13.2 Online persoonsgegevens verwerken
identificeren
Persoonsgegevens zijn gegevens aan de hand waarvan u een individu kunt identificeren en die informatie verschaffen over die persoon. Dat is dus niet alleen een naam of een e-mailadres. Het gaat om alle gegevens die iets zeggen over die persoon.
Regels
Dat kan bijvoorbeeld ook het gegeven zijn dat iemand een babybedje bestelt in een webwinkel. In hoofdstuk 2 kon u al lezen wat persoonsgegevens precies zijn en welke wetten gelden. Voor online situaties zijn een aantal regels belangrijk om te kennen.
13.2.1 Verwerken
Het verwerken van persoonsgegevens kwam in eerdere hoofdstukken al aan bod, maar vooral in de context van medewerkers. Voor het verwerken van persoonsgegevens van klanten gelden grotendeels dezelfde regels. Onder ‘verwerken van klantgegevens’ valt een hele lijst van activiteiten, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen. Wat u ook doet met persoonsgegevens van klanten, de kans is zeer groot dat het onder verwerken valt.
13.2.2 Grondslagen
Als uw organisatie persoonsgegevens via de website verzamelt en verwerkt, mag dat alleen als zij daarvoor een goede reden heeft. De toegestane redenen staan in de wet.
In de AVG worden die zes toegestane redenen omschreven, zogenoemde grondslagen. Die grondslagen kunt u vinden in paragraaf 4.1.
Relevante grondslagen
online verworven
Niet alle grondslagen zijn voor elke organisatie even relevant. Voor de verwerking van online verworven persoonsgegevens zullen de volgende twee grondslagen het belangrijkst zijn:
- De betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden.
- De verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen.
Is het belang gerechtvaardigd?
Voor commerciële doeleinden zal een organisatie meestal terugvallen op de grondslag van gerechtvaardigd belang, waarbij de belangen van de organisatie worden afgewogen tegen het privacyrecht van de websitebezoeker. Dit is het geval als de organisatie haar activiteiten niet goed kan uitoefenen zonder dat zij persoonsgegevens verwerkt. Marketing valt hieronder. De organisatie zal wel elke keer moeten afwegen of haar belang de privacy van klanten niet te veel schendt.
13.2.3 Toestemming
Met toestemming van de klant mag een organisatie persoonsgegevens verwerken. Maar zij mag alleen datgene doen waarvoor de klant toestemming heeft gegeven. De organisatie mag dus niet in het algemeen toestemming vragen, want dan is een ‘akkoord’ niet geldig.
Zaken op een rijtje zetten
ondubbelzinnig
Organisaties zullen dus eerst op een rijtje moeten zetten waarvoor zij de persoonsgegevens gaan gebruiken. Bijvoorbeeld opname in het klantenbestand, een nieuwsbrief, aanbiedingen op maat mailen, delen met andere partijen, enzovoorts. Bovendien moet de toestemming ondubbelzinnig zijn. Dat betekent dat de organisatie moet kunnen bewijzen dat zij toestemming heeft van de klant en ook waarvoor.
13.2.4 Overeenkomst
adresgegevens
Het is vanzelfsprekend dat organisaties bepaalde persoonsgegevens van de klant nodig hebben om een overeenkomst met hem te kunnen uitvoeren. Maar die adresgegevens mag de organisatie vervolgens niet gebruiken om de klant bijvoorbeeld later nog eens een mailing over een ander product te sturen. Daarvoor moet de organisatie dan eerst weer toestemming hebben. Bovendien mag een organisatie niet meer gegevens van de klant vragen dan nodig is om het product of de dienst aan hem te leveren.
Direct mail behoort tot de mogelijkheden
afmeldmogelijkheid
Een organisatie mag wel ongevraagd e-mails sturen met aanbiedingen voor producten aan bestaande klanten, als zij eerder een soortgelijk product hebben gekocht. Maar dan moet de klant de mogelijkheid hebben gehad om aan te geven dat hij geen ongevraagde mails wil krijgen. Bovendien moet elke mail die de organisatie stuurt een afmeldmogelijkheid bevatten.