Registratiekamer
KONING KLANT Het gebruik van klantgegevens voor marketingdoeleinden
M.J.T. Artz
Achtergrondstudies en Verkenningen 14
1
M.J.T. Artz
KONING KLANT
Achtergrondstudies en Verkenningen 14
Registratiekamer, Den Haag, mei 1999 ISBN 90 74087 ..
2
Publicaties in de serie Achtergrondstudies en Verkenningen zijn het resultaat van onderzoeken uitgevoerd door of in opdracht van de Registratiekamer. Met het uitbrengen van de publicaties beoogt de Registratiekamer de discussie en meningsvorming te stimuleren over ontwikkelingen in de samenleving waarin de persoonlijke levenssfeer van de burger in het geding is.
Koning Klant Registratiekamer, Den Haag, 1999
Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van de Registratiekamer. ISBN 90 74087 .. Druk: Sdu Grafisch Bedrijf
3
Voorwoord
Op talloze manieren, via klantenkaarten, bestelformulieren, voordeelbonnen, spaaracties, intekenlijst en prijsvragen, worden gegevens verzameld van consumenten. Vooral directmarketeers zijn om commerciële redenen geïnteresseerd in persoonsgegevens. Die gegevens leveren een schat aan informatie op en worden steeds vaker in een database opgeslagen die de basis is voor direct-marketing activiteiten. In Koning Klant geeft de Registratiekamer aan hoe de normen en regels van de Wet bescherming persoonsgegeven van toepassing zijn op de verwerking van consumentengegevens en hoe het economische belang van organisaties bij het verwerken van die gegevens moet worden afgewogen tegen het privacybelang van de klanten. Er wordt antwoord gegeven op diverse vragen, zoals: Is vastlegging van persoonsgegevens noodzakelijk? Is de toestemming van de klant vereist voor het gebruik van zijn gegevens? Welk gebruik is verenigbaar met het doel waarvoor de klant zijn gegevens heeft verstrekt? Hoe ver kan het gebruik gaan van gegevens die zijn verkregen binnen loyaltyprogramma’s? Wanneer en hoe kan de klant verzet aantekenen? Het normatieve kader dat in deze publicatie wordt gepresenteerd en met voorbeelden uit de praktijk wordt geïllustreerd, geeft u een handvat om afgewogen en zorgvuldig om te gaan met de gegevens van uw klant, die per slot van rekening ook koning is.
mr. P.J. Hustinx Voorzitter van de Registratiekamer
4
KONING KLANT Het gebruik van klantgegevens voor marketingdoeleinden Inhoudsopgave Hoofdstuk 1 Inleiding Hoofdstuk 2 Relaties aanbieder-klant in de praktijk 2.1 Directe koop 2.2 Directe koop met gepersonaliseerd bewijs 2.3 Koop op bestelling 2.4 Duurzame aanbieder-klant relaties 2.5 Loyaltyprogramma Hoofdstuk 3 Juridisch kader 3.1 Centrale begrippen 3.2 Uitgangspunten 3.3 Doeleinden voor gegevensverwerking 3.4 Grondslagen voor verwerking van gegevens 3.5 Verenigbaar gebruik 3.6 Bijzondere gegevens 3.7 Recht van verzet 3.8 Transparantie 3.9 Overige rechten van de betrokkene 3.10 Kwaliteit van de gegevens 3.11 Beveiliging Hoofdstuk 4 Juridische normen toegepast 4.1 Directe koop met contante betaling 4.2 Garantiebewijs 4.3 Voordeelbon 4.4 Koop op bestelling 4.5 Duurzame aanbieder-klant relaties 4.5.1 Verwerking van transactiegegevens door de aanbieder van een betaalpas 4.5.2 Gebruik van klantgegevens voor DM-doeleinden 4.6 Loyaltyprogramma 4.6.1 Noodzaak tot het vastleggen van persoonsgegevens 4.6.2 Rechtmatige verwerking van persoonsgegevens 4.6.3 Informatieverstrekking 4.6.4 Recht van verzet door een kaarthouder Hoofdstuk 5 Samenvatting
5
1
Inleiding
“De klant is koning”. Deze veel gebruikte slogan zegt dat de consument door de aanbieders van producten en/of diensten ‘vorstelijk’ moet worden behandeld. De klant staat centraal in de aanbieder-klant relatie; immers, een klant die vindt dat hij niet goed wordt behandeld, zal hoogstwaarschijnlijk een andere aanbieder zoeken. De consument staat ook centraal in de (komende) privacywetgeving in Nederland. Niet alleen de klant zelf maar ook diens persoonlijke gegevens verdienen een vorstelijke behandeling, bijvoorbeeld om ervoor te zorgen dat hij als klant behouden blijft. De klant zou dus ook koning moeten zijn wanneer zijn persoonsgegevens verwerkt worden. klantgegevens
Het vastleggen en gebruiken van persoonlijke klantgegevens komt tegenwoordig vaak voor (en is soms ook noodzakelijk). Het verwerken van klantgegevens kan vanuit diverse invalshoeken worden bekeken. Zo is er het belang van het bedrijf, het belang van de klant en de rechtmatigheid van gegevensverwerkingen. Belang van het bedrijf
In de door Hoekstra en Molenaar opgestelde definitie (1994) is Direct Marketing een vorm van marketing met een specifieke toepassing van marketingtechnieken en – instrumenten die gericht is op het creëren en onderhouden van structurele, directe relaties tussen leveranciers en afnemers. De meest bekende vorm van DM is het per post toezenden van geadresseerde reclame.
Met name de marketingafdelingen van organisaties die producten en/of diensten aanbieden, hebben belang bij een goed en bruikbaar klantenbestand. Voor een verkooporganisatie is het dus nuttig om zo veel mogelijk van hun (potentiële) klanten te weten, bijvoorbeeld over hun gedrag, levenssituatie en interessen. Verkoopkosten kunnen aanzienlijk worden verlaagd, als reclame-uitingen slechts aan die mensen worden aangeboden die daadwerkelijk geïnteresseerd zijn in het aangeboden product. Deze persoonlijk gerichte aanbiedingen (per post) zijn een vorm van Direct Marketing (DM). Een aanbieder zal niet alleen nieuwe klanten willen verwerven maar ook (en dat komt steeds vaker voor) bestaande klanten willen behouden. Het kan eenvoudiger en dus ook voordeliger zijn om aan een bestaande klant nogmaals iets (anders) te verkopen dan een nieuwe klant over te halen tot de aanschaf van een product. Een al te groot klantverloop moet daarom zo veel mogelijk worden teruggedrongen. Om in hun behoefte aan kennis over klanten te voorzien zetten bedrijven een database op waarin deze informatie wordt opgenomen. Zo’n database fungeert steeds meer als basis voor het marketingbeleid van zowel profit als non-profit organisaties.
6
concurrentie
In het huidig economisch verkeer moet een ondernemer vaak scherp letten op de handelwijze van de concurrentie. Waar mogelijk, zal de ondernemer pogen de concurrentie voor te zijn. Dat zal lukken als de ondernemer zijn (potentiële) klanten eerder weet te bereiken of zijn klanten betere (interessantere) aanbiedingen kan doen. Aan de andere kant zullen de overige aanbieders niet achter willen blijven als ze zien dat een idee van hun concurrenten zijn vruchten afwerpt. De explosie van de uitgifte van klantenkaarten in de detailhandel is hiervan een voorbeeld. Belang van de klant
vertrouwen
Vertrouwen is in het economisch verkeer vaak de basis waarop een eerlijke overeenkomst tussen aanbieder en consument tot stand komt. Zo moet de consument er op kunnen vertrouwen dat hij waar krijgt voor zijn geld. De aanbieder moet er op zijn beurt op kunnen vertrouwen dat de consument aan zijn verplichtingen voldoet (het betalen van de rekening). De eerlijke overeenkomst kan onder druk komen te staan als de aanbieder over een uitgebreide kennis van de behoeften, gewoonten en interessen van de consument beschikt, terwijl deze niet weet dat de aanbieder die kennis heeft. De aanbieder zou op basis van zijn kennis de consument dus kunnen sturen zonder dat deze daar invloed op kan uitoefenen. Dit kan ertoe leiden dat (groepen van) consumenten uitgesloten worden van deelname aan bepaalde handelingen in het economisch verkeer. De keuzevrijheid van de consument wordt op die momenten dus beperkt. Rechtmatigheid
artikel 10 van de Grondwet Wet bescherming persoonsgegevens (WBP) transparantie
economisch- vs privacybelang
Het verzamelen, vastleggen en verder gebruiken van gegevens van personen dient rechtmatig te geschieden, dat wil zeggen met inachtneming van het recht op eerbiediging van de persoonlijke levenssfeer. Dit recht is verder uitgewerkt in formele wetgeving waarin spelregels zijn neergelegd voor een zorgvuldige omgang met persoonlijke gegevens. Een belangrijk uitgangspunt van de privacyspelregels is de transparantie van de gegevensverwerking(en): de consument moet voldoende geïnformeerd zijn over de gegevens die over hem worden verzameld en gebruikt. Dit aspect is in een aanbieder-consument relatie, onder andere vanuit het oogpunt van de keuzevrijheid, van groot belang. In deze Achtergrondstudie worden de grenzen verkend tussen het economische belang dat organisaties hebben bij het verwerken van persoonlijke gegevens van hun klanten en het privacybelang van deze klanten. De nadruk wordt gelegd op het verzamelen, vastleggen en verder gebruiken van gegevens
7
Het wetsvoorstel WBP is op het moment van uitgifte van deze Achtergrondstudie nog in behandeling bij het parlement (TK 1997-1998, nr. 25 892).
van eigen klanten van organisaties. Het verwerken van gegevens van potentiële klanten (bijvoorbeeld het kopen of huren van adresbestanden) komt zijdelings aan de orde. Het tweede hoofdstuk van deze Achtergrondstudie schetst een aantal verschillende aanbieder-klant relaties en de mate waarin hierbij persoonsgegevens worden verwerkt. In hoofdstuk 3 wordt het juridisch kader toegelicht van het wetsvoorstel WBP. In dit hoofdstuk worden de voorwaarden weergegeven voor een rechtmatige gegevensverwerking. In hoofdstuk 4 worden de in hoofdstuk 2 genoemde relaties gebruikt om de juridische normen toe te lichten. Tenslotte geeft hoofdstuk 5 een samenvatting en de meest belangrijke conclusies van deze Achtergrondstudie. Leeswijzer: Belangrijke woorden of begrippen in dit rapport worden in de linkermarge van de tekst herhaald. Deze woorden of begrippen zijn cursief gedrukt. Wanneer de tekst een woord of zin bevat die verwijst naar een bepaald wetsartikel, wordt dit artikel in de linkermarge genoemd. De verwijzingen en de wetsartikelen zijn eveneens cursief gedrukt. Verder staan in de marge korte toelichtingen op bepaalde tekstgedeelten. De toelichting begint doorgaans op dezelfde regel als het tekstgedeelte waarop nader wordt ingegaan. Bovendien zijn de sleutelwoorden in het betreffende tekstgedeelte en in de bijbehorende toelichting, beide rood gedrukt. In het rapport staan cursieve gedeelten tekst. Deze cursieve gedeelten bevatten toelichting op de voorgaande tekst en/of praktische voorbeelden
8
2
Kennis over klanten wordt verkregen door het stellen van gerichte vragen. De antwoorden worden verwerkt in een (klanten)database. Ervaringsgegevens kunnen ook gerichte informatie opleveren over het (koop)gedrag van klanten. Daarnaast worden meer algemene gegevens, zoals geografische- en sociodemografische kenmerken gebruikt. In de meeste gevallen komt een combinatie van deze gegevens in de database voor. Organisaties kunnen gegevens per individu of per groep in een database opnemen. Sommige organisaties delen hun database met een of meer andere organisaties.
Relaties aanbieder-klant in de praktijk
Inzicht in het gedrag van klanten is vanuit commercieel oogpunt steeds belangrijker geworden voor veel verkooporganisaties. Databases van organisaties worden gevuld met kennis over de (potentiële) klanten: wie zijn mijn klanten, wat beweegt hen, waar gaan hun persoonlijke voorkeuren naar uit en wat zijn hun interesses? Dit hoofdstuk schetst de mogelijke relaties tussen de aanbieder en zijn klant en de persoonlijke gegevens die de aanbieder hierbij vastlegt. 2.1 Directe koop Contante betaling De meest simpele vorm van consumentenkoop is de directe koop van producten, bijvoorbeeld op de markt of in een winkel. Daar zijn de aangeboden producten fysiek uitgestald en kan de consument in alle vrijheid bepalen om al dan niet in te gaan op een aanbod van de verkoper. De koop komt tot stand als de consument de prijs van het produkt betaalt. Als deze betaling plaatsvindt met contant geld en de koper het product direct kan meenemen, hoeft de verkoper verder geen persoonlijke gegevens van de koper vast te leggen. De koper ontvangt vaak een betalingsbewijs waarop de aankoopdatum en het aankoopbedrag is vermeld. Deze gegevens kunnen ook door de verkoper worden vastgelegd. Electronische betaling Als de koper electronisch betaalt (cheques, creditcard, PINbetaling, op rekening, etc), legt de verkoper meestal wel persoonlijke gegevens vast. Het kan bijvoorbeeld al gaan om het kaartnummer van de pas waarmee wordt betaald. Het doel van het vastleggen van dergelijke persoonlijke gegevens is in dat geval uiteraard de daadwerkelijke betaling door de uitgever van de betaalpas aan de verkoper. 2.2 Directe koop met gepersonaliseerd bewijs
Een garantiebewijs vermeldt vaak de naam, het adres, de woonplaats, het telefoonnummer van de koper en nadere gegevens over het aangekochte product.
Als een consument een duurzaam product aanschaft, krijgt hij een (op naam van de koper gesteld) bewijs van aankoop: een garantiebewijs. Vaak moet de koper (een deel van) het bewijs invullen en het vervolgens naar de verkoper of de fabrikant van het gekochte product sturen. Zo komt de verkoper of fabrikant in het bezit van de persoonlijke gegevens van de koper.
9
Het verzamelen van klantgegevens via garantiebewijzen heeft vaak niets met het recht op garantie te maken. De garantie wordt immers meestal op het gekochte product verleend. De identiteit van de koper is in dat geval niet relevant. Vaak ligt er dus een andere doelstelling (zoals een marketingactiviteit) ten grondslag aan het verzamelen van persoonlijke gegevens op een garantiebewijs.
Een consument kan door het invullen van een voordeelbon korting verkrijgen op de prijs van een bepaald product. Op zo’n bon moet de klant dan doorgaans zijn naam-, adresen woonplaats- (NAW) gegevens in te vullen.
thuisbezorging van gekochte producten
Een verkoper kan ook klantgegevens verzamelen via ingevulde voordeelbonnen. Met de ingevulde gegevens wil de aanbieder in de meeste gevallen marketing-activiteiten ondernemen.
2.3 Koop op bestelling De consument kan op verschillende manieren producten kopen op bestelling. Hij kan een aankoop thuis laten bezorgen (bijvoorbeeld witgoed of meubels) maar ook producten kopen bij een postorderbedrijf of via Internet. In al deze gevallen dient de koper enige persoonlijke gegevens te verstrekken aan de verkoper om het gekochte product ook daadwerkelijk thuisbezorgd te krijgen. De verkoper moet dan in ieder geval kunnen beschikken over de NAW-gegevens van de koper. Deze gegevens kunnen eventueel worden aangevuld met het telefoonnummer van de koper en gegevens over de betaling van de afgeleverde producten. De gegevens worden door de verkoper veelal opgenomen in diens klantenbestand. Dit bestand wordt in toenemende gevallen ook gebruikt voor marketingdoeleinden, bijvoorbeeld om de hierin opgenomen klanten persoonlijk te benaderen met een bepaalde aanbieding.
Banken, verzekeringsmaatschappijen, kredietverleners en telecomaanbieders sluiten bij een vaste klant relatie een overeenkomst af waarin zij zich verplichten tot het verlenen van bepaalde diensten aan een klant gedurende de duur van het contract. rekeningovereenkomst, zie 4.5
2.4 Duurzame aanbieder-klant relaties Als aanbieders van producten en/of diensten regelmatig contact hebben met hun klanten, hebben zij een duurzame relatie. Van zo’n vaste klant relatie kan ook sprake zijn als een klant met enige regelmaat producten bestelt bij dezelfde aanbieder (bijvoorbeeld een postorderbedrijf of uitgever van een tijdschrift). In het algemeen ligt een overeenkomst ten grondslag aan de duurzame aanbieder-klant relatie. Het verzamelen en vastleggen van persoonsgegevens is in die gevallen vaak een noodzakelijke voorwaarde of een uitvloeisel van de activiteiten van de aanbieder: een bank kan geen rekeningovereenkomst sluiten als de gegevens van de klant niet bekend zijn. Vanuit commercieel oogpunt zal een aanbieder met een vaste klant relatie de klantgegevens niet alleen willen gebruiken om een overeenkomst na te komen, maar ook om zijn klant te interesseren in andere producten en/of diensten. Ook kan een dergelijk klantenbestand een interessante gegevensbron zijn voor andere organisaties. Zo is het niet
10
Het klantenbestand van een zorgverzekeraar kan interessant zijn voor de levensverzekeraar binnen dezelfde holdingstructuur, als deze levensverzekeraar een mailing wil versturen. Uitwisseling van gegevens is dan een optie. afwikkeling van de transactie, zie verder 4.5.1
ongebruikelijk dat (geselecteerde) naam-, adres- en woonplaats (NAW) gegevens uit abonneebestanden tegen een bepaalde vergoeding aan derden worden verstrekt. Denk hier bijvoorbeeld ook aan de uitwisseling van klantgegevens binnen een holding. Bij bepaalde duurzame aanbieder-klant relaties zoals de rekeningovereenkomsten met een bank, kan er sprake zijn van drie betrokken partijen. Als een klant een product aanschaft en daarbij op electronische wijze betaalt (bijvoorbeeld met een betaalpas), worden door de bank die de betaalpas uitgeeft niet alleen gegevens van de koper vastgelegd maar ook die van de verkoper. Dat dit noodzakelijk is voor een correcte afwikkeling van de transactie tussen de verkoper en de koper is evident. Maar de partij die de betaling verzorgt (bank, creditcardmaatschappij) kan op deze wijze natuurlijk wel gegevens over het koopgedrag van haar cliënten vastleggen.
