Ga naar de vernieuwde website van Advocaten.nl
Bedrijf, consument en privacy
Inleiding: Ondernemers zijn vanouds gewend aan de omgang met risicos en uitdagingen. Een nieuw element bij het leiden van een onderneming is dat tegenwoordig soms discussie ontstaat over privacy. Klanten kunnen vragen hebben over het bijhouden van hun gegevens. Ondernemers realiseren zich dat privacyzorg goed is voor de klantrelatie en de eigen informatiehuishouding. Bovendien is er dankzij Brussel tegenwoordig speciale wetgeving die geldt voor de hele Europese Unie. In Nederland is dat de Wet bescherming persoonsgegevens, die de Wet persoonsregistraties vervangt. In deze brochure wordt uitgelegd met welke rechten en plichten ondernemers en hun klanten rekening moeten houden. Met een dosis gezond verstand en de bereidheid om na te denken over redelijke oplossingen, slaat de ondernemer twee vliegen in één klap: een goede reputatie en een behoorlijke naleving van de wet.
inhoud |
2. Wat staat er in deze brochure?
In deze brochure wordt uitgelegd hoe in een bedrijf met privacy kan worden omgegaan in de relatie ondernemer-klant. De aanbevelingen zijn gebaseerd op de Wet bescherming persoonsgegevens (WBP). Onder het begrip ondernemers worden in deze brochure naast commerciële bedrijven ook fondsenwervende instellingen verstaan en andere (non-profit) organisaties die rechtstreeks met hun klanten corresponderen. Het begrip klanten wordt in algemene zin gebruikt, dus ook voor toekomstige klanten.
Centraal in deze brochure staat de vraag: wat mag ik in mijn bedrijf met klantgegevens? Het antwoord is in essentie eenvoudig: alle persoonsgegevens van klanten die een ondernemer nodig heeft voor zijn bedrijfsvoering, mogen worden gebruikt voor een normale bedrijfsvoering. De normale omgangsvormen en de privacywet stellen daaraan wel enkele beperkingen.
Wat deze zijn, wordt besproken in de paragrafen 3 t/m 6 en 8. In paragraaf 7 wordt aandacht besteed aan de voor- en nadelen van vrijwillige extra maatregelen, zoals het aanstellen van een privacyfunctionaris, het opstellen van gedragscodes of het laten uitvoeren van privacy-audits. Tenslotte wordt in paragraaf 9 ingegaan op eventuele juridische problemen. In kort bestek geldt steeds het volgende (zie onderstaand schema):
Privacywet globaal
Anoniem | ja | Geen probleem |
Nee |
||
Helder & redelijk doel | ||
Open vizier | ||
Zorgvuldig gebruik | ||
Kwaliteitscontrole | ||
Geen probleem |
3.1 Behoorlijk en zorgvuldig privacybeleid
Waar wordt gesproken van privacywet, wordt in deze brochure de Wet bescherming persoonsgegevens (WBP) bedoeld. In de WBP wordt uitgewerkt hoe een ondernemer zich op het gebied van privacy heeft te gedragen. Ook in enige andere wetten staan aanvullende bepalingen met betrekking tot de omgang met persoonsgegevens.
Centraal staat de eis dat op een behoorlijke en zorgvuldige wijze met klantgegevens wordt omgegaan. Wat dit precies betekent, hangt af van de concrete situatie. Hierbij moet rekening worden gehouden met de verschillende rollen die ondernemers en klanten spelen.
Ondernemers hebben klantgegevens nodig voor de afwikkeling van transacties, het nakomen van garantieafspraken, het bepalen van de marktstrategie of het aanbieden van producten of diensten.
Om bijna dezelfde redenen, zullen klanten hun gegevens willen afstaan. Vooral als daar gemak of voordeel tegenover staat zoals een kortingsregeling. Soms moet informatie vanwege wettelijke voorschriften, zoals fiscale verplichtingen, worden verzameld. De wet kent overigens geen recht op anonimiteit.
De privacywet heeft betrekking op (1) ieder gebruik van (2) persoonsgegevens. Aan beide vereisten moet zijn voldaan, wil de wet van toepassing zijn. Van gebruik (in de privacywet wordt gesproken van verwerken), is in de praktijk al snel sprake bijvoorbeeld bij klantenkaarten en verzamelen van klantgegevens via internet of andere ICT-toepassingen, zoals: het gebruik van pcs, computernetwerken, organizers, printers, faxen, (mobiele) telefoons, beveiligingscameras, enzovoorts.
Van gebruik is ook sprake bij papieren bestanden, zoals dossiers en lijsten. Voorwaarde is dan wél dat informatie volgens een bepaalde zoekstructuur moet zijn gerangschikt. Onder gebruik valt ongeveer alles wat met gegevens kan worden gedaan. In de privacywet staat een niet-limitatieve opsomming: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigen.
Persoonsgegevens zijn gegevens die betrekking hebben op (a) een bekende persoon of (b) een onbekende persoon, die aan de hand van de bijgehouden gegevens zonder al teveel moeite toch kan worden geïdentificeerd. Met andere woorden, persoonsgegevens vertellen iets wezenlijks over een klant.
Gegevens van rechtspersonen zoals bijvoorbeeld besloten vennootschappen en naamloze vennootschappen zijn veelal geen persoonsgegevens (tenzij deze gegevens iets zeggen over een natuurlijke persoon). Gegevens van vennootschappen onder firma, eenmanszaken en vrije beroepsbeoefenaren zijn dit echter wel. Ook uw klantgegevens van de vaste contactpersonen bij bedrijven dienen te worden beschouwd als persoonsgegevens. De klantenadministratie valt onder de privacywet.
Als gegevens niet gemakkelijk tot identificatie leiden is er sprake van anonieme informatie. Hierbij kan gedacht worden aan gegevens aan de hand waarvan iemand niet herkenbaar is of waarmee de identiteit van deze persoon moeilijk te achterhalen is. De privacywet is in die gevallen niet van toepassing.
