Ja, Ik wil! Over expliciete en impliciete toestemming (explicit consent)
Menu

Dus: ja, er valt heel wat te zeggen en te lezen over “expliciete toestemming” binnen de GDPR.

Maar waarom is het zo’n belangrijk onderwerp? Wel, niettegenstaande je zou kunnen zeggen dat de GDPR slechts een update is van de EU richtlijn 95/46/EC (de Data Protection Richtlijn uit 1995), wordt de definitie van toestemming of “consent” veel verder beperkt door de GDPR.

Vaarwel, impliciete toestemming

Daar waar de EU Richtlijn 95/46/EC nog toeliet om impliciete toestemming of ‘opt-out’-toestemming te gebruiken, vereist de GDPR nu een echte overeenkomst van de betrokkene door middel van een ‘verklaring of een duidelijke positieve actie’ en zelfs expliciete toestemming voor gevoelige data.

Er zijn hierop twee soorten reacties ontstaan in de markt:

  1. Er zijn websites die overal vinkjes (check-box) plaatsen en toestemming vragen aan iedereen, voor alles, voor de zekerheid…
  2. Maar er zijn er ook die het begrip ‘legitiem belang’ (legitimate interest) ontdekt hebben in de GDPR. Zij proberen eender welke verwerking van data te legitimeren via dit begrip.

Zoals steeds met dit soort dingen, ligt de waarheid ergens in het midden.

Hoe ga je te werk?

Het simpele antwoord is dat je voor elke situatie een op maat gemaakte oplossing moet voorzien. Er is geen ‘one size fits all’ oplossing. Dit is gemakkelijker gezegd dan gedaan: de implementatie kan hierdoor behoorlijk ingewikkeld worden.

Voor elke situatie moet je nagaan welke data je precies verzamelt (en waarom). Voor sommigen zal dit alleen al een onmogelijke op dracht lijken.  Maar als marketeers blijven zeggen dat ze gegevens nodig hebben om klantgerichter te zijn, dan zullen ze moeten in kaart brengen wat voor soort gegevens ze verzamelen en hoe ze die verwerken. Dat klinkt als nutteloos werk, maar dit extra inzicht kan hen ook op nieuwe ideeën brengen.

Eens deze informatie in kaart gebracht is (en dat kan voor sommige bedrijven een serieus werk zijn), kan je elk afzonderlijk proces in detail bekijken. Hierbij bepaal je welke deel van je gegevensverzaming (en het gelinkte proces) onder de noemer ‘legitiem belang’ valt en well deel ‘expliciete toestemming’ vergt. Dit moet grondig gebeuren. Gewoon het onderscheid maken tussen data van bestaande klanten en data over potentiële klanten is niet genoeg.

We verduidelijken het met een voorbeeld uit de immo sector:

Als mensen hun persoonlijke gegevens achterlaten op een immobiliënwebsite, omdat ze geïnteresseerd zijn in een specifiek huis, dan is het normaal dat de makelaar die dat huis in portefeuille heeft, hen contacteert. Dat is een duidelijk geval van ‘legitiem belang’.

Maar dat betekent niet dat deze redenering gebruikt kan worden om die mensen wekelijks een nieuwsbrief te sturen. Om dat te doen heeft de  website een toestemming nodig van de klant.

Zoals je ziet moet je elke stap grondig analyseren en beslissen waar je expliciete toestemming’ (explicit consent) nodig hebt, hoe je die gaat vragen en welke informatie je moet geven over de manier waarop de data verwerkt wordt.

Opgelet!

Vergeet ook niet dat iedereen op elk moment het recht heeft om zijn of haar toestemming in te trekken. Ook hiervoor zal je een gebruiksvriendelijk proces moeten voorzien. Het moest minstens zo makkelijk als het proces om toestemming te geven. (Je mag deze informatie dus niet verstoppen in een privacy statement en je mag niet vragen om een handgeschreven brief te schrijven om je toestemming in te trekken als ze met een simpel vinkje al toestemming konden geven).

Meerwaarde

Maar laat ons eerlijk zijn. De laatste jaren hebben de meeste bedrijven een customer-centric marketing strategie ingevoerd. Transparant zijn over alle aspecten van persoonlijke data maakt eigenlijk gewoon deel uit van deze customer centricity. Dus stroop je mouwen op en begin met het in kaart brengen van die processen!

In samenwerking met Elke Horrix van The House Of Marketing

Wij kunnen helpen

Heeft u nog vragen hierover of worstelt u met een GDPR issue? Laat ons zeker weten waarover u meer informatie of advies wenst.

Contact

Ook interessant

Meer weten over wat er gebeurd sinds de GDPR op 25 mei 2018 van kracht ging?