2.5 Loyaltyprogramma
Het systeem van de spaaractie is niet nieuw (Douwe Egberts en Shell bieden al langere tijd zegels aan) maar met de introductie van de electronische spaarkaart kan op betrekkelijk eenvoudige wijze zeer veel informatie verzameld worden van de kaartgebruiker. Zo is het spaarsysteem aan een nieuw leven begonnen.
Een belangrijk instrument voor het verkrijgen van informatie over bestaande klanten dat de laatste jaren erg in trek is, is het loyaltyprogramma. Een organisatie zal met zo’n programma een klant aan zich proberen te binden. Een loyaltyprogramma kan bestaan uit het aanbieden van kortingen, spaarzegels of andere premiums (voordeeltjes). Het tegenwoordig meest voorkomende loyalty-instrument is de spaaractie waarmee de klant ‘punten’ kan verzamelen en een bepaald product of dienst al dan niet met korting kan verkrijgen. De opzet van een electronisch spaarsysteem is simpel: de organisatie geeft een klantenkaart uit die gebruikt wordt voor de betaling van geleverde producten. De kaartuitgever is zo op een eenvoudige wijze in staat om (electronisch) gegevens over de aankopen op te slaan in de database. Het voordeel voor de klant is dat hij meer punten verzamelt naarmate hij zijn kaart vaker gebruikt. Met de gespaarde punten kan de klant gebruik maken van aanbiedingen cq. voordelen. Vaste klanten worden op deze wijze beloond voor hun ‘trouw’ aan de organisatie. Daarnaast kan de organisatie aan de hand van geregistreerde gegevens van klanten, op hun voorkeuren toegesneden persoonlijke aanbiedingen doen. Zo zal een supermarkt een vegetarische klant geen korting op vleeswaren aanbieden maar wel een korting op het regelmatig door hem aangeschafte tijdschrift ‘Groenten uit eigen Tuin’.
Persoonlijk/Anoniem Zoals gezegd kunnen de soorten van gegevens die de verkooporganisatie met behulp van een electronische spaarkaart verzamelt en opslaat in een database nogal verschillen.
11
Een persoonlijke kaart is alleen te verkrijgen als de kaartaanvrager enkele persoonlijke gegevens aan de kaartuitgever bekend maakt. Die heeft de gegevens nodig om persoonlijk(e) (geadresseerde) aanbiedingen te doen of om de kaarthouder op de hoogte te houden van het aantal gespaarde punten. Als een klant een kaart wil aanvragen, wordt hem vaak verzocht om op een inschrijfformulier, naast zijn naam- en adresgegevens, een aantal aanvullende gegevens in te vullen. Dit zijn vaak vragen over gezinssamenstelling, opleiding en interessen. Uiteraard zijn deze gegevens bedoeld om –samen met de aankoopgegevens- de kaartuitgever een zo compleet mogelijk beeld te geven van de klant. Alleen de nummers van anonieme kaarten zijn bekend bij de kaartuitgever. De kaartuitgever krijgt zo inzicht in het individuele koopgedrag van een kaarthouder zonder de identiteit van deze houder te kennen. Dit systeem betekent voor de kaartuitgever dat hij geen persoonlijke aanbiedingen naar de kaarthouder kan sturen.
De meeste kaarten zijn persoonlijke kaarten. Het is echter ook mogelijk om een anonieme spaarkaart aan te schaffen waarbij de kaartuitgever de identiteit van de kaarthouder niet kent. Een van de eerste grootschalige electronische spaarprogramma's is het Air Miles spaarsysteem van Loyalty Management Netherlands (LMN). Met dit programma kan de kaarthouder punten (Air Miles) sparen bij een aantal aangesloten (verkoop)organisaties. Met deze Air Miles kan de kaarthouder kortingen krijgen op allerlei goederen en diensten van bioscoopkaartjes tot vliegreizen. Het systeem is zo ingericht dat het koopgedrag per kaartnummer wordt geregistreerd. Per aangesloten organisatie worden op het niveau van totaalbedragen per periode de aankoopgegevens geregistreerd. Sinds mei 1998 worden de aankopen op produktgroepniveau geregistreerd (afdelingsniveau). De database waarin alle gegevens worden verwerkt, wordt gehouden door LMN die ook zorg draagt voor het bijhouden van de gespaarde Air Miles per kaartnummer en van de bestedingen daarvan. De deelnemende organisaties kunnen in eerste instantie niet zelf beschikken over gegevens van een individuele kaartaanvrager; zij weten niet welke persoon er bij welk kaartnummer hoort. De Air Miles kaart is een persoonlijke kaart waarbij de kaartaanvrager bij aanschaf van de kaart op het inschrijfformulier naast een verplichte set van gegevens (de naam-, adres en woonplaats -NAW-gegevens) enige aanvullende gegevens kan invullen. Het bestand van LMN is daarom gevuld met gegevens van het inschrijfformulier en aankoopgegevens van het bijbehorende kaartnummer. Door analyse van deze gegevens is het mogelijk om bepaalde patronen met betrekking tot voorkeuren en interessen te ontdekken. De deelnemende organisaties kunnen (onder nadere door LMN gestelde voorwaarden) beschikken over deze informatie zodat zij hun hun aanbiedingen op bepaalde doelgroepen toe kunnen spitsen. Het systeem van LMN belet echter dat een deelnemende organisatie kan beschikken over bestedingsgegevens van individuele kaarthouders bij andere deelnemende organisaties. Bij het Air Miles spaarsysteem wordt geen gebruik gemaakt van de mogelijkheid om aankoopgegevens van een kaarthouder op productniveau te registreren. De mogelijkheid van productregistratie wordt vaak wel benut door verkooporganisaties die zelf een spaarkaart uitgeven (met name grootwinkelbedrijven). De gedetailleerde, individuele gegevens die deze productregistratie oplevert, stelt de verkooporganisaties in staat om iedere kaartaanvrager te benaderen met op zijn voorkeuren, interessen en koopgedrag aansluitende aanbiedingen. Zo’n wijze van benaderen kan er uiteindelijk toe leiden dat iedere kaartaanvrager een unieke combinatie van aanbiedingen krijgt.
12
3
Wet persoonsregistraties (Stb. 1988, 665; WPR). Europese Richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens (95/46/EG, Pb nr L 281/31). Wet bescherming persoonsgegevens: Deze wet is nu nog in behandeling bij het parlement (TK 1997-1998, 25 892; WBP). Een klantnummer is in de praktijk vaak een persoonsgegeven omdat dit nummer direct of indirect gekoppeld is aan bijvoorbeeld de naam-, adres- en woonplaats (NAW)-gegevens van die klant. Zo vinden er bijvoorbeeld binnen een loyaltyprogramma meerdere verwerkingen van gegevens plaats: de gegevens worden verzameld en vervolgens vastgelegd via het inschrijfformulier. Ook bij het gebruik van een klantenkaart is sprake van gegevensverwerking. De gegevens worden geanalyseerd, gebruikt om selecties te maken, verwerkt om het aantal gespaarde punten te berekenen, gebruikt om persoonlijke aanbiedingen toe te zenden. Soms worden de gegevens ook aan derden verstrekt.
Juridisch kader
In dit hoofdstuk wordt een beschrijving gegeven van de meest relevante uitgangspunten met betrekking tot de bescherming van de persoonlijke levenssfeer. Voor het vastleggen en gebruiken van persoonsgegevens is op dit moment nog de Wet persoonsregistraties van toepassing. In de loop van 1999 zal deze wet ingevolge de Europese Richtlijn bescherming persoonsgegevens worden vervangen door de Wet bescherming persoonsgegevens (WBP). In deze studie anticipeert de Registratiekamer op de bepalingen van dit wetsvoorstel. 3.1 Centrale begrippen De WBP kent enkele specifieke begrippen en beginselen die hierna kort worden toegelicht. Persoonsgegevens De WBP heeft betrekking op het verwerken van persoonsgegevens. Een persoonsgegeven is alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Het gaat dus om alle gegevens die informatie kunnen verschaffen over een bepaalde persoon, zoals gegevens over diens eigenschappen, opvattingen of gedragingen. Al wordt de naam van de betrokkene niet met zo veel woorden genoemd, er kan toch sprake zijn van persoonsgegevens wanneer het weinig moeite kost om de persoon te identificeren op wie die gegevens betrekking hebben. Verwerken van persoonsgegevens Met de term verwerking wordt zowel een enkele handeling als het geheel van handelingen bedoeld, vanaf het verzamelen van gegevens tot en met het vernietigen van deze gegevens. Verantwoordelijke/betrokkene/bewerker Bij een verwerking van persoonsgegevens zijn de actoren de ‘voor verwerking verantwoordelijke’ (de verantwoordelijke) en de ‘betrokkene’. Daarnaast kan er sprake zijn van een ‘bewerker’. Het begrip ‘eigendom’ dat gebruikt wordt in het Burgerlijk Wetboek, speelt bij het verwerken van gegevens geen rol. Het centrale begrip is de zeggenschap over de verwerking van persoonsgegevens.
13
artikel 1, onder d, WBP
De verantwoordelijke stelt het doel en de middelen van de verwerking vast. In de private sector is de verantwoordelijke de rechtspersoon onder wiens bevoegdheid de operationele gegevensverwerking plaatsvindt. Bij eenmanszaken zal de natuurlijke persoon als verantwoordelijke zijn aan te merken.
artikel 1, onder f, WBP
De betrokkene is de persoon wiens persoonsgegevens worden verwerkt. In een aanbieder-consument relatie is dit dus de klant van wie gegevens worden verzameld en vastgelegd.
artikel 1, onder e, WBP
De bewerker is degene die de persoonsgegevens van en voor de verantwoordelijke en volgens diens aanwijzing verwerkt maar niet onder rechtstreeks gezag van die verantwoordelijke staat. De bewerker mag de gegevens alleen bewerken volgens de opdracht die hem is verstrekt en mag de gegevens niet gebruiken voor andere doeleinden of voor eigen bate.
Van bewerkerschap is bijvoorbeeld sprake als een telemarketing- of een fulfillmentbedrijf in opdracht van een organisatie een tevredenheidsonderzoek doet bij de klanten van die organisatie, tenzij het bedrijf die de opdracht kreeg gebruik maakt van eigen bestanden, bestanden van derden of eigen bestanden aanlegt. artikel 7 WBP artikel 8 WBP artikel 9 WBP
artikelen 16 t/m 24 WBP
artikelen 40 en 41 WBP artikel 41 WBP artikelen 33 en 34 WBP artikelen 35 t/m 42 WBP
3.2 Uitgangspunten Het uitgangspunt van de WBP is dat een verwerking van persoonsgegevens behoorlijk en zorgvuldig geschiedt. Wanneer is daar nu sprake van? 1 De persoonsgegevens moeten verzameld zijn voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden; 2 De verwerking moet een rechtmatige grondslag hebben; 3 De verwerking mag niet onverenigbaar zijn met het doel waarvoor de persoonsgegevens zijn zijn verzameld. Er zijn twee mogelijke blokkades voor de rechtmatigheid van gegevensverwerkingen: 1 Als er zogenaamde gevoelige of bijzondere gegevens verwerkt gaan worden. Dit is verboden tenzij de wet dit uitdrukkelijk toestaat; 2 Als de betrokkene bezwaar maakt tegen een bepaalde verwerking: het recht van verzet. Van onrechtmatigheid is in ieder geval sprake wanneer de betrokkene bezwaar heeft gemaakt tegen een verwerking die bedoeld is om direct marketing activiteiten te (kunnen) verrichten. Daarnaast moeten de betrokkenen op de hoogte zijn van de geplande gegevensverwerking(en) en moeten zijn rechten gerespecteerd worden. Wat deze uitgangspunten betekenen voor het verzamelen en gebruiken van persoonsgegevens voor marketingdoeleinden wordt in de volgende paragrafen nader toegelicht.
14
3.3. Doeleinden voor gegevensverwerking artikel 7 WBP verenigbaar gebruik informatieplicht; zie 3.8 specificering van de doelstelling Het persoonlijk benaderen van klanten kan een doel op zich zijn, naast het bezorgen van producten of het bijhouden van gespaarde punten. Het doel (of de doelen) moeten al bij het verzamelen van de gegevens zo nauwkeurig mogelijk zijn omschreven. Bij het persoonlijk benaderen van klanten zal er vaak sprake zijn van analyse van gegevens (loyaltysystemen; zie 2.5). Die gegevensanalyse moet bij voorkeur duidelijk in de doelstelling tot uitdrukking worden gebracht. rechtmatige grondslag, artikel 8 WBP
Gegevens mogen slechts worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Dit maakt samen met het verenigbaar gebruik, onderdeel uit van de doelbinding. Naast een nauwkeurig gespecificeerde doelstelling moet dit doel ook gerechtvaardigd zijn. De betrokkene moet waar nodig ook over deze doelstelling worden geïnformeerd. De noodzaak van de verantwoordelijke om de doelstelling specifiek te omschrijven betekent dat hij zich rekenschap moet geven van de resultaten die hij met de verwerking van persoonsgegevens wil bereiken. In veel gevallen wordt als doelstelling aangegeven dat klantgegevens gebruikt worden voor (direct) marketingdoeleinden. Dit is echter niet specifiek genoeg omdat daarmee nog niet duidelijk is welk resultaat de aanbieder voor ogen staat en welke informatie hij hiervoor nodig heeft. Zo zal er vaak mee bedoeld worden dat de klanten door of namens de aanbieder persoonlijk worden benaderd met informatie en/of aanbiedingen. De term ‘marketingdoeleinden’ kan echter ook inhouden dat de gegevens aan derden ter beschikking worden gesteld om deze in staat te stellen de klanten te benaderen. Specificatie van de doelstelling wil dan ook zeggen dat de aanbieder tot uitdrukking moet brengen welke vorm van marketing hij beoogt en welke gegevensverwerkingen hierbij plaatsvinden. 3.4 Grondslagen voor verwerking van gegevens De grondslagen van het verwerken (van verzamelen tot vernietigen) van persoonsgegevens zijn opgesomd in artikel 8 WBP. Voor klantenbestanden zijn met name van belang: 1 toestemming van de betrokkene; 2 uitvoering van een overeenkomst; 3 behartiging van een gerechtvaardigd belang van de verantwoordelijke. Toestemming
artikel 1, eerste lid, WBP ondubbelzinnige toestemming Specifieke verwerkingen kunnen zijn het verzamelen van gegevens, het analyseren daarvan, het maken van selecties en het benaderen van de klant.
Het verwerken van persoonsgegevens is toegestaan, indien de betrokkene voor die verwerking zijn ondubbelzinnige toestemming heeft verleend. Deze toestemming moet altijd vrijwillig en specifiek zijn en berusten op toereikende informatie. Ondubbelzinnig’betekent dat er geen twijfel mag zijn dat de betrokkene zijn toestemming heeft gegeven en voor welke specifieke verwerkingen. De toestemming hoeft niet schriftelijk te worden gegeven; ook een bepaalde handeling van de betrokkene kan gericht zijn op het geven van toestemming. Bij een dergelijke stilzwijgende 15
artikel 5, tweede lid, WBP Voor het verkrijgen van toestemming is het niet voldoende als de betrokkene weet welke verwerking er plaatsvindt en daartegen geen bezwaar maakt (opting-out). Ook acceptatie van de algemene voorwaarden waarin de verwerking expliciet is vermeld, houdt niet direct in dat de klant toestemming verleent. Hiervan kan wel sprake zijn als de klant bijvoorbeeld op een aanvraagformulier kan aangeven dat hij in de toekomst produktinformatie van de aanbieder wil ontvangen.
of impliciete toestemming mag er echter geen ruimte bestaan voor enige twijfel over de reikwijdte daarvan. De verantwoordelijke heeft er alle belang bij dat de toestemming geen gebreken vertoont. Bij eventuele twijfel dient de verantwoordelijke dus te verifiëren of hij er terecht vanuit gaat dat de betrokkene met de verwerking heeft ingestemd. Een toestemming kan overigens altijd worden ingetrokken. Een dergelijke intrekking heeft geen terugwerkende kracht. Om te beoordelen of er inderdaad sprake is van ondubbelzinnige toestemming, zijn de volgende drie punten van belang: 1 De betrokkene moet in alle vrijheid zijn wil met betrekking tot de gegevensverwerking kunnen uiten en deze wil moet daadwerkelijk geuit zijn. De betrokkene mag derhalve niet onder druk van de omstandigheden of de relatie met de verantwoordelijke, overgaan tot het geven van toestemming. 2 De wilsuiting moet betrekking hebben op een bepaalde gegevensverwerking of op een beperkte categorie van gegevensverwerkingen. Een zeer brede en onbepaalde machtiging tot het verwerken van gegevens is niet voldoende. 3 De betrokkene moet over de noodzakelijke informatie beschikken om tot toestemmingsverlening te kunnen komen (informed consent). De betrokkene dient daarom voldoende en begrijpelijk door de verantwoordelijke te worden geïnformeerd over de verschillende aspecten van de gegevensverwerking die voor hem van belang zijn. Deze verplichting voor de verantwoordelijke wordt begrensd door de feiten die de betrokkene reeds kent of zou moeten kennen. De informatieplicht impliceert niet dat de betrokkene geen enkele verantwoordelijkheid draagt. Deze heeft ook zelf een zekere onderzoeksplicht voor hij toestemming verleent1. Uitvoering van overeenkomst
overeenkomst
Zo vloeit uit een (koop)overeenkomst waarbij een klant een product of dienst bestelt, noodzakelijkerwijs een gegevensverwerking voort om het bestelde product bij de klant te kunnen afleveren.
De verwerking van gegevens is ook toegestaan, indien dit noodzakelijk is om de overeenkomst waarbij de betrokkene partij is, uit te kunnen voeren. De overeenkomst hoeft niet de verwerking van persoonsgegevens zelf te betreffen. Zo is een aankoop met behulp van een betaalpas ondenkbaar zonder verwerking van persoonsgegevens. Om te kunnen beoordelen of een gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst, is een tweetal elementen van belang: 1 De betrokkene moet (al dan niet via een vertegenwoordiger) partij zijn bij de overeenkomst; 2 De gegevensverwerking moet een noodzakelijk uitvloeisel van de uitvoering van de overeenkomst zijn.
