info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 1
Bijlage 5 bij de Privacy Gedragscode
Informatiebrochure Wbp Wet bescherming persoonsgegevens
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 2
Sims is een initiatief van RAI Vereniging en BOVAG © Sims, Amsterdam 2012 vormgeving: Ruud Franken, P.51 Design drukwerk: drukkerij de Jong, Driebergen Hoewel bij de samenstelling van dit document grote zorgvuldigheid is betracht, kunnen de makers geen aansprakelijkheid aanvaarden voor schade, van welke aard ook, die het directe of indirecte gevolg is van handelingen en/of beslissingen die (mede) gebaseerd zijn op de informatie in dit document.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 3
Voorwoord In de praktijk is de discussie rondom de bescherming van persoons- en privacygegevens de laatste jaren flink toegenomen. Het besef dringt bij steeds meer consumenten door dat bedrijven gegevens verzamelen terwijl zij zich niet aan de regels houden die zijn gesteld. Deze bedrijven maken dan ook een inbreuk op hun privacy. Consumenten vragen een streng optreden van de overheid. Vooral ook omdat op steeds meer plaatsen gegevens moeten worden achtergelaten en het onduidelijk is wat er met die gegevens gedaan wordt. Om te voorkomen dat u onnodig inbreuk maakt op de privacy is deze informatiebrochure ‘Wet bescherming persoonsgegevens mobiliteitsbranche’ opgesteld. De Stichting Standaardisatie- en Informatiebeleid voor de Mobiliteitssector (hierna: SIMS), opgericht door de Nederlandsche Vereniging de Rijwiel- en Automobiel Industrie (hierna: RAI Vereniging) en de BOVAG, acht het namelijk van belang u zo goed mogelijk te informeren door u op een overzichtelijke en heldere wijze kennis te laten nemen van de ‘spelregels’. SIMS wenst u succes met het juist implementeren van de privacyregelgeving binnen uw organisatie!
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 4
Hoofdstuk 1: Inleiding De Wet bescherming persoonsgegevens (Wbp) regelt, ter bescherming van de privacy, wat er allemaal wel en niet mag met persoonsgegevens. In de Wbp staat wat de rechten van personen zijn als zijn/haar gegevens gebruikt worden. Een consument heeft bijvoorbeeld het recht op informatie, het recht op inzage en het recht op verzet tegen het gebruik van zijn/haar gegevens. SIMS heeft in lijn met het bepaalde in de Wbp, de Privacygedragscode Mobiliteitssector (hierna: Gedragscode) opgesteld. Tevens heeft zij de ‘Zelfevaluatie Wet bescherming persoonsgegevens in de mobiliteitsbranche’ (hierna: zelfevaluatie) opgesteld. De Gedragscode draagt bij aan de doorzichtigheid van door de mobiliteitssector gehanteerde verwerking en gebruik van persoonsgegevens en biedt aanknopingspunten voor klanten en instanties om te beoordelen of de verwerking van de persoonsgegevens door de Mobiliteitssector volgens de geldende wet- en regelgeving geschiedt. De Zelfevaluatie is een instrument ten behoeve van het management van bij BOVAG en RAI Vereniging aangesloten organisaties voor het verkrijgen van een oordeel over de implementatie en/of naleving van de bepalingen van de Wbp. De Zelfevaluatie geeft bovendien antwoord op de vraag wat de huidige en de gewenste situatie is. Aangezien de Gedragscode en de Zelfevaluatie documenten zijn waar u even goed voor moet gaan zitten, is deze brochure bedoeld om u kort en helder weer te gegeven welke acties u dient op te pakken en in welke volgorde. Tevens wordt de privacywet uitgelicht, worden de rechten van de consumenten beschreven en worden er enkele praktijksituaties behandeld waar u tegenaan kunt lopen. Deze brochure dient dan ook in samenhang gelezen te worden met de Gedragscode en de Zelfevaluatie en vormt een leidraad voor deze documenten.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 5
