BESCHERMING VAN PERSOONSGEGEVENS: Wat zijn de aandachtspunten bij het digitaliseren van een commerciële activiteit?

Onder druk van de verplichte sluitingsmaatregelen en de invoering van “click and collect” door het ministerieel besluit van 1 november 2020 zijn veel ondernemingen dringend aan een digitale ommezwaai begonnen om zo veel mogelijk te kunnen blijven werken.

Dit houdt noodzakelijkerwijs de verwerking in van bepaalde persoonsgegevens (contactgegevens, afleveradres, bankgegevens).

De vragen die ondernemingen, die hun activiteiten geheel of gedeeltelijk willen digitaliseren, zich zullen stellen, zullen vooral verschillen naargelang ze al dan niet beschikken over de e-mailadressen van hun klanten (bijvoorbeeld via een getrouwheidsprogramma).

1. Als de onderneming nog geen database heeft van haar (potentiële) klanten, waar moet zij dan op letten bij het samenstellen van deze database?

Als de onderneming start met een blanco vel papier, moet zij zich eerst de volgende drie vragen stellen:

Voor welke doeleinden heeft de onderneming de gegevens nodig? Deze identificatie van de behoeften is essentieel en zal de geldigheid van alle andere stappen beïnvloeden. Het is dan ook noodzakelijk om zich vragen te stellen bij het project dat wordt nagestreefd: is het de bedoeling om goederen aan de consument te leveren, om hem diensten op afstand te leveren, om hem advertentiemails te sturen?
Welke gegevens heeft de onderneming nodig? De algemene verordening gegevensbescherming (hierna “AVG” genoemd) verplicht dat het verzamelen van gegevens zoveel als mogelijk moet worden beperkt (het “minimaliseringsbeginsel”). Afhankelijk van de vastgestelde doelen zullen de benodigde gegevens dus niet altijd dezelfde zijn. Heeft de onderneming immers de geboortedatum van zijn klanten echt nodig als het enige doel dat werd geïdentificeerd de levering van de door hen bestelde goederen is?
Wat is de rechtvaardigingsgrond van de voorgestelde verwerkingen? De AVG vereist dat alle verwerkingen gebaseerd moeten zijn op een van de in de AVG genoemde rechtsgronden. Voor bedrijven zijn de meest gebruikte gronden:
(1) de uitvoering van een met een natuurlijke persoon gesloten overeenkomst (bv. als de persoon een goed heeft besteld, zal zijn of haar postadres nodig zijn om de overeenkomst uit te voeren),
(2) het rechtmatige belang van de onderneming (mits de rechten en vrijheden van personen niet prevaleren boven dit belang) (bv. een rechtmatig belang kan zijn dat er maatregelen worden genomen om de identiteit van personen te verifiëren, om te voorkomen dat dezelfde persoon meermaals van een promotieactie profiteert),
(3) een wettelijke verplichting (bv. het bewaren van bepaalde gegevens kan worden opgelegd door belasting- en/of boekhoudregels) en,
(4) de toestemming van de betrokkene (bv. als de onderneming de verzamelde gegevens wil doorverkopen, heeft zij de toestemming nodig van de personen op wie het betrekking heeft).

De antwoorden op deze vragen zullen de basis vormen voor het register van verwerkingsactiviteiten dat krachtens de AVG moet worden bijgehouden.
Het zal de onderneming ook in staat stellen om de informatie op te stellen die zij moet sturen naar de personen van wie zij de gegevens verzamelt op grond van het transparantiebeginsel. Dit houdt in dat aan individuen wordt uitgelegd welke gegevens worden verzameld, om welke reden(en) en volgens welke modaliteiten (rechtvaardigingsgrondslag, bewaartermijn, rechten van de betrokkenen, etc.).

Tot slot is het in dit stadium van cruciaal belang om na te denken over de manier waarop de gegevens worden opgeslagen en beveiligd: het is inderdaad de verantwoordelijkheid van de onderneming om ervoor te zorgen dat het beveiligingsniveau voldoende is met betrekking tot het risico voor de betrokken personen. Hoe gevoeliger de gegevens (bijv. bankgegevens), hoe hoger het beveiligingsniveau zal moeten zijn.

2. Als de onderneming al beschikt over de e-mailadressen van zijn klanten, kan zij hen dan een e-mail sturen om hen te informeren over de invoering van een e-commercedienst?

Het kan gebeuren dat een onderneming al over klantcontactgegevens beschikt, die het bijvoorbeeld in het kader van een getrouwheidsprogramma zou hebben verzameld. Kan zij deze gebruiken om contact op te nemen met haar klanten en hen te informeren over de invoering van een e-commercedienst?