16
Een voorbeeld van een rechtmatige gegevensverwerking in de precontractuele fase is de toetsing van de schuldenpositie van een kredietaanvrager bij de Stichting Bureau Krediet Registratie door een kredietverlener2.
Een gegevensverwerking is niet alleen rechtmatig als deze noodzakelijk is om de gesloten overeenkomst uit te voeren maar ook als die verwerking noodzakelijk is om de overeenkomst tot stand te brengen (de precontractuele fase). Belangrijk is dan dat de betrokkene zelf het initiatief heeft genomen om tot een overeenkomst te komen. De handelingen die logischerwijs uit het verzoek van de betrokkene voortvloeien en die voor hem redelijkerwijs te verwachten zijn, zijn te kwalificeren als noodzakelijk om de overeenkomst tot stand te brengen.
Zie voorbeeld in 4.3
Het verwerken van klantgegevens voor marketingdoeleinden kan alleen noodzakelijk voortvloeien uit de overeenkomst tussen een aanbieder en een klant als die verwerking noodzakelijk is om die overeenkomst uit te kunnen voeren. Bovendien moet de klant bij het sluiten van de overeenkomst kunnen overzien met welke verwerkingen hij rekening moet houden.
gerechtvaardigd belang van de verantwoordelijke
artikel 8, onder f, WBP
Onder een normale bedrijfsvoering valt in het algemeen ook het benaderen van eigen klanten met informatie en/of aanbiedingen3.
Behartiging van het gerechtvaardigd belang van de verantwoordelijke Als de betrokkene geen toestemming heeft gegeven voor een bepaalde gegevensverwerking, en ook de overige gronden van artikel 8 WBP niet van toepassing zijn, kan een verwerking van persoonsgegevens gerechtvaardigd zijn op grond van artikel 8, onder f, WBP. Op grond van dit artikel mogen persoonsgegevens worden verwerkt indien: “de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.” Dit criterium bevat drie belangrijke elementen: 1 Het gerechtvaardigde belang van de verantwoordelijke; 2 De noodzakelijkheid van gegevensverwerking; 3 Het privacybelang van de betrokkene. Een gerechtvaardigd belang is in de regel aanwezig bij handelingen die plaatsvinden in het kader van de normale bedrijfsvoering of het dagelijks beheer van de organisatie van de verantwoordelijke. Een gegevensverwerking is niet noodzakelijk voor de behartiging van het belang van de verantwoordelijke als dit belang op een minder ingrijpende wijze of met minder middelen kan worden gediend (het subsidiariteits- en proportionaliteitsbeginsel). De noodzaak van de gegevensverwerking moet daarom in verhouding tot het doel
17
In de praktijk moeten dus de volgende vragen worden beantwoord: 1. Is er werkelijk een belang dat gegevensverwerking rechtvaardigt? 2. Wordt met de verwerking een inbreuk gemaakt op belangen of fundamentele rechten van degene wiens gegevens worden verwerkt en zo ja, dient dan –afhankelijk van de ernst van de inbreuk– de gegevensverwerking achterwege te blijven? 3. Kan het beoogde doel ook langs andere weg (zonder verwerking van persoonsgegevens of met minder gegevens) worden gerealiseerd (subsidiariteit)? 4. Is de verwerking in de mate die is beoogd evenredig aan het doel dat wordt nagestreefd (proportionaliteit)? Het beginsel van de doelbinding; zie ook 3.3 verwantschap bijzondere gegevens, zie 3.6 verkrijging; zie 3.8
bezwaar; zie 3.7 en 3.8
worden beoordeeld. Voor de beoordeling van de rechtmatigheid van de gegevensverwerking op deze grond, spelen verder ook het belang en de rechten van de betrokkene een rol. Het belang dat de betrokkene heeft bij de beoogde verwerking moet worden afgewogen tegen het belang van de verantwoordelijke. De mate van gevoeligheid van de gegevens kan hierbij een rol spelen. Relevant zijn ook de maatregelen die de verantwoordelijke heeft genomen om rekening te houden met de belangen en rechten van de betrokkene en in hoeverre een bepaalde verwerking in het voordeel van de betrokkene is. Als het belang van de betrokkene om een bepaalde verwerking niet te laten plaatsvinden zwaarder weegt, dan is een eventuele verwerking van diens gegevens niet rechtmatig. Een uitdrukkelijk beroep van de betrokkene op dat belang is dan niet nodig. Als alle belangen voldoende in de afweging zijn betrokken, kan de verantwoordelijke tot de conclusie komen dat de verwerking van gegevens inderdaad noodzakelijk is voor het beoogde doel. De verantwoordelijke moet zo’n conclusie wel kunnen motiveren een ook zichtbaar kunnen maken, zodat eventueel toetsing door de rechter kan plaatsvinden. 3.5 Verenigbaar gebruik Persoonsgegevens mogen in beginsel alleen verwerkt worden op een manier die niet onverenigbaar is met het doel waarvoor ze zijn verzameld. Het gaat dan om iedere verwerking van gegevens die volgt op de verkrijging ervan. Dat beginsel van privacy wordt ook wel doelbinding genoemd. Bij de beoordeling of er sprake is van doelbinding spelen volgens de wetsgeschiedenis4 de volgende factoren mee: 1 Is het doel van de gegevensverwerking verwant aan het doel waarvoor de gegevens zijn verkregen? 2 De aard of gevoeligheid van de betreffende gegevens; 3 De vraag of er beslissingen genomen worden die gevolgen hebben voor de betrokkene; 4 De wijze van verkrijging van de gegevens. Hierbij is het onderscheid tussen de verkrijging van de gegevens van de betrokkene zelf of verkrijging uit andere bronnen van belang; 5 De mate waarin jegens de betrokkene wordt voorzien in passende waarborgen. Hierbij valt te denken aan de mogelijkheden die de betrokkene (expliciet) worden geboden om bezwaar te maken tegen bepaalde verwerkingen van zijn gegevens. Om te kunnen beoordelen of er sprake is van verenigbaar gebruik zullen al deze factoren in onderling verband moeten worden afgewogen.
18
specificatie van de doelstelling; zie 3.3
Wanneer is het gebruik van klantgegevens voor marketingdoeleinden nu verenigbaar met het doel waarvoor deze gegevens zijn verzameld? 1 De doelstellingen waarvoor de gegevens worden verzameld moeten voldoende specifiek zijn; 2 Het beoogde gegevensgebruik moet in relatie staan tot de doelstellingen waarvoor ze zijn verkregen (zie de bovengenoemde criteria). Het mailen van klanten met wie de aanbieder een vaste relatie heeft, is in beginsel toelaatbaar. Wel moet de aard van de te mailen informatie en/of aanbiedingen raakvlakken hebben met de aard van de relatie tussen de organisatie van de verantwoordelijke en de betrokkene. Een belangrijk criterium hierbij is of de ontvangers van de mailings deze, ook gelet op de aard van de bestaande relatie en het doel waarvoor de gegevens verkregen zijn, redelijkerwijs kunnen verwachten5.
Een andere vorm van marketing, namelijk het ter beschikking stellen van klantinformatie aan derden (verhuur van adresbestanden) zal eerder als onverenigbaar met de oorspronkelijke doelstelling kunnen worden aangemerkt. Zo is het voor de abonnee van een krant of tijdschrift niet redelijkerwijs te verwachten dat de uitgever de adresbestanden aan derden ter beschikking stelt. In een dergelijk geval zal de uitgever dus nadere waarborgen moeten bieden – bijvoorbeeld de betrokkene uitdrukkelijk in de gelegenheid stellen om bezwaar te maken – of moeten afzien van de voorgenomen verstrekking. Een andere oplossing is dat de uitgever de bedoelde activiteit apart verwerkt in de doelstelling waarvoor de abonneegegevens worden verzameld. Voor de verwerking dient dan wel een toereikende grondslag aanwezig te zijn. Ook zal de betrokkene dan reeds bij de verkrijging van de gegevens over dit nevendoel moeten worden geïnformeerd, zodat hij zijn gedrag daarop kan afstemmen.
3.6 Bijzondere gegevens Bijzondere gegevens zijn gegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en lidmaatschappen van bijvoorbeeld een vakvereniging. Ook strafrechtelijke gegevens en vallen onder dit begrip.
artikel 16 WBP artikel 17 t/m 22 WBP
Als er bij de verwerking van persoonsgegevens sprake is van bijzondere gegevens, kunnen deze een blokkade zijn voor de rechtmatigheid van die gegevensverwerking. Het bijzondere karakter van gegevens blijkt doorgaans direct, maar kan ook meer indirect van aard zijn. Dit laatste is het geval als het gegeven kan worden afgeleid uit de beschikbare informatie. Zo kan uit een foto het ras van de gefotografeerde persoon worden afgeleid. Een foto is daarom een bijzonder gegeven. Gegevens kunnen ook bijzonder worden door de context waarin zij worden geplaatst, bijvoorbeeld de soort van administratie waarin de gegevens zijn vastgelegd (zoals de NAW-gegevens van het abonnementenbestand van de Gay-krant). Dan moet het bijzondere karakter van de gegevens (in dit geval sexuele voorkeur) echter wel rechtstreeks voortvloeien uit het feit dat de gegevens in die administratie zijn opgenomen.
De verwerking van bijzondere gegevens is verboden tenzij dit uitdrukkelijk wordt toegestaan. Deze uitzonderingen zijn zowel specifiek (voor de aard van het gegeven) als algemeen van
19
artikel 23 WBP
aard. Zo kunnen bijzondere gegevens toch verwerkt worden als de betrokkenen hiervoor uitdrukkelijk hun toestemming hebben gegeven, of als de verwerking noodzakelijk is met het oog op een zwaarwegend algemeen belang. Bij dit laatste moeten dan wel passende waarborgen zijn getroffen ter bescherming van de persoonlijke levenssfeer èn moet de verwerking bij wet zijn bepaald dan wel moet expliciet ontheffing van het verbod zijn verleend. Het gebruik van bijzondere gegevens voor commerciële (nader gespecificeerde) marketingdoeleinden kan zelden noodzakelijk worden geacht vanuit een zwaarwegend algemeen belang. Als gevolg hiervan kunnen gegevensverwerkingen voor dergelijke doeleinden meestal alleen plaatsvinden met de uitdrukkelijke toestemming van de betrokkene6.
3.7 Recht van verzet artikelen 40 en 41 WBP artikel 40 WBP
artikel 41 WBP Database marketing valt in zijn huidige vormen integraal onder de werking van dit beginsel (uiteraard voor zover het gaat om het verwerken van persoonsgegevens).
In dat geval is het van belang dat het vervaardigen van profielen geschiedt zonder gebruikmaking van persoonsgegevens. De gegevens die gebruikt worden om de profielen samen te stellen moeten dan dus eerst worden ontdaan van identificerende kenmerken7.
De betrokkene heeft het recht zich te verzetten tegen het verwerken van zijn persoonsgegevens. Als de verwerking noodzakelijk is voor een publieke taak of met het oog op een gerechtvaardigd belang van de verantwoordelijke is het recht van verzet betrekkelijk. Dat wil zeggen dat dit recht moet worden afgewogen tegen het belang van de verantwoordelijke om de verwerking toch te realiseren. Als de persoonsgegevens worden verwerkt voor direct marketingdoeleinden is het recht van verzet absoluut. Dit betekent dat het verzet van de betrokkene altijd (zonder nadere afweging) gehonoreerd moet worden. Bij database marketing moet niet alleen worden gedacht aan mailing en gebruik van adresbestanden (al dan niet van derden) maar met name ook aan analyse van vastgelegde persoonsgegevens en segmentatie op basis van koppeling van gegevens uit verschillende bronnen. Daarnaast zou het verzet ook betrekking kunnen hebben op bepaalde verwerkingen of onderdelen daarvan, zoals verstrekking van gegevens aan een bepaalde derde of koppeling van gegevens voor een bepaald doel. Zo kan iemand zich verzetten tegen het gebruik van persoonsgegevens voor het vervaardigen van een (persoons) profiel. Zeker wanneer zo’n profiel gebruikt zou worden ter voorbereiding van een direct marketing activiteit moet een eventueel verzet hiertegen gerespecteerd worden
3.8 Transparantie Een eerlijke en rechtmatige verwerking van persoonsgegevens is transparant. De betrokkene moet kunnen weten wie welke persoonsgegevens over hem verzamelt en op welke wijze deze gegevens worden verwerkt. De verantwoordelijke is dus verplicht de betrokkene te informeren.
20
Informatieplicht Voor een eerlijke gegevensverwerking moet de verantwoordelijke de betrokkene informeren over het doel van de gegevensverwerking en de identiteit van de verantwoordelijke. In bepaalde gevallen moet meer informatie worden verstrekt, zoals wie de ontvangers van de gegevens zijn en de manier waarop de betrokkene zijn rechten kan uitoefenen. In de praktijk worden gegevens verkregen van betrokkene zelf dan wel uit andere bronnen. De manier waarop de verantwoordelijke gegevens heeft verkregen is van belang voor de informatieplicht. artikel 33 WBP De betrokkene kan op een voor de hand liggende wijze op de hoogte worden gebracht van wat hij behoort te weten (bijvoorbeeld via informatie op een aanvraagformulier of brochure). artikel 33, derde lid, WBP
Verkrijging van betrokkene Er zijn verschillende manieren om gegevens te verkrijgen van een betrokkene: gesprekken, inschrijfformulieren, responskaartjes en electronisch vastgelegde handelingen (klantenkaarten). De verantwoordelijke moet de betrokkene wel duidelijk maken hoe hij met de gegevens zal omgaan. Er zijn omstandigheden waarin het nodig is om extra informatie te verschaffen om een eerlijke verwerking te waarborgen. De verantwoordelijke zal zich telkens moeten afvragen of de betrokkene in de omstandigheden van het geval een reëel belang heeft bij nadere informatie en zo ja, wat de omvang van deze informatie is. Ook moet de verantwoordelijke afwegen in hoeverre de verwerking vereist is voor de realisering van het beoogde doel. Daarnaast is van belang wat de betrokkene onder de gegeven omstandigheden redelijkerwijs kan verwachten en of de aard van de gegevens dan wel het beoogde gebruik daarvan bijzondere risico's oplevert voor de belangen van de betrokkene. De afweging kan ertoe leiden dat de verantwoordelijke niet alleen duidelijkheid zal moeten bieden over zijn beoogde doeleinden, maar ook zal moeten aangeven welke gegevens waarvoor zijn bestemd en wat eventueel de gevolgen zijn indien bepaalde gegevens niet worden verwerkt. Zo gebeurt het wel eens dat in het kader van een koopovereenkomst informatie van de betrokkene wordt gevraagd met het oog op toezending van geadresseerde reclame. Wanneer het geven van die informatie niet essentieel is voor het sluiten van de overeenkomst, maar wel van belang is voor het kunnen versturen van geadresseerde reclame, dient de verantwoordelijke ter ‘nadere informatie’ aan te geven welke gegevens waarvoor zijn bestemd en wat de gevolgen zijn indien bepaalde gegevens door de betrokkene niet worden verstrekt8.
artikel 34 WBP
Verkrijging uit andere bron (artikel 34 WBP) Persoonsgegevens kunnen ook verkregen worden op een andere wijze dan van de betrokkene zelf, bijvoorbeeld door het koppelen van bestanden, het kopen van informatie en het 21
Bij bestandsverrijking gaat het ook om nietpersoonsgegevens (zoals profielen) die aan een persoon worden toegekend9. artikel 34, eerste lid, onder b, WBP
toevoegen van gegevens uit de verschillende operationele bestanden (bestandsverrijking). Juist omdat de betrokkene niet op de hoogte is van de verkrijging van zijn gegevens, is een informatieplicht voor de verantwoordelijke voor de transparantie van het proces onontbeerlijk. De hoofdregel is dat de informatieverstrekking plaatsvindt ‘op het moment van vastlegging’ van de verkregen gegevens. Wanneer de gegevens bij voorbaat bestemd zijn om te worden verstrekt aan een derde mag de informatie ook ‘uiterlijk op het moment van eerste verstrekking’ worden gegeven. Uitzonderingen van de informatieverplichting
De punten 2 en 3 zullen de verantwoordelijke niet snel een reden bieden om de informatieverstrekking achterwege te laten. Databases met klantgegevens zijn vaak hoogwaardig technologische voorzieningen die het de verantwoordelijke niet zullen beletten om de juiste mensen tijdig te benaderen. Mogelijk hoge kosten van informatieverstrekking zijn vaak te voorzien voordat de database wordt gebouwd10.