Hoofdstuk 2: Toelichting privacywet Sommige organisaties hebben persoonsgegevens van consumenten nodig voor hun werk. Maar de consument heeft ook recht op privacy en bescherming van zijn gegevens. Daarom zijn bedrijven verplicht persoonsgegevens goed te beschermen. Ook mogen zij alleen persoonsgegevens verwerken als ze daar een goede reden voor hebben en alleen als de betrokkene geïnformeerd is over wat er met de gegevens gebeurt. Dit is geregeld in de Wet bescherming persoonsgegevens (Wbp). Onderstaand een uitleg van de privacywet aan de hand van enkele vragen: 2.1 Wat is de reikwijdte privacywet? De privacywet heeft betrekking op (1) ieder gebruik van (2) persoonsgegevens: 1. Onder 'gebruik' valt ongeveer alles wat met gegevens kan worden gedaan. In de privacywet staat een niet-limitatieve opsomming: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen. 2. Persoonsgegevens zijn gegevens die betrekking hebben op een bekende persoon of een onbekende persoon, die aan de hand van de bijgehouden gegevens zonder al teveel moeite toch kan worden geïdentificeerd. Met andere woorden, persoonsgegevens vertellen iets wezenlijks over een persoon. Persoonsgegevens geven, direct of indirect, dus informatie over een bepaald persoon: Directe persoonsgegevens Sommige persoonsgegevens geven duidelijk feitelijke informatie over een persoon, bijvoorbeeld naam, adres, postbusnummer, woonplaats, geboortedatum of leeftijd, geslacht, burgerlijke staat, gezinssamenstelling, titulatuur, opleidingen, beroep, telecommunicatie-nummer(s), giro- en/of banknummer. Kortom ieder gegeven dat een persoon kan identificeren. Ook gegevens die een waardering over een bepaalde persoon inhouden, bevatten informatie over die persoon, bijvoorbeeld iemands IQ. Indirecte persoonsgegevens Er zijn ook gegevens die indirect iets vertellen over een bepaald persoon, bijvoorbeeld over zijn maatschappelijke status. De winst van een eenmanszaak zegt bijvoorbeeld iets over het inkomen van haar eigenaar. Als deze gegevens zijn te herleiden tot een bepaalde persoon is sprake van persoonsgegevens. Gegeven of persoonsgegeven Soms kan het moeilijk zijn om te bepalen of een gegeven een persoonsgegeven is. Als u twijfelt, kunt u informatie vinden op een van de websites van het CBP (www.CBP.nl of Mijn privacy.nl). Grofweg gaat het dus om geautomatiseerde verwerking van persoonsgegevens. Binnen de mobiliteitssector is vaak sprake van een persoonsgegeven en worden de persoonsgegevens op een geautomatiseerde manier verwerkt1. Vandaar dat het ook van belang is dat de regels van de Wbp ter harte worden genomen.
1
Zie ook hoofdstuk 6 Praktijkvoorbeelden.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 6
2.2 Wie is verantwoordelijk voor de naleving van de privacywet? Degene die formeel optreedt als werkgever, is wettelijk verantwoordelijk voor het voeren van goed privacybeleid. Bij verenigingen, stichtingen, coöperaties, onderlinge waarborgmaatschappijen, naamloze vennootschappen en besloten vennootschappen, ligt de verantwoordelijkheid bij de rechtspersoon. In de praktijk komt het voor dat bedrijfsactiviteiten worden uitbesteed aan een derde. Dit ontslaat de werkgever echter niet van zijn verplichtingen. Maar ook deze derde heeft volgens de wet bepaalde verantwoordelijkheden, zoals de verplichting om gegevens goed te beveiligen. 2.3 Wat is het verschil tussen een betrokkene, gebruiker of een verwerker? Binnen de Wbp wordt onderscheid gemaakt tussen een verwerker (verantwoordelijke), bewerker en betrokkene. • De verwerker (verantwoordelijke) is de natuurlijke persoon, rechtspersoon of ieder ander die alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Veelal is dit het bedrijf dat de gegevens van klant nodig heeft om te kunnen ondernemen. • De bewerker is degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen. Het grote verschil bestaat erin dat de bewerker niet de doelen en middelen voor de verwerking van persoonsgegevens bepaalt, maar slechts in opdracht van de verantwoordelijke persoonsgegevens verwerkt. Degene op wie een persoonsgegeven betrekking heeft, wordt ´betrokkene´ genoemd. 2.4 Wat zijn de gevolgen van het niet-nakomen van de regels? Overtreding van de privacywet kan leiden tot interne conflicten, aansprakelijkheid, negatieve publiciteit, en zelfs overheidsingrijpen en boetes. Dit zijn risico’s welke u niet moet willen lopen. Vandaar dat het van belang is dat u voldoet aan de Privacyregelgeving. 2.5 Welke rechten en plichten heeft een betrokkene? Onderstaande enkele rechten en plichten van een betrokkene: •
Informatieplicht gebruiker Een betrokkene moet kunnen nagaan wat er met zijn/haar gegevens gebeurt. Daarom heeft een bedrijf of instelling die de persoonsgegevens gebruikt, de plicht een betrokkene te informeren over het doel van het verzamelen en over de naam en adres van de organisatie.
