10.3 Privacy van klanten en relaties

online ­registratie

Websites van zakelijke partijen of sites gericht op zakelijke afnemers vragen hun bezoekers vaak om zich te registreren. Dit kan worden gevraagd met het oog op een onlineaankoop, offerteaanvraag of andere vraag of verzoek. Online registratie is dus een moment bij uitstek om persoonsgegevens te vragen en te verwerken. De verwerking gebeurt doordat de gegevens in een mailingbestand of klantenbestand belanden of simpelweg doordat ze worden opgeslagen. Voor zakelijke profielen zullen bij registratie de bedrijfsgegevens worden gevraagd en verwerkt. Gegevens puur over organisaties zijn geen persoonsgegevens, omdat het bij de laatste moet gaan om gegevens die te maken hebben met een persoon. Bij registratie van zakelijke profielen wordt echter vaak ook gevraagd om een contactpersoon, die zijn gegevens moet invullen. In zakelijke e-mailadressen is bovendien vaak de naam van de afzender verwerkt en die is natuurlijk zo terug te leiden naar een persoon. Het bedrijf achter de website is dan toch bezig met de verwerking van persoonsgegevens en dus met de Wet bescherming persoonsgegevens.

Het kan dus zijn dat u zelf ook toestemming moet vragen voor de verwerking van persoonsgegevens.

Toestemming vragen

privacy­statement

Houd in uw achterhoofd dat u toestemming expliciet moet krijgen. Zo moet een registratieformulier een aanvinkvakje hebben waarin de vereiste toestemming wordt gevraagd. Dit vakje mag niet van tevoren aangevinkt zijn. De toestemming verstoppen in de algemene voorwaarden of een privacystatement is niet acceptabel. Bij persoonsgegevens die uit andere bronnen worden verkregen, moet de betreffende persoon worden geïnformeerd als dat mogelijk is. Persoonsgegevens mogen zoals eerder genoemd alleen verwerkt worden in overeenstemming met de legitieme doeleinden waarvoor ze zijn verkregen. Oftewel, als u toestemming heeft gekregen voor een bepaald doel, mogen de gegevens niet ook voor andere doelen gebruikt worden, tenzij die daarmee in een direct verband staan. Zo mogen webwinkels de persoonsgegevens gebruiken voor de verwerking van de betaling en levering van de bestelde producten. U mag ze echter niet doorgeven aan zakelijke partners, tenzij de klant daar expliciet mee heeft ingestemd. Die tweede toestemming moet zo expliciet zijn dat de zakelijke partijen met wie de mailbestanden gedeeld worden, met naam en toenaam worden genoemd als de klant om toestemming wordt gevraagd. Ook mag er niet meer verzameld worden dan noodzakelijk is voor de afgesproken doelen. Vraag nooit meer informatie dan u nodig heeft. Voor toegang tot een kantoorpand is het prima om de identiteit van bezoekers te controleren aan de hand van hun identiteitskaart of paspoort, maar daarbij hoeft hun burgerservicenummer of pasfoto niet te worden gekopieerd en opgeslagen. Sterker nog, dit soort gegevens mag in dit voorbeeld helemaal niet worden vastgelegd.

Geautomatiseerde verwerking

aanmelden

vrijstelingen

Een geautomatiseerde verwerking van persoonsgegevens moet worden aangemeld bij de Autoriteit Persoonsgegevens. Dit moet vooraf gebeuren, en in de melding moet toegelicht worden wat het doel van de beoogde verwerking is, welke gegevens verzameld worden en hoe deze verwerking beschermd is tegen misbruik. Als de verwerking ingrijpend is of bijzonder gevoelige persoonsgegevens betreft, kan de Autoriteit Persoonsgegevens vooraf een onderzoek instellen. Voor eenvoudige verwerkingen zijn er echter vrijstellingen, in totaal zo’n dertig voor allerlei categorieën.

Wie zich houdt aan de restricties, hoeft zijn verwerking niet aan te melden. Het voert te ver ze hier allemaal te bespreken, maar er zijn onder meer vrijstellingen voor klantenadministraties, netwerkbeheer en toegangscontrole.