Wat retailers moeten weten over de AVG

Door Matthias de Bruyne 
Legal counsel bij DDMA

Op 25 mei treedt de Algemene Verordening Gegevensbescherming in werking. Deze privacywet, ook wel bekend als AVG of onder de Engelse afkorting GDPR, stelt strengere eisen aan de manier waarop organisaties persoonsgegevens mogen verwerken. Het is een onderwerp dat leeft onder retailers – dat is te merken aan de vele vragen die we bij DDMA, de branchevereniging voor data en marketing, dagelijks binnen krijgen. In dit artikel beantwoord ik de vier vragen die we het vaakst voorbij hebben zien komen.

1. Iemand met een klantenkaart heeft al zes jaar geen aankoop meer gedaan in onze winkels. Hoe lang mogen we die klantgegevens bewaren?
Dat is een interessante vraag. De AVG zegt namelijk niet hoe lang je gegevens mág bewaren, maar verplicht je als organisatie na te gaan hoe lang het nódig is voor het doel waarvoor je de gegevens hebt gekregen. Die afweging mag je als organisatie dus zelf maken, als je er maar een logische, sluitende argumentatie voor hebt. Je aankoopstatistieken zouden hierbij kunnen helpen. Je kunt daar wellicht uit afleiden dat als iemand in de vier jaar na zijn vorige aankoop niets meer heeft gekocht, de kans miniem is dat deze persoon ooit nog in je winkel komt. Op basis hiervan kun je een bewaartermijn van ‘vier jaar na de laatste aankoop’ aanhouden. Het helpt om hierbij te denken vanuit de klant: hoe logisch is het voor je klant dat zijn data nog in jouw systemen staat? Een andere redenatie kan zijn: zolang er nog inwisselbare punten op de klantenkaart staan, bewaren we iemands gegevens. Welke argumentatie je ook gebruikt, je bent altijd verplicht deze vast te leggen in je verwerkingenregister, zodat je deze aan de toezichthouder kunt voorleggen wanneer dat nodig is. 

2. Veel van onze klantenkaarten worden in de winkel aangemaakt, waarbij de verkoper de gegevens van de klant direct in de computer invoert. Hoe zit dat met privacy?
Het recht op informatie van de klant is hierbij van belang: dat geldt namelijk ook als je offline gegevens vastlegt, zoals bij het aanmaken van een klantenkaart in de winkel. Voordat je iemands gegevens opslaat, moet je duidelijk maken wat je met die data gaat doen en hoe lang je de data gaat bewaren. Online maak je daarbij gebruik van een privacy statement, maar het lijkt niet echt werkbaar om dat in de winkel voor te lezen terwijl de rij aan de kassa steeds langer wordt. Een tussenoplossing is dat de klant, direct na het aanmaken van de klantenkaart, een e-mail ontvangt met het privacy statement. Ook is het slim om altijd een aantal fysieke exemplaren van dit statement bij de kassa te hebben liggen, zodat je die aan de klant kunt geven om thuis nog eens rustig te bekijken. Dit mag een beknopte versie zijn met de belangrijkste punten, met een verwijzing naar een webpagina waar het volledige exemplaar te vinden is.

Naast het recht op informatie wil ik ook het onderwerp dataminimalisatie aanhalen. Dat is geen nieuw recht, maar wel belangrijk: net als bij de bewaartermijn moet je namelijk kunnen beargumenteren waarom je bepaalde gegevens wilt opslaan bij het aanmaken van een klantenkaart. Naam en e-mailadres spreken voor zich, maar is het ook nodig om iemands geboortedatum en geslacht te weten? Zo ja, dan moet je daar een reden voor hebben, die je ook weer vastlegt in je verwerkingenregister. 

3. Heb je toestemming nodig om het koopgedrag van klanten bij te houden, en op basis daarvan bijvoorbeeld de nieuwsbrief en de website te personaliseren?
Dat hangt er vanaf. Als eerste is het goed om te beseffen dat onder de AVG ondubbelzinnige toestemming niet de enige grondslag is om gegevens te verwerken – er zijn nog vijf andere grondslagen. De grondslag die bij deze vraag een rol speelt is het gerechtvaardigd belang, waartoe marketing ook behoort. Als je deze grondslag toepast, moet je altijd een afweging maken tussen het marketingbelang van je organisatie en de impact op de privacy van de klant. Als je vraagt naar iemands geslacht om op de website of in de nieuwsbrief voornamelijk mannen- of vrouwenkleding te laten zien, is de impact op privacy niet heel groot. Hetzelfde geldt voor het bijhouden van iemands aankopen. Dit wordt anders wanneer je een erg gedetailleerd profiel van een klant opbouwt, of hierbij ook gevoelige informatie over iemands financiële situatie betrekt. Dan kun je je doel voorbij schieten en wordt de impact op privacy groter dan het behartigen van je marketingbelang.

Over het algemeen geldt dat je vrij veel kunt doen zonder toestemming, als je de data niet deelt met derde partijen, de data niet opslaat buiten de EU en het profiel niet onnodig gedetailleerd maakt. Houd wel in de gaten dat je transparant bent over de verwerkingen die je doet. Bij de afweging die je maakt voor het gerechtvaardigd belang, is het namelijk belangrijk dat de verwerkingen die je doet ‘voorzienbaar’ zijn. Zorg er dus voor dat de consument vooraf op de hoogte is van wat je met zijn persoonsgegevens doet. 

4. Vallen tracking beacons ook onder de AVG?
Ja, de AVG doet uitspraken over het verwerken van persoonsgegevens. Een tracking beacon maakt gebruik van IP-adressen of MAC-adressen en dat zijn persoonsgegevens. Dat blijven ze ook als je deze data pseudonimiseert, versleutelt of hasht, omdat dit omkeerbare processen zijn die te herleiden zijn naar de bron. Alleen gegevens die geanonimiseerd zijn gelden niet als persoonsgegevens. Beacons hebben sowieso de aandacht van de Autoriteit Persoonsgegevens, omdat het meetgebied vaak lastig af te schermen is. Een bedrijf kwam eerder al in opspraak doordat gegevens van bewoners boven de winkels en van voorbijfietsende mensen ook werden opgeslagen. Voor iedereen die gebruik maakt van beacons, is het in elk geval zaak in lijn te handelen met de AVG.