Persoonsgegevens voor en na mei 2018

Over een paar maanden zal een nieuwe Europese verordening met betrekking tot de verwerking van persoonsgegevens rechtskracht hebben. Naar de mening van de marketingsector is de harmonisatie van het juridisch kader, ook al betekent dit dat er strengere regels zullen volgen, een essentieel voordeel. Wat betreft de uitdrukkelijke toestemming van gebruikers lijken sommigen al een alternatieve weg gevonden te hebben.  - Olivier Standaert

Het is al lang aangekondigd en officieel gevalideerd. De meesten zullen zeggen dat ze op alles zijn voorzien, maar toch: de Algemene Verordening Gegevensbescherming (AVG), ofwel General Data Protection Regulation (GDPR), brengt vanaf 25 mei 2018 veel veranderingen met zich mee in de sappige sector van de gegevensverwerking- en verzameling. In het algemeen harmoniseert deze wetgeving, die al duizenden keren gewijzigd en besproken werd door de jaren heen, het Europese recht en wil het strikter zijn voor bedrijven die « persoonlijke » gegevens verwerken. “De verordening zal zorgen voor een overvloed aan waakzaamheid en harmonisatie, wat uiteindelijk moet leiden tot een betere aanvaarding van directmarketing,” zegt Olivier Simonis, medeoprichter en managing director van Qualifio. Omdat het natuurlijk aanpassingen en een stevige grip vergt, zal deze GDPR veel geld kosten: bij onze zuiderburen gemiddeld ongeveer 30 miljoen euro voor een CAC 40-bedrijf (de Franse aandelenindex) volgens een onderzoek van Sia Partners. Het gevolg: we moeten zoveel mogelijk anticiperen. “Facebook heeft al geruime tijd de inzet van een Data Protection Officer voorzien (zie hieronder). “Over het algemeen zien we deze regelgeving niet als een bedreiging, maar eerder als een kans. Functies zoals ‘Privacyondersteuning’ maken al deel uit van onze wens om rekening te houden met de meningen en zorgen van gebruikers en autoriteiten,” legt Tineke Meijerman, woordvoerder van Facebook Benelux, uit.

20 miljoen euro

De toekomstige verordening bevat onder meer een scherpe verhoging van de boetes in geval van niet-naleving (tot 20 miljoen euro), de verplichting om een register bij te houden over alle verwerkingen van persoonsgegevens, de aanwijzing (in sommige gevallen) van een functionaris voor gegevensbescherming in de verwerkende bedrijven en de toevoeging van nieuwe individuele rechten, waaronder het recht om vergeten te worden. En misschien wel het belangrijkste: de verplichting om de « expliciete, vrije en ondubbelzinnige » toestemming van de burger te verzamelen voordat de verzameling en exploitatie van de gegevens van start gaat. En dat raakt een gevoelige snaar. Zolang er een manier was om deze toestemming « weg te moffelen » onder algemene voorwaarden, ze op voorhand aan te vinken in de formulieren, te hopen op een inactieve gebruiker of te wachten tot er een expliciete weigering kwam (heel verschillend van het verzoek om expliciete toestemming), kwamen sommige spelers er goed vanaf. Ze creëerden “een markt met meerdere versnellingen,” wat Olivier Simonis betreurt. “Een geharmoniseerd kader in verschillende landen, dat nog restrictiever is, kan de voorkeur verdienen omdat het niet langer nodig is om elke keer de nationale voorschriften te respecteren,” voegt Boris Barraud daaraan toe, licentiaat in de rechten en professor aan de universiteit van Bourgondië (Frankrijk). Rechtszekerheid is een bron van vertrouwen. In dergelijke gevallen spelen de instellingen van de Europese Unie, met betrekking tot fundamenteel transnationale activiteiten, hun volledige rol.”

Legitieme interesse

De tijd van variabele geometrieën zal inderdaad binnen een paar maanden voorbij zijn. Maar dat laat de directmarketingsector niet zonder alternatief. Op de Belgische markt plant een van de grote spelers in het beheer van persoonlijke gegevens, die liever anoniem wil blijven, zijn toekomstige activiteiten vanaf een andere rechtsgrondslag dan die van de verzameling van uitdrukkelijke toestemming. Het gaat om het legitieme belang, expliciet geciteerd en gedetailleerd in overweging 47 van de GDPR. Het stelt dat “bedrijven in het kader van een bestaande zakelijke relatie een legitiem belang kunnen hebben bij het gebruik van de persoonlijke gegevens van hun klanten om hen mededelingen te sturen die gericht zijn op het bekendmaken of promoten van hun diensten, producten en activiteiten.” In dit nog steeds vertrouwelijke rapport, gebaseerd op tientallen interviews, een onderzoek onder 30.000 consumenten en een analyse van de literatuur over het onderwerp, wordt gesteld dat de GDPR « het leven van bedrijven gemakkelijker maakt » door hen in staat te stellen contact op te nemen met hun bestaande klanten « zonder noodzakelijkerwijs te beschikken over hun voorafgaande toestemming. » Merk op dat dit allemaal betrekking heeft op zoveel individuen die aan de definitie van klanten voldoen, en dat de tekst het werkwoord "macht" gebruikt, wat inhoudt dat elke directmarketingactie niet tot het legitieme belang behoort!

Het verschil tussen de twee methoden is geen kwestie van detail, maar het tegenovergestelde: de meeste studies hebben de neiging te bewijzen dat de verzameling van ondubbelzinnige toestemmingen het aantal personen dat legaal kan worden gecontacteerd drastisch vermindert (onder het cijfer van 5% volgens een recent voorbeeld …). Vanuit technisch oogpunt vereist deze aanpak geen oogstproces: het bespaart tijd en gemak, lezen we in het document. Uiteraard kan de consument, overeenkomstig met de gedachtegang van de Europese regelgeving, zich ook verzetten tegen de exploitatie van zijn gegevens op basis van het legitieme belang. Maar hij zal de stap proactief moeten zetten.

Hoewel dit begrip voor sommigen « een gemakkelijk en praktisch alternatief is voor toestemming », laat het anderen ook verbijsterd achter : “Wanneer een wetgever zijn toevlucht neemt tot zo'n vage notie, wenst hij eigenlijk te worden ontheven van de productie van de norm ten gunste van ofwel de praktijk van zelfregulering ofwel van rechters en jurisprudentie die, gaandeweg de procesvoering, de inhoud van het concept van legitiem belang verduidelijken,” zegt Boris Barraud. Aangezien het machtsevenwicht in dit geval onevenwichtig is tussen de consumenten en degenen die verantwoordelijk zijn voor de behandeling, bestaat het risico dat de betrokken bedrijven weinig belang hechten aan het concept van legitiem belang van de betwistbare elementen, wetende dat het onwaarschijnlijk is dat de gebruikers van de diensten juridische stappen ondernemen… » Hoewel de GDPR zeker het algehele kader voor datamining harmoniseerde, blokkeerde dit niet de mogelijkheid van omzeiling. Het valt nog af te wachten welk pad marketeers zullen kiezen binnen enkele maanden, en vooral met welke reactie van de autoriteiten en het publiek.