Terug

Uw direct marketing acties afgestemd op de GDPR

 
NEWS

Uw direct marketing acties afgestemd op de GDPR

Kristof Zadora, Jill Leen

U wil klanten contacteren, business ontwikkelen en nieuwe klanten overtuigen om met u in zee te gaan? Direct marketing is één van de meest gebruikte technieken om dit doel te bereiken. Evident natuurlijk. Dat je daarbij een aantal regels moet naleven is soms minder evident. In onze drive om de onderneming te doen floreren, wordt dit regelmatig uit het oog verloren.

De Gegevensbeschermingsautoriteit (hierna afgekort als “GBA”) vaardigde op 17 januari 2020 een aanbeveling uit voor de verwerking van persoonsgegevens voor direct marketingdoeleinden. Hierin wordt een duidelijke interpretatie gegeven aan de geldende regels. Deze aanbeveling kan organisaties helpen om de juiste reflexen te ontwikkelen bij hun direct marketing activiteiten, om overeenkomstig de GDPR te handelen.

Hieronder vatten wij graag de belangrijkste principes uit deze aanbeveling samen.

Wat is direct marketing nu precies?

Er bestaat geen wettelijke, officiële of algemeen aanvaarde definitie van het begrip “direct marketing”.

De GBA definieert het begrip als volgt:

Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.”

Deze definitie is zeer ruim en omvat bijna alle vormen van communicatie, zowel gevraagd als ongevraagd, met als doel om iets te promoten.

Wat valt er niet onder?

  • advertenties (bijvoorbeeld banneradvertenties) die willekeurig op het internet verschijnen en zichtbaar zijn voor elke bezoeker van desbetreffende website zonder dat er persoonsgegevens worden verzameld, is er geen sprake van direct marketing;

- gerichte banners die aan de hand van cookies gepersonaliseerd aan een gebruiker worden getoond vallen wel onder direct marketing!

  • folders die in alle brievenbussen van een bepaalde gemeente worden verspreid;

- indien de folders worden gericht aan specifieke geadresseerden valt dit wel onder de definitie!

  • marketingboodschap die geen enkele verwerking van persoonsgegevens vereist;
  • marktonderzoeken (niet met de bedoeling om te promoten);
  • peilingen of tevredenheidsenquêtes (niet met de bedoeling om te promoten);
  • mededelingen van overheidsdiensten die campagnes voeren (bijvoorbeeld vaccinatiecampagnes) of diensten (bijvoorbeeld  telefooncentra voor bijstand aan personen in moeilijkheden) promoten waarvoor zij wettelijk verantwoordelijk zijn of die zij als openbare dienst aanbieden (tenzij zij tegelijkertijd specifieke diensten of producten promoten die door dienstverleners worden aangeboden).

Afgestemd op de GDPR

Dagelijks wordt er gebruik gemaakt van direct marketingboodschappen die gericht zijn aan miljoenen mensen. De GBA stelt dat u “de juiste boodschap moet richten aan de juiste persoon op het juiste moment en op de juiste manier”.

Hoe zorg ik er nu voor dat dit op de juiste manier gebeurt? Dat doet u aan de hand van de volgende stappen:

  1. Bepaal uw verwerkingsdoeleinden
  2. Definieer uw verwerkingsoperaties
  3. Identificeer de gegevens die nodig zijn bij het nastreven van uw doeleinden
  4. Controleer of u over een rechtsgrond beschikt
  5. Transparantie

1. Bepaal uw verwerkingsdoeleinden

Bepaal eerst concreet wat u wil bereiken met de direct marketing actie.

Wilt u:

  • uw klanten informeren over nieuwe producten en/of diensten?
  • gepersonaliseerde aanbiedingen doen voor de verjaardag van uw klanten?
  • een profiel opstellen van uw klanten?
  • nieuwe klanten werven?
  • prospecten uitnodigen voor een event?
  • uw merk promoten bij het grote publiek?

Elk doel dat u wil bereiken dient zo nauwkeurig mogelijk te worden vastgelegd.

2. Definieer uw verwerkingsoperaties

Welke verwerkingen gaat u concreet uitvoeren om elk doeleinde te realiseren?

Gaat u bijvoorbeeld persoonsgegevens:

  • verzamelen?
  • vastleggen?
  • structureren?
  • opslaan?
  • bijwerken?
  • wijzigen?
  • opvragen?
  • raadplegen?
  • vernietigen?

Welke media gaat u daarbij gebruiken? Wat is de frequentie van de operatie? Aan hoeveel betrokkenen wordt de boodschap gericht? Welke technische middelen worden er gebruikt. Etc.

Kies hierbij steeds voor een verwerking die proportioneel is ten aanzien van het beoogde doel, en bepaal dit op voorhand.

3. Identificeer de gegevens die nodig zijn bij het nastreven van uw doeleinden

 

Voer een beoordeling uit van (1) de persoonsgegevens die u wil verzamelen (of waarover u al beschikt): zijn deze toereikend, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden die u nastreeft en (2) van de verwerkingen die u op deze persoonsgegevens plant uit te voeren?

Let erop dat u niet méér persoonsgegevens verzamelt dan u werkelijk nodig hebt.

4.  Controleer of u over een rechtsgrond beschikt

 

Elke verwerking van persoonsgegevens moet gebaseerd zijn op een specifieke rechtsgrond. Deze rechtsgrond moet worden bepaald vóór u met uw verwerking aanvangt.

De GDPR voorziet in principe zes mogelijke rechtsgronden voor de verwerking van persoonsgegevens. Het is belangrijk om in elk geval na te gaan welke uw rechtsgrond is.

Voor direct marketing zullen doorgaans de rechtsgronden (i) toestemming van de betrokkene en (ii) het afgewogen gerechtvaardigd belang van de onderneming dienen te worden onderzocht. 

5. Transparantie

 

Ten slotte is het van cruciaal belang dat u de personen aan wie uw direct marketingboodschappen gericht zijn, in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal informeert over uw verwerkingsactiviteiten.

Welke informatie precies moet worden meegedeeld, is voorzien in de artikelen 13 en 14 van de GDPR. Elke onderneming moet bovendien op elk ogenblik kunnen aantonen dat zij deze informatie tijdig ter kennis heeft gebracht.

Aan deze verplichting wordt doorgaans voldaan aan de hand van een duidelijke privacy policy (bijvoorbeeld op de website).  Let erop dat de privacy policy steeds op maat moet zijn van de onderneming, en dat het taalniveau en de taal afgestemd moet zijn op de doelgroep.

Vergeet niet dat de privacyregels niet zijn gemaakt om uw vleugels af te knippen. Ondernemen mag. De regels rond direct marketing beschermen de betrokkenen tegen wanpraktijken en schendingen van enkele fundamentele principes. Uw privacy vindt uzelf ongetwijfeld ook belangrijk.

Monard Law helpt u graag verder indien u hier vragen bij heeft, of moeilijkheden ondervindt bijvoorbeeld bij de redactie van de privacy policy of om een denkoefening te maken om na te gaan of een specifieke campagne of werkwijze door de beugel kan.

 

Maak kennis met het team van experts uit dit artikel