U bent hier: Home > In praktijk > Direct marketing

Direct marketing

Na rondvraag bij alle Europese privacycommissies en op basis van verschillende klachten en vragen van de afgelopen jaren heeft de Privacycommissie haar standpunt over direct marketing midden juni 2008 geactualiseerd in een juridische nota.

Op basis van deze nota werden alle belanghebbenden bij dit thema uitgenodigd om hun visie uiteen te zetten bij de toepassing van de Privacywet op direct marketing. Na afloop van de consultatieronde volgde een nieuwe periode van reflectie waarbij alle ontvangen commentaren werden geanalyseerd en verwerkt in een tweede versie van bovenvermelde juridische nota.

Het is deze tweede herwerkte versie die aan de Privacycommissie ter goedkeuring werd voorgelegd en in de vorm van een aanbeveling wordt gepubliceerd. In eerste instantie tekent de aanbeveling de interpretatie uit die de Privacycommissie geeft aan de bepalingen van de Privacywet inzake direct marketing. Daarenboven beveelt de Privacycommissie een aantal werkwijzen aan als best practice en tot slot formuleert ze ten aanzien van de wetgever een aantal wenselijke verbeteringen op de bestaande bepalingen.

Hieronder kan u een overzicht vinden met de belangrijkste krachtlijnen van deze aanbeveling.

Wat is direct marketing?

De Privacywet zelf definieert het begrip "direct marketing" niet. Europese wetgeving verstaat echter het volgende onder deze term: "alle activiteiten die het mogelijk maken om goederen en diensten aan te bieden of andere boodschappen te verzenden aan een deel van de bevolking via de post, de telefoon of andere middelen, gericht op het informeren van of het uitlokken van een reactie van de betrokkene alsmede enig daarmee verband houdende dienst."

De situatie die zich het meest voordoet is een reclameboodschap die iemand op naam ontvangt, niet alleen via de post, maar bijvoorbeeld ook via e-mail, sms, ... Maar er zijn ook andere mogelijkheden:

• direct marketing door één bedrijf in opdracht van een ander bedrijf (waarbij met andere woorden een doorgifte van persoonsgegevens gebeurt);
• adressenhandel (uitwisseling, verkoop of verhuur van bestanden);
• gepersonaliseerde reclame in de zin van de Wet elektronische handel of de Wet handelspraktijken;
• niet-commerciële verwerkingen, zoals de promotie van de activiteiten van een vzw, politieke propaganda;
• ...

Niet-gepersonaliseerde (reclame)boodschappen vallen niet onder de Privacywet aangezien er geen verwerking gebeurt van persoonsgegevens (zoals bv. de verwerking van een naam, telefoonnummer, adres, ...).

Wanneer is direct marketing toegelaten?

De Privacywet stelt dat de verwerking van persoonsgegevens slechts in een aantal welomschreven gevallen mogelijk is.
Om de verschillende verplichtingen te verduidelijken, is het wenselijk om een onderscheid te maken tussen twee situaties:

• u ontvangt direct marketing;
• u wenst persoonsgegevens voor direct marketing te gebruiken.

U heeft het waarschijnlijk al meermaals aan den lijve ondervonden: gepersonaliseerde direct marketing in de brievenbus (bv. reclame), via e-mail (bv. een nieuwsbrief), via sms, ... De eerste vragen die op dat moment meestal door uw hoofd flitsen, zijn: mag dit zomaar en hoe zijn ze aan mijn (adres)gegevens gekomen?

Op zich terechte vragen, die ook een duidelijk antwoord vereisen. Om tegemoet te komen aan bovenstaande en andere vragen wenst de Privacycommissie u enkele krachtlijnen mee te geven.

Mag iemand zomaar mijn persoonsgegevens gebruiken in het kader van direct marketing?

In het kader van direct marketing kunnen drie grondslagen uit de Privacywet als basis dienen om uw persoonsgegevens te gebruiken, namelijk (1) uw toeste mming, (2) het bestaan van een directe (pre)contractuele relatie tussen u en een onderneming, maar alleen als het versturen van direct marketing strikt noodzakelijk is voor deze (pre)contractuele relatie en (3) het bestaan van een zogenaamd afgewogen belang.

Gebruik van uw persoonsgegevens met uw toestemming

Uw ondubbelzinnige toestemming vormt een van de wettelijke grondslagen voor de verwerking van uw persoonsgegevens. Deze toestemming, die overigens op elk ogenblik kan worden ingetrokken, moet evenwel aan enkele voorwaarden voldoen.

De toestemming moet rechtstreeks van u komen. De Privacycommissie geeft er de voorkeur aan dat toestemming verlenen een positieve handeling veronderstelt, zoals bv. een vakje aankruisen in een formulier. Dit zal immers achteraf minder aanleiding geven tot betwisting over de geldigheid van deze toestemming.

Uw toestemming moet vrij zijn. Dit houdt in dat u bijvoorbeeld moet kunnen meespelen met een wedstrijd om een geschenk te ontvangen (bv. een dvd, een cd, een kortingsbon, ...) zonder dat u verplicht wordt om tegelijkertijd met deze wedstrijd uw gegevens door te geven met het oog op het (later) ontvangen van direct marketing. Beide elementen (enerzijds deelname aan de wedstrijd en anderzijds instemming met het ontvangen van direct marketing) moeten met andere woorden los van elkaar staan.

Uw toestemming moet bovendien specifiek zijn. Dit houdt in dat de toestemming specifiek moet te maken hebben met de concrete direct marketing. Daarom is het bijvoorbeeld onvoldoende louter te verwijzen naar de verplichte informatie (waarvan u nog niet weet wat die is of wie die moet verstrekken) in de algemene voorwaarden.
Ten slotte dient uw toestemming op informatie te berusten. Hierover leest u verder meer.