De informatieverstrekking kan achterwege worden gelaten: 1 Als de betrokkene reeds op de hoogte is; 2 Voor zover de informatieverstrekking onmogelijk blijkt; 3 Als deze een onevenredige inspanning kost. De verantwoordelijke zal er pas vanuit mogen gaan dat de betrokkene al op de hoogte is, als er voor gezorgd is dat de benodigde informatie op een duidelijke en voldoende gerichte wijze aan hem ter beschikking is gesteld of indien uit gedragingen van betrokkene redelijkerwijs mag worden afgeleid dat hij op de hoogte is. Van onevenredige inspanning is slechts sprake, als het theoretisch weliswaar mogelijk is om de betrokkenen individueel op de hoogte te stellen maar dit in geen verhouding staat tot het doel van die informatieverstrekking. In dat geval moet wel worden meegewogen in hoeverre er andere wegen open staan om de betrokkenen op adequate wijze van te informeren. Indien deze uitzondering van toepassing is, dient de verantwoordelijke de herkomst van de gegevens vast te leggen. Naast de twee bovengenoemde uitzonderingen hoeft de verantwoordelijke de betrokkene evenmin te informeren als de verwerking plaatsvindt op grond van een wettelijk voorschrift. 3.9 Overige rechten van de betrokkene
recht van verzet; zie 3.7
De verantwoordelijke moet aan de betrokkene vrijelijk en zonder beperking de mogelijkheden bieden om diens rechten te kunnen uitoefenen. Naast het reeds genoemde recht van verzet, zijn deze het recht op inzage en correctie, het recht op menselijke tussenkomst bij geautomatiseerde beslissingen en het recht op ‘logica’. Inzage en correctie
22
artikel 35 WBP zie 3.4
artikel 36 WBP
De betrokkene heeft op grond van artikel 35 WBP het recht om desgevraagd te worden geïnformeerd door de verantwoordelijke over verwerkingen van hem betreffende gegevens. In aanvulling op de in 3.4 genoemde informatieverplichting moet de betrokkene desgevraagd informatie verkrijgen over de doeleinden van de verwerkingen, de categorieën van gegevens waarop deze verwerkingen betrekking hebben en de (groepen van) ontvangers aan wie de gegevens worden verstrekt. Daarnaast heeft de betrokkene het recht om informatie over de herkomst van de gegevens te verkrijgen. Als de gegevens feitelijk onjuist of voor het doel (of doeleinden) van de verwerking onvolledig, niet ter zake dienend of anderszins onrechtmatig zijn, heeft de betrokkene het recht om deze gegevens te laten verbeteren, aanvullen, verwijderen of af te schermen. Dat recht moet hij vrijelijk en zonder beperking kunnen uitvoeren, met redelijke tussenpozen en zonder bovenmatige vertraging of kosten. Geautomatiseerde beslissingen
Hierbij gaat het om oordelen die de betrokkene in een aanmerkelijk belang treffen. Denk aan een oordeel over beroepsprestatie, kredietwaardigheid, betrouwbaarheid of gedrag. Bij een negatief besluit dat een persoon in aanmerkelijke mate treft, moet de persoonlijke levenssfeer van de betrokkene gewaarborgd zijn. De verantwoordelijke kan bijvoorbeeld de betrokkene de mogelijkheid bieden om zijn standpunt kenbaar te maken.
Artikel 42 WBP kent de betrokkene het recht toe om niet uitsluitend (negatief) beoordeeld te worden op grond van geautomatiseerde gegevensverwerking. Daarbij worden uiteenlopende gegevens gebruikt die een kwalificatie opleveren die duidelijk gevolgen heeft voor de betrokkene. Dergelijke klant- en risicoprofielen worden tegenwoordig vaak geautomatiseerd gemaakt. Het is op zichzelf toegestaan om een profielschets toe te rekenen aan een individueel persoon en het profiel te gebruiken voor besluitvorming. Het gemaakte profiel mag echter niet zonder meer leiden tot negatieve besluitvorming over een persoon, zoals het afwijzen van een kredietaanvraag. In het geval van een loyaltyprogramma kan op grond van een profiel besloten worden om bepaalde personen wel en andere personen geen aanbieding te doen. De verantwoordelijke zal moeten bezien of dit besluit de personen die geen aanbieding ontvangen, in aanmerkelijke mate treft. Dit zal in een loyaltyprogramma niet vaak het geval zijn. Dit is anders bij de behandeling van aanvragen voor mobiele telefonie. De aanvragen voor een dergelijk abonnement worden in opdracht van het telecombedrijf door een kredietinformatiebureau getoetst op de (waarschijnlijke) kredietwaardigheid van de aanvrager. Het kredietinformatiebureau adviseert zijn opdrachtgever op basis van algemene (geaggregeerde) gegevens die het heeft vastgelegd. Vaak gebeurt dit op het niveau van postcodegebieden, aangevuld met andere gegevens zoals leeftijd. Als een aanvrager bijvoorbeeld in een postcodegebied woont dat door het kredietinformatiebureau als ‘slecht betalend’ is gekenmerkt, wordt dit middels een bepaalde code aan de telecomaanbieder doorgegeven. Deze moet dan zelf de beslissing nemen om de aanvraag al dan niet verder in behandeling te nemen. Het automatisch gegenereerde advies mag dan wel meewegen in de uiteindelijke beslissing maar dan moeten er maatregelen zijn getroffen ter bescherming van de
23
persoonlijke levenssfeer. Een voorbeeld daarvan is het vragen van aanvullende informatie aan de potentiële klant.
artikel 35, vierde lid, en artikel 42, vierde lid, WBP
Logica Betrokkene heeft het recht op logica: het krijgen van (meer) inzicht in de achtergrond van de gegevensverwerking. De verantwoordelijke dient desgevraagd uit te leggen hoe een beslissing tot stand is gekomen. Dat kan van belang zijn als de betrouwbaarheid of kredietwaardigheid van personen wordt beoordeeld. In het voorbeeld van de telecomaanbieder zal deze moeten aangeven hoe hij tot een bepaalde beslissing is gekomen.
3.10 Kwaliteit van de gegevens Voor iedere verwerking van gegevens geldt dat deze toereikend en ter zake dienend moeten zijn voor de doeleinden van verwerking. De gegevens moeten tevens volledig, accuraat en up-to-date te zijn en te blijven. Degene die de gegevens verkregen heeft of verwerkt dient maatregelen te nemen die er voor zorgen dat deze niet vervuilen. Omgekeerd dienen alle redelijke maatregelen getroffen te worden om gegevens die onnauwkeurig of onvolledig zijn, te wissen. vernietiging; artikel 10, eerste lid, WBP
eerlijk en zorgvuldig; zie 3.2
Ook de bewaartermijn van de gegevens is van belang. De persoonsgegevens moeten vernietigd worden als zij niet langer noodzakelijk zijn voor de doelstelling(en) van de gegevensverzameling. De verantwoordelijke moet zich dan ook (regelmatig) afvragen of er redenen zijn op grond waarvan gegevens vastgelegd kunnen blijven. Zijn er voldoende redenen dan kan hij zelf bepalen hoe lang hij die gegevens wil bewaren. De gegevensverwerking moet natuurlijk wel eerlijk en zorgvuldig plaatsvinden. Gelet daarop is het belangrijk dat de verwerker een restrictieve termijn stelt aan het bewaren van persoonsgegevens. 3.11 Beveiliging
artikel 13 WBP
bijzondere gegevens; zie 3.6
Op grond van artikel 13 WBP moet de verantwoordelijke zorgen voor een toereikende beveiliging van alle onderdelen van het gegevensverwerkende proces. Hij dient maatregelen te nemen om verlies, vernietiging, verminking, onbevoegde verwerking of onbevoegde toegang tot gegevens te voorkomen. In het advies van de Registratiekamer: ‘Beveiliging van persoonsregistraties’11 zijn verschillende niveaus van beveiliging aangegeven. Voor de meeste klantenbestanden waarin gegevens voor marketingdoeleinden zijn vastgelegd, zal een beveiligingsniveau van de in het advies genoemde exclusiviteitsklasse 1 (Basisniveau) voldoende zijn. Voor grote gegevensbestanden en/of meerdere partijen die daarvan gebruik maken (zoals bij enkele loyaltyprogramma’s) kan een beschermingsniveau van exclusiviteitsklasse 2 (Verhoogd risico) nodig zijn. Dat geldt ook voor de verwerking van bijzondere gegevens.
24
Noten 1
TK 1998-1999, 25 892, nr 3, pag 66 TK 1998-1999, 25 892, nr 3, pag 81 3 TK 1998-1999, 25 892, nr 6, pag 17 4 TK 1998-1999, 25 892, nr 3, pag 90 5 Standpunt Registratiekamer 2 oktober 1996, nr 96K0548.1; KNVB/Shampoo 6 Standpunt Registratiekamer 28 mei 1998, nr 98/0081.46; Persoonsgebonden Club Card van de KNVB en Registratiekamer 19 oktober 1998, nr 98/0408; ledenpas van de KNLTB 7 Borking, J.J. e.a. (1998). Gouden bergen van gegevens. Over datawarehousing, datamining en privacy. A&V-10. Den Haag: Registratiekamer, pag 17 8 TK 1998-1999, 25 892, nr 3, pag 154 9 Borking, J.J. e.a. (1998). Gouden bergen van gegevens. Over datawarehousing, datamining en privacy. A&V-10. Den Haag: Registratiekamer 10 Borking, J.J. e.a. (1998). Gouden bergen van gegevens. Over datawarehousing, datamining en privacy. A&V-10. Den Haag: Registratiekamer, pag 16 11 Rossum H. van e.a. (1994). Beveiliging van persoonsregistraties. Rijswijk: Registratiekamer 2
25
4
Juridische normen toegepast
Dit hoofdstuk gaat concreet in op de gegevensverwerking bij diverse aanbieder-klant relaties. Voor deze verwerkingen gelden enkele algemene vereisten zoals bewaartermijnen en de kwaliteit van de vastgelegde gegevens. Deze komen hieronder als eerste aan de orde. Daarna wordt per aanbiederklant relatie gekeken naar de rechtmatigheid van de gegevensverwerking, de soorten gegevens die voor de verwerking gebruikt worden en de informatieverplichtingen van de aanbieder. Hoe lang mogen de vastgelegde gegevens worden bewaard?
niet onverenigbaar, zie 3.5
zie verder 4.5.2 en 4.6.2
In het algemeen geldt dat de vastgelegde gegevens niet mogen worden bewaard als deze niet meer noodzakelijk zijn voor de realisatie van het doel waarvoor de gegevens zijn verzameld. Voor zover de aanbieder dit al niet vooraf heeft aangegeven, mogen de door hem verzamelde klantgegevens in het algemeen ook worden gebruikt om de klanten bijvoorbeeld bepaalde informatie en/of aanbiedingen te zenden. Een dergelijke verwerking is in beginsel niet onverenigbaar met het doel waarvoor de gegevens zijn verzameld. Indien een betrokkene niet meer reageert op de aan hem toegezonden aanbiedingen/mailings, en er verder geen sprake meer is van een vaste relatie (bijvoorbeeld bij een garantieperiode), is het redelijk om gegevens twee jaar na de laatste transactie te verwijderen1. In een aantal gevallen is het denkbaar dat de naam- adres- en woonplaats (NAW)-gegevens van klanten die in het verleden een product besteld hebben, langer dan twee jaar bewaard blijven. Dit geldt met name voor ondernemingen die hun producten (bijna) alleen op bestelling aanbieden (bijvoorbeeld postorderbedrijven) en daarvoor persoonlijk geadresseerde catalogi verzenden. In zulke gevallen kan de noodzaak om de NAWgegevens langer dan twee jaar te bewaren aanwezig geacht worden om ook na die periode de betrokkene te informeren. Het is echter niet noodzakelijk om meer gedetailleerde aankoopgegevens (over een gekocht product of het aankoopbedrag) langer dan twee jaar na de laatste bestelling te bewaren. Dit zal slechts anders zijn, als een onderneming haar klanten persoonlijke (op maat gesneden) aanbiedingen wil doen en het aankoopgedrag wil analyseren. Uiteraard moeten de klanten van een zodanige doelstelling op de hoogte zijn.
Kwaliteit van de gegevens
juist en voledig; zie ook 3.10
Als klantgegevens worden bewaard heeft de aanbieder een inspanningsverplichting voor het up-to-date houden van de gegevens. Hij moet dus de nodige maatregelen treffen voor het juist en volledig houden van zijn gegevens. Dat zijn alle maatregelen die gelet op de soort van gegevens, de stand van de techniek en de kosten in redelijkheid kunnen worden
26
Het up-to-date houden van een bestand kan door dit regelmatig te matchen met andere bestanden, zoals het verhuisbestand van TNT Post. Ook softwareprogrammatuur kan de kwaliteit van de vastgelegde gegevens verbeteren (bijvoorbeeld correcte schrijfwijze). zie 2.1 consumentenkoop
gevergd. De aanbieder moet in ieder geval kunnen aantonen welke moeite hij zich heeft getroost om zijn bestanden up-todate en van goede kwaliteit te houden. 4.1 Directe koop met contante betaling Bij de directe koop met contante betaling is er in de regel geen sprake van het verzamelen en vastleggen van persoonsgegevens. Vanuit privacy-oogpunt is dit dan ook de meest ideale vorm van het afnemen van producten en diensten. Bij een consumentenkoop worden er daarentegen steeds vaker persoonsgegevens verzameld. Verkooporganisaties willen immers graag weten wie hun klanten zijn. Ook wordt tegenwoordig op steeds grotere schaal electronisch betaald, waarbij persoonsgegevens met betrekking tot de transactie worden vastgelegd. Als de klant electronisch betaalt, zijn er twee partijen te onderscheiden met wie de klant een relatie heeft: de verkoper en de bank/creditcardmaatschappij van het medium waarmee de klant betaalt. De verkoper legt bij de transactie naast het transactiebedrag, de datum en het tijdstip in ieder geval de aard van het betaalmiddel (bijvoorbeeld een PIN-pas) en het bijbehorende bankrekening- of kaartnummer vast. Vaak zal ook het gekochte product of de desbetreffende productgroep (afdeling en/of afdelingsnummer) worden vastgelegd Zulke gegevens zijn te beschouwen als persoonsgegevens wanneer de identiteit van de rekening- of kaarthouder aan de hand van deze of andere beschikbare gegevens zonder al te veel moeite kan worden vastgesteld. Het verzamelen en vastleggen van dergelijke gegevens gebeurt in eerste instantie uiteraard om de betaling (via de bank of de creditcardmaatschappij van de kaarthouder) daadwerkelijk tot stand te laten komen. Deze gegevensverwerking vindt haar rechtsgrond in de noodzakelijkheid om de (koop)overeenkomst uit te kunnen voeren.
rechtmatige grondslag; zie 3.4 Het tonen van een creditcard kan beschouwd worden als het geven van toestemming voor de gegevensverwerkingen die nodig zijn voor de betaling. De klant geeft op dat moment geen toestemming voor andere gegevensverwerkingen, zoals bijvoorbeeld voor marketing
Wanneer de betaling heeft plaatsgevonden, is de overeenkomst uitgevoerd. Een verdere verwerking (bijvoorbeeld het bewaren) van de betreffende persoonsgegevens kan echter pas plaatsvinden, als daarvoor een andere rechtmatige grondslag aanwezig is. Het gaat dan met name om toestemming van de klant of een gerechtvaardigd belang van de aanbieder. Alleen een goed geïnformeerde klant kan zijn ondubbelzinnige toestemming verlenen voor een verdere verwerking van zijn transactiegegevens. Er zal dan uiteraard voldaan moeten worden aan de in 3.4 genoemde vereisten van toestemming.
27
De belastingwetgeving kan ertoe leiden dat de betalingsgegevens niet vernietigd mogen worden. Gelet op het principe van de doelbinding mogen de aldus bewaarde gegevens alleen maar worden verwerkt ter voldoening aan de wettelijke verplichtingen2.
zie voorbeelden in 3.5
Als de klant geen toestemming heeft verleend, zal de grondslag voor een verwerking gevonden moeten worden in de behartiging van het gerechtvaardigde belang van de verkoper. Die zal moeten kunnen aantonen dat de beoogde verwerkingen noodzakelijk zijn voor zijn bedrijfsbelang. Daarnaast moet de verwerking niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verkregen. Als er verder geen sprake is van bijzondere gegevens of het uitoefenen van het recht van verzet, zal de verkoper zijn (gerechtvaardigde) belangen moeten afwegen tegen die van de betrokkene. Als de verkoper de betalingsgegevens wil gebruiken voor marketingdoeleinden, zal hij zich in ieder geval moeten afvragen of er geen andere wegen zijn -bijvoorbeeld het nalaten van het gebruik van persoonsgegevens- om het beoogde doel te realiseren. Ook zal hij de klant vooraf in kennis moeten stellen van het beoogde gebruik en de klant de gelegenheid moeten bieden om hiertegen bezwaar te maken. Indien de belangen niet in voldoende mate worden afgewogen, ontbreekt een rechtmatige grondslag voor verdere verwerking voor de beoogde doeleinden. De gegevens moeten dan in beginsel worden vernietigd.
De gegevensverwerking mag tevens niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verzameld. Verwerkingen die bedoeld zijn om bijvoorbeeld klanten te mailen, worden in het algemeen als verenigbaar met het doel beschouwd als de mailings een zekere verwantschap hebben met de aard van de bestaande relatie en het doel waarvoor de gegevens verkregen zijn. Uiteraard is het altijd mogelijk om de vastgelegde gegevens nadat de betaling heeft plaatsgevonden te ontdoen van identificerende kenmerken zoals aard en nummer van het betaalmiddel, danwel de gegevens zodanig te bewerken dat slechts geaggregeerde gegevens over de transactie overblijven die gebruikt kunnen worden als managementinformatie.
In hoeverre banken en/of creditcardmaatschappijen gebruik kunnen maken van gegevens die worden vastgelegd in het kader van het electronisch betalingsverkeer, komt aan bod in 4.5.1. 4.2 Garantiebewijs Is men verplicht om persoonsgegevens in te vullen voor het verkrijgen van garantie? De garantie is immers gekoppeld aan de hoedanigheid van de koper en niet aan diens identiteit. Het maakt dus niet uit wie het product koopt, er wordt garantie gegeven op (de kwaliteit van) het product.
De gegevens van de kopre die door de verkoper en/of fabrikant worden vastgelegd voor een garantie op het product, worden door door de koper zelf verstrekt door het invullen van het garantiebewijs. Maar in hoeverre is de koper verplicht om zijn persoonlijke gegevens op het formulier in te vullen om voor de garantie in aanmerking te komen? Meestal wordt een garantie gegeven op het product dat de consument heeft gekocht en is deze garantie niet persoonlijk. In het maatschappelijk verkeer geldt dan ook dat degene die de (anonieme) aankoopnota overlegt, beschouwd wordt als de 28
uitvoering overeenkomst
garantierechthebbende.De koopovereenkomst als zodanig biedt dus geen grondslag voor de verwerking van de persoonsgegevens van de koper. Een uitzondering op die regel vindt plaats als de garantie wel gekoppeld is aan de identiteit van de koper (een ‘persoonlijke garantie’) en deel uit maakt van de koopovereenkomst. Het verwerken van persoonsgegevens van de koper kan dan als noodzakelijk ter uitvoering van de koopovereenkomst worden beschouwd. In de praktijk komt het voor (bijvoorbeeld in de witgoedsector) dat de klant een (verlengde) garantietermijn tegen bepaalde meerkosten kan verkrijgen. De klant moet dan een aparte garantieovereenkomst aangaan. In dat geval zal het verwerken van zijn persoonsgegevens noodzakelijk zijn ter uitvoering van deze overeenkomst.
