Download this presentation (pdf)

Privacywetgeving en klantenbeheer
Focum | Brussel | 13 mei 2014
Johan Vandendriessche
Advocaat (crosslaw)
| www.crosslaw.be |
| [email protected] |
Overzicht
Wat is klantenbeheer?
Wettelijke benadering
• Algemeen
• De verwerking van de klantengegevens
• De verzending van (reclame)boodschappen
Impact van (mogelijke) toekomstige wetgeving
2
Wat is klantenbeheer?
Vaktechnische benadering
• Louter technische benadering
• Databankbeheer
• Data management
• Commerciële benadering (CRM)
• Klantrelatiebeheer
• Relatiemarketing (direct marketing)
3
Wat is klantenbeheer?
Privacywetgeving (WVP) - CBPL
• “De administratie van het cliënteel, het beheer van de
bestellingen, de leveringen, de facturatie van materiële en
immateriële diensten. Het opvolgen van de solvabiliteit.
Gepersonaliseerde marketing en reclame. Het registreren van
het cliënteel van een handelszaak en de profilering ervan op
basis van aankopen”
• Ruime definitie (‘CRM’)
•
•
•
•
Technische beheer
Beperkte, gepersonaliseerde berichten en/of reclame
Profilering
Klantensurveys (b.v. klanttevredenheid)
• Bestaande klanten, prospecten en voormalige klanten
4
Wat is klantenbeheer?
Finaliteiten in het verlengde:
• Bestrijding van fraude en inbreuken van het cliënteel
• Beheer van betwistingen
• Direct marketing
• “Prospectie, activiteiten, diensten aangeboden door
commerciële firma’s, liefdadigheidsinstellingen of andere
verenigingen of stichtingen, o.a. deze van politieke aard, aan
bevolkingssegmenten. Het communicatiemiddel dat hiertoe
gebruikt wordt, kan post, telefoon of andere rechtstreekse
middelen (bijv. e-mail, ….) zijn. Het heeft geen belang of de
geadresseerde reeds klant is of niet.”
5
Wat is klantenbeheer
Finaliteiten in het verlengde:
Direct marketing
• “alle activiteiten die het mogelijk maken om goederen
en diensten aan te bieden of andere boodschappen te
verzenden aan een deel van de bevolking via de post,
de telefoon of andere middelen, gericht op het
informeren van of het uitlokken van een reactie van de
betrokkene alsmede enige daarmee verband houdende
dienst”
• Begrip is ruimer dan reclame in de WMPC en Wet
Elektronische Handel
6
De wettelijke regeling
(Complexe) samenloop van wetten
• Historische oorzaak
• Evolutie naar opt-in impliceert verschuiving uit de
WVP naar andere wetgeving
• Onderscheid gegevens vs. communicatiemiddel
Wetgeving
• Wet Verwerking Persoonsgegevens (WVP)
• Wet Elektronische Handel
• KB Elektronische Post
• Wet Marktpraktijken (WMPC)
7
Verwerking van
persoonsgegevens
Toepassingsgebied
• Verwerking van persoonsgegevens
• (geheel of gedeeltelijk) geautomatiseerd
• Manueel, opname in een bestand
• Aanknopingspunt met België
• Activiteiten van de vaste vestiging van de
verantwoordelijke voor de verwerking
• Herkomstlandbeginsel
 Toepassing van een rechtstelsel binnen de EER =
uitsluiting van de andere rechtsstelsels binnen de EER
8
Verwerking van
persoonsgegevens
Persoonsgegevens (artikel 1, §1 WVP)
• Informatie m.b.t. een geïdentificeerde of
identificeerbare natuurlijke persoon
• Ruime interpretatie
 Niet enkel in hoofde van de entiteit die de gegevens
verwerkt
 Identificatiemogelijkheid op basis van “redelijk inzetbare
middelen”
• Niet noodzakelijk privacygevoelig of vertrouwelijk
 Voor bepaalde bijzondere categorieën gegevens gelden
striktere regels (gevoelige persoonsgegevens,
gezondheidsgegevens, gerechtelijke
persoonsgegevens): in principe geldt een verbod om te
verwerken
9
Verwerking van
persoonsgegevens
Verwerking (artikel 1, §2 WVP)
• “elke bewerking of elk geheel van bewerkingen met
betrekking tot persoonsgegevens, al dan niet
uitgevoerd met behulp van geautomatiseerde
procédés”
Wet geeft chronologisch overzicht
• Van inzameling tot vernietiging/anonimisering
Conclusie: elke manipulatie van persoonsgegevens is
een verwerking
• Opgelet: niet alle verwerkingen vallen onder het
toepassingsgebied van de WVP
10
Verwerking van
persoonsgegevens
Voornaamste actoren
• Verantwoordelijke voor de verwerking (artikel 1, §4
WVP)
• Verantwoordelijke bepaalt doel en middelen van
verwerking
• Verwerker (artikelen 1, §5 WVP)
• Verwerker verwerkt ten behoeve van verantwoordelijk
(‘uitbesteding’)
• Personen die onder het rechtstreek gezag van de
verantwoordelijke voor de verwerking werken (b.v.
diens werknemers), vallen niet onder het begrip
‘verwerker’
• Specifieke verplichtingen ingeval van gebruik verwerker
11
Verwerking van
persoonsgegevens
Voorwaarden waaraan persoonsgegevens moeten
voldoen
• Eerlijk en rechtmatig verwerken (‘eerlijkheid’ en
‘transparantie’)
• Correcte implementatie van policies is cruciaal!
