De meeste organisaties die e-mailmarketing (automation) inzetten, maken op grote of kleine schaal gebruik van profilering. Immers: iedereen wil zijn klant zo persoonlijk mogelijk en relevant aanspreken. Hoe persoonlijker de communicatie op iemands klantreis is afgestemd, hoe hoger de ROI.
Stel, je hebt een webshop met daarin allerlei soorten artikelen, van boeken tot schoenen en make-up. Je meet open- en klikgedrag en biedt op basis daarvan relevantere content aan aan je nieuwsbriefabonnees. Is dit GDPR-proof?
We gaan deze vraag beantwoorden door eerst het antwoord te geven op de volgende vragen:
1) Wat verstaat de GDPR onder profilering?
2) Wanneer mag je profileren?
3) Hoe ga ik om met de rechten van betrokkenen?
4) Conclusie: mag de webshop gepersonaliseerde content blijven aanbieden?
5) Drie extra voorbeelden ter ondersteuning
1. Wat verstaat de GDPR onder profilering?
Bij profilering worden er persoonsgegevens verwerkt. Daarom moet je rekening houden met de GDPR (General Data Protection Regulation, ook wel bekend als ‘Algemene Verordening Gegevensbescherming’ of AVG). Profileren is het opbouwen van profielen waardoor mensen in categorieën kunnen worden ingedeeld, aan de hand waarvan voorspellingen kunnen worden gedaan over gedrag en interesses.
Dit kan worden gedaan voor direct marketing-doeleinden (zoals het aanbieden van gepersonaliseerde advertenties, nieuwsbrieven en aanbiedingen), maar ook voor het nemen van geautomatiseerde besluiten (zoals in sollicitatieprocedures of bij kredietaanvragen).
Onder geautomatiseerde besluitvorming valt volgens de GDPR: ‘’Elke vorm van geautomatiseerde verwerking van persoonsgegvens, waarbij aan de hand daarvan bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen. Er wordt in dat geval dus automatisch een beslissing genomen op basis van geautomatiseerde verwerking.’’
2. Wanneer mag je profileren?
Het verwerken van persoonsgegevens, waaronder profilering, is op basis van de GDPR alleen toegestaan wanneer er sprake is van een wettelijke grondslag. Meestal worden persoonsgegevens niet alleen verwerkt voor profilering, maar zijn deze in eerste instantie verzameld voor een ander doeleinde (denk bijvoorbeeld aan het plaatsen van cookies, het verwerken van webshopbestellingen of het versturen van een nieuwsbrief).
Bij het vaststellen van de grondslag voor profilering, wordt er in de GDPR onderscheid gemaakt tussen profilering op basis waarvan geautomatiseerde besluiten worden genomen en profilering an sich.
Wanneer er op basis van profilering geautomatiseerde besluiten worden genomen die rechtsgevolgen hebben voor betrokkenen (zoals het wel/niet aangaan van een koopovereenkomst of het wel/niet verstrekken van een lening) of die de betrokkene op een andere manier in een aanzienlijke mate treffen, (zoals het aanbieden van hogere prijzen, of in de eerste ronde volledig door een computer behandelde sollicitaties via internet), dan is dit alleen toegestaan als hiervoor een wettelijke basis is, als dit noodzakelijk is voor de uitvoering van een overeenkomst (denk aan een hypotheek) óf wanneer de betrokkene hiervoor uitdrukkelijke toestemming heeft gegeven.
Daarnaast dient een verantwoordelijke, voordat hij start met een vorm van bovengenoemde profilering, een Privacy Impact Assessment (PIA) te doen om de privacyrisico’s in kaart te brengen.
Wanneer er wordt geprofileerd voor direct marketing doeleinden (zoals het tonen van gepersonaliseerde advertenties of het versturen van gepersonaliseerde e-mails/nieuwsbrieven) en deze profilering geen aanmerkelijke gevolgen heeft voor betrokkenen, kan dit zowel op basis van:
1: Toestemming van de betrokkene: het voordeel van het gebruik van toestemming als rechtsgrondslag voor profilering, is dat hierbij geen belangenafweging hoeft te worden gemaakt en dient te kunnen worden beargumenteerd.
Het nadeel is dat er een kans bestaat dat de betrokkene de toestemming niet zal geven of weer intrekt. De vereisten voor toestemming voor profilering voor direct marketing doeleinden zijn gelijk aan de algemene vereisten voor het geven van toestemming onder de GDPR.
