KVK en de AVG: het gaat toch niet zo goed.

De KVK heeft eerder in het nieuws gestaan vanwege het ongeoorloofde verkoop van bedrijfsgegevens uit het KVK-register. Nu blijkt uit een nieuw artikel, dat recentelijk is verschenen, dat de KVK nog veelvoorkomende AVG-fouten maakt.

Waar gaat het precies over?

Het artikel spreekt over de kansen die de AVG biedt op het gebied van klantgerichte datagebruik door de voordelen van Big Data toe te lichten. Dit is natuurlijk een mooi punt. De KVK maakt alleen een aantal (serieuze) missers wanneer ze uitleggen hoe dat AVG-proof kan worden bereikt.

De toestemming is niet de enige verwerkingsgrond!

In het artikel van de KVK, wordt meerdere malen aangegeven dat men onder de AVG/GDPR  een toestemming van de klant/gebruiker nodig heeft voor iedere dataverwerking. “De AVG dwingt ondernemers hun data intern goed te organiseren en die alleen te gebruiken op een manier waar de klant mee instemt..” of “Wil je als ondernemer, met toestemming van de klant, met je data aan de slag,”

Dit kan natuurlijk best kloppen, Helaas is dit wel misleidend. De AVG benoemt 6 grondslagen waarop dataverwerkingen gebaseerd kunnen zijn. De toestemming is slechts maar één van die grondslagen. Een goed voorbeeld is de wettelijke bewaartermijn van facturen. Men zal niet aan een klant toestemming vragen om zijn factuur in de boekhouding op te slaan. Dat is onzin.

Mailings zonder toestemming mag wel!

Een ander veel voorkomend misverstand waar de KVK aan meedoet, is dat men niet ongevraagde e-mails mag sturen. Dit is erg kort door de bocht en in sommige gevallen zelfs onjuist. In het artikel wordt het als volgt aangegeven: “Wat je bijvoorbeeld niet moet doen is op basis van klantgedrag ongevraagd een mailing naar je klanten sturen.

Een aantal redenen waarom dit geen stand houdt:

  1. Een mailing waarvan de aard geen commerciële doeleinde heeft, hoeft niet met toestemming van de klant gestuurd te worden;
  2. Men mag bestaande klanten ongevraagd mails sturen indien dit verband houdt met de afgenomen diensten of producten
  3. Marketing per post mag (in principe) gewoon  op grond van het gerechtvaardigd belang grondslag.
  4. Het spamverbod voor mailings per e-mail volgt niet uit de AVG, maar uit de ePrivacy-richtlijn (binnenkort hopelijk de ePrivacyverordening).

Verwijderen is niet altijd verplicht!

Het vergeetrecht is een veelvoorkomend onderwerp bij privacy compliance trajecten. Hoe moet men dit inrichten en waar moet men op letten? In het artikel wordt het als volgt toegelicht: “..als iemand vraagt om te worden ‘vergeten’, moet je ook echt al zijn gegevens verwijderen, anders kun je een fikse boete krijgen.

Ook dit is wederom een halve uitwerking van een AVG verplichting. In art 17 AVG (waar dit in wordt geregeld) – staat bijna letterlijk in lid 3 dat er allerlei uitzonderingen van toepassing zijn. Zo hoeft men geen gegevens te verwijderen die bewaard moeten blijven in de administratie van een onderneming . Op die onderneming rust namelijk een administratieplicht die hen dwingt om de administratie voor minimaal zeven jaar te bewaren. Verwijderen levert de onderneming zelfs een boete op. Niet echt handig.

Tot slot zijn er nog diverse maatregelen en aanpassingen die toegepast kunnen worden om een verwijderingsverzoek onder voorwaarden in behandeling te nemen. Zo kunnen bedrijven ook zelf criteria opstellen die proportioneel zijn aan de rechten van de gebruiker of klant.

Het artikel is dus slecht?

De gedachte achter het artikel is briljant. Big data is immers de toekomst en zal een grotere rol spelen. Echter, moet dit wel in overeenstemming met de wet en praktijk gebeuren. Klantengegevens moeten wel beschermd blijven.

Wilt u meer weten hoe u dit praktisch kunt inrichten? Neem contact met ons op via onze contact pagina!