GDPR: waar moet je op letten wanneer je een e-book aanbiedt op je website?

Geschreven door Simone Op Heij en Morgane Van Ermengem op 12 februari 2018

Dat op 25 mei 2018 nieuwe privacywetgeving in werking treedt, zal intussen voor de meesten (hopelijk) geen verrassing meer zijn. De nieuwe regels voor de verwerking van persoonsgegevens zullen voor vrijwel iedere organisatie belangrijk zijn. Maar bij de praktische toepassing van de GDPR staan voor de meesten nog vele vraagtekens.

Waar moet bijvoorbeeld op gelet worden bij het aanbieden van een (gratis) download zoals een e-book of brochure? Waar je in dit soort situaties op moet letten en wat wel en niet mag, zetten wij in deze blog even op een rijtje.

gdpr-gatend-content-wat-je-moet-weten.png

Waar moet je op letten wanneer je een e-book aanbiedt op je website?

Het aanbieden van een download op je website is natuurlijk een ideale situatie om gegevens over je potentiële klanten te verzamelen, om ze vervolgens te kunnen benaderen met meer gerichte aanbiedingen. De aanvrager moet bijvoorbeeld een online formulier invullen, vooraleer de download kan starten. Hoe pertinenter de download voor je klanten, hoe meer gegevens je zal kunnen verzamelen. Met de GDPR zal je hier wel enkele zaken in de gaten moeten houden ...

De GDPR vereist namelijk:

  • dat de betrokken persoon weet welke persoonsgegevens worden verzameld en waarvoor
  • ook als je van plan bent de persoonsgegevens te delen met derde partijen, moet je de betrokkene hiervan op de hoogte stellen.
  • ten slotte moet je ook een duidelijke privacy policy ter beschikking stellen waarin je de betrokkene wijst op zijn rechten met betrekking tot de verwerking.

Welke persoonsgegevens ga je verzamelen?

Zoals hierboven vermeld, is het belangrijk je bezoekers te informeren over welke gegevens je over hen zal opvragen en waarom. Indien zij hiermee akkoord gaan, mag jij ze verwerken.

Het voornaamste persoonsgegeven dat je zal opvragen in deze situatie, is het e-mailadres van de persoon die iets van je website wil downloaden. Dit is ook logisch: dat adres heb je waarschijnlijk nodig om het ebook op te sturen.

Stel nu, bovenop het e-mailadres had je graag naam, leeftijd en opleidingsniveau gekend. Zo kan jij een idee krijgen van het publiek dat geïnteresseerd is in je download, maar in de toekomst ook meer beter afgestemde aanbiedingen sturen naar deze bezoekers.

Hier hebben we dus al drie verschillende doelen voor de verwerking:

  • het versturen van de download,
  • de statistieken van je website, en
  • directe marketing.

Daar bovenop zal je rekening moeten houden met het principe van dataminimalisatie. Dit houdt in dat zo min mogelijk gegevens worden verzameld.

Je moet de verwerking dus echt kunnen verantwoorden met een specifiek doel: is het bijvoorbeeld noodzakelijk het opleidingsniveau te kennen van je publiek, als je hondenvoer verkoopt? Waarschijnlijk niet. Let dus op dat je geen onnodige informatie opvraagt.

Duidelijke informatie geven én toestemming vragen

Iedere bezoeker die geïnteresseerd is in de download, zal op voorhand op de hoogte moeten zijn wat er met zijn of haar gegevens gebeurt. Het is dan ook zeker niet voldoende om te verwijzen naar ingewikkelde en lange algemene voorwaarden ergens op je website, waar de betrokkene dan zelf door moet ploeteren om erachter te komen wat jij met de gegevens zal doen.

Beter is het om kort en duidelijk te vermelden, op het ogenblik van de download, dat de gegevens gebruikt zullen worden voor bepaalde doelen (zoals promotionele acties). Hierbij kan je dan een hyperlink plaatsen naar zowel je algemene voorwaarden als je privacyverklaring, waarin de betrokkene de informatie nog eens uitgebreid kan nalezen.

Zorg er ook voor dat de betrokkene actief zijn of haar toestemming verleent voor het verwerken van de gegevens. De GDPR stelt uitdrukkelijk dat deze toestemming vrij, geïnformeerd, ondubbelzinnig en actief gegeven moet worden.

Wat betekent dit concreet?

  • Iedere betrokkene zal zelf een actieve handeling moeten verrichten, zoals bijvoorbeeld het plaatsen van een vinkje. Het is niet toegestaan om vooraf aangevinkte ‘checkboxen’ te gebruiken: dit is namelijk geen actieve handeling.
  • Zorg ervoor dat de juiste informatie beschikbaar is voordat de toestemming gegeven moet worden: enkel dan kan de toestemming als geïnformeerd en ondubbelzinnig bestempeld worden.
  • De toestemming moet vrij gegeven worden, wat wil zeggen dat er geen andere voorwaarden aan verbonden mogen zijn. De download enkel ter beschikking stellen op voorwaarde dat toestemming gegeven wordt voor directe marketing, is daarom bijvoorbeeld een no-go.