Gevolgen niet-nakoming privacywet
Overtreding van de privacywet kan leiden tot conflicten met klanten, aansprakelijkheid, negatieve publiciteit, en zelfs overheidsingrijpen zoals een dwangsom en boetes (zie 9.2).
3.3 Wie is verantwoordelijk voor de naleving?
De ondernemer die persoonsgegevens vastlegt, is wettelijk verantwoordelijk voor het voeren van goed privacybeleid. Bij verenigingen, stichtingen, naamloze vennootschappen en besloten vennootschappen, ligt de verantwoordelijkheid bij de rechtspersoon. Bij vennootschappen onder firma, eenmanszaken en vrije beroepsbeoefenaren ligt de verantwoordelijkheid bij de ondernemer of ondernemers zelf.
In de praktijk komt het voor dat bedrijfsactiviteiten worden uitbesteed aan een derde. Dit ontslaat de ondernemer niet van zijn verplichtingen. Maar ook deze derde heeft volgens de wet bepaalde verantwoordelijkheden, zoals de verplichting om gegevens goed te beveiligen (5.2).
De afhandeling van telefonische vragen van klanten, bijvoorbeeld via een helpdesk, wordt uitbesteed aan een extern bedrijf (call-center). Deze kan zelfstandig worden aangesproken op zijn wettelijke verplichtingen.
Concerns en samenwerkingsverbanden
Binnen een concern bestaat een zekere vrijheid om te bepalen wie als verantwoordelijke wordt aangemerkt. Via statuten of speciale overeenkomsten kan bijvoorbeeld aan de holding of een werkmaatschappij verantwoordelijkheid worden overgedragen. Dit kan van belang zijn voor gegevensverwerkingen die voor meerdere bedrijfsonderdelen relevant zijn. Ook kunnen meerdere bedrijfsonderdelen gezamenlijk verantwoordelijke worden voor een bepaalde gegevensverwerking.
Een groep bedrijven in concernverband besluit om gezamenlijk al hun klanten te benaderen. Ze voeren een gezamenlijke administratie en zijn daardoor gezamenlijk verantwoordelijk voor het privacybeleid.
Ook binnen een groep van ondernemingen die met elkaar samenwerken zonder dat sprake is van een concern, kan gezamenlijke verantwoordelijkheid worden afgesproken. Het is hierbij van belang dat goede afspraken worden gemaakt over de wederzijdse verplichtingen op het gebied van informatiebeheer. Overigens: mocht het tot fusies of overnames komen, dan kunnen door de nieuwe verhoudingen nieuwe verantwoordelijkheden ontstaan die onder meer een informatieplicht hebben (zie 8.3). Het is dan ook in die situatie nuttig de rol van de gegevensbestanden in de nieuwe organisatie tevoren goed te doordenken.
Niet-Europese bedrijven
Als een onderneming niet in de Europese Unie is gevestigd, maar op Nederlandse bodem wel klantgegevens bijhoudt, zal deze in Nederland een verantwoordelijke moeten aanwijzen.
Goed privacybeleid begint met nadenken over de redenen waarom klantgegevens moeten worden bijgehouden (concrete aanleiding). De privacywet geeft aan dat gegevens onder andere mogen worden gebruikt:
In de meeste gevallen zullen klantgegevens nodig zijn in het kader van een overeenkomst (a). Het gerechtvaardigd belang van de ondernemer (b) kan een reden vormen om klantgegevens te verwerken voor direct marketing doeleinden. Het vragen van ondubbelzinnige toestemming van de klant (c) om zijn gegevens te gebruiken voor marketing doeleinden is in dat geval niet noodzakelijk. Pas wanneer er geen sprake is van de totstandkoming van of de uitvoering van een overeenkomst of de ondernemer geen gerechtvaardigd belang heeft, kan worden teruggevallen op de ondubbelzinnige toestemming. Hoe zon ondubbelzinnige toestemming in diverse omstandigheden vorm kan krijgen, valt na te lezen op de website van het ministerie van Justitie (zie de lijst achterin deze brochure). Dat geldt ook voor het begrip uitdrukkelijke toestemming in paragraaf 6.1.
Als er geen sprake is van een contract met de klant of wanneer de ondernemer geen gerechtvaardigd belang heeft om de persoonsgegevens van klanten te verwerken, kan de ondernemer zich beter afvragen of hij in zijn bedrijfsvoering eigenlijk wel dient te beschikken over deze persoonsgegevens.
Belangenafweging
Wanneer wordt gekozen voor (b) gerechtvaardigd belang, geldt altijd de voorwaarde dat steeds tevens voldoende rekening moet worden gehouden met de privacybelangen van klanten. De ondernemer zal zich in de klanten moeten verplaatsen, en zich moeten afvragen of zijn klanten niet teveel in hun privacybelang worden geschaad.
Als een klant bijzondere persoonlijke omstandigheden kan aantonen, heeft hij het recht bezwaar te maken tegen het verwerken van zijn gegevens. De ondernemer zal opnieuw een inschatting moeten maken van de situatie, en nagaan of hij in dit individuele geval gehoor moet geven aan dit verzoek. Dit wordt ook wel aangegeven als het beperkt recht van verzet.
De klant kan ook bezwaar maken tegen het gebruik van persoonsgegevens voor direct marketing doeleinden door bedrijven of door fondsenwervende instellingen. Dit is een ander en zwaarder recht van de klant. Aan dit recht van verzet bij Direct Marketing moet gehoor worden gegeven en de verwerking van de klantgegevens moet altijd worden beëindigd, het is een zogenaamd absoluut recht van verzet (zie ook 8.4).
Naast een goede reden, stelt de privacywet de eis dat de ondernemer concreet aangeeft waarvoor hij de klantgegevens gebruikt.
