Algemeen kader voor klantgegevens: Wbp
De algemene wet die regels geeft voor de omgang met persoonsgegevens is de Wet bescherming persoonsgegevens (Wbp). Aangezien u bij elektronisch klantcontact per definitie persoonsgegevens verwerkt, zal in ieder geval aan deze wet moeten worden voldaan. Het is denkbaar dat er daarnaast ook nog aan specifieke aanvullende regels moet worden voldaan (zoals ten aanzien van spam, cookies, etc.). Daarover hierna meer.
Enkele concrete te ondernemen acties vanwege Wbp
De Wbp is een behoorlijk uitgebreide wet en het gaat te ver om voor dit bericht alle aspecten van die wet te behandelen. Graag verwijs ik u naar onze gratis online privacycheck voor een vollediger beeld van deze wet. Voor dit bericht signaleer ik enkele concrete actiepunten die voor iedere internetondernemer uit de Wbp voortvloeien:
- opstellen van een deugdelijk privacystatement;
- inrichten van uw organisatie voor privacyvragen van klanten;
- adequaat verwerken van wensen van klanten;
- zorgen voor een goede beveiliging van persoonsgegevens;
- vaststellen en handhaven van een bewaartermijn.
Ad. 1. Opstellen van een deugdelijk privacystatement
Een van de kernbeginselen van het privacyrecht is transparantie. De Wbp verplicht u te vertellen wie u bent en voor welke doelen u de ontvangen persoonsgegevens zal gaan verwerken. Ook bent u verplicht om andere informatie te geven voor zover dat passend is (de wet laat open welke informatie dit dan precies is).
In de praktijk wordt aan deze transparantie-eis voldaan door het beschikbaar stellen van een privacystatement op de website. In een dergelijk document wordt in de regel meer informatie opgenomen dan wettelijk verplicht. Dat is overigens niet zo verrassend. Zo veel mogelijk transparantie betrachten is in de regel namelijk goed voor zowel uw juridische positie als uw (online) reputatie.
Ad. 2. Inrichten van uw organisatie voor privacyvragen van klanten
Zodra klanten - dankzij het privacystatement (zie hiervoor) - eenmaal weten waar ze terecht kunnen met vragen over hun privacy, ligt het voor de hand dat er ook af en toe daadwerkelijk een vraag over een privacykwestie binnen zal komen.
Die vragen zullen tijdig moeten worden beantwoord. Wanneer uw klant zijn recht op inzage, correctie of verzet uitoefent, zou te late beantwoording van dat verzoek zelfs tot een rechtszaak kunnen leiden. De klant kan zich namelijk vanwege bestaande rechtspraak gedwongen zien om bij uitblijven van een antwoord naar de rechter te gaan, om maar te voorkomen dat hij het recht verspeelt dit later alsnog te doen. Het is dan ook zaak dat u uw organisatie hier op voorbereidt en zorgt dat dergelijke verzoeken daadwerkelijk tijdig worden afgehandeld.
Voor de goede orde: de wet verplicht u overigens niet om ieder verzoek in te willigen. U dient wel op ieder verzoek met betrekking tot inzage, correctie en verzet te reageren. Alleen het verzoek tot beeindigen van commercieel gebruik van persoonsgegevens dient altijd te worden gehonoreerd.
Ad. 3. Adequaat verwerken van wensen van klanten
Het klinkt wellicht als een open deur, maar niettemin gaat het toch erg vaak fout: het is van belang dat u de gegevens van uw klanten daadwerkelijk deugdelijk administreert. Problemen op dit vlak kunnen al snel ontstaan wanneer u persoonsgegevens in verschillende systemen registreert, of wanneer u gebruik maakt van allerlei verschillende hulppersonen.
Zo wordt in de praktijk nog regelmatig vergeten dat wanneer een klant gebruik maakt van zijn recht te verlangen dat zijn persoonsgegevens niet langer voor commerciele doeleinden worden gebruikt, dit automatisch betekent dat de betreffende klant dus ook geen nieuwsbrieven meer mag ontvangen en ook niet meer door call-centers mag worden gebeld. Dat de persoonsgegevens van deze klant in de praktijk over verschillende systemen verspreid staan opgeslagen, is daarbij volstrekt irrelevant.
Ook wordt regelmatig niet of niet volledig bijgehouden aan welke partijen bepaalde persoonsgegevens allemaal zijn verstrekt. Dit terwijl op grond van Europese jurisprudentie voor ten minste een jaar moet worden bewaard aan welke partijen persoonsgegevens zijn verstrekt.
Dit alles verget dus een deugdelijke en samenhangende administratie. Hierover zal vooraf goed moeten worden nagedacht bij de inkoop van software.
Ad. 4. Zorgen voor een goede beveiliging van persoonsgegevens
In lijn met het voorgaande ligt de eis dat u persoonsgegevens op een passende wijze zult moeten beveiligen. Dat betekent dat niet alleen technische (ICT) maatregelen moeten worden getroffen, maar ook organisatorische.