Naast de naleving van de in punt 1 genoemde beginselen door de onderneming, moet uiteraard ook rekening worden gehouden met twee andere aspecten.

Eerst moet worden nagegaan of het nieuwe doel (het verzenden van een marketingbericht) verenigbaar is met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Dit zal per geval moeten worden onderzocht, met name in het licht van de oorspronkelijke omstandigheden waarin de gegevens zijn verzameld en de legitieme verwachtingen van de betrokkenen.

Ten tweede zal de onderneming moeten nagaan of zij al dan niet de toestemming van de betrokken personen nodig heeft. Op het gebied van de elektronische marketing worden de toepasselijke regels bepaald door een Koninklijk Besluit van 4 april 2003. Volgens dit besluit is de onderneming vrijgesteld van het verkrijgen van de voorafgaande toestemming van de betrokken personen om hen reclame per e-mail te sturen wanneer aan de volgende drie cumulatieve voorwaarden is voldaan:

(1) de contactgegevens zijn verkregen in het kader van de verkoop van een product of dienst en met inachtneming van de regels inzake de bescherming van de persoonlijke levenssfeer (met name de regels in punt 1 hierboven);
(2) de reclame heeft betrekking op producten of diensten die vergelijkbaar zijn met die welke eerder zijn aangekocht en die de onderneming zelf levert;
(3) de onderneming heeft haar klanten bij het verzamelen van hun elektronische contactgegevens de mogelijkheid geboden om kosteloos en op eenvoudige wijze zich te verzetten tegen het toesturen van reclame.

3. Conclusie

Hoewel de coronacrisis de digitale transitie heeft versneld, is het essentieel dat ondernemingen rekening houden met de regelgeving voor de verwerking van persoonsgegevens. Naast de reputatierisico’s voor hun klanten kunnen de boetes die de Belgische gegevensbeschermingsautoriteit oplegt immers zeer zwaar zijn. Zo legde zij bijvoorbeeld een boete van € 10.000 op aan een handelaar die een klantenkaart wilde aanmaken met een identiteitskaart van een klant, een boete van € 10.000 aan een bedrijf dat per ongeluk reclame-mails had gestuurd naar een persoon die geen klant was, of een boete van € 15.000 aan de exploitant van een website die zijn verplichtingen inzake transparantie en toestemming voor cookies niet nakwam.

Tot slot moet worden benadrukt dat het veel gemakkelijker – en dus veel goedkoper – is om een modus operandi op te zetten die voldoet aan de regelgeving, veeleer dan te proberen om deze achteraf conform te krijgen.

van Laure-Anne Nyssen

Cookie	Type	Looptijd	Omschrijving
cookielawinfo-checkbox-[category]	persistent	1 jaar	Deze cookie wordt ingesteld door de GDPR Cookie Consent plugin. De cookie wordt gebruikt om de toestemming van de gebruiker op te slaan voor de cookies in de categorie "Niet-noodzakelijk".
CookieLawInfoConsent	persistent	1 jaar	De cookie wordt ingesteld door de GDPR Cookie Consent plugin en wordt gebruikt om de keuze van de gebruiker over cookies op de website te onthouden om te voorkomen dat de popup wordt geopend na aanvaarding.
PHPSESSID	session		Deze cookie registreert de unieke sessie van de gebruiker op de site.
pll_language	persistent	1 jaar	Deze cookie stelt de taal van de gebruiker in.
viewed_cookie_policy	persistent	1 jaar	De cookie wordt ingesteld door de GDPR Cookie Consent plugin en wordt gebruikt om op te slaan of de gebruiker al dan niet heeft ingestemd met het gebruik van cookies. Het slaat geen persoonlijke gegevens op.

Cookie	Type	Looptijd	Omschrijving
tk_ai	persistent	1 jaar	Deze cookie wordt ingesteld door WooCommerce. Het slaat een willekeurig gegenereerde anonieme ID op. Dit wordt alleen gebruikt binnen het dashboard (`/wp-admin`) gebied en wordt gebruikt voor het bijhouden van het gebruik, indien ingeschakeld. Meer info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_cart_[hash]	session		Deze cookie wordt ingesteld door WooCommerce en wordt gebruikt om WooCommerce te helpen bepalen wanneer de inhoud/gegevens veranderen. Meer info: https://docs.woocommerce.com/document/woocommerce-cookies/
woocommerce_items_in_cart	session		Deze cookie wordt ingesteld door WooCommerce en wordt gebruikt om WooCommerce te helpen bepalen wanneer winkelwageninhoud/gegevens veranderen. Meer info: https://docs.woocommerce.com/document/woocommerce-cookies/
wp_woocommerce_session_	persistent	2 dagen	Deze cookie wordt ingesteld door WooCommerce. Het bevat een unieke code voor elke klant, zodat het weet waar het de winkelwagen gegevens in de database voor elke klant kan vinden. Meer info: https://docs.woocommerce.com/document/woocommerce-cookies/