Een ondernemer geeft aan dat hij klantgegevens gebruikt voor de uitvoering van een overeenkomst, het voeren van de financiële administratie, het toesturen van reclame, marktstrategie of bedrijfsbeveiliging.
De doelomschrijving moet in alle gevallen van tevoren plaatsvinden en is voor de ondernemer een belangrijk moment: op dat ogenblik definieert hij zijn speelruimte, die bestaat uit het doel en al het informatiegebruik dat daaruit voortvloeit. Hierbuiten mogen de gegevens niet worden gebruikt (zie echter ook 4.4). Uit oogpunt van flexibiliteit en efficiency, is het verstandig om de doelomschrijving voldoende ruim te doen zijn, ook met het oog op toekomstig gebruik. De doelstelling mag echter ook weer niet te vaag zijn. In de praktijk komt het immers regelmatig voor dat dezelfde informatie op verschillende manieren wordt benut.
Bij de bepaling van de doeleinden van de verwerking is het daarom van belang dat u zich goed realiseert wat u van plan bent met de klantgegevens. Bijvoorbeeld voor direct marketing doeleinden dient u zich af te vragen of u de gegevens gaat gebruiken om:
In 8.2 vindt u een voorbeeld van de informatieplicht die bij deze doeleinden aansluit.
Speciale doeleinden
De privacywet wordt vaak gezien als een belemmering om gegevens te mogen gebruiken voor minder voor de hand liggende doeleinden. Dit is veelal ten onrechte. Het is bijvoorbeeld mogelijk dat een ondernemer tof een groep ondernemingen) zich genoodzaakt ziet om van enkele klanten, bijvoorbeeld in het belang van de bedrijfsbeveiliging, gegevens bij te houden over ongewenste incidenten. Hoewel met dit soort gegevens zorgvuldig moet worden omgegaan, biedt de wet mogelijkheden voor het bijhouden van deze gegevens. Zorg er alleen voor dat de wettelijke spelregels bij het bijhouden van dit soort gegevens nog zorgvuldiger in acht worden genomen. Daarnaast is het mogelijk dat dit soort verwerkingen onderworpen is aan voorafgaand onderzoek door het College Bescherming Persoonsgegevens (zie 9.2).
Nog afgezien van wat hierna aan bod komt, valt op basis van de twee vorige paragrafen al aan te geven of handelingen van de ondernemer wel of niet wettelijk zijn toegestaan - hoewel deze vraag bij de rechter breder kan worden gesteld (zie 9.1).
Een concreet voorbeeld kan dit verduidelijken: Een ondernemer die niet meldt dat klantgegevens worden gebruikt voor direct marketing doeleinden ten behoeve van derden, en die de klant niet heeft gewezen op het feit dat de klant zijn gegevens kan laten blokkeren (recht van verzet) kan de persoonsgegevens niet gebruiken voor direct marketing doeleinden.
4.4 Het verder gebruiken van klantgegevens
Het zal regelmatig voorkomen dat een ondernemer zijn klantgegevens op een bepaald moment voor iets anders wil gebruiken dan hij oorspronkelijk in zijn doelomschrijving had aangegeven. Het is echter niet zonder meer toegestaan om persoonsgegevens te verwerken voor andere doeleinden dan waarvoor deze in eerste instantie zijn verzameld.
Maar ander gebruik van de klantgegevens is zeker niet uitgesloten. Dit gebruik moet dan wel verenigbaar zijn met het oorspronkelijke omschreven doel. Dit wordt wel verenigbaar gebruik genoemd. Wanneer is hier sprake van?
In bijvoorbeeld het geval van het later gebruik van klantgegevens voor direct marketing moet er een zekere mate van verwantschap zitten tussen de producten en diensten waarvoor gegevens oorspronkelijk zijn verkregen en waarvoor deze later worden gebruikt. Als er geen sprake is van een dergelijke verwantschap dan is het gebruik van persoonsgegevens niet toegestaan.
De wet geeft nog meer aanknopingspunten. Bij de beoordeling of een ander gebruik niet onverenigbaar is, is ook het verwachtingspatroon bij de klant waarvoor hun gegevens worden gebruikt van belang. Dit verwachtingspatroon hangt ook af van de wijze waarop de betrokkenen worden geïnformeerd door het bedrijf over haar producten en diensten.
Wanneer een ondernemer zijn assortiment met boeken gaat uitbreiden met cds en de klantgegevens gebruikt om zijn klanten hierover te informeren, dan zal er snel sprake zijn van verenigbaar gebruik, zeker als hij de klanten heeft geïnformeerd over het feit dat hij de klantgegevens gebruikt om klanten te informeren over nieuwe producten die hij gaat verkopen.
Het doel waarvoor de ondernemer de klantgegevens verzamelt en verder verwerkt bepaalt ook hoelang de gegevens kunnen worden bewaard. De lengte van bewaartermijnen kan dus verschillen. De klantgegevens mogen niet langer bewaard worden dan dat ze nodig zijn voor het doel.
Wordt gebruik gemaakt van een vrijstelling voor de meldingsplicht (zie 5.1) dan is de bewaartermijn van de gegevens in veel gevallen wél al vooraf bepaald. Gegevens die bijvoorbeeld voor abonnementen worden verwerkt, moeten binnen twee jaar na stopzetting van het abonnement worden verwijderd.
5.1 Transparantie: open-vizier-aanpak
Wanneer persoonsgegevens rechtstreeks bij de klant worden verzameld dan dient de ondernemer de klant te informeren over zijn identiteit, en over de doelen waarvoor de persoonsgegevens worden vastgelegd. Als vuistregel kan worden aangehouden dat voldoende bekend moet zijn wie precies over welke gegevens beschikt en waarom. Ook moet duidelijk worden gemaakt wie verantwoordelijk is in de zin van de privacywet.