In de hieronder opgesomde gevallen is de Privacycommissie van oordeel dat uw toestemming noodzakelijk is:

• bij het toesturen van gepersonaliseerde boodschappen per e-mail, sms, mms, fax of door middel van geautomatiseerde oproepsystemen vereist bijzondere wetgeving uw toestemming. Dit wordt "opt-in" genoemd. In een aantal gevallen is deze voorafgaande toestemming echter niet vereist en kan u zich enkel nadien verzetten, wat "opt-out" wordt genoemd. Aangezien dit een bevoegdheid is van de FOD Economie kan u hierover meer informatie terugvinden in hun brochure "de spamming: in 24 vragen & antwoorden";
• wanneer er gevoelige gegevens over u verwerkt worden (bv. uw gezondheidsgegevens, uw politieke opvattingen, uw afkomst) is uw schriftelijke toestemming vereist;
• wanneer de beoogde directmarketingactiviteit niet verenigbaar is met het oorspronkelijke doeleinde waarvoor uw gegevens werden ingezameld. Een hergebruik van openbare bronnen (bv. berichten in de geschreven media of informatie die beschikbaar is op het internet) met het oog op direct marketing is bijvoorbeeld niet verenigbaar;
• wanneer u minderjarig bent;
• wanneer er sprake is van "virale marketing". Dit is een duur woord voor iemand aansporen om persoonsgegevens van vrienden of kennissen vrij te geven voor direct marketing. Zo gebeurt het regelmatig dat men u vraagt om namen, adressen en/of telefoonnummers van vrienden en/of kennissen door te geven in ruil voor een geschenk of een korting. Nochtans is het evenwicht hier zoek, omdat de betrokken vrienden en/of kennissen doorgaans niet geïnformeerd worden en ook hun toestemming niet kunnen geven, zodat zij geen controle meer hebben over verwerkingen van hun eigen persoonsgegevens.

In een aantal andere gevallen, en gelet op het gevoelig karakter van bepaalde directmarketingactiviteiten, is het aangewezen dat die slechts met uw toestemming gebeuren, in het bijzonder:

• bij adressenhandel. Dit houdt in dat uw contactgegevens gecommercialiseerd worden. Hieronder vallen de doorgifte van uw persoonsgegevens aan derden of de verwerking van uw persoonsgegevens in opdracht van derden (bv. verhuur van gegevens). Adressenhandel verloopt vaak via professionele tussenpersonen, waarbij dikwijls uit verschillende bronnen adres- en/of profielgegevens worden verzameld en gecommercialiseerd;
• bij profilering;
• bij handel in persoonsprofielen.

Gebruik van uw persoonsgegevens bij een directe (pre)contractuele relatie tussen u en een onderneming

De uitvoering van een overeenkomst die u hebt afgesloten brengt natuurlijk ook een aantal verwerkingen met zich mee van uw persoonsgegevens. Indien u als prospect een aantal vragen heeft, dan zal het beantwoorden ervan eveneens een verwerking inhouden van uw persoonsgegevens.

De Privacywet voorziet erin dat in deze gevallen een gegevensverwerking mag, voor zover dit noodzakelijk is voor de uitvoering van de overeenkomst of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op uw verzoek zijn genomen.

Indien u klant bent is een contractuele opvolging noodzakelijk. Hier kan bijvoorbeeld gedacht worden aan levering, facturatie of een eventuele ingebrekestelling. Welke gegevens precies noodzakelijk zijn, zal afhangen van het product en/of de dienst in kwestie.

Indien u prospect bent, is het soms noodzakelijk om te beschikken over uw contactgegevens om aan uw verzoek te kunnen voldoen, bijvoorbeeld om een gepersonaliseerde offerte te kunnen opstellen.

Wat niet strikt noodzakelijk is voor de uitvoering van een overeenkomst of voor het nemen van pre-contractuele maatregelen (zoals bv. een tevredenheidsonderzoek bij klanten specifiek over producten en diensten die zij afnemen, prospecten op de hoogte brengen van nieuwe promoties, een uitnodiging sturen aan al dan niet voormalige klanten om hun contract te verlengen of te hernieuwen) zal dus een andere grondslag moeten vinden. Hiervoor kan een beroep gedaan worden op de toestemming (zie hoger) of op het zogenaamde afgewogen belang (zie verder).

Gebruik van uw persoonsgegevens in geval van een zogenaamd afgewogen belang

Het verkrijgen van uw toestemming blijft een best practice, maar direct marketing is ook toegelaten in geval van een afgewogen belang. Het betreft hier een belangenafweging tussen enerzijds het gerechtvaardigd belang van de verantwoordelijke voor de verwerking (bv. de onderneming die u direct marketing toestuurt) en anderzijds het belang of de fundamentele rechten en vrijheden van de betrokkene (u dus).

Deze belangenafweging zal geval per geval gemaakt moeten worden.

De Privacycommissie is van oordeel dat een gepast evenwicht in de praktijk verre van evident is bij bijvoorbeeld een handel in adresgegevens en profielen.

De Privacycommissie aanvaardt daarentegen wel dat het afgewogen belang een grondslag is voor bv.: een tevredenheidsonderzoek bij eigen klanten specifiek over producten en diensten die zij afnemen, prospecten op de hoogte brengen van nieuwe promoties indien zij hierover in het recente verleden reeds contact hadden met de onderneming of een uitnodiging sturen aan al dan niet voormalige klanten om hun contract te verlengen of te hernieuwen.

