Databasemarketing
Wat mag ik wel en niet met mijn klantdata?
Jitty van Doodewaerd
Compliance officer -DDMA
13 december 2011
ProgrammaVier zaken die iedere databasemarketeer moet weten:
1.Mag ik mijn (klant) gegevens wel gebruiken voor marketing?
2.Heb ik toestemming?
3.Mag ik mailen of bellen onder de klantrelatie?
4.Hoe zit het met social media?
Wet bescherming persoonsgegevens
Legaal gebruik van gegevens voor marketing
Privacy| Persoonsgegevens
Wet Bescherming Persoonsgegevens WBP
“verzamelen” en “verwerken” van “persoonsgegevens”
Verwerken = alles vastleggen, opslaan, e-mailen, bellen, derdenverstrekking
Privacy| Persoonsgegevens
Artikel 1 WBP
persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
Bijzonder regime voor een aantal zeer gevoelige gegevens die een grote inbreuk op privacy tot gevolg kunnen hebben.
Artikel 16Bijzondere persoonsgegevens: gegevens omtrent godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakbond
bijzondere persoonsgegevens mogen uitsluitend worden verwerkt wanneer de betrokkene daarvoor uitdrukkelijke toestemming heeft gegeven
Privacy| Persoonsgegevens
Telefoonnummer?
06-24243588?
DDMA: 020-4528413?
Belastingdienst: 0800-0548?
Privacy| Persoonsgegevens
Foto??
Privacy| Persoonsgegevens
Bankrekeningnummer?
Privacy| Persoonsgegevens
Gegevens uit het kadaster?
Privacy| Persoonsgegevens
Cookie?
Privacywet| hoofdlijnen
Regels voor het verwerken van persoonsgegevens:
1)uitdrukkelijk, welbepaald, gerechtvaardigd doel
Art. 7 WBP
M.a.w. uitvoering van een overeenkomst en marketingdoeleinden
Privacywet| hoofdlijnen
2) Verwerkingsgronden (rechtmatig doel verwerking)
Art. 8 WBP
Organisaties mogen persoonsgegevens verwerken voor
marketingdoeleinden:
a) met toestemming (= opt-in, denk aan e-mail, sms en fax)
f) indien het een gerechtvaardigd ondernemersbelang dient , tenzij het
belang van de betrokkene prevaleert (=opt-out, denk aan telemarketing
en direct mail)
Direct Marketing is een gerechtvaardigd ondernemersbelang
Privacywet| hoofdlijnen
Direct marketing is een gerechtvaardigd ondernemersbelang
• verkoop bevorderen • reclame, ook ten behoeve van derden• doorgeven aan derden
direct marketing = reclame maken door potentiële klanten direct en persoonlijk te benaderen,
zoals gepersonaliseerde ads en nieuwsbrieven
Geldt alleen voor opt-out gegevens NAWTAan e-mail worden in de Telecomwet extra eisen gesteld
Privacywet| hoofdlijnen
3) Op eerlijke en zorgvuldige wijze
Art. 6 WBP
M.a.w. daadwerkelijk en volledig inlichten over omstandigheden waaronder gegevens worden verkregen
Dus een organisatie met een database moet informeren aan•de toezichthouder (CBP-melding), ook voor stichtingen en verenigingen•degene wiens data je vastlegt (=betrokkene)
Privacywet| hoofdlijnen
Amnesty 8 maart Actie: Laat Saudische vrouwen autorijden
Privacywet| hoofdlijnen
Informatieplicht
• Een betrokkene moet weten waar hij aan toe is en controle kunnen
uitoefenen op het verwerken van zijn gegevens voor
marketingdoeleinden
• Een organisatie moet de betrokkene daarom informeren over
1) zijn identiteit
2)het doel van de verwerking
3) de gegevens die worden vastgelegd
4) het recht van de betrokkene op inzage, correctie en verzet
• Bij derdenverstrekking (swoppen) ook informeren over
5) categorieën derden
6) verzet
Privacywet| hoofdlijnen
Waar informeren
1. Privacystatement papier en online
Verwerking persoongegevens SOORTEN GEGEVENS Sanoma Media kan bij het aanbieden van diensten persoonsgegevens verwerken. Het gaat hierbij om gegevens als naam, contactgegevens, geboortedatum, geslacht en e-mailadres, en ook om gegevens over interesses van jou als gebruiker van één of meer van onze websites. Deze gegevens kunnen bijvoorbeeld bij Sanoma Media bekend zijn omdat je hebt aangegeven dat bepaalde onderwerpen je interesseren of omdat Sanoma Media jouw interesses heeft afgeleid uit de manier waarop je van de diensten van Sanoma Media gebruik maakt. Ook worden financiële gegevens, zoals je bankrekeningnummer verwerkt als je producten op een van onze websites bestelt of je abonneert op betaalde diensten, voorzover deze gegevens noodzakelijk zijn voor de betaling van de betreffende producten of abonnementen. De servers van Sanoma Media leggen voorts automatisch bepaalde gegevens vast, zoals URL, IP-adres, browsertype en -taal, en de datum en tijd van je bezoek aan onze websites.