Wanneer gegevens voor direct marketing doeleinden worden gebruikt, is de ondernemer tevens verplicht om te wijzen op het recht van verzet. Krijgt een ondernemer via een derde gegevens over klanten dan moeten de klanten worden geïnformeerd over de identiteit van de ondernemer die de gegevens heeft ontvangen, de reden waarvoor de gegevens worden gebruikt en het recht van verzet. Dit hoeft niet als de klant al op de hoogte is gebracht door de ondernemer die de persoonsgegevens heeft verstrekt aan de andere ondernemer.
Over het algemeen moet het gebruik van persoongegevens worden aangemeld bij de overheid, wat kosteloos kan bij het College Bescherming Persoonsgegevens (CBP, zie 9.2). Hiervoor kan een meldingsformulier worden aangevraagd bij het CBP. Ook is elektronische melding mogelijk (zie 10 voor adresinformatie).
In een speciale regeling onder de privacywet, staat echter dat bepaalde verwerkingen van persoonsgegevens van melding zijn vrijgesteld. Hieraan zijn wel voorwaarden verbonden zoals bijzondere eisen voor gebruik en bewaartermijnen. Vrijstelling betekent vermindering van administratieve lasten. Maar let goed op: wanneer het informatiegebruik of bewaartermijnen verder gaan dan zon specifieke vrijstelling, is melding toch vereist. De klantenadministratie die voor direct marketing doeleinden ten behoeve van derden wordt gebruikt komt in de regel niet in aanmerking voor een vrijstelling van melding.
Voor de klantadministratie die wordt gebruik voor de eigen marketing, voor de financiële administratie (debiteuren en crediteuren), of de verwerking van gegevens van afnemers en leveranciers is vaak wel een vrijstelling mogelijk.
Bovendien, zoals ook werd opgemerkt bij 4.2, is er in de praktijk vaak sprake van gecombineerd gebruik. Denk aan een geïntegreerde klantenadministratie en financiële administratie. Ook voor gecombineerd gebruik kunnen vrijstellingen gelden, maar als ook maar een klein deel van de gegevens wordt gebruikt voor een niet vrijgesteld doel, moet het hele gebruik toch worden aangemeld.
Wie zeker wil zijn van zijn zaak, doet er het beste aan om gewoon aan te melden. De hierboven genoemde CBP-software geeft meteen aan of er toch een vrijstelling geldt. Vrijstelling van melding betekent overigens uitdrukkelijk niet dat men is vrijgesteld van de overige wettelijke verplichtingen die hier worden besproken.
Voor klantgegevens geldt dat gegevens altijd ter zake dienend, juist, volledig en niet bovenmatig mogen zijn. Bovendien mogen gegevens niet langer worden bewaard dan dat nodig is in het kader van de geformuleerde doelstellingen (4.2). Uitzonderingen zijn langere wettelijke bewaarplichten, zoals op basis van de fiscale wetgeving.
Het mag duidelijk zijn dat in niet ter zake dienende, onjuiste, onvolledige of bovenmatige gegevens, het praktische gevaar schuilt van verkeerde beslissingen. Dit kan nadelige effecten hebben voor klanten en het bedrijf.
Informatiebeveiliging en kwaliteitscontrole
Ook moet goed worden nagedacht over de beveiliging van de klantgegevens. Zo moet worden voorkomen dat gegevens verloren kunnen gaan, of dat er zich andere situaties in strijd met de privacywet kunnen voordoen.
De ondernemer is dan ook wettelijk verantwoordelijk voor het nemen van passende technische en organisatorische maatregelen, voor zover dat gegeven de omstandigheden redelijk is. Hierbij moet rekening worden gehouden met de stand van de techniek en de privacyrisico's voor de klant. Het is raadzaam om in het kader van de informatiebeveiliging in ieder geval de volgende maatregelen te nemen (zie ook 7.1):
Informatiebeveiliging zal voor veel bedrijven niet nieuw zijn. Dit is ook om andere redenen dan de privacywet belangrijk. Meer informatie is te vinden in de Nederlandse Code voor Informatiebeveiliging. De website www.informatiebeveiliging.nl bevat eveneens nuffige informatie. Gegevens verouderen. Bijvoorbeeld omdat een klant is verhuisd waardoor de adresinformatie niet meer klopt. De ondernemer moet dan ook zo af en toe nagaan of zijn informatie nog wel klopt.
De klant heeft recht op inzage in zijn gegevens. Als hij er zelf om vraagt, moet de ondernemer binnen vier weken aangeven of over hem persoonsgegevens worden verwerkt. Als dat het geval is dan moet daarbij informatie worden gegeven over:
Klanten hebben recht op verbetering, aanvulling, verwijdering of afscherming van hun gegevens. Aanpassingen behoren direct te worden doorgegeven aan eventuele derden bij wie gegevens terecht zijn gekomen.
Aanspreekpunt
Om een en ander op praktische wijze te kunnen ondersteunen, doet de ondernemer er verstandig aan om aan te geven waar men terechtkan met vragen of verzoeken. Hierbij kan het een praktische oplossing zijn om een kopie van de stukken, of een uitdraai van de computergegevens te verstrekken.
De privacywet verbiedt het bijhouden van bijzondere gegevens: informatie over godsdienst of levensovertuiging, etnische herkomst, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, of strafrechtelijke gegevens uit veroordelingen, arrestaties of processen-verbaal. De reden hiervoor is dat ervan wordt uitgegaan dat er bij dit soort gegevens grotere privacy-risicos bestaan.
Het gebruik van bijzondere gegevens voor direct marketing doeleinden is in het algemeen alleen toegestaan als de klant zijn uitdrukkelijke toestemming heeft gegeven. Veelal zijn geen bijzondere gegevens nodig bij direct marketing. Etnomarketing waarbij gebruik wordt gemaakt van gegevens over etnische herkomst is in het algemeen zonder uitdrukkelijke toestemming van de betrokkene niet toegestaan.