Zijn er nog andere spelregels te volgen bij het gebruik van mijn persoonsgegevens in het kader van direct marketing?

Belangrijk is dat alles op een eerlijke en transparante manier gebeurt, waarbij de informatieplicht en het recht van verzet een centrale rol spelen. Beide verplichtingen komen verder nog uitgebreider aan bod.

Welke informatie moet u krijgen?

De informatie die u krijgt, dient duidelijk (aangepast aan het doelpubliek) en begrijpelijk te zijn (dus niet omslachtig of verborgen).

De Privacywet omschrijft de inhoud van de informatie.

Uw gegevens zijn rechtstreeks bij u verkregen

Indien de gegevens rechtstreeks bij u zijn verzameld, moet u volgende informatie uiterlijk op de dag van mededeling krijgen:

• de naam en het adres van de verantwoordelijke voor de verwerking (loutere verwijzing naar een product of dienst, een website, of een contactadres per e-mail volstaat niet);
• het doeleinde van de verwerking (bv. "direct marketing");
• het bestaan van een kosteloos recht op verzet;
• het bestaan van een recht op toegang en verbetering
• de ontvangers of de categorieën ontvangers van uw gegevens.

Indien uw persoonsgegevens schriftelijk en rechtstreeks bij uzelf worden verzameld (bv. een antwoordcoupon in de krant of in een tijdschrift, een formulier ingevuld voor een bestelling of inschrijving op een abonnement, een formulier ingevuld op internet), dan moet u de kans krijgen om uw recht van verzet uit te oefenen op hetzelfde document dat gebruikt wordt om uw gegevens te verzamelen (op internet is dat bv. via een vakje dat u aanvinkt op de pagina waarop de gegevens worden gevraagd).

Indien uw persoonsgegevens op een andere dan wijze schriftelijk rechtstreeks bij uzelf worden verzameld (bv. tijdens een telefoongesprek), dan moet u de kans krijgen om uw recht van verzet uit te oefenen, ofwel via een technisch middel, ofwel dient men binnen de twee maanden schriftelijk contact met u op te nemen zodat u op die manier uw recht op verzet kan uitoefenen.

Uw gegevens zijn niet rechtstreeks bij u verkregen

Indien de gegevens niet rechtstreeks bij u zijn verzameld, bijvoorbeeld via een spaarkaart (zo werken sommige grootwarenhuizen samen met verschillende partn ers waar u punten kan verzamelen), bij handel in adressen (heeft u zich al eens afgevraagd hoe automerken die direct marketing versturen aan uw adres komen?), dan moet u ofwel op de dag van registratie van uw gegevens of uiterlijk op de dag van de eerste mededeling van uw gegevens aan een derde volgende informatie krijgen:

• de naam en het adres van de verantwoordelijke voor de verwerking (loutere verwijzing naar een product of dienst, een website, of een contactadres per e-mail volstaat niet);
• het doeleinde van de verwerking (bv. "direct marketing");
• het bestaan van een kosteloos recht op verzet;
• het bestaan van een recht op toegang en verbetering;
• de ontvangers of de categorieën van ontvangers van uw gegevens;
• de Privacycommissie beveelt ook ten sterkste aan om proactief de herkomst van de gegevens aan u mede te delen. De ervaring leert immers dat zeer veel burgers bij de ontvangst van direct marketing zich in de eerste plaats afvragen waar de verzender hun gegevens heeft verkregen.

De verantwoordelijke voor de verwerking neemt in dit geval schriftelijk contact met u op met vermelding van bovenstaande informatie en licht u in over het recht van verzet dat u kan uitoefenen op datzelfde schriftelijk stuk.

Hoe lang mogen mijn gegevens bewaard blijven?

De Privacywet stelt dat uw gegevens slechts voor een bepaalde periode mogen bewaard worden in het kader van direct marketing. Zo kunnen uw klantgegevens door de onderneming bewaard worden voor de duurtijd van het contract met u, voor zover nodig voor de uitvoering ervan. Na afloop van deze contractuele relatie kunnen de gegevens nog voor een welbepaalde bijkomende termijn bewaard worden.

De Privacywet verbiedt eindeloze bewaring van persoonsgegevens. De Privacycommissie is van oordeel dat de opname van uw persoonsgegevens in massabestanden en het continu up-to-date houden van deze gegevens zonder een concrete einddatum en zonder met u contact te houden, verboden is. Daarom pleit de Privacycommissie voor een redelijke bewaartermijn (afhankelijk van de omstandigheden en de aard van de gegevensbron).

Gegevens blijven bovendien niet altijd up-to-date: uw adres verandert na uw verhuis, u verandert van gsm-nummer, ... Om toch over uw meest recente adres of telefoonnummer te beschikken, worden er dikwijls massabestanden aangemaakt (bv. verhuisbestanden, klassieke adressenlijsten, gegevensopslagplaatsen, ...).
Een gewijzigd adres niet melden is trouwens nog steeds een van de beste strategieën om spam en ongewenste communicatie te vermijden.

Hoe kan u zich concreet verzetten tegen het gebruik van uw gegevens voor direct marketing?

Indien de verantwoordelijke voor de verwerking uit eigen beweging reeds een uitschrijfoptie aanbiedt, gebruikt u het best deze mogelijkheid. Als er niets voorhanden is of als uitschrijven niet lukt, dan kan u een beroep doen op het specifieke recht van verzet waarin de Privacywet voorziet. De Privacywet stelt immers dat u zich steeds kosteloos en zonder enige motivering tegen direct marketing kan verzetten.