Sanoma Media kan jouw persoonsgegevens uitwisselen met haar groepsmaatschappijen. Daaronder worden alle dochtermaatschappijen van Sanoma Media Netherlands B.V. begrepen (…..). Je gegevens kunnen door Sanoma Media worden gecombineerd met gegevens die zijn verzameld in het kader van jouw aankoop of gebruik van producten of diensten van Sanoma Media of haar groepsmaatschappijen. Dit doet Sanoma Media zodat zij je beter van dienst kan zijn en de inhoud van de websites nog beter op je interesses af kan stemmen. Indien je bezwaar hebt tegen het uitwisselen en combineren van jouw persoonsgegevens met groepsmaatschappijen, kan je dit melden via [email protected].
Privacywet| hoofdlijnen
Verwerking persoongegevens DOELEINDEN VERWERKING Sanoma Media verzamelt en verwerkt via de door haar geëxploiteerde websites persoonsgegevens voor de volgende doeleinden: voor de totstandkoming en uitvoering van de met jou gesloten overeenkomst (….) om gericht aanbiedingen te doen, zo kan bijvoorbeeld een advertentie worden getoond van een product waarvan Sanoma Media op basis van door haar verwerkte gegevens vermoedt dat het je interesse heeft. In het kader van de optimalisatie van het doen van de aanbiedingen kan Sanoma Media een profiel van je opstellen; om je een nieuwsbrief, aanbieding, gebruikersinformatie, service bericht of andere elektronische boodschap toe te sturen (….) DELEN EN BEKEND MAKEN VAN PERSOONSGEGEVENSZoals reeds eerder vermeld kan Sanoma Media persoonsgegevens die door haar worden verwerkt, uitwisselen met haar groepsmaatschappijen en je persoonsgegevens combineren met gegevens die zijn verzameld in het kader van jouw aankoop of gebruik van producten of diensten van Sanoma Media of haar groepsmaatschappijen. (…) Je adresgegevens kunnen voorts voor het per telefoon en/of per post toezenden van informatie en aanbiedingen worden verstrekt aan zorgvuldig geselecteerde derden (onder andere 'list rental'). (….)VERZET, INZAGE, WIJZIGING EN VERWIJDERING VAN PERSOONSGEGEVENSAls je wilt weten welke persoonsgegevens van jou zijn vastgelegd, als je gegevens wilt wijzigen of wilt laten wissen conform de daarvoor geldende regelgeving, kan je een bericht sturen aan [email protected] of aan Sanoma Media Netherlands B.V., ter attentie van: Klantenservice Privacy, Capellalaan 65, 2132 JL Hoofddorp, onder vermelding van 'inzage/wijzigen/wissen persoonsgegevens'. Ook kan je doorgeven dat je niet langer prijs stelt op het verstrekken van jouw persoonsgegevens aan groepsmaatschappijen of aan derden of het gebruik van jouw gegevens voor het doen van gerichte aanbiedingen of op het per e-mail of post ontvangen van informatie en aanbiedingen. (…..)
Privacywet| hoofdlijnen
Wanneer informeren
2. Op het moment van verkrijgen
Privacywet| hoofdlijnen
En in iedere uiting het Recht van Verzet bieden!!!Artikel 411.Indien gegevens worden verwerkt in verband met de totstandbrenging of de
instandhouding van een directe relatie tussen de verantwoordelijke of een derde en de betrokkene met het oog op werving voor commerciële of charitatieve doelen, kan de betrokkene daartegen bij de verantwoordelijke te allen tijde kosteloos verzet aantekenen.
4.De verantwoordelijke die persoonsgegevens verwerkt voor het in het eerste
lid bedoelde doel, draagt zorg dat, indien daartoe rechtstreeks een boodschap aan de betrokkene wordt toegezonden, deze daarbij telkens wordt gewezen op de mogelijkheid tot het doen van verzet.