2: Gerechtvaardigd belang: profilering binnen e-mailmarketing automation is in de meeste gevallen toegestaan onder de grondslag “gerechtvaardigd belang”. Dit geldt voor het profileren zelf. Echter, voor het sturen van de e-mails zal nog wel toestemming nodig zijn; maar er is dan geen losse toestemming nodig voor het personaliseren ervan.
Voorwaarde voor profileren onder de grondslag gerechtvaardigd belang, is dat de profilering de betrokkene niet in aanmerkelijke mate treft. Je toont bijvoorbeeld geen hogere prijzen dan gebruikelijk.
Het nadeel van deze grondslag is dat je continu moet kunnen beargumenteren dat het direct marketing belang (gepersonaliseerde advertenties) zwaarder weegt dan het privacybelang van de betrokkene. Naarmate de privacybelangen van de betrokkenen namelijk toenemen, wordt het direct marketing-belang steeds minder aannemelijk als ‘zwaarder wegend’.
De DDMA zegt het volgende over profilering: “Omdat zowel de wettekst van de AVG als de toelichting (de WG29) nog geen volledige duidelijkheid kunnen bieden over profilering, is het logisch dat veel organisaties zich zorgen maken over wat straks wel en niet mag. Daarom raden we je aan zelf vooral logisch na te denken – los van de specifieke regels. Deze uitgangspunten helpen daarbij:
- duurzame marketing voegt waarde toe: sta stil bij de toegevoegde waarde voor de consument. Op welke manier verbetert dit de klantervaring?;
- een klantrelatie is gebaseerd op vertrouwen: maak een inschatting van de verwachtingen van de consument en zorg dat je hiermee rekening houdt;
- de creepy-test: voelt mijn marketing eng aan als ik het uitleg aan een gemiddelde consument? Het kan natuurlijk zijn dat je als marketeer iets minder snel eng vindt dan de gemiddelde consument – houd daar rekening mee;
- stel jezelf ten slotte de vraag: zou ik mezelf hier als consument prettig bij voelen?
Als je deze uitgangspunten in acht neemt, is de kans kleiner je dat je met profilering of online adverteren in een grijs gebied komt waarbij je jezelf af moet vragen of je wettelijk gezien wel mag doen wat je doet.
De basis van de GDPR is dat consumenten beter beschermd worden en meer rechten krijgen. Wie marketing inzet om echt toegevoegde waarde te creëren voor die consumenten, zet uit zichzelf al een goede stap richting compliance.”
Extra aanvullende voorwaarden voor profilering onder de GDPR:
Extra aanvullende voorwaarden voor profilering onder de GDPR, ongeacht de grondslag waarop dit wordt gebaseerd, zijn dat:
- de betrokkene hierover altijd moet worden geïnformeerd (via bijv. een privacyverklaring)
In de privacyverklaring moet alle vereiste informatie over profilering worden opgenomen. Een voorbeeldtekst die aan betrokkenen kan worden getoond voor het tonen van gepersonaliseerde advertenties, is:
“Wij personaliseren de aanbiedingen in onze e-mails om deze zo goed mogelijk op jouw interesses af te stemmen. Meer weten over hoe wij dit doen, de verdere omgang met jouw persoonsgegevens en hoe jij je voor dergelijke personalisatie af kunt melden? Lees dan onze privacyverklaring (link).”
- de betrokkene altijd het recht van bezwaar heeft, en hier ook uitdrukkelijk over dient te worden geïnformeerd;
Betrokkenen dienen een opt-out (bezwaarmogelijkheid) te hebben. Dit kan door bijvoorbeeld een reeds aangevinkte checkbox te tonen als de gegevens van een betrokkene worden verzameld (bijvoorbeeld voor het plaatsen van cookies of sturen van een nieuwsbrief) of door het sturen van een ‘servicebericht’ aan reeds bestaande klanten.
- er mogen niet meer persoonsgegevens verwerkt worden dan noodzakelijk.
Voor profilering voor direct marketing doeleinden mag je niet zomaar alle velden in je database gebruiken. Je zult een selectie moeten maken. Je mag profileren met een welbepaald doel dat vooraf duidelijk moet zijn en waar je naar moet opereren. En – in het kader van dataminimalisatie en doelbinding, gaat het dus niet om “het verrijken om het verrijken”, waarna je later een keer bepaalt wat ermee te doen.
3. Hoe ga ik om met de rechten van betrokkenen?
Als een betrokkene bezwaar maakt tegen profilering voor direct marketing-doeleinden, zul je hier als verantwoordelijke altijd gehoor aan moeten geven. Als opens en clicks op individueel niveau (e-mailadres of de combinatie e-mailadres/naam) worden bijgehouden, zijn het namelijk vanzelfsprekend persoonsgegevens. Dat betekent dat de betrokkene het recht heeft op verzet en verwijdering.