•
Recht op inzage Een betrokkene heeft recht op inzage in zij/haar gegevens en het gebruik daarvan door een organisatie. Een betrokkene kan een organisatie vragen of die zijn/haar persoonsgegevens gebruikt.
•
Recht op correctie Op basis van inzage in de gegevens kan een betrokkene de organisatie verzoeken de gegevens te verbeteren, aan te vullen, te verwijderen of af te schermen. Dat kan als de gegevens die gebruikt worden door de organisatie feitelijk onjuist, onvolledig of niet ter zake dienend zijn voor het doel of de doeleinden van de verwerking.
info brochure Wbp:Layout 2
•
11-10-2012
17:22
Pagina 7
Recht van verzet Het recht van verzet houdt in dat een betrokkene het recht heeft bezwaar te maken (verzet aan te tekenen) tegen bepaalde vormen van gebruik van uw gegevens door een organisatie. Er zijn twee vormen van verzet mogelijk: • Een betrokkene kan in enkele gevallen verzet aantekenen in verband met zijn/haar bijzondere persoonlijke omstandigheden. • Een betrokkene kan verzet aantekenen tegen het gebruik van zijn/haar gegevens voor directmarketingdoeleinden. De organisatie moet dat gebruik dan altijd direct beëindigen. Een organisatie die persoonsgegevens gebruikt voor direct-marketingdoeleinden moet een betrokkene informeren over het recht van verzet.
Bovenstaande rechten worden ook omschreven in de Gedragscode en in de Zelfevaluatie. Als bijlage bij de Zelfevaluatie is tevens een informatieblad opgenomen van het College Bescherming Persoonsgegevens (hierna CBP) om u zo goed mogelijk te informeren.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 8
Hoofdstuk 3: Verwerking en toezicht persoonsgegevens Een organisatie moet elke verwerking van persoonsgegevens melden, bijvoorbeeld wanneer de organisatie persoonlijke gegevens opvraagt, gebruikt of verspreidt. De meldingen van de verwerking van persoonlijke gegevens zijn openbaar, dit is geregeld in de Wbp. Melden verwerking persoonsgegevens Organisaties die gegevensverwerkingen melden, doen dat bij het CBP of bij de functionaris voor de gegevensbescherming (FG) van de eigen organisatie. De FG houdt intern toezicht op de verwerking van persoonsgegevens. Door de melding komt de registratie in een openbaar meldingenregister te staan. In de melding staat wat een organisatie met welke gegevens doet en aan wie de gegevens worden verstrekt. In de het document Zelfevaluatie is opgenomen hoe en waar de melding gedaan kan worden. In de Zelfevaluatie is beschreven of u meldingspichtig bent en hoe u zich eventueel kunt melden. Toezicht op persoonsgegevens Het CBP controleert bij organisaties zonder FG of deze zorgvuldig omgaat met persoonsgegevens. De toezichthouder controleert bijvoorbeeld of de gegevens verwerkt worden voor de daarvoor bestemde doeleinden. Ook ziet het CBP er op toe dat de gegevens worden beveiligd en dat de privacy ook in de toekomst verzekerd blijft. Wanneer een organisatie zich niet houdt aan de WBP, kan het CBP maatregelen nemen. De belangrijkste maatregel is uitoefening van bestuursdwang. In dat geval eist het CBP van de overtreder dat hij de overtreding binnen een bepaalde termijn ongedaan maakt. Daarbij kan het College een dwangsom opleggen. Het CBP kan ook boetes uitschrijven. Bijvoorbeeld wanneer de verwerking van persoonsgegevens niet, onjuist of te laat is aangemeld.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 9
Hoofdstuk 4: Uitleg opt-out en opt-in regeling In de praktijk bestaat er veel onduidelijkheid over de opt-in en opt-out regeling. Het is van groot belang dat bedrijven hier zorgvuldig mee omgaan, aangezien dit zeer vervelend kan zijn voor een betrokkene. Onderstaand daarom de twee regelingen uitgelegd: Opt-out Opt-out is het recht van betrokkene om bezwaar te maken tegen bepaalde verwerkingen van zijn/haar persoonsgegevens. Dit wil zeggen dat een betrokkene ongevraagde reclameboodschappen per post kan ontvangen totdat hij te kennen geeft daar geen prijs op te stellen. Het bekendste voorbeeld hiervan is de JA/NEE of NEE/NEE stickers op de brievenbus: een betrokkene krijgt ongeadresseerd reclamedrukwerk in de bus, tenzij