Heb ik toestemming?
• Toestemming is dus niet nodig voor DM +TM
• Per 1 oktober 2009 nieuwe wel voor B2C en B2B e-mail volgens
de Telecomwet
Toestemming| e-mail
Toestemming| e-mail
Artikel 11.7
Lid 1
Het gebruik van automatische oproepsystemen zonder menselijke
tussenkomst, faxen en elektronische berichten voor het overbrengen van
ongevraagde communicatie voor commerciële, ideële of charitatieve
doeleinden aan abonnees is uitsluitend toegestaan, mits de verzender kan
aantonen dat de desbetreffende abonnee daarvoor voorafgaand
toestemming heeft verleend, onverminderd hetgeen is bepaald in het tweede
en derde lid.
= opt - in
Toestemming volgens de Privacywet
“elke vrije, specifieke en op informatie berustende wilsuiting waarmee de
betrokkene aanvaardt dat hem betreffende persoonsgegevens worden
verwerkt”
Toestemming| e-mail
Specifieke toestemming?
• Zorgvuldig geselecteerde partners• Hoogwaardige adverteerders• Derden• Alles en iedereen
OPTA
“Vage beschrijvingen zoals 'u geeft toestemming voor de ontvangst van e-mails van dit bedrijf en (geselecteerde) partners' zijn niet specifiek.
Er moet duidelijk zijn waarvoor de ontvanger specifiek toestemming geeft.”
Toestemming| e-mail
Op informatie berustende toestemming?
• Niet via akkoord op Algemene Voorwaarden op Privacy Statement:
OPTA: Een bepaling in de algemene voorwaarden informeert de
ontvanger niet over 'waar hij toestemming voor geeft'.
Toestemming| e-mail
Niet zo!
Wel zo!
Hostmailings/ co-registratie
Iedereen een bestand met mailadressen heeft, waarop hij andere partijen
laat mailen (hostmailings) moet rekening houden met het volgende:
• de ontvanger moet via een aparte actieve handeling toestemming geven
voor het verstrekken van zijn e-mailadres aan derde partijen
• bij de toestemmingsvraag moet in een bij- of onderschrift duidelijk
gemaakt worden dat het e-mailadres gebruikt zal worden voor het
toezenden van commerciële e-mail en/of derdenverstrekking,
• alleen een bijschrift waarin staat dat de ontvanger akkoord gaat met
Algemene Voorwaarden of een Privacy statement volstaat niet.
Toestemming| e-mail
Telecomwet artikel 11.7a
- het opslaan van informatie op randapparatuur van een gebruiker en
- toegang tot informatie op randapparatuur van een gebruiker
alleen mag als
- de gebruiker hierover helder geïnformeerd is
- en toestemming heeft gegeven
= opt-in
Toestemming| cookies
Uitzondering
Toestemming niet nodig voor cookies die:
1. communicatie over een elektronisch communicatienetwerk mogelijk
maken
2. Noodzakelijk zijn voor diensten van de informatiemaatschappij
Dus geen toestemming nodig voor winkelmandjes, onthouden van
inloggegevens, laden plaatjes
WEL voor reclame en google analytics, ad words (re-marketing)
Toestemming| cookies
De Nederlandse wettekst wijkt in principe niet af van de Europese
Toestemming| cookies
Probleem : toestemming kan volgens de
Nederlandse regering niet uitgedrukt
worden door de huidige
beveiligingsinstellingen van de browser.
De wettekst (informeren en toestemming vragen)
Wat betekent dit concreet?
Regelgeving cookies| compliance
Regelgeving cookies| privacy statement
Informeren
Pas je privacy statement aan.
Vertel:
1.welke cookies geplaatst worden
2.voor welk doel (bezoekersaantallen registreren, plaatjes laden, OBA)
3.welke informatie met een cookie wordt vastgelegd
4.of de informatie verstrekt wordt aan derden
Regelgeving cookies| toestemming
Toestemming: hoe?
•Mag eenmalig en collectief gegeven worden, de manier om dit te realiseren is ironisch
genoeg door een “toestemmingscookie” te droppen op de pc van een gebruiker
Let op: Het staat een website vrij een webbezoeker te weigeren als hij geen cookies
accepteert!
Regelgeving cookies| compliance
Aanbeveling:
A.Voldoe aan de informatieplicht, want kan met terugwerkende kracht door OPTA
worden gehandhaafd.
1. Pas je privacy statement aan
2. Zorg voor een duidelijke melding op de website waarmee een consument kan zien dat je cookies
plaatst
B.Vraag zo snel mogelijk toestemming, zeker voor het plaatsen van tracking cookies.