Is verdere gegevensverwerking bij niet-persoonlijke garantie geoorloofd?
doel
toestemming
Mogelijke categorieën van gegevensverwerkingen zijn het verzamelen, vastleggen en het bewaren van persoonsgegevens, maar ook het persoonlijk benaderen van de betrokkene.
Als de koper gevraagd wordt om voor het verkrijgen van een garantie persoonlijke gegevens in te vullen (of te verstrekken) en er geen sprake is van persoonlijke garantie, dient duidelijk te zijn wat het doel is van de gegevensverzameling en vastlegging. Omdat het een niet-persoonlijke garantie betreft, kan deze doelstelling niet het verlenen van garantie zijn. Als het doel bijvoorbeeld is om de klant in de toekomst persoonlijk te benaderen, moet dat duidelijk zijn. De koper hoeft in dat geval de gevraagde gegevens niet in te vullen als hij dat niet wil. Het invullen van een formulier kan betekenen dat de invuller toestemming geeft voor bepaalde verwerkingen van zijn gegevens. Of dit in concreto zo is hangt allereerst af van de keuzevrijheid die de invuller heeft om op het formulier al dan niet persoonsgegevens in te vullen. Indien aan dit vereiste is voldaan, heeft de gegeven toestemming betrekking op de categorie van gegevensverwerkingen waarvan de betrokkene vooraf op de hoogte is gebracht. Een praktijkvoorbeeld van het verzamelen van persoonsgegevens bij nietpersoonlijke garantie, is de klant vragen om een antwoordkaart in te vullen die bij een gekocht product is gevoegd. Op deze antwoordkaart kan de koper een aantal vragen over de aankoop en het eerste gebruik van het gekochte product beantwoorden. Bovendien kan de koper persoonlijke gegevens invullen: voorwaarde voor het verkrijgen van een jaar extra garantie boven op de normale garantietermijn van een jaar. Als de koper de antwoordkaart retourneert, zal de fabrikant na verkrijging van de persoonlijke gegevens het bewijs voor de ‘dubbele’ garantie toezenden aan de klant. De fabrikant gebruikt de persoonsgegevens voor het benaderen van de klanten in het kader van consumentenonderzoek en ook om deze klanten informatie, cq aanbiedingen toe te zenden. De klant heeft de mogelijkheid om op de antwoordkaart een kruisje te zetten in een daartoe bestemd vakje. Zo kan hij op een eenvoudige wijze bezwaar maken tegen het verwerken van zijn gegevens voor een of beide -helder geformuleerde- doeleinden. Op deze wijze is er sprake van het verzamelen van gegevens voor welbepaalde, uitdrukkelijk omschreven en
29
toestemming
gerechtvaardigde doeleinden en kan de klant al dan niet toestemming verlenen voor bepaalde gegevensverwerkingen.
Is verdere gegevensverwerking bij persoonlijke garantie voor andere doeleinden geoorloofd?
gerechtvaardigde belang
verenigbaar Op een garantiebewijs staan vaak alleen om naam-adresen woonplaats (NAW)gegevens, die over het algemeen als minder gevoelig worden beschouwd. Dit is bij de belangenafweging in het voordeel van de verkoper.
Als een klant persoonlijke gegevens moet overleggen voor een persoonlijke garantie, mogen deze gegevens niet zonder meer voor andere doeleinden (bijvoorbeeld direct marketing) worden gebruikt dan voor het nakomen van de garantieverplichting. Als de klant geen ondubbelzinnige toestemming heeft gegeven om zijn gegevens voor andere doeleinden te gebruiken, mag de verantwoordelijke de gegevens alleen verwerken als dat noodzakelijk is ter behartiging van het gerechtvaardigde belang van de verantwoordelijke. De verwerking mag dan niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verzameld. In beginsel is er sprake van een gerechtvaardigd belang van de verantwoordelijke als deze de vastgelegde gegevens wil gebruiken om de klanten persoonlijk te benaderen. Een verwerking in dit verband zal in het algemeen ook als verenigbaar worden beschouwd. De belangen van de verantwoordelijke en die van de klanten moeten tegen elkaar afgewogen worden. Hierbij zal de verantwoordelijke in ieder geval aan moeten kunnen tonen dat hij voldoende rekening heeft gehouden met de belangen van de klant. Zo kan hij bepaalde maatregelen hebben getroffen om een zorgvuldig gebruik van de gegevens te waarborgen. 4.3 Voordeelbon Is men verplicht om gegevens in te vullen op een voordeelbon?
Niet gepersonaliseerde voordeelbonnen worden onder meer verspreid via kranten, tijdschriften, en ongeadresseerde reclame.
Als een koper zijn persoonsgegevens op een voordeelbon invult om korting op een product te kunnen verkrijgen, moet het de invuller duidelijk te zijn wat er met zijn gegevens gebeurt en in hoeverre hij, gelet op de kortings-doelstelling, verplicht is om de gegevens in te vullen. Zeker als voordeelbonnen niet gepersonaliseerd zijn verspreid, moet de klant ook een niet (volledig) ingevuld formulier kunnen inleveren om de korting te ontvangen. Een voorbeeld van een dergelijk systeem zijn de voordeelbonnen die door bepaalde grootwinkelbedrijven worden uitgegeven. De koper kan met deze bonnen aan de kassa korting krijgen op bepaalde producten. De klant wordt daarbij verzocht om zijn persoonlijke gegevens op de voordeelbon in te vullen. De bonnen worden verspreid via huis aan huis(ongeadresseerde) reclamefolders en zijn ook in de afzonderlijke filialen voor iedere klant beschikbaar. Het grootwinkelbedrijf maakt hierbij op
30
geen enkele wijze duidelijk in hoeverre de klant verplicht is om zijn gegevens in te vullen om voor de korting in aanmerking te komen.
Is verdere gegevensverwerking bij niet-gepersonaliseerde voordeelbonnen geoorloofd?
Zie 4.2 Niet-gepersonaliseerde voordeelbonnen worden niet alleen uitgegeven met het doel de klant een korting te geven. Vaak wil de uitgever de klant in de toekomst persoonlijk benaderen. Dat doel moet dan volstrekt duidelijk zijn.
Als de klant niet verplicht is om persoonsgegevens op een voordeelbon in te vullen, maar dat toch geheel vrijwillig doet, kan hij daarmee toestemming geven voor bepaalde verwerkingen van zijn gegevens. Deze toestemming mag echter echter alleen betrekking hebben op een beperkte categorie van gegevensverwerkingen, waarvan de betrokkene tevoren op de hoogte is gebracht. Uiteraard moet voor de klant duidelijk te zijn wat het doel is van de verzameling en vastlegging van de gevraagde gegevens. Het verzamelen en verder verwerken van op voordeelbonnen ingevulde persoonsgegevens is overigens niet noodzakelijk voor de uitvoering van de koopovereenkomst. Immers, zoals hierboven al is aangegeven, moet de klant de korting ook kunnen krijgen zonder dat hij persoonlijke gegevens prijsgeeft. Is verdere gegevensverwerking bij gepersonaliseerde voordeelbonnen geoorloofd?
zie de in 3.4 bij ‘Toestemming’ gestelde voorwaarden
zie 4.2 Het is bij dergelijke overeenkomsten van belang dat consumenten niet min of meer tot deelname gedwongen worden omdat zij anders behoorlijke voordelen mislopen. Hiervan is eerder sprake indien de aangeboden producten behoren tot de primaire levensbehoeften.
Als het invullen van persoonlijke gegevens op een voordeelbon noodzakelijk is voor de ontvangst van een premie, zijn de verwerkingen van deze gegevens noodzakelijk om de premie te kunnen bezorgen. De klant zal in de praktijk vaak zijn toestemming verlenen voor zo’n verwerking. Verplicht vastgelegde gegevens mogen echter niet zonder meer voor andere doeleinden dan voor het bezorgen van de premie worden gebruikt (bijvoorbeeld voor direct marketing). Als de klant geen ondubbelzinnige toestemming heeft gegeven voor het verwerken van zijn gegevens voor deze andere doeleinden, mag de verwerking alleen plaatsvinden als deze noodzakelijk is ter behartiging van het gerechtvaardigde belang van de verantwoordelijke. Hiervoor geldt hetzelfde als is vermeld bij het persoonlijke garantiebewijs. Het is ook mogelijk dat er een aparte overeenkomst tussen de aanbieder en de klant wordt gesloten die betrekking heeft op de ontvangst van de premie. In hoeverre de gegevens die daarvoor worden vastgelegd ook voor andere doeleinden dan voor het verzenden van de premie mogen worden gebruikt, hangt af van de inhoud van de overeenkomst. Zo is het mogelijk dat een aanbieder met zijn klanten overeenkomt hen een bepaald product gratis of met korting te leveren onder de voorwaarde
31
recht van verzet; zie 3.7
dat hij de klantgegevens voor nader gespecificeerde marketingdoeleinden mag gebruiken. Indien de klant op dat laatste geen prijs stelt (en dat ook op een eenvoudige wijze kenbaar kan maken), kan hij het product slechts tegen een normale prijs kopen. Voorbeelden hiervan zijn de zogenaamde ‘geboorte-, zwangerschaps-, huwelijks-, en samenwoningsdozen’. De consument kan deze speciaal samengestelde dozen (met daarin artikelen die passen bij de vreugdevolle gebeurtenis) gratis verkrijgen, onder de voorwaarde dat de door hem verstrekte persoonsgegevens ter beschikking gesteld worden aan de aanbieders van de artikelen. Als de klant tegen de verwerking van zijn gegevens bezwaar maakt, kan hij het pakket slechts tegen betaling verkrijgen. Indien de klant in eerste instantie instemt met de voorwaarden en zich later beroept op zijn recht van verzet, waardoor de aanbieder van het pakket de klantgegevens (in ieder geval vanaf dat moment) niet mag verstrekken aan derden, is deze aanbieder ontheven van zijn nakomingsverplichting jegens de klant (het gratis toezenden van het pakket) en kan de aanbieder de klant zelfs aanspreken wegens wanprestatie3.
4.4 Koop op bestelling
zie ook 4.1 en 4.2
In een bestelregistratie worden doorgaans de NAWgegevens van de besteller, diens telefoonnummer, het bestelde product, de pijs en de wijze van betaling vastgelegd.
zie verder 4.5
Voor gegevensverwerking die plaatsvindt om gekochte producten thuis te kunnen afleveren, gelden in meer of mindere mate de voorwaarden zoals deze in 4.1 en 4.2 zijn uitgelegd. Het verzamelen, vastleggen en verder verwerken van persoonlijke (NAW)gegevens van de besteller zal in de meeste gevallen noodzakelijk zijn om de overeenkomst (het bezorgen van de bestelde produkten) uit te kunnen voeren. De gegevens die worden vastgelegd voor een correcte afwikkeling van de koopovereenkomst, worden door de aanbieder veelal bewaard in een zogenaamde bestelregistratie. Een van de voornaamste (sub)doelstellingen van zo’n registratie is het onderhouden van contacten met de geregistreerde klanten. Zo zal een postorderbedrijf de bestelregistratie gebruiken om de (periodiek uitgegeven) catalogus toe te zenden. Ook kan de winkelier de geregistreerde klanten in de toekomst nogmaals benaderen met aanbiedingen. Als een klant regelmatig producten afneemt van een aanbieder kan er een duurzame klantaanbieder relatie ontstaan. In hoeverre dit consequenties heeft voor de verwerking van persoonsgegevens komt in 4.5 en verder nader aan bod. Bijhouden van een bestelregistratie
uitvoering koopovereenkomst
Voor een rechtmatig gebruik van een bestelregistratie geldt dat het prijsgeven van persoonsgegevens door de klant bijna altijd een voorwaarde is om het gekochte product geleverd te krijgen. Het verwerken van gegevens is in dat geval noodzakelijk om de koopovereenkomst uit te voeren.
32
behoudens fiscale verplichtingen, zie 4.1
Bij de beoordeling van de verenigbaarheid moet de aard van de mailing een verwantschap hebben met de aanbieder-klant relatie. Bij de belangenafweging zal snel een rechtmatige grondslag voor de verwerking aanwezig zijn als: - alleen de NAW-gegevens van de klant worden bewaard; - het gaat om een klant die regelmatig bestelt; - de klanten worden geïnformeerd over het gebruik van hun gegevens - de klant tegen de gegevensverwerking bezwaar kan maken. Van een duurzame relatie is in dit verband sprake als de klant zich voor een langere tijd gebonden heeft aan een bepaalde aanbieder. De tijdsduur van dit verband is veelal gerelateerd aan de aard van het product of dienst.
Als de gegevens alleen worden vastgelegd voor het bezorgen van de bestelde producten, moeten deze gegevens uit het bestand verwijderd worden nadat de bestelling heeft plaatsgevonden. In de praktijk zal het echter regelmatig voorkomen dat met de gegevens een klantenbestand wordt opgebouwd, meestal met het doel om de geregistreerde personen in de toekomst persoonlijk te benaderen. Dat is natuurlijk niet noodzakelijk voor de uitvoering van de koopovereenkomst maar is wel toegestaan als de klant ondubbelzinnige toestemming heeft gegeven. De gegevensverwerking moet dan beperkt blijven tot het bewaren van gegevens voor toekomstige reclamezendingen. De klant moet van dat doel in voldoende mate op de hoogte zijn en moet in alle vrijheid hebben kunnen kiezen of hij zijn gegevens bewaard wil hebben. De hier bedoelde verwerkingen zullen in het algemeen niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verzameld. Persoonsgegevens kunnen ook zonder toestemming van de klant worden bewaard en verder gebruikt. Het is namelijk mogelijk dat de aanbieder van het product een gerechtvaardigd belang heeft om bepaalde gegevens van de klant te verwerken. In dat geval moet er wel een belangenafweging plaatsvinden tussen het belang van de aanbieder en dat van de klant. 4.5 Duurzame aanbieder-klant relaties Een overeenkomst tussen een aanbieder van producten en/of diensten en een klant vormt veelal de basis van een duurzame relatie tussen deze partijen. Om de overeenkomst uit te kunnen voeren verzamelt, gebruikt en bewaart de aanbieder bepaalde persoonsgegevens van de klant. Het gaat dan niet alleen om de NAW-gegevens en klantnummers maar ook om gegevens die informatie verschaffen over de wijze waarop de klant gebruik heeft gemaakt van de aangeboden faciliteiten. Zo legt een bank bepaalde aankoopgegevens van een klant vast, als deze de aankoop betaalt met een door de bank uitgegeven betaalpas. Een telecomaanbieder legt vast hoe lang en met wie zijn abonnees telefoneren. Een verzekeringsmaatschappij houdt gegevens bij over de declaraties die door zijn klanten worden ingediend. Een postorderbedrijf houdt bij welke producten zijn klanten bestellen om deze correct te kunnen bezorgen. Voor het uitvoeren van de desbetreffende overeenkomst is het uiteraard noodzakelijk dat er bepaalde gegevensverwerkingen plaatsvinden.
In de meeste gevallen bewaren de bedrijven de vastgelegde gegevens om de klanten bijvoorbeeld door middel van persoonlijk geadresseerde reclame op de hoogte te brengen van andere en/of meer voordelige aanbiedingen. De gegevensverwerkingen die daarvoor plaatsvinden, zijn echter 33
niet noodzakelijk voor de uitvoering van de gesloten koopen/of leveringsovereenkomst tussen de aanbieder en de klant. Er zal dus een andere rechtmatige grondslag aanwezig moeten zijn voor de gegevensverwerking. Welke grondslagen dit kunnen zijn voor welke specifieke situaties, komt hieronder verder aan bod. Daarbij zal ook bekeken worden in hoeverre de verwerkingen verenigbaar zijn met het doel waarvoor de gegevens zijn verzameld. 4.5.1 Verwerking van transactiegegevens door de aanbieder van een betaalpas
zie 4.1 De gegevens die voor dit doel worden vastgelegd zijn in ieder geval de transactiedatum en -tijdstip, het aankoopbedrag en de verkooporganisatie.
Bij een transactie tussen een koper en verkoper waarbij de koper electronisch betaalt, is meestal ook een derde partij betrokken: de aanbieder van het gebruikte electronische betaalmiddel. Deze aanbieder legt in het kader van een efficiënt betalingsverkeer (net als de verkooporganisatie) gegevens van de koper vast. Deze gegevens worden gebruikt om bedragen ten laste van de rekening van de betreffende cliënt te debiteren. Voor een bank en/of creditcardmaatschappij kan het interessant zijn om zulke gegevens ook na de betaling te bewaren. Ze kunnen de gegevens bijvoorbeeld gebruiken voor fraudebestrijding of marketingdoeleinden. Echter, dat is -behoudens een wettelijke verplichting- alleen toegestaan indien hiervoor een rechtmatige grondslag aanwezig is en de verwerking niet onverenigbaar is met het doel waarvoor de gegevens zijn verzameld. De rechtmatige grondslag zal in de praktijk dan moeten bestaan uit de toestemming van de cliënt, de uitvoering van een overeenkomst of uit het gerechtvaardigde belang van de bank of creditcardmaatschappij om de gegevensverwerking te laten plaatsvinden. In hoeverre het verder verwerken van de aldus vastgelegde persoonsgegevens geoorloofd is, komt hieronder aan bod. Afwikkeling van het betalingsverkeer door een bank of creditcardmaatschappij
uitvoering overeenkomst
zie verder 4.5.2
De klant die een product electronisch betaalt met een betaalpas heeft een overeenkomst met de bank op grond waarvan hij de betaalpas mag gebruiken. De bank draagt op haar beurt zorg voor een correcte betaling van het door de klant gekochte product ten laste van de rekening van de klant. Het verwerken van de gegevens in dit kader is dan ook noodzakelijk voor de uitvoering van de tussen de klant en de bank gesloten (rekening)overeenkomst. De verwerkingen zijn uiteraard ook verenigbaar met het doel waarvoor de gegevens zijn verzameld. Het gebruik voor marketingdoeleinden komt aan de orde in 4.5.2.
