Handelen in data is een lucratieve business. De meeste mensen hebben weleens een mail of poststuk ontvangen van partijen waarvan zij zich afvroegen hoe deze aan hun gegevens zijn gekomen. Relatief weinig handelingen zijn nodig om data te (ver)kopen en in te zetten voor direct marketing doeleinden. Ook het hergebruiken van data is geen uitzondering. Data is tenslotte geld waard. Je mag data (ver)kopen of gebruiken voor andere doeleinden, maar let wel: de wet stelt voorwaarden aan deze manieren van het gebruik van data. Welke? Dat lees je in deze blogreeks. In deze eerste blog zal worden ingegaan op het handelen in data.
Jaarlijks stelt de Autoriteit Persoonsgegevens een aantal speerpunten vast. Deze speerpunten zijn, zoals de naam al doet vermoeden, de onderwerpen waarop de Autoriteit Persoonsgegevens extra zal controleren en waar nodig, zal handhaven. Tot de speerpunten van 2018/2019 behoort de handel in data. Belangrijk dus voor bedrijven om bij de handel in data rekening te houden met de regels die daarvoor gelden. De Autoriteit Persoonsgegevens heeft vele vragen gekregen over direct marketing. Om die reden heeft de Autoriteit Persoonsgegevens besloten om meer duidelijkheid te scheppen, door middel van een overzicht van spelregels op het gebied van direct marketing en handel in data.
Om te illustreren hoe data gebruikt kan worden voor direct marketing doeleinden, een simpel voorbeeld: iemand die een abonnement heeft op een voetbalzender op TV zal wellicht ook geïnteresseerd zijn in een voetbalreisje. De voetbalreisaanbieder wil daarom graag abonneehouders van de desbetreffende voetbalzender benaderen om te vragen of ze inderdaad geïnteresseerd zijn om een voetbalreis bij hem af te nemen. Direct marketing dus. Het enige wat hij hiervoor nodig heeft is de data van de voetbalzender. Juist deze manier van handelen is een manier die de Algemene Verordening Gegevensbescherming (AVG) heeft willen reguleren.
Bovenstaand voorbeeld van het verhandelen van data vindt plaats tussen organisaties onderling, maar kan ook via een databroker gebeuren. Een databroker koopt allerlei waardevolle data bij verschillende organisaties op, en verkoopt de relevante data vervolgens aan bedrijven als de voetbalreisaanbieder. Het verdienmodel van de databroker bestaat dus uit het verzamelen van zoveel mogelijk informatie over personen om deze data vervolgens door te verkopen aan bedrijven die de data voor eigen doeleinden kunnen gebruiken. Bijvoorbeeld voor het verzenden van reclame.
Aan het verkopen van data aan derde partijen zijn middels de AVG regels gebonden. Allereerst moet je de data op een rechtmatige wijze verkrijgen. Dat houdt in dat je een grond moet hebben om de data te verzamelen en vervolgens te verhandelen. Voor de doorgifte van data aan derde partijen zal dit de welbekende toestemmingsgrond zijn. De betrokkene, degene over wie de data gaat, moet toestemming gegeven hebben aan de partij die de data verzamelt. Die toestemming ziet dan op het verkopen van de data aan een derde partij. Daarnaast moet de betrokkene toestemming hebben gegeven voor het gebruik van de verkochte data door deze derde partij. De betrokkene moet dus bij het verstrekken van zijn data al weten wie de derde partij is die de data gaat kopen en wat deze met zijn data gaat doen. Die zogeheten voorafgaande geïnformeerde toestemming is een groot struikelblok bij het verhandelen van data. De verkoper van data weet doorgaans niet wat zijn koper met de data gaat doen. De koper weet dat mogelijk zelf nog niet eens. Wanneer hier een databroker tussen zit, zal de databroker bij het inkopen van de data vaak ook nog niet weten wie zijn koper(s) zal/zullen zijn. Het hebben van een juiste grondslag voor het verhandelen van data lijkt daarmee in dit soort gevallen onmogelijk.
Indien data rechtmatig verhandeld wordt, geldt nog dat alle betrokken partijen (de verkoper, de koper en eventueel de databroker) de gegeven toestemming moeten kunnen bewijzen. Het bewijzen van toestemming ziet niet alleen op het feit dat de betrokkene een vinkje heeft gezet. De partijen moeten ook kunnen bewijzen waar de toestemming precies op zag en welke informatie voorafgaand aan de gegeven toestemming is verstrekt. Die informatie wordt doorgaans gegeven via de privacyverklaring en in de toestemmingsvraag zelf. Het is dus zaak dat alle betrokken partijen over die informatie beschikken en die informatie goed bewaren.
Het rechtmatig verhandelen van data onder de AVG kan, maar is niet gemakkelijk. De AP kan en zal controleren of de handel in data rechtmatig gebeurt. Gebeurt dit niet rechtmatig? Dan mag de AP een boete opleggen. Zorg daarom dat je op de juiste wijze toestemming verkrijgt voor het verhandelen van zijn of haar data en zorg dat je de betrokkene goed informeert over alles wat er na de verkoop met de data gebeurt. Óók als het gaat om het gebruik van openbare data.
In deze blog hebben we de regels omtrent de handel in data uiteengezet. In de volgende blogs gaan we in op de regels omtrent telefonische direct marketing en regelgeving omtrent elektronische berichten en reclamepost.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.