Cookie	Type	Looptijd	Omschrijving
wordpress_[hash]	session		Deze cookie wordt ingesteld door Wordpress en wordt gebruikt om de verificatiegegevens op te slaan bij het inloggen. De verificatiegegevens omvatten de gebruikersnaam en een dubbele gehashte kopie van het wachtwoord. Dit gebruik van de cookie is echter beperkt tot het admin console gebied, het backend dashboard van de website. Hier vertegenwoordigt [hash] de waarde die wordt verkregen door een specifieke wiskundige formule toe te passen op de gebruikersnaam en het wachtwoord. Het is om ervoor te zorgen dat de ingevoerde waarden veilig zijn, en niemand kan toegang krijgen tot deze gegevens met behulp van de cookies, aangezien het moeilijk is om de gehashte gegevens te 'unhashen'. Meer info: https://wordpress.org/support/article/cookies/
wordpress_test_cookie	session		Deze cookie wordt ingesteld door Wordpress en wordt gebruikt om de verificatiegegevens op te slaan bij het inloggen. De verificatiegegevens omvatten de gebruikersnaam en een dubbele gehashte kopie van het wachtwoord. Dit gebruik van de cookie is echter beperkt tot het admin console gebied, het backend dashboard van de website. Hier vertegenwoordigt [hash] de waarde die wordt verkregen door een specifieke wiskundige formule toe te passen op de gebruikersnaam en het wachtwoord. Het is om ervoor te zorgen dat de ingevoerde waarden veilig zijn, en niemand kan toegang krijgen tot deze gegevens met behulp van de cookies, aangezien het moeilijk is om de gehashte gegevens te 'unhashen'. Meer info: https://wordpress.org/support/article/cookies/
workpress_logged_in_[hash]	session		Deze cookie wordt ingesteld door Wordpress en wordt gebruikt om aan te geven wanneer u bent ingelogd en wie u bent. Deze cookie wordt ook op de front-end van de website bijgehouden wanneer u ingelogd bent. Meer info: https://wordpress.org/support/article/cookies/
wp-settings-{time}-[UID]	persistent	1 jaar	Deze cookie wordt ingesteld door Wordpress en wordt gebruikt om de weergave van uw beheerinterface en de front-end van de website aan te passen. De waarde vertegenwoordigd door [UID] is de individuele gebruikers-ID van de gebruiker zoals aan hem gegeven in de gebruikersdatabasetabel. Meer info: https://wordpress.org/support/article/cookies/