hij duidelijk kenbaar heeft gemaakt dit niet meer te willen. Een betrokkene kan altijd en kosteloos verzet aantekenen tegen het verwerken van zijn persoonsgegevens. Hij moet dan uit het bestand worden gehaald. Het is zaak dit binnen uwe gehele organisatie dan ook goed te regelen. Opt-in Tegenover het opt-out principe staat het zogenaamde opt-in principe. Dat betekent dat het bedrijven en instellingen verboden is ongevraagde digitale reclameboodschappen te verzenden, tenzij u daarvoor uw voorafgaande toestemming geeft. Het opt-insysteem is een systeem voor het op grote schaal verzenden van (vaak periodieke) e-mail of sms-berichten. Het houdt in dat elke ontvanger vooraf toestemming moet geven voor het toezenden van de e-mail of het sms-bericht. Meestal gebeurt dat doordat iemand zijn e-mailadres of mobiele nummer intypt in een aanmeldingsformulier op een website, of doordat iemand een 'subscribe'-mail stuurt naar een aanmeldadres. Onderstaand drie types opt-in: •
Single opt-in Single opt-in houdt in dat van te voren toestemming gegeven wordt zonder dat er sprake is van een vorm van bevestiging. Nadeel hiervan is dat iemand het e-mailadres kan opgeven van een ander die daar geen weet van heeft. Misbruik ligt derhalve op de loer.
•
Double opt-in Met het double opt-in systeem ontvangt de eigenaar van het e-mailadres een bevestigingsemail waar een link in staat die aangeklikt moet worden om de inschrijving definitief te maken. In tegenstelling tot single opt-in is de kans op misbruik nagenoeg uitgesloten. Heden ten dage, met oog op OPTA regelgeving, is dit de beste manier om het adressenbestand te vergroten.
•
Confirmed opt-in Bij confirmed opt-in ontvangt degene die zich ingeschreven heeft een bevestigings e-mail. In die e-mail staat bij voorkeur wel een link om de mogelijkheid te bieden weer uit te schrijven. In tegenstelling tot de double opt-in is er geen extra bevestigingslink.
Het verdient de voorkeur om of de double opt-in of de confirmed opt-in te hanteren. Uiteraard bestaat ook de mogelijkheid om een betrokkene een handtekening te laten plaatsen onder een document, waarin u om toestemming vraagt. Bijvoorbeeld wanneer de betrokkene in het bedrijf aanwezig is.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 10
Hoofdstuk 5: Stappenplan Om op een goede wijze aan de verplichtingen van de Privacyregels te kunnen voldoen of om vast te stellen of men van melding is vrijgesteld, moet veel informatie worden verzameld. Tevens dient u, indien u de Gedragscode van toepassing wil verklaren, alle processen binnen uw organisatie zorgvuldig te hebben getoetst en daar waar nodig aanpassing te hebben gedaan. Onderstaand treft u een stappenplan aan dat een hulpmiddel kan zijn. Dit is tevens een instrument dat gebruikt kan worden bij eventuele nieuwe verwerkingen en voor het periodiek controleren van de verwerkingen. Stap 1. Start met het doornemen van de Zelfevaluatie In aansluiting op de Gedragscode heeft SIMS de ‘Zelfevaluatie Wet bescherming persoonsgegevens in de mobiliteitsbranche’ opgesteld. Voor het realiseren van een goede bescherming van de persoonsgegevens in een organisatie is privacybewustzijn en het proces van privacybewustwording namelijk van groot belang. Deze zelfevaluatie is een instrument ten behoeve van het management van bij BOVAG en RAI Vereniging aangesloten organisaties voor het verkrijgen van een oordeel over de implementatie en/of naleving van de bepalingen van de Wbp. De zelfevaluatie geeft bovendien antwoord op de vraag wat de huidige en de gewenste situatie is. Tevens kan er aangegeven worden wie verantwoordelijk kan worden gesteld voor de vervolgactie en wanneer deze actie gereed dient te zijn. Stap 2. Controleer hoe uw organisatie ervoor staat m.b.t. de Privacyregelgeving Volg de eisen en voorwaarden van de Privacyregelgeving op door de acties opgenomen in de Gedragscode op te volgen. Neem daarom de Gedragscode door en deel de inhoud ervan met uw medewerkers. De Gedragscode is zo ingericht dat stapsgewijs de wet wordt doorgelopen en u erop wordt gewezen aan welke eisen u dient te voldoen. Ook