• Voor welbepaalde, uitdrukkelijk omschreven en
gerechtvaardigde doeleinden (‘doelgebondenheid’)
• Keuzevrijheid is niet onbeperkt
 Omschrijving doeleinde
 Motivering keuze
12
Verwerking van
persoonsgegevens
Voorwaarden waaraan persoonsgegevens moeten
voldoen
• Toereikend, ter zake dienend en niet overmatig
voor doel (‘proportionaliteit’)
• Nauwkeurig en, indien nodig, bij te werken
(‘datakwaliteit’)
• Niet langer bewaren dan noodzakelijk
(‘tijdsbeperking’)
13
Verwerking van
persoonsgegevens
Grondslagen voor de verwerking:
• ondubbelzinnige en vrijwillige toestemming (met kennis van
zaken)
• noodzakelijk voor uitvoering van een overeenkomst waarbij
betrokkene partij is of voor precontractuele maatregelen
(informatie over een product of het uitvoeren van een bestelling)
• noodzakelijk voor vervullen van taak van openbaar belang
of taak die deel uitmaakt van uitoefening van openbaar gezag
(bpost)
• noodzakelijk voor behartiging van gerechtvaardigd belang
van de verantwoordelijke voor de verwerking of van de derde
aan wie de gegevens worden verstrekt, mits afweging van het
belang of de fundamentele rechten en vrijheden van de
betrokkene
• ‘catch-all’, maar inherent risicovol door de eigen afweging
van de respectieve belangen
14
Verwerking van
persoonsgegevens
Rechten van de betrokkene
•
•
•
•
Recht op informatie (‘transparantie’) (artikel 9 WVP)
Recht op mededeling (artikel 10 WVP)
Recht op verbetering (artikel 12 WVP)
Recht op verzet (artikel 12 WVP)
Uitoefening recht op mededeling en recht op
verbetering
• Gedagtekend en ondertekend verzoek
• Overhandiging, per post of per telecommunicatiemiddel
• Reactie binnen een termijn van:
• 1 maand in geval van uitoefening van recht op verbetering
• onverwijld, en in elk geval binnen de 45 dagen, in geval van
uitoefening van het recht op mededeling
• Anti-misbruikbepaling: bijkomende verzoeken kunnen slechts na
verloop van het verstrijken van een redelijke termijn
15
Verwerking van
persoonsgegevens
Beveiligingsplicht
• Gepaste technische en organisatorische maatregelen
• Elke vorm van onrechtmatige verwerking
• Passend beveiligingsniveau
• de stand van de techniek terzake en de kosten voor het
toepassen van de maatregelen
• de aard van de te beveiligen gegevens en de potentiële
risico's
• Specifieke verplichtingen
• Verplichtingen m.b.t. verwerkers
16
Verwerking van
persoonsgegevens
Verplichtingen m.b.t. verwerkers
• Keuze verwerker
• Verwerkingsovereenkomst
• Aansprakelijkheid van de verwerker vastleggen (artikel
15bis WVP!)
• Veiligheid
 Technische en organisatorische maatregelen
 Verplichting tot effectief toezicht daarop
• Opdracht van de verwerker afbakenen (handelt
uitsluitend in opdracht van de verantwoordelijk conform
diens instructies)
• Schriftelijk of op elektronische drager
17
Verwerking van
persoonsgegevens
Aangifte van de verwerking bij CBPL
• Blauwdruk van de verwerking (per doel, niet per
toepassing)
• Openbaar register via website CBPL
Voor elke aanvang van verwerking, bij elke wijziging
of bij stopzetting van de verwerking
Uitzonderingen (voorwaardelijk)
• Contactname (beheer contactgegevens)
• Klantenbeheer
• Bestaande, potentiële en gewezen klanten
18
Verwerking van
persoonsgegevens
Enkele praktische gevallen
• Samenvoegen van databanken
• Aankopen van persoonsgegevens
• Externe toetsing van de datakwaliteit
• Consultancy
• Matching van verschillende databanken
• (Klanten)surveys
• Nieuwe verwerking
• Verenigbare finaliteit
• Secundaire verwerking
19
Verzending van
reclameboodschappen
Reglementering in functie van communicatiemiddel
• Elektronische post
• Andere communicatiemiddelen
Impact Wet Verwerking Persoonsgegevens
• Recht op verzet inzake direct marketing
• Kosteloos en zonder motivering
• Verhindert verzending van reclame door een
verwerkingsverbod
 Opgelet met de bewoording van dit recht
20
Verzending van
reclameboodschappen
Reclame
• “elke vorm van communicatie bestemd voor het direct
of indirect promoten van de goederen, diensten of het
imago van een onderneming, organisatie of persoon
die een commerciële, industriële of ambachtelijke
activiteit of een gereglementeerd beroep uitoefent”
• Op zich geen reclame
• Informatie die toegang geeft tot de activiteit van een
onderneming (b.v. domeinnaam of e-mailadres)
• Onafhankelijke mededelingen (klantenreview)
 Geen financiële tegenprestatie
21
Verzending van direct
marketing: elektronische post
Elektronische post?