34
Fraudebestrijding en fraudepreventie
Deze doelstelling is ook neergelegd in artikel 3 van de Privacy Gedragscode Banken (Stcrt 1995, 207; PGB) Na signalering van mogelijke fraude kan contact worden opgenomen met de kaarthouder om te verifiëren of er sprake is van oneigenlijk gebruik van de kaart. Bij de belangenafweging speelt mee dat het opsporen van fraude in het belang van de cliënt kan zijn. Deze (sub)doelstelling dient wel (vooraf) aan de cliënten bekend te zijn gemaakt. Bovendien is de gegevensverwerking voor fraudebestrijding of –preventie niet onverenigbaar met het doel waarvoor de gegevens zijn verzameld, namelijk het nakomen van de rekeningovereenkomst. zie ook artikel 3 PGB
De balans zal bij deze afweging in het voordeel van de bank uitslaan als de cliënt op de hoogte is van de voorgenomen verwerkingen en hij op grond van bijzondere persoonlijke omstandigheden daartegen bezwaar kan maken (artikel 40 WBP).
Banken en creditcardmaatschappijen willen de in het kader van het betalingsverkeer verzamelde gegevens nogal eens bewaren en gebruiken ter bestrijding en/of voorkoming van fraude met de betaalpas. Zij analyseren de (al dan niet geaggregeerde) betalingsgegevens, waardoor zij profielen kunnen maken van het ‘betalingsgedrag’ van de kaarthouders. Als (een reeks van) betaling(en) van een kaarthouder niet past binnen een vastgesteld ‘normaal betalingsprofiel’ kan dit een aanwijzing zijn voor fraude met de kaart. Deze gegevensverwerking vloeit echter niet noodzakelijkerwijs voort uit de (rekening)overeenkomst tussen de bank en haar klant. Een bank of een creditmaatschappij heeft doorgaans wél een gerechtvaardigd belang dat de verwerking noodzakelijk maakt. Dit belang moet afgewogen worden tegen het belang van de cliënten. Tegengaan van overcreditering Banken kunnen de vastgelegde gegevens gebruiken om hun cliënten voor te lichten over de wijze waarop deze gebruik kunnen maken van door de bank geboden faciliteiten. Zo kan een bank de betalingsverkeergegevens van bepaalde cliënten - bijvoorbeeld cliënten die regelmatig op hun rekening rood staan of hoge kredieten hebben opgenomen en aflossingsproblemen hebben- analyseren om hun cliënten te adviseren over een efficiënter betaalgedrag. Het verwerken van de vastgelegde betalingsgegevens vloeit dan niet noodzakelijkerwijs voort uit de tussen de bank en haar cliënt gesloten overeenkomst. Maar het belang (tegengaan van overcreditering) dat een bank heeft bij de verwerking kan in de regel als gerechtvaardigd worden beschouwd. Als een bank betalingsgegevens van een cliënt wil verwerken zonder dat deze daarvoor toestemming heeft gegeven, moet de bank de belangen van de cliënt afwegen tegen haar eigen belang. Het verstrekken van betalingsgegevens door banken aan een verkooporganisatie Het komt voor dat aan de hand van het electronische betaalmiddel achterhaald wordt wie de koper is, bijvoorbeeld als er sprake is van een foutieve handeling bij de transactie. Zo kan er per abuis een verkeerd aankoopbedrag op de kassa zijn ingetoetst. De bank kan in zo’n geval op verzoek van de verkooporganisatie de NAW-gegevens van de cliënt verstrekken. De
35
verkooporganisatie kan dan zelf contact opnemen met de klant om tot een vergelijk te komen4.
Het belang van de bank ligt bij deze afweging in de normale afwikkeling van het betalingsverkeer. Bovendien worden in het geval van een navordering slechts de NAWgegevens van de cliënt verstrekt.
Onder de WBP zal een bank een rechtmatige rechtsgrond moeten hebben voor de verstrekking van de gegevens aan de verkooporganisatie. In dit geval ligt deze grond in het gerechtvaardigde belang dat de bank heeft om de betreffende gegevens te verstrekken: er is immers geen sprake van toestemming, noch is de verstrekking noodzakelijk voor de uitvoering van de overeenkomst tussen de bank en de koper/opdrachtgever. Zoals in 3.4 is vermeld, moet de bank in dit geval een afweging maken tussen het belang van de verantwoordelijke en het belang van de betrokkene. 4.5.2 Het gebruik van klantgegevens voor diverse Direct Marketing doeleinden In de praktijk worden de klantgegevens die worden vastgelegd in een duurzame aanbieder-klant relatie vaak gebruikt voor direct marketing (DM) doeleinden, zoals het toezenden van informatie en het verkopen/verhuren van (delen van) gegevensbestanden. Zoals reeds aangegeven is het verwerken van persoonsgegevens voor deze doelen in de regel niet noodzakelijk voor de uitvoering van een concrete koopovereenkomst tussen de aanbieder en de klant. Het benaderen van de klant met persoonlijk geadresseerde mailings
gerechtvaardigd belang
Ook als een klant geen toestemming heeft gegeven voor een persoonlijk geadresseerde mailing, kan deze mailing rechtmatig zijn. De aanbieder heeft immers in het algemeen een gerechtvaardigd belang om zijn klanten met wie hij een duurzame relatie heeft, min of meer regelmatig te informeren over kwesties die logischerwijs verband houden met de aard van de relatie. In hoeverre de belangen van de betrokkenen een gegevensverwerking hiervoor in de weg staan, hangt onder meer af van de wijze waarop de klant wordt benaderd (de vorm van de mailing, de eventuele selecties die plaatsvinden en de soorten van gegevens die worden gebruikt). Overigens moet de klant steeds op de hoogte zijn van dit gebruik van zijn gegevens, zodat hij hiertegen eventueel bezwaar kan maken. A Dezelfde mailing aan alle klanten Er kan sprake zijn van een mailing die voor alle klanten gelijk is en die aan alle klanten wordt toegezonden. Voor deze vorm van direct marketing zijn alleen de NAW-gegevens van de
36
Andere gegevens zoals het telefoonnummer, betalingsgegevens of historische gegevens, mogen voor dit doel dan ook niet bewaard blijven; deze zijn voor de doelstelling immers niet noodzakelijk.
klanten nodig en vindt er geen nadere selectie plaats. Het belang van de klanten zal in dit geval de verwerking niet snel in de weg staan. Wel moeten de klanten tenminste in algemene termen op de hoogte zijn van de gegevensverwerkingen en moeten zij de gelegenheid hebben om daartegen bezwaar te maken. De genoemde verwerking van NAW-gegevens zal in de regel ook niet onverenigbaar zijn met het doel waarvoor de gegevens zijn verzameld. B Een mailing aan een geselecteerde groep van klanten
De verantwoordelijke zal zich dus af moeten vragen welke selectiecriteria hij gaat gebruiken voor het verzenden van mailings. Als hij weet dat bepaalde gegevens niet verder gebruikt worden, mogen deze niet worden bewaard.
Bij het gebruik van een geografisch selectiecriterium (postcodegebied), zonder nadere informatie (zoals welstandsklasse), zullen de belangen van de betrokkenen deze gegevensverwerking niet snel in de weg staan.
proportionaliteit subsidiariteit zie beoordelingscriteria in 3.5 Het bieden van passende waarborgen betekent bijvoorbeeld dat een klant de mogelijkheid moet hebben om aan te geven dat hij geen persoonlijk geadresseerde post wil ontvangen.
Uit een klantenbestand worden vaak groepen klanten geselecteerd voor een bepaalde mailing. Het selectiecriterium bepaalt welke gegevens gebruikt en bewaard mogen worden. Voor het verzenden van de mailing zijn alleen die gegevens nodig die gebruikt worden als selectiecriterium; de overige gegevens mogen voor dit doel niet worden bewaard. Zo mogen historsche en/of aankoopgegevens niet worden bewaard voor het versturen van een algemene mailing aan groepen van klanten die op grond van geografisch criteria (bijvoorbeeld postcodegebieden) zijn geselecteerd.
Bij de afweging van belangen tussen aanbieder en klant om te bepalen of de verwerking van klantgegevens voor dit doel rechtmatig is, zijn de selectiecriteria zeer belangrijk. De betrokkenen moeten tenminste in algemene termen op de hoogte zijn gesteld van de voorgenomen verwerking en de gelegenheid hebben gehad om hiertegen bezwaar te maken. Als de aanbieder hieraan heeft voldaan, is de hier bedoelde verwerking noodzakelijk voor de behartiging van het gerechtvaardigde belang van de aanbieder. Bovendien zal, ook in dit geval, de verwerking niet snel onverenigbaar zijn met het doel waarvoor de gebruikte gegevens zijn verzameld. Naarmate de (combinaties van) selectiecriteria toenemen en/of gebaseerd worden op meer gedetailleerde gegevens (bijvoorbeeld aankoopgegevens op productniveau), zal er steeds meer rekening gehouden moeten worden met de belangen van de klanten en zal de aanbieder zich meer moeite moeten getroosten om voldoende waarborgen te bieden voor een zorgvuldig gebruik van de klantgegevens. De aanbieder zal bij de belangenafweging bijvoorbeeld de vraag moeten beantwoorden in hoeverre deze verwerking evenredig is aan het beoogde doel en of deze wellicht ook langs andere weg (zonder verwerking van persoonsgegevens of met minder gegevens) kan worden gerealiseerd. Daarnaast is het nog maar de vraag of de verwerkingen niet onverenigbaar zijn met het doel waarvoor ze zijn verzameld. Om dat te voorkomen, zal de aanbieder in ieder geval moeten voorzien in passende waarborgen ter bescherming van de persoonlijke levenssfeer. Ook moeten de klanten de verwerkingen redelijkerwijs kunnen verwachten. Daarnaast moet de klant volledig op de hoogte zijn 37
gebracht van de noodzakelijke gegevensverwerkingen en de mogelijkheid hebben gekregen om bezwaar te maken tegen bepaalde verwerkingsstadia. Het is denkbaar dat een creditcardmaatschappij gebruik wil maken van de aankoopgegevens van haar kaarthouders om deze persoonlijk geadresseerde mailings toe te zenden die aansluiten op hun (kennelijke) voorkeuren en/of interessen. Als de maatschappij hiervoor de aankoopgegevens op het niveau van transactietotalen analyseert (totaalbedrag per week bij een bepaalde aanbieder), moet de klant van deze verwerking en de achterliggende doelstelling op de hoogte zijn gesteld. Tevens moet hij kunnen aangeven geen prijs te stellen op de ontvangst van persoonlijk geadresseerde post. Daarnaast moet hem expliciet de mogelijkheid worden geboden om aan te geven dat zijn aankoopgegevens niet voor analyse voor dit doel mogen worden gebruikt. Indien hij hiervan gebruik maakt, is er geen rechtmatige grondslag voor het bewaren van de aankoopgegevens van die klant voor het beoogde (DM-)doel en dient de creditmaatschappij deze gegevens (behoudens wettelijke verplichtingen) te vernietigen nadat de doelstelling waarvoor de gegevens zijn verzameld (efficiënt betalingsverkeer), is gerealiseerd. Wanneer een rechtmatige grondslag aanwezig is, moet vervolgens voldaan worden aan de verenigbaarheidseis. Hierbij zal in eerste instantie van belang zijn of de creditcardmaatschappij haar klanten zelf mailt of dat zij daartoe bepaalde klantgegevens ter beschikking stelt aan derden. In dat laatste geval zal al spoedig sprake zijn van een onverenigbaar gebruik van de verzamelde gegevens. In beide gevallen spelen de verwantschap van de mailings met de onderliggende relatie (kan de klant een dergelijke mailing verwachten) alsmede de aard en de gedetailleerdheid van de verwerkte gegevens een grote rol. In het algemeen geldt hierbij dat naarmate er meer gedetailleerde gegevens gebruikt worden, er eerder sprake zal zijn van een onverenigbaar gebruik gelet op de doelstelling waarvoor de gegevens zijn verzameld.
4.6 Loyaltyprogramma Een loyaltyprogramma is een programma dat erop gericht is om klantentrouw te bevorderen. De aanbieder van zo’n programma analyseert aankoopgegevens (al dan niet op productniveau) van de deelnemers om deze vervolgens persoonlijke aanbiedingen te doen toekomen. Iedere deelnemer ontvangt zo ‘aanbiedingen op maat’ die op zijn aankoopgedrag zijn afgestemd. Gelet op de belangen van de betrokken bedrijven kan een dergelijke aanpak gerechtvaardigd zijn. De rechtmatigheid van het verwerken van persoonsgegevens in het kader van een loyaltyprogramma, wordt -mede- bepaald door de wijze waarop het doel (klantentrouw) wordt gerealiseerd. Bij een aantal van deze programma’s is het mogelijk om ook anoniem -dus zonder het invullen van persoonlijke gegevens- deel te nemen. Daarnaast zijn er loyaltyprogramma’s waarbij met het tonen van een klantenkaart direct een bepaalde korting op een producten kan worden verkregen (kortingskaarten). Er zijn ook programma’s waarbij de klant door het gebruik van zijn klantenkaart punten kan sparen (spaarkaarten). Met deze gespaarde punten kan hij 38
producten of diensten (gratis of met korting) aanschaffen. Een combinatie van beide kaarten is ook mogelijk. Er zijn ook klantenkaarten waarmee (tevens) betaald kan worden. Het onderstaande plaatje laat zien welke loyaltyprogramma’s gebruik maken van een kortingskaart, een spaarkaart of een combinatie daarvan.
Loyaltyprogramma
Anoniem mogelijk
AH Bonus kaart Air Miles Bijenkorf EDAH Esso Freebees Gamma Klus Kaart Klant is Koning Kaart Konmar Kuwait (Q8) LOKO Rocks Total V&D Winkelpas
X * * X * X X X X *
Korting
Sparen X X X X X X
Betalen X X X X X X X X X X X X X
X X
* Uit het bij de Registratiekamer bekende informatiemateriaal zoals brochures en aanvraagformulieren van de EDAH-card, de Golden Tiger-card van Esso, de Gamma KlusCard en de Total Clubcard blijkt niet dat de kaart ook anoniem verkregen kan worden.
De gegevens van een deelnemer aan een loyaltyprogramma worden vaak geanalyseerd om hem persoonlijk te kunnen benaderen met aanbiedingen die aansluiten op zijn (kennelijke) interessen, voorkeuren en/of gedrag. aanmeldingsverplichting ex artikel 24 WPR
De belangrijkste doelstelling van een loyaltyprogramma is het gebruik van de (persoonlijke) gegevens van de kaarthouder voor direct marketing (DM) doeleinden. Deze doelstelling staat vrijwel nooit voorop in de presentatie van het programma aan de consumenten (bijvoorbeeld in de brochures). In de praktijk is de vermelding van zo’n doelstelling te vinden in het inschrijfformulier dat de klant moet invullen, vervat in de -al dan niet bijgevoegde- Algemene Voorwaarden of in informatiemateriaal over de werking van het programma (bijvoorbeeld brochures). In de meeste gevallen is de ‘DMdoelstelling’ ook vermeld in het aanmeldingsformulier persoonsregistratie. Hoe gedetailleerd zijn de vastgelegde gegevens? De aard van de vastgelegde persoonsgegevens verschilt nogal eens per loyaltyprogramma. Zo worden er bij sommige programma’s –naast de gegevens op het inschrijfformuliergeen aankoopgegevens geregistreerd. Gebeurt dat wel, dan is er 39
weer een onderscheid te maken in de gedetailleerdheid van deze aankoopgegevens: transactietotaal per periode, op afdelingsniveau of zelfs op productniveau. In het onderstaande schema wordt weergegeven in hoeverre de diverse loyaltyprogramma’s volgens het aan de Registratiekamer toegezonden aanmeldingsformulier persoonsregistratie gebruik maken van de vastgelegde persoonsgegevens. Loyaltyprogramma AH Bonus kaart Air Miles Bijenkorf EDAH Esso Freebees Gamma Klus Kaart Klant is Koning Kaart Konmar Kuwait (Q8) LOKO Rocks Total V&D Winkelpas
Aankoopgegevens Ja Ja Ja Ja Ja Ja Nee Ja Ja Nee Ja Ja Nee Ja
Niveau Product Afdeling Afdeling Product Afdeling Transactietotaal Product Product Product Product Product
40
Omschrijving van het doel De aanbieder zal moeten vermelden waarvoor hij de vastgelegde gegevens gebruikt (bijvoorbeeld analyseren om persoonlijke aanbiedingen te kunnen doen). De aanbieder moet deze informatie duidelijk op het inschrijfformulier of daarbij gevoegde folders aan de potentiële deelnemer vermelden (zg. eerste-lijn informatie). Het verwijzen naar niet bijgevoegde Algemene Voorwaarden is niet voldoende. Uit de verstrekte informatie moet de betrokkene een duidelijk beeld krijgen van de bedoeling van de verantwoordelijke.
Ook de omschrijving van de doelstelling van de DMactiviteiten verschilt per programma. Zo vermelden aanbieders in een aantal gevallen slechts dat de vastgelegde gegevens gebruikt worden voor ‘DM-doeleinden’. In andere gevallen vermelden aanbieders wat hieronder moet worden verstaan, zoals bijvoorbeeld het per post benaderen van de kaarthouders. Transparantie van de verwerkingen van persoonsgegevens moet voor een deelnemer aan een loyaltyprogramma ingevolge de WBP voorop staan. Daarom moet de aanbieder het doel van de verwerkingen uitdrukkelijk omschrijven en vooraf aan de betrokkene kenbaar maken. Dit betekent onder meer dat de doelstelling voldoende specifiek moet zijn. Een in algemene termen vervatte doelstelling als ‘het gebruik van gegevens voor DM-doeleinden’ schiet dan ook tekort. Zo’n omschrijving zegt immers niet welke gegevensverwerkingen er kunnen plaatsvinden. Een voorbeeld van het voldoende wijze informeren van een aanvrager, is het aanvraagformulier van de Rocks Chipcard. Dit aanvraagformulier bestaat uit drie gedeelten: In de eerste plaats geeft het algemene informatie over het gebruik van de kaart en de wijze van sparen. Ten tweede bevat het formulier een gedeelte waarop de aanvrager verzocht wordt om een aantal gegevens in te vullen voor aanvraag van de kaart. Tenslotte geeft het formulier onder de titel ‘Privacy voorwaarden’ nadere informatie over de vrijheid tot het invullen van persoonlijke gegevens en het verdere gebruik daarvan. Het formulier is zo samengesteld dat het gedeelte met de privacyvoorwaarden eenvoudig kan worden losgescheurd van het gedeelte dat de klant moet invullen voor het aanvragen van de kaart. Zo heeft de klant altijd de beschikking over de privacyvoorwaarden en kan hij zien wat er met zijn persoonlijke gegevens gebeurt.