Om dit recht van verzet uit te oefenen volstaat het dat u een brief of fax stuurt (met een kopie van uw identiteitskaart – zodat niet iedereen dat zomaar in uw naam kan doen) of een e-mail met uw elektronische handtekening. U kan zelfs een brief ter plaatse overhandigen.

Binnen een maand na indiening van uw verzoek moet de verantwoordelijke voor de verwerking meedelen welk gevolg hij heeft gegeven aan uw vraag. Indien u geen antwoord krijgt of indien het antwoord niet toereikend is, kan u steeds contact opnemen met de Privacycommissie, die bemiddelend kan optreden.

Ook de sector heeft initiatieven ontwikkeld om een recht van verzet mogelijk te maken (die te onderscheiden zijn van het wettelijk recht op verzet waarin de Privacywet voorziet). Het Belgisch Direct Marketing Verbond (BDMV) heeft in dat verband twee zogenaamde " Robinsonlijsten" ontwikkeld (voor telefoon en reclame op naam). U kan zich hierop inschrijven om geen gepersonaliseerde reclame meer te ontvangen, maar dan alleen van de deelnemende bedrijven. Meer informatie kan u terugvinden op de Robinsonsite van het BDMV.

U beschikt ook over een recht op toegang en een recht op verbetering

Het recht op toegang laat u te allen tijde toe om kosteloos van de verantwoordelijke voor de verwerking informatie te verkrijgen. Zo kan u hem vragen of hij gegevens over u bezit. Hij moet u mededelen welke gegevens hij over u heeft en waarom, welke soort gegevens dit zijn en wie ze zal ontvangen. Belangrijk is wel dat uw recht op toegang niet automatisch betekent dat u een kopie krijgt van de gegevenslijst waarop u geregistreerd bent. De verantwoordelijke mag u ook gewoon (per brief of zelfs per telefoon) meedelen dat hij gegevens over u bezit en over welke gegevens het precies gaat (bv. uw naam, adres, telefoonnummer, geboortedatum, e-mailadres).

Om dit recht op toegang uit te oefenen volstaat het (net zoals bij het recht van verzet) dat u een brief of fax stuurt (met een kopie van uw identiteitskaart) of een e-mail met uw elektronische handtekening. U kan zelfs de brief ter plaatse gaan overhandigen. Indien u geen antwoord krijgt binnen 45 dagen na ontvangst van uw verzoek of indien het antwoord niet toereikend is, kan u steeds contact opnemen met de Privacycommissie, die bemiddelend kan optreden.

Als u merkt dat er onjuiste, onvolledige, overbodige of verboden gegevens over u circuleren, kan u dit kosteloos laten rechtzetten, de gegevens laten wissen of verbieden ze te gebruiken. De uitoefening van dit recht gebeurt op dezelfde manier als bij het recht op toegang, alleen is de termijn voor de verantwoordelijke van de verwerking om te antwoorden korter, namelijk 1 maand.

Bij wie kan u terecht met uw vragen of klachten?

U kan een beroep doen op verschillende instanties.

De Privacycommissie is bevoegd om uw vragen en klachten te behandelen die betrekking hebben op verwerkingen van persoonsgegevens met het oog op direct marketing.

De Algemene Directie Controle en Bemiddeling van de FOD Economie is bevoegd voor uw klachten indien u slachtoffer bent van oneerlijke handelspraktijken of indien uw toestemming niet werd gevraagd voor reclame per e-mail of fax.

De Federal Computer Crime Unit is bevoegd indien u een geval van oplichting via e-mail wil aankaarten, zoals bijvoorbeeld phishing (waarbij het de bedoeling is om bv. via internet uw bankgegevens te ontfutselen), valse loterijen, ...
Indien een bedrijf dat lid is van het Belgisch Direct Marketing Verbond doorgaat met het toezenden van gepersonaliseerde reclame, ondanks het feit dat u zich ingeschreven heeft op een van de Robinsonlijsten of indien dit bedrijf de gedragscode van het BDMV schendt, dan kan u dit melden aan het Comité van Toezicht van het BDMV.
Voor uitgebreidere informatie over de te volgen spelregels bij direct marketing kan u de aanbeveling "Direct marketing en bescherming van persoonsgegevens" raadplegen.

Wenst u als handelaar, bedrijf of vereniging uw diensten, producten of activiteiten aan te prijzen? Zou u bijvoorbeeld (gepersonaliseerde) direct marketing willen versturen per post (bv. reclame op naam), via e-mail (bv. nieuwsbrief), via sms, …? Wenst u een adressenlijst op maat aan te kopen of zelf aan te leggen? Vraagt u zich af welke spelregels er gelden voor het gebruik van persoonsgegevens?

Dan leest u best onderstaande krachtlijnen die u een eerste overzicht bieden bij het gebruik van persoonsgegevens in het kader van direct marketing.

Mag u zomaar persoonsgegevens van iemand voor direct marketing gebruiken?

In het kader van direct marketing kunnen drie grondslagen uit de Privacywet als basis dienen om persoonsgegevens te gebruiken, namelijk (1) de toestemming, (2) het bestaan van een directe (pre)contractuele relatie tussen u en de betrokkene, maar alleen als het versturen van direct marketing strikt noodzakelijk is voor deze (pre)contractuele relatie en (3) het bestaan van een zogenaamd afgewogen belang.

De Privacycommissie geeft haar voorkeur aan het verkrijgen van de toestemming van de betrokkene en beschouwt dit als een best practice.

