Zoeken
  1. KvK slaat plank mis over AVG en gaat mee in veelvoorkomende misverstanden

KvK slaat plank mis over AVG

Op de website van de KvK is een artikel verschenen over het gebruik van klantdata. Het artikel laat zien dat, jammer genoeg, zelfs de KvK meegaat in enkele veelvoorkomende misverstanden over de AVG.
Artikel | 29 november 2018 | Mark Jansen

Op de website van de KvK is een artikel verschenen over het gebruik van klantdata. Het artikel laat zien dat, jammer genoeg, zelfs de KvK meegaat in enkele veelvoorkomende misverstanden over de AVG.

De kansen van big data

Het artikel gaat in feite over de kansen die 'big data' biedt. De KvK schrijft dat de AVG kansen biedt, daar ben ik het mee eens. Helaas slaat de KvK echter ook op enkele plaatsen de plank mis.

Niet overal toestemming voor vereist

De KvK suggereert in het artikel dat je onder de AVG voor iedere verwerking toestemming van de klant nodig hebt:

  • "De AVG dwingt ondernemers hun data intern goed te organiseren en die alleen te gebruiken op een manier waar de klant mee instemt.";
  • "Wil je als ondernemer, met toestemming van de klant, met je data aan de slag,"

Dit is uiteraard niet per se juist. De wet geeft zes grondslagen voor de verwerking van persoonsgegevens. Toestemming is slechts een van die grondslagen.

Zo zal je een klant echt niet vooraf om toestemming vragen om zijn gegevens in de wettelijke verplichte boekhouding op te nemen. Of aan de politie te verstrekken als die met het juiste bevel daartoe komt. Zie hierover ook mijn eerdere blog dat ik over dit misverstand schreef.

Ongevraagde mailings mogen soms best

De KvK stelt verder dat ongevraagde mailings onder de AVG niet toegestaan zijn:

  • "Wat je bijvoorbeeld niet moet doen is op basis van klantgedrag ongevraagd een mailing naar je klanten sturen."

Hier gaan twee zaken mis:

  1. Een mailing per post zal in beginsel op grond van het gerechtvaardigd belang gewoon zijn toegestaan.
  2. Het spamverbod voor mailings per e-mail volgt niet uit de AVG, maar uit de ePrivacy-richtlijn (in Nederland geimplementeerd in de Telecommunicatiewet).

Of iets korter uitgedrukt:

  1. Voor offline marketing geldt opt-out;
  2. Voor online marketing geldt opt-in en voor bestaande klanten opt-out.

Vergeetrecht is niet absoluut

De KvK schrijft verder dat alle gegevens moeten worden verwijderd indien het vergeetrecht wordt ingeroepen:

  • "En als iemand vraagt om te worden ‘vergeten’, moet je ook echt al zijn gegevens verwijderen, anders kun je een fikse boete krijgen."

Ook dit is niet per se juist. In artikel 17 AVG - dat dit recht regelt - staat nota bene in lid 3 letterlijk dat er allerlei uitzonderingen van toepassing zijn:

3. De leden 1 en 2 zijn niet van toepassing voor zover verwerking nodig is:
a) voor het uitoefenen van het recht op vrijheid van meningsuiting en informatie;
b) voor het nakomen van een in een het Unierecht of het lidstatelijke recht neergelegde wettelijke verwerkingsverplichting die op de verwerkingsverantwoordelijke rust, of voor het vervullen van een taak van algemeen belang of het uitoefenen van het openbaar gezag dat aan de verwerkingsverantwoordelijke is verleend;
c) om redenen van algemeen belang op het gebied van volksgezondheid overeenkomstig artikel 9, lid 2, punten h) en i), en artikel 9, lid 3;
d) met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, voor zover het in lid 1 bedoelde recht de verwezenlijking van de doeleinden van die verwerking onmogelijk dreigt te maken of ernstig in het gedrang dreigt te brengen;
e) voor de instelling, uitoefening of onderbouwing van een rechtsvordering.

Het recht om vergeten te worden is dus niet absoluut. Zo zal een klant die dit recht inroept in de regel echt nog vele jaren in de administratie van een onderneming opgenomen blijven. Op die onderneming rust namelijk een administratieplicht die dwingt om de administratie voor minimaal zeven jaar te bewaren. 

Sterker nog, er is al rechtspraak waar expliciet is geoordeeld dat het voor risico van de onderneming komt als deze te snel, te vroeg of te veel gegevens uit zijn administratie verwijdert. 

En zo zijn er nog wel meer redenen om een verwijderverzoek genuanceerd te benaderen.

Diverse zaken komen niet uit de verf

Verder valt op dat in het artikel veel vraagstukken rondom 'big data' nu juist niet uit de verf komen. Denk hierbij bijvoorbeeld aan:

  • doelbinding: persoonsgegevens mogen niet 'zomaar' voor een ander doel worden gebruikt dan waarvoor ze zijn verzameld;
  • bijzondere persoonsgegevens: bij profilering mogen in beginsel geen bijzondere persoonsgegevens worden gebruikt;
  • dpia / gegevensbeschermingseffectbeoordeling: afhankelijk van de risico's en gevolgen van de profilering is een voorafgaande dpia mogelijk veprlicht;
  • etc.

Wilt u verantwoord met big data aan de slag? Vraag advies

U ziet het: big data en privacyrecht roept de nodige vragen op. Vaar niet op een persbericht met fouten, maar vraag terdege advies. We zijn u graag van dienst.