• “elk tekst-, spraak, geluids- of beeldbericht dat over
een openbaar communicatienetwerk wordt verzonden
en in het netwerk of in de eindapparatuur van de
ontvanger kan worden opgeslagen tot het door de
afnemer wordt opgehaald"
• Zeer ruime definitie: online chatting (?), SMS, e-mail,
voice mail, …
• Faxbericht?
A contrario uitgesloten door Richtlijn
2002/58/EG en artikel 100 WMPC
22
Verzending van direct
marketing: elektronische post
Algemeen beginsel: opt-in
• Vereiste van voorafgaande, vrije, specifieke en
geïnformeerde toestemming
• Uitdrukkelijk? Werkgroep Artikel 29, CBPL en diverse
rechtsleer.
• Stilzwijgend? Kh. Nijvel 6 november 2003 en sommige
rechtsleer.
• Artikel 1, §8 Wet Verwerking Persoonsgegevens:
relevant?
• Bewijslast bij adverteerder
• Veilige oplossing: niet-aangevinkt vakje (positieve
handeling)
23
Verzenden van direct
marketing: elektronische post
Uitzonderingen (soft opt-in)
• Bestaande klantenrelatie
• Gegevens verkregen bij verkoop product of dienst, met
inachtname private levenssfeer
• Gelijkaardige producten of diensten
• Opt-out bij inzameling
• Rechtspersonen
• Rechtspersoonlijkheid (!)
• Onpersoonlijk e-mailadres (b.v. info@)
 Opgelet met onpersoonlijke e-mailadressen van
natuurlijke personen (jvx0a@)
• Rechtsleer: geen omzeiling
24
Verzending van direct
marketing: elektronische post
Initiatiefrecht adverteerder
• Wettekst en voorbereidende werkzaamheden lijken
dit uit te sluiten
• FOD Economie staat dit toe onder voorwaarden
•
•
•
•
•
•
Naleving wetgeving verwerking persoonsgegevens
Voldoende duidelijk onderwerp in bericht
Initieel bericht: geen reclameboodschap
Uitdrukkelijke toestemming
Redelijke termijn
Informatie over recht van verzet (optioneel)
25
Verzending van direct
marketing: elektronische post
Specifiek recht van verzet
• Ogenblik
• Bij inzameling (de facto omwille van opt-in)
• Bij verzending
• Op elk ogenblik op initiatief van de ontvanger
• Opgelet met bewoording opt-out
• Cumulatief met recht van verzet in WVP
• Specifiek aan adres koppelen
• Procedure
• Ontvangstbevestiging
• Uitvoering
• Lijst bijhouden
26
Verzending van direct
marketing: andere middelen
Andere communicatiemiddelen
• Opt-in
• Geautomatiseerde oproepsystemen
• Fax
• Opt-out
• Brief
• Telefoon (bel-me-niet-lijst)
27
Toekomst
Wetboek Economisch Recht
• Codificatie van wetgeving inzake economisch recht
• Relevante bepalingen treden in werken vanaf 31 mei
2014
• Inhoudelijk geen noemenswaardige impact op de
problematiek van direct marketing
28
Toekomst?
Ontwerpverordening (COM(2012)/11 final)
• Praktische impact
• Eengemaakt instrument
 Uniformisering van beleid en beheer
• Toestemming als verwerkingsgrond
 Betrokkene kan toestemming steeds intrekken
 Praktisch probleem
 Toename van het belang van de andere
verwerkingsgronden (geen mogelijkheid tot intrekken
toestemming)
• Privacy Impact Assessment
29
Toekomst?
Ontwerpverordening (COM(2012)/11 final)
• Praktische impact
• Sterker uitgewerkte bepalingen inzake veiligheid
 Aanstelling data protection officer
 Privacy by Design
 Privacy by default
•
•
•
•
‘Data portability’
‘Right to be forgotten’
‘Data breach’ kennisgevingen
Intensivering van het handhavingsbeleid
30
Bedankt voor uw aandacht!
Vragen?
31