Stuur jij Legale Mails?

Privacy Please!

Ik durf er donder op zeggen, dat jij illegale mails stuurt naar je database. Ja, jij, beste lezer. Inderdaad, van een “attention catcher” gesproken: ik neem aan dat ik nu uw aandacht heb. Goed zo, want we gaan et z’n allen te los om met gegevens van consumenten, medewerkers en collega’s. We geraken er nu nog mee weg, maar binnenkort niet meer. Een woordje uitleg.

Tijdens en na Travel360° The Conference 2016, werd de presentatie van advocaat Bart van den Brande van Sirius Legal druk besproken. Logisch, want Bart legde aan de 170 aanwezigen helder en duidelijk uit dat er vanuit Europa binnenkort héél duidelijke en héél strenge regels van kracht worden. Vanaf het voorjaar van 2018 treedt de “Algemene verordening Gegevensbescherming” van de Europese Unie in werking. En vanaf dan, maar best lang daarvoor, moet u uw database even kritisch bekijken.

Even een pas op de plaats maken. Wat mag er vandaag al niet? We doken even in recente artikels van Sirius Legal op Travel360° Benelux, en vonden heel wat informatie.

Wij citeren uit een artikel dat Sirius Legal publiceerde in het najaar 2016:

“De anti-spamregels uit de Wet Elektronische Handel verbieden om reclame te verzenden aan een bestemmeling die niet vooraf expliciet toestemming heeft gegeven om reclame te ontvangen.  Enige uitzondering hierop is het recht om reclame te versturen zonder expliciete opt-in aan bestaande klanten en voor gelijkaardige producten als deze die eerder aangekocht werden.

Dat betekent dat een advertentie in een partnermail met reclame voor bijvoorbeeld een reis of een hotelverblijf altijd vereist dat

1/ er géén automatisch profiel aangemaakt wordt bij het doorklikken naar de website,

2/ het e-mail adres niet automatisch toegevoegd wordt aan de database van de adverteerder als de consument op de link naar diens website klikt,

3/ het feit dat men doorgelinkt wordt naar de website van een derde door te klikken op een banner zeer duidelijk is vermeld,

4/ de consument voorafgaand aan het aanmaken van een profiel alle verplichte informatie ontvangt (via een link naar de privacy policy) en vooral ook

5/ de toestemming voor het opslaan van zijn gegevens niet noodzakelijk gelijk is aan zijn akkoord om reclame te ontvangen; hiervoor is een afzonderlijk expliciet akkoord vereist.

Voorzichtigheid troef dus voor wie zijn database wil uitbreiden of verrijken.  Er is heel wat mogelijk op dat vlak, maar daarbij moet wel rekening gehouden worden met bovenstaande regeltjes.” 

Laat ons eerlijk zijn met elkaar: één blik op mijn inbox leert mij dat in de reiswereld deze –bestaande!- regels elke dag vrolijk met de voeten getreden worden.

Maar er komt méér op ons af. En het heeft een naam: GDPR of General Data Protection Regulation.

Samen met de nieuwe Europese Richtlijn op Pakketreizen, de Credit Card Fee Ban vormt deze nieuwe set van regels een ongekende lawine aan nieuwe regelgeving.

De GDPR komt er in eenvoudige termen op neer, dat vanaf mei 2018, het expliciet niet langer toegelaten is – en strafbaar!- om gegevens van consumenten te gebruiken of zelfs maar in je bezit te hebben , zonder hun expliciete toestemming.

Dit gaat ver: alle contacten in je database zullen jou toestemming moeten geven dat ze akkoord zijn dat jij hun gegevens hebt, behoudt en gebruikt. Het zal dus niet langer voldoende zijn om consumenten de mogelijkheid te geven uit te schrijven voor een nieuwsbrief. De toestemming moet expliciet, duidelijk en controleerbaar zijn.

We citeren nog even onze business partner Sirius Legal:

“Wie data huurt of inkoopt, zal boven dien binnen 30 dagen de betrokkene op de hoogte moeten stellen van het feit dat hij zijn data bekomen heeft en ook wie data doorgeeft aan derden zal dit binnen 30 dagen moeten melden aan de betrokkene wiens data hij doorgeeft.  Er wordt bovendien een "right to be forgotten" gecreëerd en een recht om zich te verzetten tegen "geautomatiseerde beslissingname" (waarbij software zonder menselijke tussenkomst een beslissing neemt om bvb een bestelling toe te staan of te weigeren).

Diezelfde GDPR bevat nog een hele reeks zo mogelijk nóg belangrijkere andere verplichtingen voor bedrijven die met data omgaan: "privacy by design" en "privacy by default", de verplichting om een Data Protection Officer in dienst te nemen, het opstellen van een Data Breach Risk Analyses en een noodplan voor het geval data zou verloren gaan of gestolen worden, een meldplicht datalekken, bijkomende veiligheidsmaatregelen, verplichte contracten voor onderaannemers, etc...”

Inderdaad, dit gaat heel ver. En de boetes zijn niet min: die kunnen gaan tot 4% van de jaarlijkse omzet. Wie de marges in de reissector een beetje kent, die weet dat weinig spelers zich een dergelijke boete kunnen veroorloven. Er is dus werk aan de winkel!

28/06/2017 - door Travel360°