Gebruik van persoonsgegevens voor direct marketing na toestemming van de betrokkene

De ondubbelzinnige toestemming vormt een van de wettelijke grondslagen voor de verwerking van persoonsgegevens. Deze toestemming, die overigens op elk ogenblik kan worden ingetrokken, moet evenwel aan enkele voorwaarden voldoen.

De toestemming moet rechtstreeks van de betrokkene komen. De Privacycommissie geeft er de voorkeur aan dat toestemming verlenen een positieve handeling veronderstelt, zoals bv. een vakje aankruisen in een formulier. Bij het afleiden van de toestemming uit het niet-handelen van de betrokkene (bv. verzuimen om een vooraf aangevinkt vakje uit te schakelen) is het risico immers groter dat de geldigheid van deze toestemming betwist wordt.

De toestemming moet vrij zijn. Dit houdt bijvoorbeeld in dat u iemand de kans moet geven om deel te nemen aan een wedstrijd met het oog op het ontvangen van een geschenk (bv. een dvd, een cd, een kortingsbon...) zonder dat u die persoon mag of kan verplichten om tegelijkertijd met deze wedstrijd zijn gegevens door te geven met het oog op het (later) ontvangen van direct marketing. Beide elementen (enerzijds deelname aan de wedstrijd en anderzijds het instemmen met het ontvangen van direct marketing) moeten met andere woorden los van elkaar staan.

De toestemming moet bovendien specifiek zijn. Dit houdt in dat de toestemming specifiek moet te maken hebben met de concrete direct marketing. Daarom is het bijvoorbeeld niet voldoende de verplichte informatie louter te vermelden in de algemene voorwaarden, wat bovendien ook een vrije toestemming hindert. De aandacht trekken op de volledige informatie vervat in de algemene voorwaarden via bijvoorbeeld een beknopte privacyverklaring strookt met een eerlijke en transparante verwerking.

Ten slotte dient de toestemming op informatie te berusten. Hierover leest u verder meer.

In de hieronder opgesomde gevallen is de Privacycommissie van oordeel dat de toestemming van de betrokkene noodzakelijk is:

• bij het toesturen van gepersonaliseerde boodschappen per e-mail, sms, mms, fax of door middel van geautomatiseerde oproepsystemen vereist bijzondere wetgeving de toestemming van de betrokkene. Dit wordt "opt-in" genoemd. In een aantal gevallen is deze voorafgaande toestemming echter niet vereist en kan de betrokkene zich enkel nadien verzetten, wat "opt-out" wordt genoemd. Aangezien dit een bevoegdheid is van de FOD Economie kan u hierover meer informatie terugvinden in hun brochure “de spamming: in 24 vragen & antwoorden”. Gelet op de wettelijke definitie van reclame in deze bijzondere wetgeving vallen berichten verstuurd door politieke partijen en hun mandatarissen voor electorale doeleinden buiten het toepassingsgebied van bovenvermelde opt-inregel. Nochtans vallen deze boodschappen wel onder het begrip direct marketing, waardoor de Privacycommissie dan ook van oordeel is dat een dergelijke opt-inregel voor alle direct marketing zou moeten gelden die via elektronische post, fax of automatische oproe psystemen wordt verstuurd, gelet op het intrusieve karakter van deze communicatiemiddelen;
• wanneer u gevoelige gegevens over iemand verwerkt (bv. gezondheidsgegevens, gegevens over politieke opvattingen, afkomst) is schriftelijke toestemming vereist;
• wanneer de beoogde directmarketingactiviteit niet verenigbaar is met het oorspronkelijke doeleinde waarvoor de gegevens werden ingezameld. Een hergebruik van openbare bronnen (bv. berichten in de geschreven media of informatie die beschikbaar is op het internet) met het oog op direct marketing is bijvoorbeeld niet verenigbaar. Vaak liggen bepaalde evoluties van de onderneming (bv. een fusie, een overname of een heroriëntering van het bedrijf naar andere markten) aan de basis van verdere verwerkingen van gegevens voor andere doeleinden die niet verenigbaar zijn met de oorspronkelijke doeleinden;
  wanneer de betrokkene minderjarig is;
• wanneer er sprake is van "virale marketing". Dit is iemand aansporen om persoonsgegevens van vrienden of kennissen vrij te geven voor directmarketingdoeleinden in ruil voor een geschenk of een korting. Nochtans is het evenwicht hier zoek, omdat de betrokken vrienden en/of kennissen doorgaans niet geïnformeerd worden en ook hun toestemming niet kunnen geven zodat zij geen controle meer hebben over verwerkingen van hun eigen persoonsgegevens.

In een aantal andere gevallen, en gelet op het gevoelig karakter van bepaalde directmarketingactiviteiten, is het aangewezen dat deze slechts met toestemming van de betrokkene gebeuren, met name:

• bij adressenhandel. Dit houdt in dat contactgegevens gecommercialiseerd worden. Hieronder valt de doorgifte van persoonsgegevens aan derden of de verwerking van persoonsgegevens in opdracht van derden (bv. verhuur van gegevens). Adressenhandel verloopt vaak via professionele tussenpersonen, waarbij dikwijls uit verschillende bronnen adres- en/of profielgegevens worden verzameld en gecommercialiseerd;
• bij profilering;
• bij handel in persoonsprofielen.

Telkens gaat het immers om gevallen waarbij het uiterst moeilijk, zo niet onmogelijk is om persoonsgegevens te verwerken zonder toestemming van de betrokkene te verkrijgen en toch conform alle bepalingen van de Privacywet te werken.