Het niet op passende wijze beveiligen van persoonsgegevens kan tot forse consequenties leiden. Zo kan het CBP een last onder dwangsom opleggen, wat effectief betekent dat u gedwongen wordt betere beveiliging te hanteren en dat u tot die tijd periodiek een bepaald bedrag verbeurt. Mocht uw gebrek aan beveiliging leiden tot het uitlekken van persoonsgegevens, dan zouden de betrokken klanten de daardoor geleden schade op grond van artikel 49 Wbp op u kunnen verhalen. Die schade kan fors oplopen, zeker wanneer gevoelige gegevens als creditcardnummers of wachtwoorden uitlekken. In de toekomst komt er bovendien waarschijnlijk wetgeving aan die o.m. forse boetes stelt op dergelijke datalekken.
Ad. 5. Vaststellen en handhaven van een bewaartermijn
Op grond van de Wbp mag u persoonsgegevens niet langer bewaren dan noodzakelijk. Hoe lang dat precies is, wordt in feite aan uzelf overgelaten. U dient hier zelf een keuze te maken.
Er gelden daarbij enkele vuistregels. Op grond van wettelijke administratieplichten zult u veel (maar zeker niet alle!) gegevens voor een bepaalde minimumperiode moeten bewaren. In de regel is die termijn zeven jaar. Wanneer die wettelijke bewaarplicht ook ziet op persoonsgegevens, dan is daarmee in ieder geval geborgd dat u deze gegevens voor deze duur mag bewaren.
Vervolgens dient u zich de vraag te stellen of er enige noodzaak is de gegevens na die minimumperiode nog langer te bewaren. Die noodzaak kan er best zijn, bijvoorbeeld omdat u bestaande klanten reclame wilt kunnen blijven sturen (ook al gaat het om klanten die al langer geleden bij u hebben besteld). Op een gegeven neemt dit belang echter wel af. Anders gezegd: het lijkt voor de meeste branches in het algemeen weinig zinvol om iemand te blijven benaderen die bij wijze van spreken twintig jaar geleden eenmalig iets bij u heeft besteld. In dat kader zou u bijvoorbeeld de praktische regel kunnen vaststellen dat gegevens van een klant zeven jaar na het laatste actieve contact niet langer worden bewaard. Wellicht dat er een ander verwerkingsdoel is aan te wijzen dat langer bewaren rechtvaardigt.
Ten slotte moet u de afweging maken of de gegevens na de door u vastgestelde termijn worden vernietigd of gearchiveerd. Bij die afweging dient u ook uw bewijspositie te betrekken. Het zou immers vervelend zijn wanneer u in een eventuele rechtszaak niets kunt bewijzen, omdat al het bewijs al is vernietigd. Nu verjaren veel claims al na 5 jaar (zie o.m. artikel 3:307 BW), dus in de regel zal dit aspect niet heel zwaar mee tellen, maar het is denkbaar dat die termijn pas laat begint te lopen of dat toch de langere verjaringstermijn van 20 jaar geldt (artikel 3:306 BW). Dit alles zou dus kunnen pleiten voor statische archivering. Dat betekent dan wel dat de gegevens daadwerkelijk apart moeten worden gezet en dus uit de actieve administratie worden gehaald. Het voordeel van vernietiging daarentegen is uiteraard dat er niet langer kosten worden gemaakt voor opslag. U zult deze afweging zelf moeten maken.
Het is ten slotte uiteraard van belang dat u de door uzelf vastgestelde bewaartermijn ook daadwerkelijk handhaaft. U zult dus procedures/werkprocessen hiervoor moeten optuigen, zoals een periodieke controle op en verwijdering van verouderde gegevens.
Bij meeromvattende verwerkingen privacybeleid noodzakelijk
Voor veel kleine internetondernemers zal het opvolgen van de hiervoor genoemde punten in eerste instantie wel volstaan. Grotere ondernemingen ontkomen er niet aan op termijn een meer omvattend privacybeleid te formuleren, al was het maar omdat zij vaak allerlei technieken gebruiken met een grotere privacy-impact (zoals profilering). Er is zelfs wetgeving in aantocht op grond waarvan het niet hebben van beleid wel eens beboet zou kunnen worden. Die wetgeving vormt echter ook voorwerp van flink debat, dus het is nog afwachten wat het eindresultaat daarvan zal zijn.
Nieuwsbrieven en andere mailings
In Nederland geldt alweer enkele jaren een algemeen spamverbod. Dat komt er kort gezegd op neer dat het niet is toegestaan om geautomatiseerd ongevraagde berichten te sturen langs elektronische kanalen. Dit verbod geldt dus niet alleen voor e-mail, maar bijvoorbeeld ook voor berichten op sociale media en reclame per sms.
