Stel dat uw bedrijf zijn producten via telemarketing onder de aandacht brengt. U belt bijvoorbeeld naar een adressenbestand om potentiële klanten te informeren over uw diensten. De potentiële klant kan daarbij aangeven of hij belangstelling heeft voor een proefperiode. U noteert vervolgens zijn gegevens. Die potentiële klant met belangstelling is een ‘lead’ en bij leadgeneratie spelen persoonsgegevens van potentiële klanten dus een belangrijke rol. Ook de gegevens van zakelijke klanten vallen onder de AVG. De potentiële klant waar u gegevens van heeft genoteerd, heet de betrokkene. De AVG omschrijft deze als een natuurlijk persoon die door de persoonsgegevens geïdentificeerd kan worden. U moet persoonsgegevens van betrokkenen volgens de AVG op een behoorlijke, rechtmatige en transparante manier verwerken.
Daarnaast eist de AVG een striktere vorm van toestemming vragen aan betrokkenen. Uw bedrijf mag bijvoorbeeld alleen aanbiedingen aan potentiële klanten doen via ‘opt-ins’. Dit betekent dat de potentiële klant actief toestemming moet geven voordat u zijn gegevens mag gebruiken. Bovendien moet die toestemming ‘ondubbelzinnig’ zijn. Toestemming kan dus niet meer worden ontleend aan een akkoord op de algemene voorwaarden of het privacy statement. Bovendien moet u kunnen aantonen dat de klant u bewust en vrijwillig de ‘opt-in’ heeft gegeven. U bent ervoor verantwoordelijk dat betrokkenen hun rechten kunnen uitoefenen. Het meest vergaande recht waar u bij leadgeneratie mee te maken kunt krijgen, is het recht om vergeten te worden.
Dit houdt in dat u in de volgende gevallen verplicht bent om de persoonsgegevens van betrokkene op zijn verzoek te wissen:
- als uw bedrijf de persoonsgegevens niet meer nodig heeft voor de doelen waarvoor u ze heeft verzameld of waarvoor u deze verwerkt;
- als de betrokkene zijn eerder uitdrukkelijk gegeven toestemming intrekt;
- als de betrokkene bezwaar maakt tegen de verwerking;
- als uw bedrijf de persoonsgegevens onrechtmatig verwerkt;
- als uw bedrijf wettelijk verplicht is om de gegevens na bepaalde tijd te wissen;
- als de betrokkene jonger is dan 16 jaar en de persoonsgegevens zijn verzameld via een app of website.
Volgens de AVG moet uw bedrijf aan kunnen tonen dat het aan de privacyregels voldoet. Dat geldt niet alleen voor het bewijs dat u toestemming heeft. U moet bijvoorbeeld ook hard kunnen maken dat de verwerking transparant en doelmatig is en dat u de juiste technische en organisatorische maatregelen heeft genomen om verzamelde persoonsgegevens te beveiligen. In de AVG staan een aantal verplichte maatregelen genoemd die volgen uit de verantwoordingsplicht. Zo bent u onder meer verplicht om in specifieke gevallen een verwerkingsregister bij te houden. Dat is verplicht als uw bedrijf meer dan 250 werknemers heeft. Bij minder dan 250 werknemers hoeft het alleen onder bepaalde voorwaarden:
- als de verwerking waarschijnlijk een risico voor de rechten en vrijheden van de betrokkenen inhoudt;
- als de verwerking niet incidenteel is;
- als de verwerking bijzondere persoonsgegevens of persoonsgegevens over strafrechtelijke feiten betreft.
Bij leadgeneratie moet u al snel een verwerkingsregister bijhouden, aangezien de verwerking waarschijnlijk niet incidenteel is.
U kunt ook besluiten een derde partij in te huren om aan leads te komen. Die derde is volgens de AVG de verwerker en uw bedrijf als opdrachtgever de verwerkingsverantwoordelijke. U moet dan met de verwerker een verwerkersovereenkomst afsluiten. Hierin worden zowel uw rechten en plichten benoemd als die van de verwerker. Denk aan de verplichting van de verwerker om afdoende garanties te bieden op het gebied van technische en organisatorische maatregelen om persoonsgegevens te beschermen. Ook de manier waarop de verwerker aan verzoeken van betrokkenen gehoor moet geven, moet omschreven worden. Daarnaast moet u vastleggen wie wat moet doen als er een datalek bij de verwerker ontstaat. Bij een datalek bent u als verwerkingsverantwoordelijke verplicht om het lek te melden aan de Autoriteit Persoonsgegevens (AP). Dat moet zonder onredelijke vertraging en uiterlijk binnen 72 uur nadat u op de hoogte bent gesteld van het datalek. Het is dus belangrijk dat u goed met uw verwerker regelt dat hij u snel op de hoogte brengt, mocht er bij hem een datalek ontstaan.
Wilt u weten waar uw organisatie staat en of uw huidige privacybeleid (nog) op alle punten aan de AVG voldoet, neem dan contact met ons op voor advies en een scan van uw huidige privacydocumenten.