Opens en kliks worden in de meeste e-mailtools (ook in ons platform) bijgehouden op het niveau van een e-mailadres of de combinatie e-mailadres/naam. Als iemand vraagt of je alléén de verwerking van clicks & opens wilt stoppen, is het redelijk om aan te geven dat dit technisch niet mogelijk is. Je kunt dan als alternatief bieden dat iemand zich kan uitschrijven.
Als iemand gebruik maakt van zijn recht om vergeten te worden, zul je niet-geanonimiseerde clicks & opens wél moeten verwijderen of anonimiseren, inclusief het e-mailadres. Dat zal dus altijd samen gaan met een unsubscribe voor de nieuwsbrief. Je mag iemand uiteraard wel uitleggen dat dit tot gevolg heeft dat ze de nieuwsbrief ook niet meer ontvangen en hen de keuze bieden om voor bepaalde verwerkingen een uitzondering te maken.
4. Conclusie
Profilering voor direct marketing doeleinden mag zowel op basis van toestemming van de betrokkene als op basis van het gerechtvaardigd belang van de verantwoordelijke plaatsvinden. Bij profilering op basis van toestemming, dient deze toestemming aan alle vereisten uit de GDPR te voldoen.
Voorwaarde voor het gerechtvaardigd belang is wel dat er kan worden beargumenteerd dat het belang voor direct marketing zwaarder weegt, dan het privacybelang van betrokkenen en dat er daarnaast voldoende privacywaarborgen zijn geboden (waaronder in ieder geval een opt-out + informatieverstrekking).
In de situatie van de webshop zoals in de intro geschetst, wordt geautomatiseerd gekeken naar interesses/gedrag/voorkeuren om personen bepaalde content te laten zien. Dit is een voorspelling (hoe kansrijk is deze persoon voor deze propositie?) en daarmee profilering in de zin van de GDPR. We kunnen zeggen dat het hier gaat om ‘profilering-light’, die je kunt beoordelen als een reguliere verwerking op basis van het gerechtvaardigd belang.
Het gaat hier namelijk niet om geautomatiseerde besluiten met rechtsgevolgen of vergelijkbare gevolgen (de zwaardere wettelijke categorie). Iemand zal door de profilering, waarbij je bijvoorbeeld vaker boeken te zien krijgt, niet verslaafd raken aan boeken. Je benadeelt iemand niet en de impact van het laten zien van verschillende content is niet groot. Je valt dus niet snel in de verzwaarde categorie.
Dat zou dus wel kunnen als je voor bepaalde prospects hogere prijzen gaat rekenen (prijsdifferentiatie of prijspersonalisatie per lid op basis van klantprofiel) of op een erg agressieve manier gaat adverteren richting individuen.
5. Extra voorbeelden ter verduidelijking
* Jan klikt in de nieuwsbrief van een reisorganisatie altijd op luxe vakanties, hij krijgt daarom vaker luxe vakanties te zien in volgende nieuwsbrieven. Mag dit?
Ja, dit mag.
* Jan woont in een dure wijk in het centrum van Amsterdam, hij krijgt daarom dezelfde vakantie voor een hogere prijs aangeboden dan Nel die in een wijk woont met veel sociale huurwoningen. Mag dit?
Nee, dit mag niet zonder toestemming voor prijspersonalisatie. Prijspersonalisatie is een vorm van profilering met geautomatiseerde besluitvorming tot gevolg.Prijspersonalisatie is daardoor niet te baseren op grond van een gerechtvaardigd belang, omdat de afweging eerder uit zal vallen naar bescherming van de betrokkenen. Voor prijspersonalisatie zal dan ook veelal uitdrukkelijke toestemming de meest gepaste grondslag zijn.
Nog meer vragen over privacy en (e-mail) marketing automation?
Vragen over privacy en (e-mail)marketing automation of benieuwd naar onze software-oplossingen? Neem dan vooral contact met ons op.
Wij hechten waarde aan een correcte omgang met de nieuwe privacywetgeving. De inhoud van dit blog is daarom geverifieerd door ICTRecht. We voorzien je van deze informatie, zodat je beter begrijpt wat de GDPR voor marketeers kan betekenen. Dit blogartikel is bedoeld voor kennisdeling en kan niet beschouwd worden als officieel juridisch advies. Bij het lezen van dit artikel vrijwaar je Tripolis, ICTRecht en de auteur voor mogelijke juridische implicaties. Wij adviseren je GDPR-gerelateerde acties binnen jouw organisatie voor implementatie altijd te laten checken door een juridisch adviseur.