Hier handhaven OPTA (terughoudend??) en CBP.
C.Geen toestemming ? Cookiedata in apart bestand
Mag ik mailen of bellen onder de klantrelatie?
Klantrelatie| Telemarketing
• Een organisatie die telemarketing bedrijft op de consumentenmarkt
verplicht ontdubbelen met het wettelijk bel-me-niet register
• Bij e-mail (B2B en B2C) moet voorafgaande toestemming van de ontvanger
zijn verkregen
TENZIJ
de contactgegevens zijn verkregen in het kader van de verkoop van een
product of dienst of in het kader van schenking aan een ideële of
charitatieve organisatie en deze worden gebruikt voor het overbrengen
van communicatie (..)met betrekking tot eigen gelijksoortige producten of
diensten of schenkingen aan de ideële of charitatieve organisatie.
Klantrelatie| E-mail
• Als een opdrachtgever zonder voorafgaande toestemming e-mailt naar klanten
of klanten belt zonder te ontdubbelen, moet hij hen ten tijde van de registratie
van deze contactgegevens wel hebben verteld dat hij ze gebruikt voor
marketing en moet hij het recht van verzet hebben geboden. • Als een adverteerder de klantdata verrijkt heeft met e-mailadressen of
telefoonnummer mag hij wettelijk niet onder de klantrelatie mailen/ bellen.
Klantrelatie volgens OPTA
‘Wanneer is iemand klant? Op het moment dat de contactgegevens zijn
verkregen in het kader van de verkoop van een product of dienst’ – OPTA
‘Eigen’ legt OPTA zo uit dat het moet gaan om producten of diensten van
dezelfde onderneming die de klantgegevens van de consument heeft verkregen.
Hierbij kijkt OPTA naar de juridische entiteit.
Klantrelatie| OPTA
Klantrelatie
Dus niet:
- informatie-aanvraag,
- inschrijven e-mailnieuwsbrief
- openen gebruiksaccount (zonder transactie)
Klantrelatie| OPTA
Gelijksoortige producten & diensten
Sociale data
• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).
• Voor direct mail en telemarketing heb je GEEN toestemming nodig
Hoe zit het bij Social Media? Facebook, Twitter, OBA??
• Worden persoonsgegevens verwerkt? (WBP van toepassing)
• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)
Wat impliceert dit?
• Gerechtvaardigd belang of toestemming??
Privacy &social| opt-in of opt-out
Social Media toestemming of gerechtvaardigd belang?
Onderscheid
Push: adverteerder is verzender
Pull: consument vraagt om communicatie
Bij push, ongevraagde electronische communicatie = toestemming
Bij pull (vriendverzoek, followen) gerechtvaardigd belang
Privacy &social| opt-in of opt-out
Push of Pull?Toestemming of informeren
•Iemand wordt vriend van je organisatie op Facebook•Je wil getarget adverteren op Facebook gebruikers•Iemand volgt je op Twitter•Je stuurt iemand een DM op Twitter•Iemand logt in op je site, je herkent zijn Facebook of Gmail gebruiksprofiel en wil zijn surfgedrag koppelen aan je klantadatabase (social media monitoring)
Privacy &social| opt-in of opt-out
Facebook, Twitter en Google stellen hun klantdatabase ter beschikking aan derden voor getargete advertenties, advertenties gebaseerd op zoekopdrachten etc. Zij doen dus aan derdenverstrekking.In Europa heb je voor derdenverstrekking van elektronische contactgegevens aparte toestemming nodig van de consument, voldoen zij hieraan?
Privacy &social| gebruik tbv derden
• Onder Europese regels zouden FB, Twitter en Google de gegevens van hun klanten niet aan derden mogen verstrekken of ter beschikking mogen stellen aan derden voor bijvoorbeeld OBA
• Jij bent als adverteerder die gebruik maakt van hun data mede-verantwoordelijk voor de uiting onder Europees Recht.
• Zorg dus dat je ten minste zoveel mogelijk aan de Europese regels voldoet.
Privacy &social| gebruik derden
• Desondanks wordt hier in Europa op grote schaal gebruik van gemaakt. Als organisatie moet je je risico’s managen, op welke manier kan je dit doen?
• Informeren (waar, hoe)• Recht van Verzet bieden (hoe)• Opslaan data (hoe)
Privacy &social| gebruik derden
Vragen?
Jitty van [email protected]
Top Related