Gebruik van persoonsgegevens bij een directe (pre)contractuele relatie tussen u en de betrokkene

De uitvoering van een overeenkomst brengt natuurlijk ook een aantal verwerkingen met zich mee van persoonsgegevens. Indien een prospect een aantal vragen heeft, dan zal het beantwoorden ervan eveneens een verwerking inhouden van persoonsgegevens.

De Privacywet voorziet dat in deze gevallen een gegevensverwerking mag, voor zover dit noodzakelijk is voor de uitvoering van de overeenkomst of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen.

Indien iemand klant is, is een contractuele opvolging noodzakelijk. Hier kan bijvoorbeeld gedacht worden aan levering, facturatie of een eventuele ingebrekestelling. Welke gegevens precies noodzakelijk zijn, zal afhangen van het product en/of de dienst in kwestie.

Indien iemand prospect is, is het soms noodzakelijk om te beschikken over zijn contactgegevens om aan zijn verzoek te kunnen voldoen, bijvoorbeeld om een gepersonaliseerde offerte te kunnen opstellen.

Wat niet strikt noodzakelijk is voor de uitvoering van een overeenkomst of voor het nemen van pre-contractuele maatregelen zal dus een andere grondslag moeten vinden. In de praktijk hechten veel ondernemingen er belang aan om de relatie met hun klanten en prospecten verder te ontwikkelen, wat valt onder de noemer "customer relationship management". Voorbeelden zijn onder meer een tevredenheidsonderzoek bij klanten specifiek over producten en diensten die zij afnemen, prospecten op de hoogte brengen van nieuwe promoties en een uitnodiging sturen aan al dan niet voormalige klanten om hun contract te verlengen of te hernieuwen. Aangezien die niet strikt noodzakelijk zijn voor de uitvoering van een overeenkomst of voor het nemen van precontractuele maatregelen zal u hiervoor beroep moeten doen op de toestemming (zie hoger) of op het zogenaamde afgewogen belang (zie verder).

Ook verkoop, verhuur of terbeschikkingstelling op enige andere wijze van een klantenbestand aan een andere onderneming voor direct marketingdoeleinden kan in bovenvermelde grondslag geen basis vinden.

Gebruik van persoonsgegevens in geval van een zogenaamd afgewogen belang

Het verkrijgen van de toestemming blijft een best practice, maar direct marketing is ook toegelaten in geval van een afgewogen belang. Het betreft hier een belangenafweging tussen enerzijds het gerechtvaardigd belang van de verantwoordelijke voor de verwerking (u die direct marketing verstuurt) en anderzijds het belang of de fundamentele rechten en vrijheden van de betrokkene.

Deze belangenafweging zal geval per geval moeten gemaakt worden. Het volstaat niet dat u als onderneming een eigen belang inroept, zoals bv. vrijheid van handel, of als vereniging verwijst naar de verwezenlijking van uw doelstellingen. Wat van belang is, is vooral dat het inroepen van een gerechtvaardigd belang op zichzelf niet doorslaggevend is. Louter op deze grondslag een beroep doen, legitimeert dus niet noodzakelijk de verwerking. Het bestaan van een evenwicht tussen de verschillende belangen kan natuurlijk makkelijker aangetoond worden wanneer er tussen u als verantwoordelijke voor de verwerking en de betrokkene reeds een relatie van enige betekenis bestaat (een eenmalig, vluchtig contact legt weinig gewicht in de schaal in vergelijking met een langdurige contractuele relatie).

Het afwegen van bovenstaande belangen is een continue zorg, met andere woorden er is niet één welbepaald tijdstip waarop de afweging dient te gebeuren, en veronderstelt dat u ook de andere bepalingen van de Privacywet naleeft. Sommige stappen dient u te verrichten voor de aanvang van de verwerking (bv. aangifte doen bij de Privacycommissie indien vereist, de nodige maatregelen nemen voor de beveiliging van de gegevens, de nodige contractuele afspraken maken met eventuele onderaannemers). Aan andere verplichtingen moet voldaan worden gedurende of na afloop van de verwerking (bv. duidelijke informatie verstrekken, gevolg geven aan het recht van verzet, schrappen van gegevens na afloop van de bewaringstermijn).

De Privacycommissie is van oordeel dat een gepast evenwicht in de praktijk verre van evident is bij bijvoorbeeld een handel in adresgegevens en profielen.

Zij aanvaardt daarentegen wel dat het afgewogen belang een grondslag kan zijn voor het reeds eerder aangehaalde "customer relationship management", zoals bijvoorbeeld: een tevredenheidsonderzoek bij eigen klanten specifiek over producten en diensten die zij afnemen, prospecten op de hoogte brengen van nieuwe promoties indien zij hieromtrent in het recente verleden reeds contact hadden met de onderneming en een uitnodiging sturen aan al dan niet voormalige klanten om hun contract te verlengen of te hernieuwen.

Het omschrijven van het juiste doeleinde

U dient als verantwoordelijke voor de verwerking precies te bepalen voor welke doeleinden u de gegevens van betrokkene zal verwerken, zodat de betrokkene zich redelijkerwijs een beeld kan vormen van de verwerking(en) die hij mag verwachten. De Privacycommissie beveelt in dat kader aan om (voor zover van toepassing) een onderscheid te maken tussenvier soorten doeleinden: (1) eigen klantenbeheer, (2) verhuur van adressen en/of persoonsprofielen, (3) verkoop van adressen en/of persoonsprofielen en (4) compliance.

