonen, maar nog geen klant zijn;
  • advertenties die een website willekeurig weergeeft aan iedere bezoeker.

Opgelet, het feit dat dit geen ‘direct marketing’ activiteiten zijn, betekent niet dat de GDPR of de ePrivacy-richtlijn hier niet gelden. Zolang voor de bovenstaande activiteiten persoonsgegevens worden verwerkt, moet de relevante regelgeving nageleefd worden. Enkel de specifieke regels voor direct marketing gelden niet.

Transparantie en rechtstreeks informeren

De GBA benadrukt (nogmaals) het belang van transparantie. Als organisatie moet je betrokkenen uitdrukkelijk informeren over wat je zal doen met hun persoonsgegevens, hoe lang je deze bijhoudt, aan wie je ze doorgeeft, …. Je moet de betrokkene hierover bovendien afzonderlijk informeren. De informatie mag dus niet staan in een document dat een ander doel heeft, zoals de algemene voorwaarden.

In principe moet je betrokkenen rechtstreeks informeren over de verwerking van hun persoonsgegevens. Een privacyverklaring op de website volstaat dan ook niet als je hen bv. per e-mail kunt informeren. Dit geldt ook voor bedrijven met een bedrijfsmodel dat gebaseerd is op de massale verzameling van persoonsgegevens met als doel om er handel mee te drijven. Onrechtstreeks informeren volstaat enkel wanneer je bedrijf niet over de technische middelen beschikt om de betrokkenen individueel te informeren zonder buitensporige inspanning.

Data verkopen, verhuren of verrijken

Bedrijven die persoonsgegevens doorgeven, verkopen of verhuren aan andere bedrijven voor o.a. direct marketing, moeten de betrokkenen uitdrukkelijk informeren. Dit geldt ook voor de aanvulling van persoonsgegevens met gegevens uit andere databanken.

Bedrijven aan wie je persoonsgegevens verkoopt of verhuurt voor direct marketing, moeten met naam vermeld staan in je privacyverklaring. Alleen wanneer dit echt onmogelijk is, moet je minstens hun sector en dienstverlening vermelden. Daarnaast vermeld je best zo concreet mogelijk hoe deze derde partijen de gegevens zullen gebruiken voor direct marketing. Voorbeeld: maximum 4 keer per jaar versturen van een reclameboodschap per e-mail. Op die manier kunnen de betrokkenen hun specifieke en geïnformeerde toestemming verlenen.

Ontvang je zelf persoonsgegevens van een ander bedrijf of organisatie met als doel om deze te gebruiken voor je eigen marketingdoeleinden? Dan behoort het tot je verantwoordelijkheid om partners te selecteren die kunnen garanderen dat ze persoonsgegevens op een rechtmatige en eerlijke manier verzamelen.

Rechtsgrond: toestemming vs. gerechtvaardigde belangen

Voor iedere verwerking van persoonsgegevens moet je over een rechtsgrond beschikken. Bij marketing is de toestemming vragen van de betrokkene de meest gebruikte optie. In sommige gevallen bepalen de regels zelfs dat toestemming de enige mogelijkheid is. Een voorbeeld van zo’n geval is wanneer je via mail marketingcommunicatie wilt versturen.

Los van die specifieke gevallen kan je eventueel ook verwijzen naar de gerechtvaardigde belangen van je bedrijf/organisatie. Dat houdt in dat je geen toestemming van de betrokkene nodig hebt. Opgelet, deze rechtsgrond heeft bijkomende verplichtingen. Zo moet je een belangenafweging maken én die documenteren.

De rechtsgrond van gerechtvaardigde belangen is vooral een interessante optie om marketingcommunicatie te sturen aan je huidige klanten. Je moet hierbij dan wel voorzichtig zijn met ‘prospects’ en andere personen met wie je bedrijf nog geen enkele band heeft. De GBA stelt immers dat je geen beroep kan doen op de gerechtvaardigde belangen als er nooit enige relatie met de betrokkene is geweest, of er gedurende een lange tijd geen contact is geweest.

Hoe bepaal je dan of het versturen van een bepaalde marketingcommunicatie mogelijk is onder de rechtsgrond van ‘gerechtvaardigde belangen’? Hét criterium is daarbij de vraag wat de redelijke verwachtingen zijn van de ontvanger in kwestie. Stel dat iemand bijvoorbeeld contact opneemt met een verzoek om meer informatie over een product dat je verkoopt. Dan kan daar, volgens de GBA, niet zomaar uit afgeleid worden dat die persoon redelijk verwacht om ook direct marketing mails te ontvangen.

Bevestiging gekende direct marketing principes

Tot slot bevestigt de GBA nog eens enkele gekende principes in de context van direct marketing:

  • de verwerkte persoonsgegevens moeten proportioneel zijn aan de nagestreefde doeleinden.
  • verder surfen op de website kan niet als uitdrukkelijke toestemming gelden voor het aanvaarden van cookies (bv. met het oog op het weergeven van gepersonaliseerde advertenties, wat onder direct marketing valt).
  • het uitoefenen van het recht van bezwaar tegen de verdere verwerking van persoonsgegevens voor direct marketing moet gefaciliteerd worden. Het recht van bezwaar moet duidelijk vermeld worden in iedere marketingcommunicatie. Daarnaast zou het mogelijk moeten zijn om bezwaar uit te oefenen via het kanaal waarlangs de marketingcommunicatie ontvangen wordt (bv. een knop in de e-mail zelf). Langs digitale kanalen zou één klik moeten volstaan om het recht van bezwaar uit te oefenen.

Download deze samenvatting

Pdf Direct Marketing en Privacy aanbeveling GBA

Vragen over direct marketing en privacy?

Ons team Privacy & IT begeleidt en adviseert bedrijven en organisaties, om o.a. hun marketingpraktijken in lijn te brengen met de privacyregels.

Contacteer onze privacy experts

Ook interessant