Er zijn twee belangrijke uitzonderingen: u mag spammen wanneer u (1) hiervoor de toestemming van de ontvanger hebt of (2) de ontvanger een bestaande klant van u is. Beide uitzonderingen kennen echter zo hun valkuilen. Bij toestemming vragen is het van groot belang dat uw verzoek om toestemming duidelijk en voldoende specifiek is, zodat de ontvanger weet en begrijpt wat hij kan verwachten. Verder is het van belang om actief om toestemming te vragen, impliciete toestemming zal nooit volstaan. Voor bestaande klanten geldt dat u hen alleen mag spammen wanneer u (1) hen vooraf hierover hebt geinformeerd en daarbij een opt-out hebt geboden en (2) de spamberichten gaan over soortgelijke producten. Een klant is pas een betaalde klant als er in het verleden voor een product is betaald.
Verder geldt als algemene eis bij spamberichten dat er (1) een functionerende en eenvoudige mogelijkheid tot afmelden moet worden geboden en (2) duidelijk wordt vermeld wie de afzender van de berichten is.
Let op: de spamwetgeving geldt naast de hiervoor al beschreven Wet bescherming persoonsgegevens. U dient dus aan de eisen uit beide wetten te voldoen.
Gebruik van cookies op uw website
Hoe beter u uw klant kent, hoe beter u deze kunt benaderen met gerichte aanbiedingen. Vandaar dat in een online omgeving vaak gewerkt wordt met klantprofielen. Een techniek die kan helpen bij het opbouwen van dergelijke profielen zijn cookies.
Voor het gebruik van cookies is toestemming nodig. Die toestemming is alleen niet nodig voor zogenaamde functionele cookies. Cookies die worden gebruikt voor profielopbouw zijn echter niet functioneel van aard. U dient daarvoor dus vooraf toestemming te vragen. Cookies die worden gebruikt voor zaken die noodzakelijk zijn voor het functioneren van uw website (zoals het winkelmandje) worden overigens wel als functioneel beschouwd en deze kunnen dus zonder toestemming worden gebruikt.
Overigens vormt het profileren van klanten ook een verwerking van persoonsgegevens. Ongeacht welke techniek er voor het bouwen van het profiel wordt gebruikt, er zal hoe dan ook moeten worden voldaan aan de Wbp (zie hiervoor).
Contracteren via e-mail
In de praktijk zullen de meeste bestellingen waarschijnlijk binnen komen via uw website. Vaak gaat dan ook de meeste aandacht uit naar het goed inrichten van de site, zodat aan alle wettelijke eisen wordt voldaan.
Dat neemt niet weg dat ook langs andere kanalen overeenkomsten tot stand kunnen komen. In dat kader kan bijvoorbeeld aan contracteren per e-mail worden gedacht. Overeenkomsten die langs die weg worden gesloten zijn in principe gewoon geldig (de wet kent nauwelijks vormvoorschriften).
Weliswaar gelden er voor dergelijke individuele overeenkomsten minder strenge eisen dan voor websites, daarin kan ook een valkuil zijn gelegen. Zo wordt in de praktijk toch regelmatig vergeten om in een e-mail de algemene voorwaarden van toepassing te verklaren en deze voorwaarden ook mee te zenden. Ook blijft ook bij e-mail van belang dat de inhoud van de e-mail duidelijk is, zodat geen discussie kan ontstaan over de inhoud van de overeenkomst (de "wat-vraag"). Het is dus verstandig een standaard werkproces te formuleren voor het sluiten van overeenkomsten per e-mail, om te voorkomen dat vergeten wordt aan alle juridische vereisten te voldoen.
Disclaimers op website en onder e-mails
Veel websites gebruken in het contact met de klant zogenaamde disclaimers. Deze zijn vaak te zien op de website en onderaan e-mailberichten. Van dergelijke disclaimers moeten geen (juridische) wonderen worden verwacht. De disclaimer is immers een eenzijdige verklaring en het is het maar de vraag of deze geldig is overeengekomen met de ontvanger van de informatie. Bij consumenten geldt bovendien dat een uitsluiting van aansprakelijkheid vaak geen stand houdt indien het er op aankomt (vergelijk ook artikel 6:233 onder a, 6:237 onder f en 6:248 lid 2 BW).
Niettemin is het in de regel wel verstandig disclaimers te hanteren. Immers, baat het niet, dan schaadt het (ook) niet. Disclaimers kunnen bovendien "kleuren" hoe de informatie die op een website staan door de ontvanger begrepen had mogen worden. Daarnaast kunnen disclaimers gebruikt worden om te voldoen aan wettelijke informatieplichten, zoals met betrekking tot het vermelden van het KvK-nummer en de statutaire naam van de venootschap (zie o.m. artikel 27 Handelsregisterwet en artikel 2:186 BW).
Ten slotte
Tot zover enkele algemene opmerkingen over de omgang met klantgegevens en klantcontact op uw website. In het volgende artikel in deze serie zal collega Joost Becker nader ingaan op de regels rondom het maken van reclame voor uw website.