Beslist u nadien om deze gegevens voor bijkomende doeleinden te verwerken dan moet u voorafgaandelijk de verenigbaarheid hiervan met de oorspronkelijke verwerking nagaan. De Privacycommissie is in dat verband van oordeel dat elke handel in persoonsgegevens (adressen en profielen) steeds een verwerking is met een eigen finaliteit die, waar sprake is van een verdere verwerking, onverenigbaar is met de finaliteit van de oorspronkelijke verwerking. Bovendien meent de Privacycommissie dat hergebruik van gepubliceerde gegevensbronnen (zowel van openbare als van private oorsprong) met het oog op direct marketing onverenigbaar is met de oorspronkelijke finaliteit van die publicatie. De publicatie van persoonsgegevens die de betrokkene zelf bekendmaakt of waarvan de openbaarheid wettelijk verplicht is, gebeurt immers voor een bijzonder doeleinde, dat meestal geen betrekking heeft op direct marketing.

Als direct marketing toegelaten is, mag u dan alle persoonsgegevens van de ontvanger verwerken?
De Privacywet bepaalt zeer duidelijk dat u met het oog op direct marketing enkel die persoonsgegevens mag verwerken die toereikend, terzake dienend en niet overmatig zijn om uw boodschap te verzenden.

Hoe lang mag u de gegevens van iemand bewaren?

De Privacywet stelt dat u de persoonsgegevens van iemand slechts voor een bepaalde periode kan bewaren in het kader van direct marketing. Zo kunnen klantengegevens door u bewaard worden voor de duurtijd van het contract, voor zover nodig voor de uitvoering ervan. Na afloop van deze contractuele relatie kunnen de gegevens nog voor een welbepaalde bijkomende termijn bewaard worden.

De Privacywet verbiedt eindeloze bewaring van persoonsgegevens. Daarom pleit de Privacycommissie voor een redelijke bewaartermijn (afhankelijk van de omstandigheden en de aard van de gegevensbron).

Gegevens blijven bovendien niet altijd up-to-date: iemand verhuist zodat zijn adresgegevens achterhaald zijn, iemand verandert van gsm-nummer,… Om toch over de meest recente persoonsgegevens te beschikken, worden er dikwijls massabestanden aangemaakt (bv. verhuisbestanden, klassieke adressenlijsten, gegevensopslagplaatsen,...). Het gevaar van deze bestanden bestaat er echter in dat de bron na verloop van tijd (1) vaak onbekend wordt, (2) totaal niet meer transparant is en (3) dat er geen sprake (meer) is van enig contact met of duidelijke informatie aan de betrokkene.
De Privacycommissie is dan ook van oordeel dat de opname van persoonsgegevens in massabestanden en het continu up-to-date houden van deze gegevens zonder een concrete einddatum en zonder met de betrokkene contact te houden, verboden is.

Welke informatie dient u te geven en wanneer?

De informatie die u geeft, dient duidelijk (aangepast aan het doelpubliek) en begrijpelijk te zijn (dus niet omslachtig of verborgen).

De Privacywet omschrijft de inhoud van de informatie. De Privacycommissie is voorstander van een gelaagde aanpak, door bijvoorbeeld gebruik te maken van een beknopte privacyverklaring die kan verwijzen naar de volledige informatie vervat in de algemene voorwaarden en/of de volledige privacyverklaring.

U krijgt de gegevens van betrokkene zelf

Indien u de gegevens rechtstreeks bij betrokkene verzamelt, moet u uiterlijk op de dag van mededeling volgende informatie geven:

• uw naam en adres (loutere verwijzing naar een product of dienst, een website, of een contactadres per e-mail volstaat niet);
• het doeleinde van de verwerking (bv. "direct marketing");
• het bestaan van een kosteloos recht op verzet;
• het bestaan van een recht op toegang en verbetering;
• de ontvangers of de categorieën ontvangers van de gegevens.

Indien u de persoonsgegevens schriftelijk en rechtstreeks bij betrokkene verzamelt (bv. via een antwoordcoupon in de krant of in een tijdschrift, via een formulier ingevuld voor een bestelling of een inschrijving voor een abonnement, via een formulier ingevuld op internet), dan moet u betrokkene de kans geven om zijn recht van verzet uit te oefenen op hetzelfde document dat gebruikt wordt om de gegevens van betrokkene te verzamelen (op internet is dat bv. via een vakje dat de betrokkene kan aanvinken op de pagina zelf waarop de gegevens worden gevraagd).

Indien u de persoonsgegevens op een andere wijze dan schriftelijk rechtstreeks bij betrokkene verzamelt (bv. via een telefoongesprek) dan moet u de betrokkene de kans geven om zijn recht van verzet uit te oefenen, ofwel via een technisch middel, ofwel dient u binnen de twee maanden schriftelijk contact op te nemen met betrokkene zodat hij op die manier zijn recht van verzet kan uitoefenen.

U krijgt de gegevens niet rechtstreeks van betrokkene

Indien u de gegevens niet rechtstreeks bij betrokkene verzamelt, bijvoorbeeld via een spaarkaart (sommige grootwarenhuizen werken bv. samen met verschillende partners waarbij punten kunnen worden verzameld) of bij handel in adressen (u koopt bij een bedrijf een op maat gemaakte adressenlijst), moet u ofwel op de dag van registratie van de gegevens van betrokkene of uiterlijk op de dag van de eerste mededeling van de gegevens aan een derde volgende informatie geven:

• uw naam en adres (loutere verwijzing naar een product of dienst, een website, of een contactadres per e-mail volstaat niet);
• het doeleinde van de verwerking (bv. "direct marketing");
• het bestaan van een kosteloos recht op verzet;
• het bestaan van een recht op toegang en verbetering;
• de ontvangers of de categorieën ontvangers van de gegevens;
• de Privacycommissie beveelt ook ten sterkste aan om proactief de herkomst van de persoonsgegevens van de betrokkene mede te delen. De ervaring leert immers dat zeer veel burgers bij de ontvangst van direct marketing zich in de eerste plaats afvragen waar de verzender hun gegevens heeft verkregen.