Andere wetten: medische informatie
Ook andere wetten kennen beperkingen op het gebied van bijzondere gegevens. Het is niet toegestaan om bijvoorbeeld op basis van bekende gegevens omtrent ziektes specifieke geadresseerde reclame toe te sturen.
6.2 Internationaal gegevensverkeer
Uitwisseling van klantgegevens tussen bedrijven binnen de Europese Unie is onbeperkt mogelijk, zolang de regels uit 3 t/m 6.1 in acht worden genomen. Buiten de EU is dit een ander verhaal en gelden aanvullende voorwaarden.
Het doorgeven van gegevens aan personen of bedrijven buiten de EU is toegestaan als de ondernemer zich er tenminste van kan vergewissen dat er in dat land sprake is van een passend beschermingsniveau. Hij dient dit op grond van de omstandigheden zelf te beoordelen.
Daarnaast kan de Minister van Justitie bepalen in welke gevallen er voldoende privacybescherming wordt geboden. Bovendien zijn er voor het uitwisselen van gegevens met Amerikaanse bedrijven in Europees verband speciale afspraken gemaakt (de zgn. safe harbor-regeling). Europese bedrijven kunnen hier zekerheid aan ontlenen en hebben geen eigen onderzoeksplicht meer. Door de Europese Commissie is recent een standaardcontract ontwikkeld dat kan worden gebruikt voor landen waar geen sprake is van een passend beschermingsniveau en waarmee in Europees verband geen afspraken zijn gemaakt.
In een aantal gevallen kan het doorgeven van gegevens toch plaatsvinden ook al is er geen passend beschermingsniveau. Het gaat om de volgende situaties:
In de vorige paragrafen werd besproken hoe de privacywet vanuit ondernemersperspectief optimaal wordt nageleefd. Hierbij wordt een hoog niveau van privacybescherming geboden. Het is dan ook volkomen legitiem om de bedrijfsinspanningen hiertoe te beperken. Dat neemt niet weg dat er redenen kunnen zijn om vrijwillig extra maatregelen te nemen als dit bijdraagt aan, bijvoorbeeld, een grotere winstverwachting, een beter imago en/of meer duidelijkheid over de (juridische) situatie.
Gedragscode
De term gedragscode wordt in de privacywet gereserveerd voor aanvullende privacyregelingen, die vooral op brancheniveau kunnen worden vastgesteld. Op verzoek kan het CBP (9.2) verklaren dat zon gedragscode in overeenstemming is met de wet.
In de wet staat dat ondernemingen of brancheorganisaties vrijwillig privacyfunctionarissen kunnen aanstellen. Zon privacyfunctionaris is een wettelijk beschermde privacy-inspecteur; iemand die binnen het bedrijf of binnen de sector er toezicht op houdt dat de wettelijke voorschriften en eventuele extra opgestelde regelingen wel goed worden nageleefd. Klanten kunnen zich bij hem beklagen, of een verzoek tot hem richten. Treft een functionaris onregelmatigheden aan, dan moet hij de ondernemer adviseren over de te nemen maatregelen, eventueel in overleg met het CBP.
De aanstelling van een privacyfunctionaris heeft als voordeel dat bedrijven het gebruik van persoonsgegevens bij hem melden, in plaats van bij het CBP (zie ook 5.1). Ook heeft het CBP toegezegd om bij haar onderzoeken (9.2) meer terughoudendheid te betrachten, mocht blijken dat een bedrijf een privacyfunctionaris heeft aangesteld.
Maar in essentie wordt voorzien in dubbel toezicht, want het CBP blijft als toezichthouder volledig bevoegd. Bovendien werkt een privacyfunctionaris volledig onafhankelijk van de ondernemer. Hij heeft recht op toegang tot alle systemen waar mogelijk gegevens worden verwerkt.
Waarschijnlijk heeft het meer nut om niet een privacyfunctionaris aan te stellen, maar een eigen privacycoördinator: iemand op voldoende hoog management-niveau die verantwoordelijk is voor de privacy-kwaliteitszorg binnen het bedrijf. Een coördinator biedt dan misschien niet helemaal dezelfde voordelen als een functionaris, maar heeft ook niet de nadelen. De toegevoegde waarde in de zin van kwaliteitsvergroting, is in principe echter dezelfde.
Privacy-audits zijn in wezen op de privacywet gebaseerde checklijsten, van eenvoudig tot zeer gecompliceerd, waarin de verplichtingen uit de privacywet op een rij worden gezet. Aan de hand hiervan kan men zelf, of met behulp van een onafhankelijke deskundige (externe auditor), afvinken of wordt voldaan aan de wettelijke verplichtingen. Net als bij de voorgaande maatregelen, is ook het uitvoeren van zon controle niet verplicht.
Bij een zware privacy-audit, wordt het bedrijf vooral technisch-procedureel doorgelicht om te kijken of aan de eisen van wet wordt voldaan. De eisen die in een audit zijn opgenomen kunnen verder gaan dan de minimum eisen die de wet stelt. Als dit zo is moet hierover duidelijkheid bestaan voordat een audit wordt uitgevoerd. En ook de vraag of een bedrijf een goed of slecht privacybeleid voert, is met een technische audit nog niet beantwoord.
8.1 Het informeren van klanten hij Direct Marketing
Eerder is al kort ingegaan op het informeren van klanten als gegevens worden vastgelegd. Aangezien het informeren van klanten zeer belangrijk is bij het gebruik van klantgegevens voor direct marketing doeleinden wordt er in deze paragraaf nader ingegaan op dit informeren.