4.6.1 De noodzaak tot het vastleggen van persoonsgegevens
toonpas
spaarkaart
Persoonsgegevens mogen voor een loyaltyprogramma alleen maar verzameld en vastgelegd worden, als het beoogde doel ook daadwerkelijk gerealiseerd wordt. Een aantal voorbeelden: 1 Als een klantenkaart slechts gebruikt wordt als toonpas waarmee de klantenkaarthouder korting krijgt op de aanschaf van bepaalde producten, is het verzamelen en vastleggen van persoonlijke gegevens van de kaarthouder niet noodzakelijk. 2 Als met de kaart spaarpunten kunnen worden verzameld, is het vastleggen van persoonsgegevens evenmin noodzakelijk; immers, het spaarsaldo kan bijgehouden worden aan de hand van een (anoniem) kaartnummer. Het is denkbaar dat er toch persoonlijke gegevens nodig zijn om bijvoorbeeld het spaarsaldo aan de kaartaanvrager te kunnen mededelen. Of die gegevens nodig zijn hangt echter af van de wijze waarop de kaarthouders worden geïnformeerd over hun saldo (per post of
41
betaalkaart
bijvoorbeeld infozuil). In ieder geval moet het in deze variant uitdrukkelijk mogelijk zijn om anoniem deel te kunnen nemen. 3 Als de kaart een betaalfunctie heeft waarmee ‘op rekening’ kan worden gekocht, is het voor de correcte afwikkeling van de betaling noodzakelijk dat persoonlijke gegevens van de kaarthouder worden vastgelegd.
Het bewaren en gebruiken van deze gegevens voor andere gespecificeerde doelstellingen is uiteraard wel mogelijk (zie verder 4.6.2).
Als de aanbieder van een kaart geen aanbiedingen of informatie (zoals het spaarsaldo) per post stuurt, is er geen enkele reden om de (NAW) gegevens van deze kaarthouders voor dit doel vast te leggen. Ook het vastleggen en bewaren van een telefoonnummergegeven is zonder de ondubbelzinnige toestemming van de betrokkene niet toegestaan, indien deze toch niet telefonisch benaderd zal gaan worden. Het komt voor dat kaarthouders persoonlijke aanbiedingen en/of algemene informatie zoals het spaarsaldo kunnen ontvangen door hun kaart in een daartoe bestemde informatiezuil te steken (de EDAH-card bijvoorbeeld biedt die mogelijkheid). Het vastleggen van persoonsgegevens is dan uiteraard niet noodzakelijk; immers, de klant kan worden ‘geïdentificeerd’ aan de hand van het anonieme kaartnummer. Vanuit privacy-oogpunt is dit de meest ideale vorm van een loyaltyprogramma, zonder dat de functionaliteit hiervan in het geding komt. De uitgever van de klantenkaart kan aan de hand van de unieke kaartnummers de aankopen van de pashouders registreren en analyseren om deze pashouders een bepaalde ‘persoonlijke’ aanbieding te doen toekomen. Daar komt bij dat het initiatief geheel van de kaarthouder komt; als hij een aanbieding wenst te ontvangen, dient hij zelf zijn kaart in de informatiezuil te steken.Als het verzenden van persoonlijk geadresseerde mailings één van de doelstellingen van een loyaltyprogramma is, dienen de gegevens die hiervoor nodig zijn, uiteraard wel te worden vastgelegd.
4.6.2 Rechtmatige verwerking van persoonsgegevens
Bij de aanvraag van een klantenkaart wordt in bijna altijd aan de potentiële kaarthouders gevraagd om een aantal gegevens op het aanvraagformulier in te vullen. Dit zijn niet alleen de NAWgegevens maar ook telefoon- en bankrekeningnummer en gegevens over onder meer gezinssamenstelling, vakanties, inkomen, en opleiding.
Het verzamelen en vastleggen van gegevens voor een klantenkaartsysteem gebeurt vaak door middel van een ingevuld inschrijfformulier, door het gebruik van de kaart door de kaarthouder en door de besteding van de door de kaarthouder gespaarde punten. Er is al aangegeven dat het op zich niet noodzakelijk is dat persoonsgegevens, zoals NAW-gegevens, worden vastgelegd voor een spaarsysteem. Zulke gegevens zijn echter wel nodig als een andere doelstelling dan het bijhouden van de gespaarde punten, gerealiseerd moet worden. Denk hierbij aan het per post toezenden van spaarsaldi, persoonlijke aanbiedingen of andere informatie. Het is van belang om goed te bezien welke soorten gegevens er echt nodig zijn om het doel te bereiken. Als kaarthouders per post mededelingen ontvangen is het 42
logisch dat NAW-gegevens worden vastgelegd. Overige gegevens zijn dan niet noodzakelijk. Als er wel aanvullende gegevens worden gevraagd, moet de doelstelling daarvan voor de aspirant kaarthouder duidelijk zijn. Daarnaast moet er een toereikende grondslag voor verdere gegevensverwerking aanwezig zijn, wil deze geoorloofd zijn. Tenslotte mag de verdere gegevensverwerking niet onverenigbaar zijn met het doel waarvoor de gegevens in eerste instantie zijn verzameld. aankoopgegevens spaar-/redemptiegedrag
zie 4.6.1
rechtmatige grondslag, zie 3.4
Naast gegevens op het aanvraagformulier, geeft de kaarthouder ook informatie prijs door het gebruik van zijn kaart en de wijze waarop eventueel gespaarde punten worden ‘verzilverd’ Ook bij de verzameling van deze gegevens geldt dat de doelstelling hiervan duidelijk dient te zijn, dat er een rechtmatige grondslag aanwezig moet zijn en dat het verdere gebruik niet onverenigbaar mag zijn met het oorspronkelijke doel. De doelstelling(en) van het verzamelen van dergelijke gegevens en de communicatie naar de klant, zijn al aan de orde geweest . Als de gegevens worden verzameld voor nader gespecificeerde en duidelijk omschreven direct marketing doeleinden, zal een verder gebruik van die gegevens in dit verband niet onverenigbaar zijn met die doelstellingen. Om de geoorloofdheid van de verwerkingen te kunnen beoordelen is dan met name de rechtmatige grondslag van belang. Zoals eerder aangegeven kunnen dat de toestemming van de betrokkene, de uitvoering van een overeenkomst met de betrokkene of het gerechtvaardigde belang van de verantwoordelijke kaartuitgever zijn. Wanneer is er sprake van toestemming?
Bij het geven van toestemming moet de betrokkene geheel vrij zijn om een inschrijfformulier al dan niet (volledig) in te vullen.
Met het invullen van een formulier kan een potentiële kaarthouder ondubbelzinnige toestemming geven tot bepaalde verwerkingen van zijn gegevens zoals het vastleggen en bewaren daarvan. Hij geeft echter slechts toestemming tot het vastleggen van zijn op dit formulier ingevulde gegevens. In hoeverre hij ook toestemming verleent voor andere specifieke gegevensverwerkingen (zoals analyse, selectie, toezending aanbiedingen) hangt voor een belangrijk deel af van de informatie die de aanbieder over het beoogde doel heeft verschaft. Voorzover deze informatie niet op het inschrijfformulier zelf is vermeld, moet de aspirant kaarthouder hiervan op een andere manier direct kennis kunnen nemen, bijvoorbeeld via een brochure die hij (vooraf) heeft ontvangen. Het verwijzen naar een brochure (of naar
43
Algemene voorwaarden) die op aanvraag verkrijgbaar is, is niet voldoende. zie 3.6.
Bijzondere gegevens (zoals gegevens over nationaliteit of herkomst) mogen slechts in uitzonderlijke gevallen worden verzameld en verder verwerkt. In een commercieel loyaltyprogramma is dit alleen toegestaan, als de betrokkenen hiervoor uitdrukkelijke toestemming hebben verleend. Bovendien moet de aanbieder een goede reden hebben om dergelijke gegevens te vragen. Hiervan zal in de praktijk echter zelden sprake zijn5.
anonieme spaarkaart zie 4.6.1 Het niet of onvolledig invullen van een inschrijfformulier is dus mogelijk. Dit kan gevolgen hebben voor de wijze waarop de (aspirant) kaarthouder wordt benaderd of gebruik kan maken van de geboden faciliteiten. De niet-optimale dienstverlening door de aanbieder is dan evident en voor rekening van de kaartaanvrager. Alleen die gegevens van de kaartaanvrager die noodzakelijk zijn (bijvoorbeeld voor de vaststelling van het aantal gespaarde punten), mogen dan worden bewaard.
Om de kans op onverenigbaarheid van doelstellingen te verkleinen, kan de kaartuitgever ook zo’n tweede doelstelling al voor of tijdens de verzameling van die gegevens duidelijk maken en de klant keuzes bieden.
Als de (aspirant)kaarthouder met het inschrijfformulier toestemming verleent voor bepaalde gegevensverwerkingen voor een spaarprogramma, is de consequentie hiervan dat hij ook geheel vrij moet zijn om het inschrijfformulier geheel of gedeeltelijk in te vullen. Een anonieme kaart moet in deze vorm dan ook tot de mogelijkheden behoren. Met het invullen van een formulier verleent de (aspirant)kaarthouder slechts toestemming voor de verwerking van zijn gegevens voor zover hij dit hierop zelf heeft aangegeven. Als de betrokkene slechts een kaart kan krijgen als hij hiervoor een klein bedrag moet betalen, kan dat als een indicatie van de vrije wilsuiting van de betrokkene beschouwd worden. Het al of niet verlenen van toestemming voor een bepaalde gegevensverwerking kan ook consequenties hebben voor het vastleggen en bewaren van gegevens. Als een (aspirant) kaarthouder aangeeft geen speciale aanbiedingen te willen ontvangen, betekent dit dat hij geen toestemming verleent om zijn vastgelegde aankoopgegevens te gebruiken voor het samenstellen van speciale aanbiedingen. Als de aanbieder geen andere gerechtvaardigde reden heeft om de aankoopgegevens te bewaren, betekent dit dus dat hij de aankoopgegevens van de betreffende kaarthouder niet mag vastleggen dan wel zo spoedig mogelijk na de vastlegging moeten worden vernietigen. Gegevens over bijvoorbeeld spaar- en redemptieaanwending worden in eerste instantie vastgelegd en verwerkt om de kaarthouder zijn gespaarde punten te kunnen laten besteden. Deze verwerking kan gerechtvaardigd zijn omdat de kaarthouder hiervoor toestemming heeft gegeven. De genoemde gegevens kunnen natuurlijk ook interessant zijn voor analyse- en of marketingdoeleinden. Deze (sub)doelstelling mag niet onverenigbaar zijn met de eigenlijke doelstelling waarvoor de gegevens zijn verzameld. Is er sprake van uitvoering van een overeenkomst? Een overeenkomst kan een grondslag zijn voor het rechtmatig verzamelen en analyseren van gegevens en het mailen van 44
overeenkomst
Een combinatie van grondslagen, zoals een overeenkomst plus de toestemming tot het vastleggen en/of analyseren van persoonsgegevens, kan een toereikende basis zijn voor diverse gegevensverwerkingen die plaatsvinden bij het gebruik van klantenkaarten.
belangenafweging
klantenkaartaanvragers. Van een overeenkomst kan sprake zijn bij een loyaltyprogramma waarbij de klant een (klein) bedrag moet betalen voor de klantenkaart en het aanvraagformulier als een overeenkomst wordt gepresenteerd. Er ontstaat dan een overeenkomst waarbij de klant zijn persoonlijke- en aankoopgegevens ter beschikking stelt aan de winkelier, die daar als tegenprestatie korting of waardepunten voor geeft. Een aantal gegevensverwerkingen zullen noodzakelijkerwijs voortvloeien uit de overeenkomst, zoals het verzamelen en het gebruik van de gegevens om het spaarsaldo bij te houden. Andere verwerkingen die plaatsvinden zoals analyse van de gegevens ten behoeve van bedrijfsvoering en/of marketing, vloeien niet noodzakelijkerwijs voort uit de overeenkomst. Hiervoor is dan een andere grondslag nodig waarbij ook nog gekeken moet worden of verwerkingen wel verenigbaar zijn met het oorspronkelijke doel. De inhoud en reikwijdte van een overeenkomst bepaalt dus welke gegevensverwerking noodzakelijk is. Gerechtvaardigd belang Als een kaarthouder geen toestemming heeft gegeven voor gegevensverwerkingen en deze evenmin noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, moet er een andere grond voor de rechtmatigheid van de verwerking worden gevonden. Als de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke (veelal de kaartuitgever) en het privacybelang van de betrokkene dit belang niet in de weg staat, kan de gegevensverwerking wel rechtmatig zijn. Bij loyaltyprogramma’s zal bijvoorbeeld het analyseren van spaar- en/of redemptiegegevens niet altijd geschieden met toestemming van de kaarthouder en evenmin noodzakelijk zijn ter uitvoering van een overeenkomst. Om te bepalen of deze verwerking dan noodzakelijk is voor het gerechtvaardigde (bedrijfs)belang van de verantwoordelijke/kaartuitgever, moet er dus een belangenafweging plaatsvinden tussen dit belang en het belang van de kaarthouder. Bij de belangenafweging moet de doelstelling van het spaarprogramma worden betrokken. Als de gegevens alleen gebruikt worden voor de verbetering van de eigen bedrijfsvoering (op zich uiteraard een gerechtvaardigd belang), is het verzamelen en vastleggen van persoonsgegevens niet noodzakelijk. Deze doelstelling kan namelijk ook met geaggregeerde gegevens of zelfs met anonieme kaarten gerealiseerd worden. De eigen bedrijfsvoering alleen zal daarom meestal onvoldoende grond zijn om tot personen herleidbare gegevens te verwerken. Zodra echter ook
45
Naarmate de kaarthouder door deelname aan het programma meer voordeel en/of betere service krijgt, zal diens belang de beoogde verwerkingen niet in de weg staan. zie ook 3.3
het doen van aanbiedingen in beeld komt, wordt de situatie weer anders. Afhankelijk van de wijze waarop de aanbiedingen worden gedaan, kunnen daarvoor wel persoonsgegevens benodigd zijn. Het benaderen van de klant dient in ieder geval het belang van het bedrijf en de bedrijfsvoering maar ook de klant kan door deelname aan het loyaltyprogramma bepaalde voordelen krijgen. Uiteraard moet de kaarthouder wel duidelijk geïnformeerd worden, moet de motivering voor het verwerken deugdelijk zijn en moet de mogelijkheid van verzet (optingout) bekend zijn. Ook de formulering van de doelstelling zal voldoende duidelijk moeten zijn. Een in de praktijk nogal eens voorkomende doelomschrijving als ‘een verantwoorde uitoefening van de commerciële en administratieve bedrijfsprocessen’, schiet dan ook tekort.
4.6.3 Informatieverstrekking Duidelijke informatie aan (potentiële) kaarthouders is essentieel voor de rechtmatigheid van gegevensverwerking voor een loyaltyprogramma. De verantwoordelijke moet de (potentiële) deelnemer in principe steeds informeren over zijn identiteit en het doel van de gegevensverwerking. In veel gevallen zal de aanbieder ook aanvullende informatie moeten verstrekken om de betrokkene een goed beeld te geven van de werking van het programma en de verwerking van zijn gegevens.
informatieplicht; zie 3.8
In een loyaltysysteem met klantenkaarten worden gegevens verwerkt die de betrokkene zelf heeft verstrekt, bijvoorbeeld via inschrijfformulieren en het gebruik van de kaart. Soms worden ook gegevens gebruikt uit andere bronnen dan de kaarthouder. Voor de informatieplicht maakt het uit hoe de verantwoordelijke de gegevens heeft verkregen. Of de gegevens nu van de kaarthouder komen of niet, in beide gevallen moet de kaartuitgever de kaarthouder informeren over zijn identiteit en de doeleinden van de verwerking (tenzij de betrokkene daarvan al op de hoogte is). Verder moet de verantwoordelijke in beide gevallen aan de betrokkene nadere informatie verstrekken voor zover dat nodig is voor een behoorlijke en zorgvuldige verwerking van persoonsgegevens. Het moment van informatieverstrekking Het moment waarop de betrokkene moet worden geïnformeerd hangt samen met de manier waarop de kaartuitgever de gegevens verkrijgt. Is de betrokkene zelf de gegevensbron, dan moet hij worden geïnformeerd vóór de kaartuitgever de gegevens verkrijgt.
zie het voorbeeld van de Rocks kaart in 4.6
Bij een loyaltyprogramma kan de kaartuitgever informatie verstrekken op of bij het inschrijfformulier dat de aspirant kaarthouder moet invullen. De kaartuitgever kan de informatie op het inschrijfformulier zelf vermelden, of via een aparte brochure. Een goed voorbeeld in de praktijk is een inschrijfformulier met een aparte informatiepagina die van het formulier kan worden gescheurd.
46
Bij een loyaltyprogramma zal zich deze uitzondering niet snel voordoen; zie ook 3.8.
