Mag je zomaar bedrijfsdata verkopen of kopen?
Het klinkt heel makkelijk: een beetje data hier kopen, daar wat verkopen en ondertussen lekker veel klanten binnenhalen. Maar zo simpel is het niet. Zeker niet als het gaat om persoonsgegevens. Want ook al lijkt het misschien een onschuldig lijstje met namen en adressen, de regels daarachter zijn allesbehalve luchtig en geloof maar, daar kijkt iemand flink mee.
De waakhond kijkt mee en hij bijt als het moet
De Autoriteit Persoonsgegevens, oftewel de AP, houdt streng toezicht op alles wat met persoonlijke gegevens te maken heeft. Elk jaar prikken ze er een aantal thema’s uit waar ze extra goed op letten. Handel in data was daar de afgelopen jaren eentje van en dat is niet voor niets. Want zodra je met gegevens aan de slag gaat om mensen reclame te sturen of te benaderen, kom je al snel in het vaarwater van de privacywet. Wil je bedrijfsdata gebruiken, bijvoorbeeld om nieuwe klanten te vinden? Dan moet je zeker weten dat de gegevens netjes zijn verzameld en dat je ze mag gebruiken voor jouw doel. Daarom is het slim om te kiezen voor een gerenommeerde partij die bedrijfsdata op de juiste manier verkrijgt. Doe je dat niet, dan kun je zomaar op de radar komen van de AP. Dat is een lijst waar je liever niet op staat.
Hoe ziet dat er in de praktijk uit?
Even een voorbeeldje. Stel dat iemand een abonnement heeft op een sportzender. Dat is natuurlijk handige info voor een reisbureau dat voetbalreizen verkoopt. Dus koopt dat reisbureau via-via een bestand met gegevens van voetballiefhebbers. Klinkt slim, toch? Nou, nee. Want tenzij al die mensen uit dat bestand expliciet hebben aangegeven dat hun gegevens gedeeld mogen worden met andere bedrijven, zit je fout.
Die info komt namelijk vaak van zogeheten data brokers. Die kopen grote hoeveelheden gegevens op, plakken er een prijskaartje aan en verkopen het weer door. Daar gaat het dus vaak mis. Want niemand weet meer precies waar de info vandaan komt, laat staan of er toestemming voor is gegeven.
Maar hoe zit dat dan met de AVG?
Heel simpel: als je persoonsgegevens verzamelt, verkoopt of gebruikt, moet je je aan de regels houden. Een van de belangrijkste is dat je toestemming moet hebben van de persoon van wie de gegevens zijn. Niet verstopt in vage voorwaarden, maar gewoon duidelijk en aantoonbaar. Dat betekent dat als iemand zegt: “Ik heb hier nooit toestemming voor gegeven,” jij moet kunnen bewijzen dat die persoon dat wél gedaan heeft. Dan heb je dus niet genoeg aan een vaag vinkje onderaan een formulier. Je moet precies kunnen laten zien wanneer en waarvoor iemand zijn toestemming gaf. Zonder dat bewijs? Dan ben je simpelweg in overtreding.
Toestemming is mooi, maar kun je dat ook laten zien?
Veel bedrijven denken dat ze goed zitten zolang ze zeggen dat er toestemming is. Maar dat is dus niet genoeg. Je moet zwart op wit kunnen aantonen hoe, wanneer en waarvoor iemand toestemming gaf. Vooral als je met ingekochte data werkt van een externe partij, moet je extra scherp zijn. Want als de leverancier het niet goed geregeld heeft, zit jij straks met de gebakken peren. Zorg dus dat je dit goed uitzoekt voordat je data aankoopt of gebruikt. Vertrouw niet blind op ‘ja hoor, dit is AVG proof’ als je er zelf geen bewijs van ziet.