Bij de informatieverplichtingen worden twee situaties onderscheiden, namelijk:
8.2 Als de gegevens van de klant worden verkregen
Als de gegevens rechtstreeks van de klant worden verkregen dan dient de ondernemer de klant vóór het moment van verkrijging mee te delen
- tenzij de klant daarvan reeds op de hoogte is - wat de identiteit van de ondernemer is die de gegevens verwerkt en wat de doeleinden van de verwerking zijn. Onder omstandigheden geeft hij de klanten ook nadere informatie die nodig is om een behoorlijke en zorgvuldige verwerking ten opzichte van de klant te waarborgen. Hieronder wordt verstaan dat wanneer gegevens worden gebruikt voor direct marketing doeleinden de klant dient te worden geïnformeerd over de mogelijkheid om zijn gegevens kosteloos te laten blokkeren (recht van verzet). Daarnaast dient bij iedere commerciële boodschap de ontvanger te worden gewezen op het recht van verzet (zie hieronder).
Een voorbeeld om betrokkenen te informeren dat gegevens worden vastgelegd en gebruikt voor direct marketing doeleinden is:
Uw gegevens worden vastgelegd door <naam onderneming>. Het doel van het bestand is om u op de hoogte te houden van interessante aanbiedingen van onze producten en diensten en van producten en diensten van zorgvuldig geselecteerde bedrijven. Hierbij trachten wij rekening te houden met uw persoonlijke voorkeuren. Tenslotte kunnen wij uw (NAW-) gegevens ter beschikking stellen aan anderen. Indien u geen prijsstelt op dergelijke aanbiedingen of gegevensverstrekkingen aan anderen, dan kan u contact met ons opnemen (onder vermelding van een contactadres).
8.3 Als de gegevens niet van de klant worden verkregen
Soms verkrijgen ondernemingen ook gegevens van mogelijke klanten niet rechtstreeks van deze klanten zelf. Dit kan bijvoorbeeld zijn door het verzamelen van gegevens voor een andere onderneming, door het huren of ruilen van adressenbestanden, door overname van een andere onderneming of door fusies.
Wanneer gegevens niet rechtstreeks van de klant worden verkregen dient de ondernemer aan de klant vergelijkbare informatie te verstrekken als besproken in 8.2. Zo dient de ondernemer zijn identiteit en wat de doeleinden van de verwerking zijn aan de klant mee te delen, tenzij de klant van deze informatie reeds op de hoogte is. Onder omstandigheden moet ook worden gewezen op het recht van verzet. De informatie dient aan de klant te worden gegeven op het moment van vastlegging van deze klantgegevens. Wanneer de gegevens bestemd zijn om verstrekt te worden aan een andere onderneming dient de informatie uiterlijk op het moment van de eerste verstrekking te worden gegeven.
Om te bepalen wanneer u bovengenoemde informatie aan de klant moet verstrekken is het van belang wat u met de gegevens wilt gaan doen. Indien een onderneming bijvoorbeeld het surfgedrag van haar klanten op haar website niet-anoniem vastlegt dient dit uiterlijk te gebeuren op het moment van vastlegging. Bij het surfen geeft de klant namelijk niet bewust zijn gegevens aan de onderneming indien de klant van de vastlegging niet duidelijk vooraf op de hoogte is gesteld.
Ingeval van bijvoorbeeld "adressenverhuur" of "adressenruil" heeft de ondernemer tijdens het verzamelen van de klantgegevens de klant meestal niet kunnen inlichten aan wie hij in de toekomst de gegevens zal verstrekken. Ook hier zal dit moeten gebeuren op het moment van de eerste verstrekking. Verhuurt bijvoorbeeld ondernemer A de gegevens aan ondernemer B dan kan A zijn klanten hiervan op de hoogte stellen en de ander benodigde inlichtingen namens B geven zodat B dit niet meer hoeft te doen. Meestal zal A dit niet doen en moet B aan de informatieplicht voldoen op het moment van verkrijging. Gebruikt B de gegevens bijvoorbeeld voor een direct-mail-actie dan hoeft hij in de mailing niet te vermelden dat hij de adresgegevens van A heeft gekregen. In verband met o.a. de mogelijkheid van de klant om het recht van verzet uit te oefenen moet B wel vastleggen van wie hij de gegevens heeft gekregen zodat hij de aangeschrevene kan inlichten hoe hij aan hun adres is gekomen.
Ingeval ondernemer B de informatie gaat verstrekken dan moet hij dit volgens de letter van de wet doen op het moment van verstrekking, dat wil zeggen zodra hij de gegevens verkrijgt. Meestal zal hij echter de mogelijke nieuwe klanten niet meteen op het moment van verkrijging maar op een later tijdstip willen benaderen. Wij hebben begrepen dat het moment waarop aan de informatieplicht moet worden voldaan iets valt op te rekken en kan samenvallen met het moment van de eerste benadering, mits deze benadering niet langer dan enkele weken na de eerste verstrekking plaatsvindt. Wij raden u aan om altijd overleg te plegen met uw branchevereniging indien u voor het probleem staat aan de inlichtingenplicht te moeten voldoen na het moment van de eerste verstrekking.
Ook in geval van overname van een bedrijf dan wel bij fusies kan een nieuwe informatieplicht zich voordoen. Dit is bijvoorbeeld het geval indien onderneming B onderneming A overneemt en onderneming B de verantwoordelijke wordt in de zin van de privacywet, dan wel indien onderneming A ophoudt te bestaan en B het klantenbestand van A gaat gebruiken.
Zoals gezegd bestaat er geen vernieuwde informatieverplichting in het geval dat de klant reeds op de hoogte is van de te geven informatie. Ondernemers die adresgegevens verzamelen doen er verstandig aan om bij het verzamelen de klant te informeren over het feit dat gegevens ook ten behoeve van andere verantwoordelijken worden verwerkt. Ter voorkoming van een nieuwe informatieplicht. Dan moet ook de identiteit van de andere verantwoordelijken worden meegedeeld en de doeleinden waarvoor die gegevens gebruikt zullen worden. Wanneer de klant hiervan reeds op de hoogte is ontstaat er geen vernieuwde informatieverplichting. Wel dient er dan nog te worden getoetst of aan de overige voorwaarden van de Wet bescherming persoonsgegevens wordt voldaan.
