3. Er moet altijd om toestemming gevraagd worden
Veel bedrijven denken dat voor iedere verwerking van persoonsgegevens, bijvoorbeeld bij de verwerking voor marketingdoeleinden, voorafgaande toestemming aan de betrokkenen moet worden gevraagd. Dit is niet correct. Er staan in de AVG namelijk zes verschillende gronden op basis waarvan persoonsgegevens verwerkt mogen worden. De grondslag toestemming is daar slechts één van. In sommige gevallen, zo ook bij direct marketing, kan ook worden verwerkt op basis van een andere grondslag zoals het gerechtvaardigd belang. Vooral op het gebied van B2B marketing zal de impact op iemands privacy niet heel groot zijn en kan men vaker gebruik maken van het gerechtvaardigd belang. Daarnaast bestaan er voor direct marketing nog een aantal uitzonderingen, zoals de uitzondering voor bestaande klanten. In dat geval hoeft meestal ook geen voorafgaande toestemming gevraagd te worden. Benieuwd naar de spelregels van direct marketing? Download dan de checklist onderaan dit artikel. Hier alvast een preview:
Als er wel toestemming wordt gevraagd voorafgaand aan een verwerking voor bijvoorbeeld direct marketing, loopt een bedrijf het risico klanten te verliezen. Als er namelijk toestemming wordt gevraagd, ook als dit niet nodig was, en een potentiële klant zegt “nee”, dan mogen zijn of haar gegevens niet verwerkt worden. Deze potentiële klanten mogen in dat geval niet langer benaderd worden voor marketingdoeleinden.
4. Alleen digitale bestanden vallen onder de AVG
Een ander groot misverstand is dat veel mensen denken dat de regels uit de AVG alleen betrekking hebben op digitale bestanden. Dit is onjuist. Papieren documenten kunnen net zo goed als digitale documenten persoonsgegevens bevatten. Als persoonsgegevens verwerkt worden, is de AVG van toepassing. Daarbij maakt het niet uit op wat voor manier deze gegevens verwerkt worden. Zo kan het verliezen van een papieren document met daarop (vertrouwelijke) persoonsgegevens ook leiden tot een datalek in de zin van de AVG.
5. Alle datalekken moeten gemeld worden bij de AP
Dit is niet juist. Bij een datalek gaat het om ongeoorloofde of onbedoelde toegang tot persoonsgegevens. Ook het ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens valt onder deze definitie. Voorbeelden van datalekken zijn het verlies van een niet versleutelde USB-stick met daarop persoonsgegevens of een cyberaanval waarbij persoonsgegevens zijn gestolen.
In de AVG staat dat datalekken (beveiligingsincidenten) zo spoedig mogelijk, en uiterlijk binnen 72 uur nadat het lek is vastgesteld, gemeld moeten worden bij de AP. Dit geldt echter alleen voor datalekken die een risico opleveren voor de betrokkene(n) en zijn/haar omgeving. Indien dit niet het geval is, hoeft het datalek enkel intern geregistreerd te worden. Het wel of niet melden van een datalek is dus afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkenen. Als het onwaarschijnlijk is dat een datalek leidt tot een risico voor de rechten en vrijheden van betrokkenen, hoeft het lek niet gemeld te worden bij de AP.
Direct marketing spelregels
Risico’s zoals het verlies van klanten voorkomen? Download de direct marketing infographic voor een handig overzicht met wanneer er wel of geen toestemming van de ontvanger nodig is. Kijk voor meer informatie op de website van Consignium.
Bron: (foto) Unsplash
Download bijlagen
Je moet lid zijn van Riskworld om bijlagen te downloaden. Word gratis lid of log in.