JURIDISCHE FACTSHEET CRM ONBOARDING

1 | WAT IS CRM ONBOARDING?

CRM onboarding is een techniek om online advertenties in te richten aan de hand van beschikbare data van klanten of prospects. De basis voor deze techniek is gelegd door Facebook, met de introductie van Custom Audiences. Het komt erop neer dat een adverteerder informatie die hij tot zijn beschikking heeft, kan koppelen aan de database van een derde partij (zoals Facebook, maar ook een ‘uitgever’, iemand die digitale advertentieruimte aanbiedt). Zo kan de adverteerder gericht adverteren, wat vanzelfsprekend voordelen biedt.

afbeelding2

2 | MOET IK REKENING HOUDEN MET PRIVACYWETGEVING ALS IK ANONIEME DATA GEBRUIK?

Veelgebruikte gegevens bij CRM onboarding zijn:

  • identificerend persoonsgegeven (bijv. NAW-gegevens of e-mailadres);
  • gehashte identificatoren (bijv. e-mailadressen);
  • online identifiers (bijv. cookies of pixel tags).

Vaak worden gehashte gegevens, cookies en pixel tags anoniem genoemd. De gegevens zijn tenslotte vaak niet direct te herleiden tot een individu. Veel data die anoniem genoemd wordt, is eigenlijk pseudonieme data. Het onderscheid hiertussen is belangrijk: privacywetgeving geldt niet voor anonieme data, maar wél voor pseudonieme data. Hashen bijvoorbeeld is een vorm van pseudonimiseren omdat de herleidbare data vaak nog aanwezig is en dus nog gekoppeld kan worden. Binnen CRM onboarding wordt vaak gebruik gemaakt van gehashte gegevens, in die gevallen moet je dus nog steeds aan de voorwaarden van privacywetgeving voldoen. Wanneer herleiding van de data mogelijk is, dient aan deze wetgeving voldaan te worden. Uitzonderingen zijn er wanneer er meerdere maatregelen genomen worden, naast hashing, om de herleidbaarheid te voorkomen.

3 | STAAT DE WET HET TOE OM GEBRUIK MAKEN VAN CRM ONBOARDING?

Ja, privacywetgeving biedt de ruimte om gebruik te maken van CRM onboarding. Aan het verzamelen en gebruiken van persoonsgegevens zijn echter wel strenge voorwaarden verbonden. Er is een zogeheten rechtsgeldige grondslag vereist om persoonsgegevens te mogen verwerken.

GRONDSLAG: TOESTEMMING VS. GERECHTVAARDIGD BELANG De wet geeft verschillende grondslagen waarop het verwerken van persoonsgegevens mag worden gebaseerd. De meest bekende grondslag is de toestemming van de betrokkene, de persoon van wie de gegevens worden verwerkt. Dit is echter niet de enige grondslag waarop een adverteerder zich kan beroepen. Het zogeheten eigen ‘gerechtvaardigd belang’ (de Algemene Verordening Gegevensbescherming noemt direct marketing expliciet als gerechtvaardigd belang) kan ook een wettelijke grondslag vormen om persoonsgegevens voor CRM onboarding te verwerken.

4 | WAT ZIJN DE EISEN VOOR EEN BEROEP OP HET GERECHTVAARDIGD BELANG?

Om een beroep te kunnen doen op de wettelijke grondslag van het gerechtvaardigd belang dient een uitgebreide belangenafweging plaats te vinden. Er moeten zwaarwegende redenen zijn waarom het eigen belang (bijv. direct marketing) zwaarder weegt dan het privacybelang van de betrokkenen. Dat vereist dus een goede onderbouwing en ook degelijke documentatie daarvan. Om het privacybelang van de betrokkenen te kunnen waarborgen, is het nemen van beveiligingsmaatregelen en het verwerken van zo min mogelijk gegevens vereist. Het hashen van persoonsgegevens is daar een voorbeeld van. Daarnaast moet er aan de betrokkenen de mogelijkheid worden geboden om van CRM onboarding af te zien, door gebruik te kunnen maken van een opt-out mogelijkheid.