Recht op verzet in concreto

In eerste instantie zou u reeds privacyvriendelijk handelen indien u uit eigen beweging een uitschrijfoptie aanbiedt.
Niettemin stelt de Privacywet dat betrokkene zich steeds kosteloos en zonder enige motivering tegen direct marketing moet kunnen verzetten.

Om dit recht van verzet correct uit te oefenen, volstaat het trouwens dat hij u een brief of fax stuurt (met een kopie van zijn identiteitskaart – zodat niet iedereen dat zomaar in zijn naam kan doen) of een e-mail met zijn elektronische handtekening. Hij heeft zelfs de mogelijkheid om zijn brief ter plaatse te overhandigen.

Binnen een maand na indiening van zijn verzoek moet u meedelen welk gevolg u heeft gegeven aan zijn vraag. Indien u niet antwoordt of indien uw antwoord niet toereikend is, kan de betrokkene steeds contact opnemen met de Privacycommissie, die bemiddelend kan optreden.

Ook de sector heeft initiatieven ontwikkeld om een recht op verzet mogelijk te maken (die evenwel niet het recht op verzet vervangen zoals voorzien in de Privacywet). Het Belgisch Direct Marketing Verbond (BDMV) heeft in dat verband twee zogenaamde " Robinsonlijsten" ontwikkeld (voor telefoon en reclame op naam per post). Meer informatie kan u terugvinden op de Robinsonsite van het BDMV.

Heeft u nog andere verplichtingen?

Recht op toegang en verbetering

De betrokkene kan steeds kosteloos zijn recht van toegang uitoefenen. U bent verplicht om hem bepaalde informatie te geven. Zo dient u mee te delen welke gegevens u over de betrokkene heeft, waarom u deze bijhoudt, over welke gegevens het precies gaat en wie deze gegevens ontvangt.

De vormelijke vereisten voor een correcte uitoefening van dit recht op toegang zijn beperkt. Zo volstaat een brief of fax (weliswaar met een kopie van de identiteitskaart van de betrokkene) of een e-mail (weliswaar met een elektronische handtekening van de betrokkene). De brief kan zelfs ter plaatse worden overhandigd.
Als de betrokkene merkt dat er onjuiste, onvolledige, overbodige of verboden gegevens over hem circuleren, kan hij dit kosteloos laten rechtzetten, laten wissen of verbieden te gebruiken. De uitoefening van dit recht gebeurt op dezelfde manier als bij het recht op toegang, alleen is de termijn voor u om te antwoorden korter, namelijk 1 maand.

Aangifte van uw verwerking

Vooraf geeft u de verwerking met betrekking tot direct marketing aan. Deze aangifte kan u doen op de website van de Privacycommissie (25 euro) of via een papieren formulier dat u kan downloaden via de website (125 euro). Indien de verwerking substantiële wijzigingen ondergaat, dient u uw oorspronkelijke aangifte te wijzigen (20 euro). Beëindigt u uw verwerking, dan kan u dit gratis doen. Voor uw aangifte kan u gebruik maken van het e-loket.

Er bestaan evenwel enkele uitzonderingen op deze aangifteplicht, waarvan er een aantal van toepassing kunnen zijn in het kader van directmarketingactiviteiten. De vrijstelling zal evenwel vervallen indien er bijvoorbeeld sprake is van uitwisseling, verkoop of verhuur van een bestand aan derden.

Voldoende beveiliging van de gegevens

U dient de vertrouwelijkheid en de veiligheid van de verwerking te waarborgen. Zo moet u bijvoorbeeld de nodige technische en organisatorische beveiligingsmaatregelen nemen, zodat onbevoegden geen toegang kunnen krijgen tot de gegevens. De Privacycommissie maakte daarom een overzicht van mogelijke referentiemaatregelen in het kader van beveiliging.

U wenst persoonsgegevens door te geven naar het buitenland

Indien u de gegevens wenst door te geven naar andere landen van de Europese Unie, dient u hiervoor geen extra formaliteiten te vervullen. Alle landen van de EU worden geacht een gelijkaardig beschermingsniveau te bieden op het gebied van bescherming van persoonsgegevens.

Wenst u de gegevens door te geven naar landen buiten de EU, dan moet het land van bestemming een passend beschermingsniveau waarborgen. Dit passend beschermingsniveau kan op basis van diverse omstandigheden gewaarborgd worden. Zelfs bij gebrek aan een passend beschermingsniveau kan doorgifte in ui tzonderlijke gevallen plaatsvinden (bv. na ondubbelzinnige toestemming van de betrokkene).

Voor meer informatie verwijzen wij naar het specifieke gedeelte op onze website over grensoverschrijdend verkeer.

Voor uitgebreidere informatie over de te volgen spelregels bij direct marketing kan u de aanbeveling "Direct marketing en bescherming van persoonsgegevens" raadplegen.

Lees ook in het lexicon: direct marketing - adressenhandel - reclame - opt-in - opt-out - virale marketing - profilering - handel in persoonsprofielen - recht op verzet - recht op toegang - verbetering - spam - Belgisch Direct Marketing Verbond - opt-in - opt-out - virale marketing - profilering - handel in persoonsprofielen - recht op verzet - recht op toegang - verbetering - Belgisch Direct Marketing Verbond