Een voorbeeld van een download bij Unbounce (we hebben bewust een 'oude' download genomen van 2015):

gdpr-voorbeeld-unbounce.png

Deze download is niet GDPR-proof op een aantal niveau's:

  1. De toestemming is niet vrij: het is niet mogelijk om de template te ontvangen zonder ook akkoord te gaan met het ontvangen van 'other resources'
  2. De toestemming is niet geinformeerd: het is niet duidelijk wat deze andere resources zijn. Er is bovendien extra een link nodig naar de privacyverklaring.
Mag je persoonsgegevens delen met een derde?

Het kan soms interessant zijn om een partnership aan te gaan met andere bedrijven. Stel, een betrokkene downloadt op jouw website een document waarin recepten staan en laat hiervoor e-mailadres en woonplaats achter. Jouw bedrijfje heeft een deal met een supermarktketen en je verkoopt die gegevens van de betrokkene aan de supermarkt door. Die stuurt de betrokkene vervolgens een e-mail met diverse interessante promoties voor het kerstdiner. Maakt het leven van iedereen gemakkelijker, toch?

Een dergelijke samenwerking is zeker mogelijk, zolang de betrokkene hierover is geïnformeerd en actief zijn toestemming heeft gegeven. Dit moet dus zeker uitdrukkelijk in de informatie die je, zoals hierboven wordt uitgelegd, moet communiceren. Voordat de betrokkene het document downloadt op je website, zal je duidelijk moeten aangeven dat de verstrekte informatie wordt doorgegeven aan diverse derde partijen en wat zij met je gegevens doen. Deze bedrijven, of op z’n minst de categorieën bedrijven, zal je vervolgens expliciet moeten benoemen.

Dit kan bijvoorbeeld op de volgende manier:

Ik geef toestemming dat partners (link) mij per e-mail mogen benaderen voor interessante aanbiedingen.

Door daarop te klikken kan vervolgens een lijst worden getoond die eenvoudig kan worden aangepast.

De betrokkene zal vervolgens bijvoorbeeld een ‘vinkje’ moeten zetten zodat de expliciete toestemming is verkregen.

Rechten van betrokkene

Naast bovenstaande informatieverplichtingen, ben je ook verplicht om betrokkenen te wijzen op de diverse rechten die zij hebben. Deze rechten zijn bijvoorbeeld het recht om te vragen welke gegevens een organisatie over de betrokkene heeft, het recht om gegevens te verbeteren, het recht om te vragen dat de betrokkene ‘vergeten’ wordt, en het recht om bezwaar aan te tekenen tegen de verwerking van gegevens.

In deze specifieke situatie zal het bijvoorbeeld belangrijk zijn om de betrokkene te wijzen op dat recht van bezwaar. Dit betekent dat iedere betrokkene de mogelijkheid moet krijgen om kosteloos en op een laagdrempelige manier aan te geven dat zijn of haar gegevens niet langer gebruikt mogen worden voor bepaalde doeleinden, zoals directe marketing.

Een manier om dat te doen is na het downloaden van het ebook die info expliciet in je mail te plaatsen:

gdpr-landingpagina-privacy-statement-in-mail.jpg

Vanaf dat moment dat iemand zich uitschrijft, zal jij de betrokkene niet langer mogen benaderen met promotionele acties of nieuwsbrieven. De toestemming die hiervoor werd gekregen wordt dan namelijk ingetrokken, waardoor de grondslag voor verwerking van de persoonsgegevens vervalt.

Conclusie

Let dus goed op wanneer je straks een download aanbiedt op je website en denk na over welke gegevens daadwerkelijk nodig zijn om het doel te bereiken dat je voor ogen hebt.

Zorg daarnaast dat je de betrokkene op correcte wijze informeert. Je zal voldoende transparant moeten zijn over de verwerking van iemand zijn persoonsgegevens zodat een betrokkene weet waar hij mee instemt.

Ten slotte zal je ook het recht op bezwaar moeten benoemen en een duidelijke optie dienen aan te geven waarmee een betrokkene zich kan afmelden voor marketingberichten. Na een afmelding mag je deze persoon ook niet meer benaderen, tenzij je de gegevens opnieuw verkrijgt na toestemming via bijvoorbeeld een nieuwe download.

Dit lijken misschien wel veel regels, maar uiteindelijk gaat het erom één gestroomlijnde procedure op te zetten en deze correct op te volgen. Bovendien vinden we het op persoonlijk vlak toch ook maar geruststellend, dat onze gegevens niet op obscure plekken terechtkomen?

Wie meer (juridische) informatie wil over GDPR kan terecht bij deJuristen.

Zijn jouw tools GDPR-proof?

Categorie: GDPR

Simone Op Heij en Morgane Van Ermengem

Morgane is legal officer bij theJurists London. Simone is legal counsil, gespecialiseerd in IT & IP.