5 | WAT MOET ER WORDEN GEREGELD?

Bij het gebruik van CRM onboarding moeten de verschillende partijen een aantal zaken regelen:

  • 1. DE ADVERTEERDER
    De adverteerder is de organisatie die op een slimme manier zijn klanten en prospects wil benaderen. Wanneer de adverteerder persoonsgegevens in zijn CRM verzameld, moet hij:
    1. een wettelijke grondslag hebben (zoals toestemming of een gerechtvaardigd belang);
    2. de betrokkene hierover informeren (expliciet als hij toestemming vraagt, maar tevens middels een privacyverklaring om de betrokkene te informeren over hoe de gegevens verwerkt worden, voor welke doeleinden en wat zijn rechten zijn).
    3. de betrokkene de mogelijkheid bieden om over het hele traject van CRM onboarding zich af te melden voor deze verwerking (opt-out) en andere rechten zoals het recht van bezwaar uit te oefenen. Wanneer iemand gebruik maakt van zijn opt-out, moeten de gegevens van deze specifieke persoon niet meer meegenomen worden in het traject van CRM onboarding.
  • 2. DE UITGEVER
    De uitgever is de partij die de advertentieruimte aanbiedt en daarbij over een eigen database beschikt. Aan de hand van gehashte persoonsgegevens (bijv. e-mailadressen) kan de uitgever een doelgroep uit het CRM van de adverteerder selecteren, bijvoorbeeld met behulp van online identifiers. Ook de uitgever moet in het bezit zijn van een wettelijke grondslag om zijn eigen database in te zetten (zie hierboven) en daarbij in zijn privacy- en cookieverklaring opnemen dat hij deze identifiers voor dergelijke toepassingen inzet. Daarnaast dient ook de uitgever aan de rechten van de betrokkenen te voldoen.
  • 3. DE ONBOARDING PROVIDER
    De onboarding provider is te beschouwing als een tussenpersoon tussen de adverteerder en de uitgever. Indien de onboarding provider enkel een portaal aanbiedt, met bijvoorbeeld een Data Management Platform (DMP), waar de adverteerder zijn eigen data kan beheren, dan verwerkt de onboarding provider de gegevens niet voor eigen doeleinden. De onboarding provider is in dat geval een ‘verwerker’ van persoonsgegevens in opdracht van de adverteerder (die is dan ‘verantwoordelijke’). Het is tevens mogelijk dat de onboarding provider de adverteerder de optie biedt om doelgroepen te kiezen die door de onboarding provider zelf beschikbaar zijn gesteld op basis van data die bij de onboarding provider beschikbaar is. Afhankelijk van de mate van herleidbaarheid van de beschikbaar gestelde doelgroepen kan er in dat geval sprake zijn van het verwerken van persoonsgegevens door de onboarding provider. Er is dan geen sprake van een verantwoordelijke/verwerker relatie.

6 | WAT VOOR AFSPRAKEN MOETEN PARTIJEN ONDERLING MAKEN?

De hierboven beschreven partijen kunnen onderling (gehashte) persoonsgegevens uitwisselen. Indien dat het geval is moeten hier afspraken over gemaakt worden. Dit kan een verwerkersovereenkomst zijn indien een partij in opdracht van de ander de persoonsgegevens verwerkt. Indien er persoonsgegevens worden uitgewisseld zonder dat een partij dit in opdracht van de ander doet, dan dient er een data-uitwisselingsovereenkomst gesloten te worden. Het is belangrijk om vooraf in kaart te brengen op welke wijze de data wordt verwerkt, of het persoonsgegevens zijn, en wie welke rol heeft om zo tijdig de juiste afspraken te kunnen maken.