Cookie	Type	Looptijd	Omschrijving
__utma	persistent	2 jaar	Gebruikt om gebruikers en sessies te onderscheiden. De cookie wordt aangemaakt wanneer de javascript-bibliotheek wordt uitgevoerd en er geen __utma-cookies zijn De cookie wordt bijgewerkt telkens wanneer gegevens naar Google Analytics worden verzonden. Meer info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmb	session	30 minuten	Gebruikt om nieuwe sessies/bezoeken te bepalen. De cookie wordt aangemaakt wanneer de javascript-bibliotheek wordt uitgevoerd en er geen bestaande __utmb cookies zijn. De cookie wordt bijgewerkt telkens wanneer gegevens naar Google Analytics worden verzonden.Meer info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmc	session		Deze cookie fucntioneert in samenhang met de __utmb cookie om te bepalen of er een nieuw bezoek is van de huidige bezoeker. Meer info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmt	session	10 minuten	Gebruikt om de verzoeksnelheid te verminderen. Meer info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmv	persistent	2 jaar	Gebruikt om gegevens over aangepaste variabelen op bezoekersniveau op te slaan. Deze cookie wordt aangemaakt wanneer een ontwikkelaar de methode _setCustomVar gebruikt met een op bezoekersniveau aangepaste variabele. Deze cookie werd ook gebruikt voor de afgeschreven _setVar-methode. De cookie wordt bijgewerkt telkens wanneer gegevens naar Google Analytics worden verzonden. Meer info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
__utmz	persistent	6 maanden	Slaat de verkeersbron of campagne op die verklaart hoe de gebruiker uw site heeft bereikt. De cookie wordt aangemaakt wanneer de javascript-bibliotheek wordt uitgevoerd en wordt bijgewerkt telkens wanneer gegevens naar Google Analytics worden verzonden.Meer info: https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage
_fbp	persistent	3 maanden	Gebruikt door Facebook om een reeks advertentieproducten aan te bieden, zoals real-time bieden van derde adverteerders.
1P_JAR	persistent	1 maand	Deze cookie verschaft informatie over hoe de eindgebruiker de website gebruikt en eventuele advertenties die de eindgebruiker heeft gezien voordat hij die website bezocht. Het is toegevoegd door Google met het bijhouden van Linkedin.
AnalyticsSyncHistory	persistent	30 dagen	Wordt gebruikt om gegevens op te slaan over wanneer een synchronisatie met het lms_analytics-cookie werd uitgevoerd.
ANID	persistent	9 maanden	Dit is een advertentiecookie van Google (die kan worden geïnjecteerd bij gebruik van een dienst als Facebook Pixel, MailChimp of Linkedin).
bcookie	persistent	1 jaar	Deze cookie wordt door Linkedin geplaatst voor het bijhouden van on-board diensten.
bscookie	persistent	2 jaar	Deze cookie wordt door Linkedin geplaatst voor het bijhouden van on-board diensten.
c_user	persistent	3 maanden	Deze cookie wordt door Facebook gebruikt voor het sociaal delen van informatie en de integratie van Facebook-diensten.
cli_user_preference	persistent	1 jaar	Slaat de toestemmingsstatus van de cookies van de gebruiker op.
CONSENT	persistent	± 18 jaar	Deze cookie slaat informatie op met betrekking tot de toestemming van de gebruiker en slaat de taal van de gebruiker op.
datr	persistent	2 jaar	Cookie voor statistische analyse van Facebook-advertenties. Zie voor meer informatie het Cookiegebruiksbeleid van Facebook.
DSID	persistent	2 weken	Wordt gebruikt om een gebruiker te identificeren die is aangemeld bij zijn of haar Google-account op niet-Google-sites en om zijn of haar voorkeuren voor gepersonaliseerde advertenties op te slaan.
fr	persistent	3 maanden	Het "fr"-cookie wordt gebruikt om de relevantie van advertenties te leveren, te meten en te verbeteren en het heeft een levensduur van 90 dagen.
IDE	persistent	13 maanden	Gebruikt door Google om Google Ads advertenties te tonen aan gebruikers op niet-Google sites.
JSESSIONID	session		Deze cookie wordt door Linkedin geplaatst om een nieuwe sessie te definiëren.
lang	session		Deze cookie slaat de taal van de browser op. Deze cookie is toegevoegd door Linkedin.
li_at	persistent	1 jaar	Deze cookie wordt door Linkedin geplaatst voor het bijhouden van on-board diensten. Deze cookie wordt gebruikt om te beschermen tegen XSS-aanvallen.
li_oatml	persistent	1 maand	Indirecte ID van het lid voor conversatie tracking, retargeting en gebruiker. Deze cookie is toegevoegd door Linkedin.
lidc	session	1 dag	Linkedin cookie gebruikt voor routing
lissc	persistent	1 jaar	Deze cookie wordt door Linkedin geplaatst voor het bijhouden van on-board diensten.
lms_ads	persistent	30 dagen	Gebruikt om LinkedIn-leden buiten LinkedIn in aangewezen landen te identificeren voor advertentiedoeleinden.
lms_analytics	persistent	30 dagen	Gebruikt om LinkedIn leden in bepaalde landen te identificeren voor analyse doeleinden.
NID	persistent	6 maanden	Deze Google cookie wordt gebruikt om advertenties te personaliseren. Het slaat een unieke identificatie op die Google in staat stelt om voorkeuren en andere informatie, zoals taal, op te slaan.
sb	persistent	2 jaar	Deze cookie wordt door Facebook gebruikt voor het sociaal delen van informatie en de integratie van Facebook-diensten.
UserMatchHistory	persistent	30 dagen	Deze Linkedin cookie wordt gebruikt om bezoekers te volgen zodat de meest relevante advertenties kunnen worden getoond op basis van de voorkeuren van de bezoeker.
xs	persistent	90 dagen	Deze cookie van Facebook slaat een bepaalde hoeveelheid sessiegegevens op wanneer een persoon via zijn browser of apparaat met Facebook verbonden is.