17 april 2018, De Biltsche Hoek

Privacy en CRM: match of misère?

Basisbeginselen
Checklist
Marketing & privacy
Risico’s

START PRESENTATIE
Privacy, basisbeginselen (1)

 Enkele basisbegrippen uit het privacyrecht

 Persoonsgegevens
 Bijzondere persoonsgegevens (later meer)
 Verwerken
 Betrokkene
 Verantwoordelijke / verwerker

17 april 2018 2 Presentatie ‘Privacy & CRM’

Privacy, basisbeginselen (2)

 Grondslagen voor verwerking

1) Toestemming
2) Noodzakelijk voor de uitvoering van een overeenkomst waarbij
betrokkene partij is
3) …
4) Noodzakelijk voor de behartiging van het gerechtvaardigde belang
van werkgever, tenzij belangen van betrokkene zwaarder wegen

17 april 2018 3 Presentatie ‘Privacy & CRM’

Privacy, basisbeginselen (3)
 Toestemming als grondslag
 Ondubbelzinnig: in vrijheid, gericht op een bepaalde verwerking,
informed consent
 In beginsel niet als grondslag in arbeidsverhouding vanwege
gezagsverhouding (uitzondering sollicitanten). Probleem!
 In het algemeen niet aan te raden

 Noodzakelijk voor uitvoering overeenkomst

 Initiatief vanuit ‘de klant’
 Persoonsgegevens die logischerwijze nodig zijn

 Gerechtvaardigd belang verantwoordelijke

 Denk aan: cameratoezicht
 Dubbele afweging: eerst noodzakelijk voor eigen belang, daarna
afweging of het belang op privacy van betrokkene groter is.
17 april 2018 4 Presentatie ‘Privacy & CRM’
Privacy, basisbeginselen (4)

 Uitgangspunten bij verwerking

 Rechtmatig, transparant
 Doelbinding
 Evenredigheid / minimale gegevensverwerking
 Zorgvuldigheid
 Opslagbeperking (bewaartermijn)
 Integriteit en vertrouwelijkheid
 Verantwoordingsplicht

17 april 2018 5 Presentatie ‘Privacy & CRM’

Privacy, bijzondere persoonsgegevens (1)

 Bijzondere persoonsgegevens:
1. Ras/etniciteit (foto!)
2. Politieke aspecten
3. Religie
4. Lidmaatschap vakbond
5. Genetische/biometrische data
6. Gezondheidsgegevens (arbeidsongeschiktheid)
7. Strafrechtelijke gegevens
8. Gegevens m.b.t. seksueel gedrag/voorkeur

 Uitgangspunt: verboden bijzondere persoonsgegevens te verwerken,

tenzij…

17 april 2018 6 Presentatie ‘Privacy & CRM’

Privacy, bijzondere persoonsgegevens (2)

 Verboden te verwerken, tenzij (art. 9 lid 2 AVG):

 Verwerking noodzakelijk is met het oog op de uitvoering van rechten
en verplichtingen op het gebied van het arbeidsrecht en het
socialezekerheidsrecht.
 Verwerking noodzakelijk is voor doeleinden van
‘arbeidsgeneeskunde’, beoordeling van arbeidsongeschiktheid van
de werknemer etc.

 Maar: enkel door geheimhouder (lees: bedrijfsarts) of indien specifieke

wettelijke grondslag

 Mail van werknemer aan werkgever met details ziekmelding?

17 april 2018 7 Presentatie ‘Privacy & CRM’

Privacy, Checklist

 Checklist privacy:
Verwerkingen in kaart brengen: waar komen gegevens binnen, waar
gaan ze eruit? Register Verwerkingsactiviteiten, grondslag
Verwerkersovereenkomsten
Datalekprotocol
Overzicht inbreuken / datalekken
Bewaartermijnen
Privacybeleid/privacystatement intern/extern
Functionaris Gegevensbescherming
Rechten betrokkene
Beveiliging
Cyberverzekering?

17 april 2018 8 Presentatie ‘Privacy & CRM’

Privacy en marketing

 Marketing als grondslag?

 Mogelijk op grond van gerechtvaardigd belang, maar…
1. Belangenafweging inzichtelijk maken: hoe gevoeliger de
doelgroep, hoe zwaarder het belang van de betrokkene
2. Klant (vooraf) informeren over verwerking i.v.m. marketing 
privacy statement
3. Recht van verzet altijd honoreren
4. Verplichtingen uit Telecomwet (opt-in bij niet-klanten, altijd opt-out
mogelijk, Bel-Me-Niet etc.)

 Voorbeeld: failliete personen aanschrijven

17 april 2018 9 Presentatie ‘Privacy & CRM’

Privacy en marketing (2)

 Adressenbestanden opkopen (listbroker/adressenhandel)?

 Mag de listbroker de persoonsgegevens verkopen?
 Vraag garantie van listbroker
 Informeer betrokkenen bij eerste contact over verkrijgen
persoonsgegevens en wat ermee gedaan wordt
 Let op bijzondere persoonsgegevens (vb: abonneelijst
Reformatorisch Dagblad)

 Toestemming/opt-in aannemen mogelijk (afgeven visitekaartje)?

17 april 2018 10 Presentatie ‘Privacy & CRM’

Privacy, gevolgen voor HR?

 Personeelsdossier
 Arbeidsovereenkomst / Personeelsreglement
 Verspreiden persoonsgegevens van personeel
 Intern smoelenboek
 Let op medezeggenschapsrecht OR

17 april 2018 11 Presentatie ‘Privacy & CRM’

Privacy, algemene aspecten van de AVG

 AVG per 25 mei 2018

 Krijgt veel aandacht vanwege ‘superboetes’. Van belang om ‘privacy’

in bedrijfsvoering te verankeren

17 april 2018 12 Presentatie ‘Privacy & CRM’

Privacy, waar zitten de grootste risico’s?

 Autoriteit Persoonsgegevens heeft beperkte mankracht

 Jaarlijks speerpunten

 Boetebeleid nu veelal bestuursrechtelijk met termijn tot herstel:

invoeringswet beoogt geen verandering. Maar: verplichte
waarschuwing verdwijnt wel met invoeringswet.

 ‘Naming and shaming’

 Datalekken: imagoschade. Statistische kans op onderzoek na melding

datalek in 2017: 6,4%

 Rechten uitoefenen door betrokkenen grootste ‘risico’

17 april 2018 13 Presentatie ‘Privacy & CRM’

 VRAGEN..?

17 april 2018 14 Presentatie ‘Privacy & CRM’

Van den Herik & Verhulst Advocaten N.V.

‘Wilhelminatoren’
Wilhelminaplein 16, 3007 JA, Rotterdam
Postbus 50535

VRAGEN..?

010 – 410 00 55

info@herikverhulst.nl

www.herikverhulst.nl

17 april 2018 15 Presentatie ‘Privacy & CRM’