Data is big business. Je hoeft maar één keer iets online te bestellen en voor je het weet krijg je post van bedrijven waar je nog nooit van hebt gehoord. Hoe ze aan je gegevens komen? Grote kans dat die gewoon zijn doorverkocht. Het kopen en verkopen van persoonsgegevens is namelijk verrassend makkelijk. Maar dat betekent niet dat het zomaar mag. Er zijn duidelijke regels en als je die overtreedt, kan dat een dure grap worden.
De privacywaakhond zit er bovenop
Elk jaar bepaalt de Autoriteit Persoonsgegevens (AP) op welke onderwerpen ze extra gaan letten. In 2018 en 2019 stond de handel in data hoog op de lijst. Bedrijven die aan direct marketing doen, moesten dus goed opletten. Want zodra je gegevens gebruikt om iemand reclame te sturen, val je al snel onder de privacyregels. Daarom is het ook belangrijk om je Nederlandse bedrijfsgegevens kopen via een betrouwbare partij, zodat je ook zeker weet dat deze data op juiste wijze verkregen is.
Een voorbeeld om het duidelijk te maken
Stel, iemand heeft een abonnement op een voetbalzender. Dan is de kans groot dat diegene ook interesse heeft in een voetbalreis. Een reisbureau wil die persoon daarom graag benaderen. Maar ja, daar heb je wel de gegevens voor nodig. Dus wordt er gekeken of de voetbalzender die data kan leveren. Dat is precies het soort situatie waar de AVG die bekende Europese privacywet iets van vindt. Vaak gaat dit niet rechtstreeks tussen bedrijven. Er zit dan een zogenaamde data broker tussen. Die koopt grote hoeveelheden persoonsgegevens op en verkoopt ze weer door aan bedrijven die op zoek zijn naar specifieke doelgroepen. Het verdienmodel? Zo veel mogelijk info verzamelen over mensen en die data vervolgens verkopen voor marketingdoeleinden.
Mag dat zomaar onder de AVG?
Niet zomaar dus. Als je data wilt verkopen, moet je je aan een aantal regels houden. De belangrijkste is: je moet toestemming hebben. Niet ergens verstopt in kleine lettertjes, maar duidelijk en bewust gegeven. Degene van wie je de gegevens hebt, moet weten wie de data krijgt en wat die ermee gaat doen en daar wringt het vaak. Want als jij data verkoopt aan een ander, weet je meestal niet precies wat die partij ermee gaat doen. En als er ook nog een databroker tussen zit, wordt het nog ingewikkelder. Vaak weet die op het moment van inkoop niet eens aan wie hij het later gaat doorverkopen. Dat maakt het geven van duidelijke informatie vooraf behoorlijk lastig.
Toestemming? Bewijs het dan ook maar
Heb je wél netjes toestemming gekregen? Dan moet je dat ook kunnen aantonen. Het gaat niet alleen om dat ene vinkje, maar ook om de context. Wat wist de persoon op dat moment? Wat stond er in de privacyverklaring? Waarop zag de toestemming precies? Je moet die informatie bewaren en kunnen laten zien als daarom gevraagd wordt. Niet alleen de verkoper, maar ook de koper en eventuele data brokers moeten dat kunnen aantonen.
Het mag wel als je het volgens de regels doet
Data doorverkopen is dus niet per se verboden, maar je moet het wél goed geregeld hebben. En dat is in de praktijk best lastig. De AP kan zomaar langskomen voor een controle, en als blijkt dat het niet netjes geregeld is, kan dat flink in de papieren lopen. Dus of het nou om je eigen data gaat of om iets wat je via een broker hebt gekregen, zorg altijd dat je de boel op orde hebt. Ook als het om openbare informatie gaat.
Reageer op dit bericht