in de zelfevaluatie komen de vragen terug. U kunt dus het gemakkelijkst de vragen in de zelfevaluatie doorlopen. Daarmee volgt u dan ook het stramien van de Gedragscode. Kort samengevat onderstaand de te nemen acties uit de Gedragscode voor een juiste basis: - Controleer of u een goede privacy statement hanteert. Zo niet, gebruik dan het model privacy statement (bijlage 2 bij de Gedragscode). - Indien gebruik wordt gemaakt van de diensten van een Bewerker zal met deze Bewerker een bewerkersovereenkomst worden gesloten, waarin schriftelijk of in een andere, gelijkwaardige vorm onder meer wordt vastgelegd dat technische en organisatorische maatregelen ter beveiliging van die gegevens moeten worden genomen. Een model bewerkersovereenkomst is als bijlage 3 bij de Gedragscode opgenomen. - Maak een periodiek zelfstandige analyse d.m.v. het model zelfevaluatie Wbp (Bijlage 4 bij de Gedragscode). Om een goede start te maken om te bezien waar u als bedrijf staat en waar u aan kunt werken, is het verstandig bij aanvang van het goed inregelen van de Wbp binnen uw organisatie de Zelfevaluatie met een aantal medewerkers binnen uw organisatie door te lopen. Tevens kunt u acties en een deadline eraan koppelen. In het vervolg kunt u dan extra aandacht geven aan de gebieden die nog niet volledig zijn ingevuld.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 11
Stap 3. Indien u voldoet aan de eisen opgenomen in de Gedragscode, verklaart u de Gedragscode van toepassing op uw organisatie. Het is van belang dat u daadwerkelijk de Gedragscode van toepassing verklaart. U geeft daarmee dan aan dat u handelt naar de eisen en voorwaarden opgenomen in de Gedragscode. Daarmee geeft u dan ook automatisch aan dat u de wet volgt en handelt naar de eisen en voorwaarden opgenomen in de wetgeving. U dient dan ook wel ervoor te zorgen dat uw medewerkers zullen handelen naar de Gedragscode en dat u daarvoor instaat. Een onderdeel daarvan kan zijn dat u deze informatiebrochure (of een gedeelte daarvan) deelt met uw medewerkers. Stap 4. Hanteer de juiste algemene voorwaarden Zorg dat u juiste algemene voorwaarden hanteert waarin duidelijk is aangegeven wat u met de gegevens doet. De algemene voorwaarden van BOVAG voldoen aan de eisen. Advies is dan ook deze te gebruiken. Instrueert u uw medewerkers goed dat bij iedere opdracht / koop de juiste voorwaarden tijdig worden meegegeven. Stap 5. Loop het proces binnen uw organisatie door m.b.t. klantencontacten Loop met uw medewerkers het proces binnen uw organisatie door om in kaart te brengen wanneer er klantcontacten zijn en wanneer de gegevens van een Betrokkene gebruikt worden. Controleer vervolgens nogmaals aan de hand van de Gedragscode of u aan de wettelijke eisen voldoet. Stap 6. Ga na wat de doelstelling(en) van de verwerking zijn Het is goed om de doelstelling(en) van uw verwerkingen te beschrijven en vast te leggen. Daarmee geeft u aan wat u met de gegevens doet van een Betrokkene. Een Betrokkene mag er dan ook op vertrouwen dat wat u daar beschrijft ook daadwerkelijk wordt gedaan met zijn/haar gegevens. Stap 7. Controleer in hoeverre de beveiligingsmaatregelen voldoende zijn Betrokkenen vertrouwen erop dat u de gegevens die u verwerkt goed worden beveiligd, zodat er geen anderen met de gegevens vandoor kunnen gaan. Controleert u dan ook de beveiliging van de gegevens en de processen. Neem daar waar nodig de juiste stappen. Stap 8. Neem organisatorische maatregelen om de rechten van een betrokkene te kunnen waar borgen Bijlage 2 bij de Zelfevaluatie beschrijft de rechten van Betrokkene. Daarnaast zijn de rechten van Betrokkene ook opgenomen in de Gedragscode. Het is van belang om goed na te gaan hoe u ervoor kunt zorgen dat Betrokkene deze rechten kan inroepen Stap 9. Voldoe, indien nodig, aan de meldingsplicht De Zelfevaluatie beschrijft op of u verplicht om een melding te doen. Tevens is in de Zelfevaluatie beschreven dat als u meldingsplichtig bent op welke manier u zichzelf kunt melden.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 12
Hoofdstuk 6: Praktijkvoorbeelden 1.