Als de kaartuitgever de gegevens uit andere bron verkrijgt dan van de betrokkene zelf, dan moet de betrokkene worden geïnformeerd op het moment van vastlegging van diens persoonsgegevens of -wanneer de gegevens bestemd zijn om aan een derde te worden verstrekt- uiterlijk op het moment van de eerste verstrekking. In deze gevallen bestaat nog een bijzondere uitzondering op de informatieplicht. Die uitzondering doet zich voor wanneer het informeren van de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. Dit zou aan de orde kunnen zijn wanneer de adressen van betrokkenen niet bekend zijn of niet meer zijn te achterhalen. De verantwoordelijke heeft dan wel de plicht om de herkomst van de gegevens vast te leggen. De informatieverstrekking Als bij klantenkaartsystemen ‘niet-persoonlijke’ gegevens worden gebruikt, hoeft de kaarthouder slechts in enkele gevallen te worden geïnformeerd. Bij ‘onpersoonlijke’ gegevensverwerkingen gaat het bijvoorbeeld om het analyseren en genereren van socio-demografische gegevens en het samenstellen van profielen van kaarthouders. Deze verrijkte en geaggregeerde- gegevens (bijvoorbeeld postcodeprofielen) zullen niet direct persoonsgegevens opleveren. Zodra deze profielen worden toegevoegd aan de bestaande database, is er wél sprake van persoonsgegevens. Immers, de profielen worden dan toegekend aan de in de database opgenomen personen6. Als er sprake is van nieuwe (toegevoegde) gegevens of analyse van bestaande gegevens, moet de aspirant kaarthouder daarover worden geïnformeerd. Bijvoorbeeld zo: ‘Wij maken u erop attent dat de door u verstrekte gegevens, de gegevens die door ons worden verkregen als u van de kaart gebruik maakt, en de gegevens die bij verdere verwerking worden gebruikt, opgenomen zijn in onze [Naam database] die overeenkomstig de Wet bescherming persoonsgegevens is aangemeld bij de Registratiekamer te Den Haag. Een afschrift van dat aanmeldingsformulier kunt u aanvragen bij [Naam en adres en eventueel telefoonnummer van verantwoordelijke] en kunt u inzien bij alle winkels van [Naam] of via de infozuilen in de winkels. De gegevens die zijn opgenomen in de [Naam database] worden gebruikt in het kader van het spaarsysteem van [Naam]. Daarnaast worden deze gegevens – al dan niet na analyse - gebruikt, door [Naam] om u vrijblijvende informatie toe te kunnen sturen over producten, diensten en speciale acties van [Naam]. Indien u daar bezwaar tegen hebt, kruis dan dit hokje aan. Meer informatie over het verwerken van uw persoonsgegevens en uw rechten vindt u in
47
de folder [Naam folder] en in de informatiezuilen in de winkels. Op deze actie zijn de Algemene Voorwaarden van [Naam] van toepassing’. Het is aan te raden om in de gevallen dat er in het geheel geen verstrekking van gegevens aan derden plaatsvindt, dit uitdrukkelijk te vermelden. Dit biedt de kaarthouder extra zekerheid over een zorgvuldige gegevensverwerking waardoor zijn vertrouwen in het systeem kan toenemen. zie 3.9 Het recht van verzet geldt alleen voor het ontvangen van persoonlijke aanbiedingen/informatie én tegen de gegevensverwerkingen die hieraan vooraf gaan. In het laatste geval mogen de persoonsgegevens ook niet meer gebruikt worden om bijvoorbeeld analyses te maken artikel 41 WBP
Als de gegevens die voor het spaarsysteem worden vastgelegd, verstrekt worden aan derden omdat deze de kaarthouders bijvoorbeeld zelf willen benaderen, moet de kaarthouder daarvan op de hoogte zijn gesteld. Bovendien moet hij de gelegenheid hebben gehad om bezwaar te maken tegen de verstrekking. 4.6.4 Recht van verzet door een kaarthouder De verantwoordelijke kaartuitgever moet de kaarthouders vrijelijk en zonder beperking de mogelijkheden bieden om hun rechten uit te oefenen. Deelnemers aan een loyaltyprogramma die -mede op basis van het gebruik van de klantenkaart- persoonlijk worden benaderd met bijvoorbeeld mailings, hebben het absolute recht van verzet tegen het gebruik van gegevens voor DM-doeleinden. De vraag is hoever dit verzet zich uitstrekt. Het recht van verzet geldt voor alle huidige vormen van ‘database marketing’. Dat is dus niet alleen het eindstadium - zoals de direct mailing of het gebruik van adresbestanden door derden - maar ook het maken van profielen en indelingen door gegevens uit verschillende bestanden te koppelen. Immers, het benaderen van kaarthouders met persoonlijke aanbiedingen is slechts mogelijk als deze ‘voorfase’ heeft plaatsgevonden. De verwerkingen van gegevens in deze voorfase staat dan ook ‘in verband met’ de totstandbrenging (of instandhouding) van de directe relatie tussen aanbieder en betrokkene). Gelet op de commerciële doelstellingen van de meeste loyaltyprogramma’s, geldt het recht van verzet ook voor de gegevensverwerkingen die in de hier bedoelde voorfase plaatsvinden. Wanneer een kaarthouder dit verzet inroept, betekent dit feitelijk dat zijn gegevens enkel en alleen nog gebruikt mogen worden voor het spaarsysteem.
Noten 1
Deze termijn van twee jaar wordt gehanteerd in artikel 10 van het op de WPR gebaseerde Besluit Genormeerde Vrijstelling (Stb. 1990, 16; (BGV) 2 Zeeuw, J. de (1998). Informatiegaring door de fiscus. Privacybescherming bij derdenonderzoek. A&V-8. Den Haag: Registratiekamer 3 TK 1998-1999, 25 892, nr 3, pag 82 4 Standpunt Registratiekamer 9 oktober 1997, nr 97.V.709.01 alsmede artikel 12.1 PGB 5 Standpunt Registratiekamer 23 november 1998, nr 98\0240 (Edah/moedertaal)
48
6
Borking, J.J. e.a. (1998). Gouden bergen van gegevens. Over datawarehousing, datamining en privacy. A&V-10. Den Haag: Registratiekamer
49
5
Samenvatting
Bedrijven leggen steeds vaker verzamelde klantgegevens vast. Hierdoor kunnen deze bedrijven nauwkeurig in kaart brengen wie hun (potentiële) klanten zijn en daarop hun verkoopen/of reclamestrategie afstemmen. Zo is het mogelijk om bepaalde groepen van klanten -of zelfs individuele klantenpersoonlijk te benaderen met aanbiedingen die op hun gedrag, voorkeur en/of levenssituatie zijn afgestemd. Dit kan op allerlei manieren: per post, per telefoon, via e-mail of door middel van een informatiezuil in een winkel. Met deze vorm van direct marketing kunnen enerzijds de kosten voor reclame-uitingen gereduceerd worden (immers, slechts een beperkte groep van personen ontvangt een aanbieding) terwijl aan de andere kant de kans op een hogere respons op een aanbieding wordt vergroot (alleen die personen die waarschijnlijk geïnteresseerd zijn ontvangen een aanbieding).
artikel 10 GW WBP
doel rechtmatige grondslag niet onverenigbaar
bijzondere gegevens recht van verzet direct marketing activiteiten transparantie rechten betrokkene
Het is tegenwoordig technisch mogelijk om grote aantallen gegevens in databases vast te leggen, terwijl het relatief eenvoudig is om deze gegevens via analyse te herleiden tot waardevolle (tot personen herleidbare) informatie. Daardoor wordt op steeds grotere schaal gebruik gemaakt van deze mogelijkheden. Bij het verzamelen en verder gebruik van deze gegevens moet de verantwoordelijke gegevensverwerker rekening houden met het in de Grondwet verankerde recht op eerbiediging van de persoonlijke levenssfeer. Dit grondrecht is verder uitgewerkt in de Wet Bescherming Persoonsgegevens. In deze wet zijn regels opgenomen voor een eerlijke en rechtmatige verwerking van persoonsgegevens. In het kort komen die regels neer op het volgende: 1 De persoonsgegevens moeten verzameld zijn voor welbepaalde uitdrukkelijk omschreven en gerechtvaardigde doeleinden; 2 De verwerking moet een rechtmatige grondslag hebben; 3 Bovendien mag de verwerking niet onverenigbaar zijn met het doel waarvoor de persoonsgegevens zijn verzameld. Een verwerking van zogenaamde gevoelige of bijzondere gegevens is verboden tenzij de wet dit uitdrukkelijk toestaat. Betrokkenen moeten tevens op de hoogte zijn gesteld van de geplande gegevensverwerking(en) en hebben het recht bezwaar te maken tegen een bepaalde verwerking (recht van verzet). Wanneer het gaat om direct- marketing activiteiten moet altijd aan dit verzet gehoor worden gegeven. Betrokkenen moeten op de hoogte zijn van de geplande gegevensverwerking(en) en moeten de hem toekomende rechten gerespecteerd worden.
50
garantiebewijs voordeelbon
toestemming
bestelregistratie persoonlijk benaderen
duurzame relaties
overeenkomst
gerechtvaardigd belang belangenafweging niet onverenigbaar
De meest privacy-vriendelijke manier van zaken doen is de directe transactie tussen aanbieder en klant waarbij contant wordt betaald. Hierbij worden immers doorgaans geen persoonlijke gegevens van de klant verzameld en vastgelegd. Anders kan het al worden wanneer de klant door het invullen van een bon garantie op een gekocht product kan verkrijgen of juist korting op de aanschafprijs kan verkrijgen (voordeelbon). Omdat de garantie of de korting niet persoonsgebonden maar productgebonden is, is het in die gevallen vaak niet noodzakelijk om persoonsgegevens van de klant te verwerken. Een winkelier die toch vraagt om persoonlijke gegevens, wil doorgaans een klantenbestand opbouwen (meestal voor bepaalde marketingdoeleinden). Dat is pas mogelijk als de klant toestemming heeft gegeven voor het vastleggen en het verdere gebruik van die gegevens. Deze toestemming is overigens wel aan bepaalde eisen gebonden. Vastlegging van persoonsgegevens is logisch als een klant goederen bestelt die thuis bezorgd worden; immers zonder naam- en adresgegevens kan er niet worden geleverd. Deze gegevens mogen worden bewaard en gebruikt om de klanten in de toekomst persoonlijk te benaderen met aanbiedingen of informatie die aansluiten bij de bedrijfsvoering van de aanbieder. Deze moet echter wel aandacht besteden aan het onderhoud van de gegevens en moet de bewaartermijn daarvan in acht nemen. Ook moet hij zijn de klanten op de hoogte houden van het gegevensgebruik zodat zij hiertegen bezwaar kunnen maken. Ook bij de meer duurzame relaties tussen klant en aanbieder (bijvoorbeeld bank, verzekeringsmaatschappij, telecomaanbieder) moeten persoonsgegevens worden vastgelegd om de gewenste producten en/of diensten te kunnen aanbieden. In de meeste gevallen ligt hieraan een overeenkomst tussen de aanbieder en de klant ten grondslag. Deze overeenkomsten brengen echter niet met zich mee dat de vastgelegde gegevens zonder meer gebruikt mogen worden om de klanten persoonlijk te benaderen. Dit kan wél geoorloofd zijn als de aanbieder een gerechtvaardigd belang heeft om zijn klanten min of meer regelmatig te informeren, ook over aanverwante producten of diensten. De aanbieder moet de belangen van de klant wel wegen tegen de zijne. Bovendien mag het gebruik van de gegevens niet onverenigbaar zijn met het doel waarvoor ze zijn verzameld. Bij de beoordeling daarvan spelen onder meer de inhoud van de informatie, de selectiecriteria voor toezending van de informatie en de soorten van gegevens die hiervoor zijn gebruikt, een rol. Ook hierbij geldt dat de klanten op de
51
op de hoogte zijn
loyalty- of spaarprogramma
doelstellingen noodzakelijk
anonieme kaarten informatiezuilen
combinatie van overeenkomst en ondubbelzinnige toestemming
gerechtvaardigd bedrijfsbelang doelstelling
geaggregeerde gegevens
hoogte moeten zijn van dit gebruik van hun gegevens zodat zij eventueel bezwaar kunnen maken. Een marketingvorm waarbij op grote schaal klantgegevens worden verzameld en vastgelegd, is het loyalty- of spaarprogramma. Voor dit programma worden veelal door het gebruik van een klantenkaart gedetailleerde (aankoop)gegevens van de kaarthouders vastgelegd. Het hangt af van de doelstellingen van het loyaltyprogramma of het vastleggen van persoonlijke gegevens van de kaarthouders noodzakelijk en daarmee geoorloofd is. De persoonsgegevens mogen alleen worden vastgelegd, als deze ook daadwerkelijk worden gebruikt, bijvoorbeeld om de kaarthouders per post te informeren en/of aanbiedingen toe te zenden. Uit de opzet en de werking van de bestaande klantenkaartsystemen is gebleken dat de kaarthouder geen persoonlijke gegevens hoeft te verstrekken om deel te kunnen nemen aan het systeem (anonieme kaarten). Sommige spaarprogramma’s maken gebruik van zogenaamde informatiezuilen in winkels om de kaarthouders persoonlijke aanbiedingen te doen. Vanuit privacy-oogpunt is dat middel de meest ideale vorm: de klanthouder heeft slechts een ‘anoniem’ kaartnummer zonder nadere persoonlijke gegevens nodig. Een toereikende basis voor eerlijke en rechtmatige gegevensverwerkingen die in het kader van een loyaltyprogramma plaatsvinden, wordt gevormd door de volgende twee zaken. De combinatie van een overeenkomst tussen aanbieder en kaarthouder (ter vastlegging en gebruik van gegevens ter uitvoering van het spaarprogramma) en de ondubbelzinnige toestemming van de kaarthouder (voor analyse van de gegevens en het gebruik van de resultaten voor zowel de eigen bedrijfsvoering als de persoonlijke benadering van de kaarthouders). Welke gegevensverwerkingen noodzakelijk zijn voor het gerechtvaardigde (bedrijfs)belang van de kaartuitgever, hangt in de eerste plaats af van de doelstelling van het programma. Als de gegevens alleen gebruikt worden voor de verbetering van de eigen bedrijfsvoering, is het verzamelen en vastleggen van persoonsgegevens niet noodzakelijk; dit kan ook met geaggregeerde gegevens of zelfs met anonieme kaarten. Zodra echter ook het doen van aanbiedingen in beeld komt, wordt de situatie weer anders. Afhankelijk van de wijze waarop dit geschiedt, kunnen hiervoor wel persoonsgegevens benodigd zijn. Het benaderen van de klant dient in ieder geval het belang van het bedrijf en de bedrijfsvoering maar ook de klant kan door deelname aan het
52
voordeel en/of betere service voor de kaartaanvrager
opting-out doelomschrijving
relatie tussen de aanbieder van producten en diensten en de klant
terughoudende opstelling
zonder toestemming verenigbaar op de hoogte zijn rechten kunnen uitoefenen
loyaltyprogramma bepaalde voordelen krijgen. Naarmate de kaartaanvrager door deelname aan het programma meer voordeel en/of betere service kan verkrijgen, zal dit belang de beoogde verwerkingen minder in de weg staan. Uiteraard moet de kaartaanvrager wel duidelijk geïnformeerd worden, moet de motivering voor het verwerken deugdelijk zijn en moet de mogelijkheid van verzet (opting-out) bekend zijn. Ook de formulering van de doelstelling zal voldoende duidelijk moeten zijn. Een in de praktijk nogal eens voorkomende doelomschrijving als ‘een verantwoorde uitoefening van de commerciële en administratieve bedrijfsprocessen’, is niet voldoende. De relatie tussen de aanbieder van producten en diensten en de klant bepaalt wanneer en op welke wijze het verwerken van klantgegevens voor marketingdoeleinden is toegestaan. De aanbieder zal zich reeds bij de bouw van zijn klantenbestand moeten afvragen welke gegevens noodzakelijk zijn om het beoogde doel te kunnen realiseren. Hierbij is een terughoudende opstelling van de aanbieder vereist. Als de klantgegevens op een rechtmatige wijze in een klantenbestand zijn vastgelegd, kan de aanbieder hiervan in veel gevallen gebruik maken om de geregistreerde klanten persoonlijk te benaderen, ook zonder de toestemming van die klanten. Een dergelijk gebruik zal in het algemeen verenigbaar zijn met het doel waarvoor de gegevens zijn verzameld. Wel is vereist dat de klanten op de hoogte zijn van een het gebruik van hun gegevens zodat zij hun rechten kunnen uitoefenen.
53
In de serie Achtergrondstudies en Verkenningen zijn reeds verschenen:
Borking, J.J. e.a., (1998). Intelligent Software Agents and Privacy. A&V-13. Den Haag: Registratiekamer. f 50. Hooghiemstra, T.F.M. (1998). Privacy & Managed care. A&V-12. Den Haag: Registratiekamer. f 25. Hes, R. en Borking, J. (1998). Privacy-enhancing technologies: the path to anonimity. Revised edition. A&V-11. Den Haag: Registratiekamer. f 25. Borking, J., Artz, M. en Almelo, L. van. (1998). Gouden bergen van gegevens. Over datawarhousing, datamining en privacy, A&V-10. Den Haag: Registratiekamer. f 25. Zandee, C. (1998). Doelbewust volgen. Privacy-aspecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling, A&V-9. Den Haag: Registratiekamer. f 25. Zeeuw, J. de. (1998). Informatiegaring door de fiscus. Privacybescherming bij derdenonderzoeken, A&V-8. Den Haag: Registratiekamer. f 25. Hulsman, B.J.P. en Ippel, P.C. (1996). Gegeven: de Genen. Morele en juridische aspecten van het gebruik van genetische gegevens, A&V-7. Den Haag: Registratiekamer. (uitverkocht) Gardeniers, H.J.M. (1995). Chipcards en privacy. Regels voor een nieuw kaartspel, A&V-6. Den Haag, Registratiekamer. f 25. Rossum, H. van, e.a. (1995). Privacy-enhancing technologies: the path to anonymity, volume I and II. A&V-5. Den Haag: Registratiekamer. ƒ 50. Rommelse, A.F. (1995). Zwarte lijsten. Belangen en effecten van waarschuwingssystemen A&V-4. Rijswijk: Registratiekamer. ƒ 25. Rommelse, A.F. (1995). Ziekteverzuim en privacy. Controle door de werkgever en verplichtingen van de werknemer A&V-3. Rijswijk: Registratiekamer. ƒ 25. Casteren, J.P.M. van (1995). Bevolkingsgegevens: Wie mag ze hebben? Verstrekking van gegevens uit de GBA aan vrije derden. A&V-2, Rijswijk: Registratiekamer (uitverkocht) Rossum, H. van, e.a. (1994). Beveiliging van persoonsregistraties, Rijswijk: Registratiekamer. ƒ 25.
54
Hulsman, B.J.P. en Ippel, P.C. (1994). Personeelsinformatiesystemen - de Wet persoonsregistraties toegepast. A&V-1. Rijswijk: Registratiekamer. (uitverkocht)
55