De Wet bescherming persoonsgegevens geeft aan dat wanneer gegevens worden verkregen via een derde, er geen informatieverplichting is als de mededeling onmogelijk is of een onevenredige inspanning kost. De wet is helaas niet duidelijk wanneer hiervan sprake is. Wel is bepaald dat er in dat geval een verplichting is om de herkomst van de gegevens vast te leggen.
Deze nieuwe informatieverplichtingen gelden zodra de Wet bescherming persoonsgegevens in werking treedt. De nieuwe informatieverplichting geldt echter niet voor de klantgegevens die reeds verzameld zijn voordat de wet in werking treedt. Met andere woorden: ondernemers hoeven de bestaande klanten niet apart te informeren. De informatieverplichting geldt natuurlijk wel wanneer nieuwe gegevens worden verkregen van bestaande klanten nadat de wet in werking is getreden.
8.4 Het recht van Verzet bij Direct Marketing
Het recht van verzet geeft de mogelijkheid aan een klant om gegevens te laten blokkeren voor het gebruik in het kader van direct marketing activiteiten. Dit recht van verzet is een absoluut recht waaraan gevolg moet worden gegeven (zie ook 4.1).
Dit geldt zowel voor bedrijven als voor fondsenwervers organisaties.
Indien iemand verzet aantekent tegen het gebruik van zijn gegevens voor direct marketing doeleinden betekent dit niet alleen dat er geen commerciële boodschappen meer aan de klant mogen worden toegezonden maar ook dat het niet langer is toegestaan om de persoonsgegevens van de klant voor analyse en doelgroepselectie te verwerken, en de klant vervolgens gericht te benaderen. De klantgegevens mogen echter nog wel worden gebruikt voor bijvoorbeeld onderzoek of analyses zolang de uitkomsten maar niet individuele klanten identificeren, met andere woorden dat klanten herkenbaar zijn of dat hun identiteit te achterhalen is. Dit kan bijvoorbeeld door de resultaten uitsluitend uit te drukken in percentages.
Ook is het niet toegestaan om persoonsgegevens van klanten die zijn geblokkeerd beschikbaar te stellen aan andere ondernemers. Geblokkeerd is en blijft geblokkeerd.
Wijzen op het recht van verzet
U dient in verschillende gevallen op het recht van verzet te wijzen, namelijk:
Ook dient de ondernemer of de fondsenwervende organisatie indien deze regelmatig persoonsgegevens aan derden verstrekt of persoonsgegevens ten behoeve en voor rekening van derden gebruikt eenmaal per jaar te wijzen op het recht van verzet; dit kan via dag-, nieuws-, of huis-aan-huis bladen of op andere geschikte wijze gebeuren, bijvoorbeeld door middel van een advertentie door een brancheorganisatie.
Bij telemarketinggesprekken (u belt de klant op) hoeft echter niet op het recht van verzet gewezen te worden. Indien u bij zon gesprek voor de eerste keer gegevens opslaat, heeft u wel een informatieplicht (8.2). Daarnaast hoeft u niet te wijzen op het recht van verzet indien bijvoorbeeld een folder bij tijdschriften wordt ingevoegd en indien dit zonder selectie gebeurt. U verwerkt daarbij immers geen persoonsgegevens. Indien u echter een selectie maakt wie al dan niet de folder ontvangt, dient u wel te wijzen op het recht van verzet. Indien verzet wordt aangetekend dient u dit te respecteren.
Ook wanneer een ondernemer de gegevens verzamelt via internet geldt de privacywet. Ook dan dienen de richting de klant gevolgde procedures transparant te zijn en gelden de regels met betrekking tot het informeren van klanten en het recht van verzet. Dit alles is op zich on-line vaak veel eenvoudiger te realiseren dan off-line; het wordt vaak vergeten.
Met behulp van een privacystatement kunt u op eenvoudige wijze uw klanten informeren wie u bent, waarvoor u welke klantgegevens verwerkt, of bijvoorbeeld met wie klanten contact moeten opnemen over dit soort zaken. Op deze wijze kan de ondernemer bijvoorbeeld ook aangeven of op de website gebruik wordt gemaakt van zogenaamde cookies en waarvoor. Overigens wordt in Brussel volop overlegd over mogelijke veranderingen in de toegestane benaderwijze van klanten via het internet.
8.6 Oude gegevensverwerkingen
In de meeste gevallen zullen ondernemers al klantgegevens verwerken die afkomstig zijn van vóór de inwerkingtreding van de Wet bescherming persoonsgegevens. In dat geval moet binnen één jaar na de inwerkingtreding van de wet de verwerking van de gegevens worden aangepast aan de vereisten van de wet. Bovendien moet binnen die periode melding van de verwerking plaatsvinden bij het College Bescherming Persoonsgegevens (zie 5.1 en 9.2). Deze verplichting geldt ook als de ondernemer onder de WPR zijn persoonsregistraties al eerder had aangemeld! Het is mogelijk dat de regering deze overgangstermijn oprekt naar drie jaar na de inwerkingtreding van de wet. Op dit moment geldt echter de termijn van één jaar.
9. Toezicht en rechtsbescherming
In deze brochure is aangegeven hoe de ondernemer op een behoorlijke en zorgvuldige manier met zijn klantgegevens kan omgaan, en daarbij ook de privacywet naleeft. Maar de praktijk is nog wel eens weerbarstiger dan de theorie. Ook goed privacybeleid kan stranden op de realiteit dat de wereld niet perfect is, en dat waar mensen werken soms fouten worden gemaakt.