2.
3.
4.
Klant levert auto af voor een APK beurt en staat aan de balie Laat de klant zijn gegevens invullen en ondertekenen op een (opdracht)formulier (noodzakelijk voor de opt-in). Zet duidelijk op het formulier dat zijn gegevens ook gebruikt zullen worden voor marketingdoeleinden. Geef ook de algemene voorwaarden mee aan de klant, zodat hij weet waar hij verzet kan aantekenen. Vervolgens kunt u zijn gegevens gebruiken. Klant koopt een fiets Laat de klant zijn gegevens invullen en ondertekenen op een (opdracht)formulier (noodzakelijk voor de opt-in). Zet duidelijk op het formulier dat zijn gegevens ook gebruikt zullen worden voor marketingdoeleinden. Geef ook de algemene voorwaarden mee aan de klant, zodat hij weet waar hij verzet kan aantekenen. Vervolgens kunt u zijn gegevens gebruiken. Klant belt voor het toesturen per post van een brochure over de nieuwste caravan Noteer de gegevens van de klant en stuur de brochure toe. In de toekomst kunt u zijn gegevens ook gebruiken om andere post toe te sturen, mits voor de klant duidelijk is waar hij verzet kan aantekenen indien hij geen post meer wenst te ontvangen. Indien u ook zijn e-mailadres opvraagt dient u de opt-in regeling juist te hanteren (zie ook Hoofdstuk 4). Klant wil geen post meer ontvangen Laat de klant verzet aantekenen. Dit kan hij doen door een e-mail of brief te versturen. Voert u binnen uw totale organisatie goed door dat deze klant dan ook daadwerkelijke geen post meer van u mag ontvangen.
info brochure Wbp:Layout 2
11-10-2012
17:22
Pagina 13
Hoofdstuk 7: FAQ-lijst - Ik heb de gedragscode gelezen en ik ben het ermee eens. Voldoe ik nu aan alle eisen? Nee, u dient daadwerkelijk de regels na te leven en te controleren binnen uw organisatie of u de privacyregels niet schendt. Hiervoor is ook de Zelfevaluatie ontwikkeld. Indien u er zeker van bent dat u de regels juist hanteert, kunt u de Gedragscode van toepassing verklaren. - Moet ik toestemming hebben om een reclamebrief te mogen versturen? Nee, maar een klant kan wel gebruik maken van zijn recht van verzet. Vervolgens mag u hem geen post meer toesturen. - Bedrijf wil een e-mailing verzenden maar heeft niet aan alle klanten vooraf toestemming gevraagd. Wat kan dit bedrijf doen? Dit bedrijf mag enkel aan de klanten van wie ze toestemming heeft verkregen een mailing toesturen. De overige klanten dient zij via de opt-in regeling eerst toestemming van te verkrijgen. Alternatief is dat de mailing per post wordt verzonden. Dit is altijd mogelijk, tenzij de klant recht van verzet heeft aangetekend. - Ik wil een geadresseerde folder aan mijn hele klantenbestand toesturen waar moet ik op letten? Of een klant geen gebruik heeft gemaakt van zijn recht van verzet. Dit moet duidelijk blijken uit uw bestanden. - Ik heb mobiel nummer van een persoon. Wat mag ik ermee? Bij het verzenden van een SMS dient u vooraf toestemming te vragen of u het nummer hiervoor mag gebruiken. Dit kunt u doen door de opt-in regeling juist toe te passen. Deze persoon mag u wel bellen, mits hij/zij niet aangemeld is bij het bel-me-niet-register. Controleer dit register dan ook voordat u hem/haar belt.