Mocht dit resulteren in een probleem, dan kan het beste zo snel mogelijk binnen het bedrijf en daarna samen met de klant naar een voor iedereen bevredigende oplossing worden gezocht. Als dat niet mogelijk is, kan de zaak voor de rechter komen, mogelijk vergezeld van veel negatieve publiciteit. De klant kan dan schadevergoeding eisen (de ondernemer is aansprakelijk voor schade door niet-naleving van de privacywet). De privacywet is daarbij voor de rechter een belangrijke maatstaf, maar ook andere factoren worden dan vaak in het oordeel betrokken.
Behalve de rechter, speelt ook het College Bescherming Persoonsgegevens (CBP - voorheen de Registratiekamer) een prominente rol. Het CBP is aangewezen als toezichthouder op de naleving van de privacywet. In dat kader is deze instelling bevoegd om ambtshalve of op verzoek een onderzoek in te stellen bij het bedrijf.
Als het CBP van oordeel is dat in strijd met de wet wordt gehandeld, heeft zij de bevoegdheid om in te grijpen en boetes op te leggen. Zo kan het CBP, wanneer niet wordt voldaan aan de meldingsverplichting, een boete opleggen van maximaal 10.000 gulden. Naast de boete bestaat ook hier het risico van negatieve publiciteit.
In enkele gevallen kan het CBP een voorafgaand onderzoek verlangen. In de tijd die zon onderzoek in beslag neemt (maximaal 13 weken), mag het onderzochte systeem niet gebruikt worden. Of voorafgaand onderzoek nodig is, moet het CBP binnen vier weken na de melding (5.1) laten weten.
Tot slot beschikt het CBP over de mogelijkheid om via bestuursdwang de ondernemer te dwingen om de verwerking van klantgegevens in overeenstemming met de wet te brengen - dit op kosten van de ondernemer. De ondernemer krijgt een termijn om dit te realiseren. In het ergste geval kan de verwerking voor een bepaalde periode stilgelegd worden. Een extra dwangmiddel hierbij is de mogelijkheid om een dwangsom op te leggen.
Naast het wettelijk toezicht, wil het CBP ook nadrukkelijk ondersteunend te werk gaan. Zo kan voor bemiddeling op het CBP een beroep worden gedaan, verleent het advies en publiceert het regelmatig rapporten waarin wordt aangegeven hoe het CBP tegen bepaalde ontwikkelingen aankijkt.
Laatste woord aan de rechter
Bij al haar activiteiten treedt het CBP primair op vanuit het belang van handhaving van de privacywet. Hierbij behoort altijd voldoende rekening te worden gehouden met de bedrijfsbelangen. Ondernemers die desondanks het gevoel hebben dat het CBP hen tekort doet, doen er verstandig aan om naar de rechter te stappen - zo werd duidelijk aangegeven bij de behandeling van de privacywet in de Tweede Kamer.
Deze brochure is een praktijkhandleiding voor het management. Meer gedetailleerde informatie zoals een brochure over procedures binnen de onderneming zelf en (model-)gedragscodes voor het bedrijfsleven, is beschikbaar via de websites van DMSA, VNO-NCW en FME-CWM.
Vereniging VNO-NCW Postbus 93002 2509 AA Den Haag Telefoon: 070 349 03 49 Fax: 070 349 03 00 E-mail: informatie@vno-ncw.nl Internet: www.vno-ncw.nl/privacy |
DMSA Postbus 75959 1070 AZ Amsterdam Telefoon: 020 517 12 12 Fax: 020 517 12 99 E-mail: info@dmsa.nl Internet: www.dmsa.nl |
College Bescherming Persoonsgegevens Postbus 93374 2509 AJ Den Haag Telefoon: 070 381 13 00 Fax: 070 381 13 01 E-mail: mail@cbpweb.nl Internet: www.cbpweb.nl |
Vereniging FME-CWM Postbus 190 2700 AD Zoetermeer Telefoon: 079 353 11 00 Fax: 079 353 13 65 E-mail: alg@fme.nl Internet http://www.fme.nl |
Ook zijn er nuttige documenten beschikbaar via de website van het Ministerie van Justitie: www.minjust.nl
Vereniging FME-CWM
De Vereniging FME-CWM is de bedrijfstakorganisatie voor de metaal-, kunststof-, elektronica- en elektrotechnische industrie. De 2.850 aangesloten bedrijven hebben een gezamenlijke jaaromzet van 75 miljard gulden (waarvan 50 miljard uit export) en bieden werk aan ruim 300.000 personen.
Bij FME-GWM zijn 145 brancheorganisaties gehuisvest. De Vereniging FME-CWM heeft regionale kantoren in Apeldoorn, Barendrecht, Haren (Gn), Tilburg en Uithoorn.
Vereniging DMSA
De Nederlandse Associatie voor Direct Marketing, Distance Selling en Sales Promotion DMSA is de Nederlandse branche- en belangenorganisatie op het gebied van interactieve marketing. De ruim 700 bedrijven die lid zijn van de DMSA zijn georganiseerd in zeven councils. Onder het motto to promote and to protect houdt de DMSA zich bezig met de ontwikkelingen op het snel in belang toenemende terrein van one to one marketing. Dit gaat van belangenbehartiging, onderzoek en educatie tot kennisuitwisseling, beursen en congressen.
Vereniging VNO-NCW
De Vereniging VND-NCW is de grootste centrale ondernemingsorganisatie van Nederland. Zij behartigt de gemeenschappelijke belangen van 150 brancheverenigingen met hun ruim 90.000 aangesloten ondernemingen. De vijf bij VND-NCW aangesloten regionale werkgeversverenigingen en Jong Management vertegenwoordigen 8.500 persoonlijke leden. VNO-NCW representeert 80 procent van de werkgelegenheid in de marktsector.