Mag dat?

We schreven er al eerder over. Het is een veelgehoorde vraag bij de HR afdeling: mag ik het adres van deze collega, ik wil hem een bloemetje, verjaardags- of kerstkaartje sturen. Maar mag je dit als organisatie zomaar geven? Karlijn Terheijden, privacy consultant bij DMCC, geeft antwoord in onderstaande video.

Bij sommige contracten krijgt de consument extra bescherming, bijvoorbeeld omdat de producten ingewikkeld zijn. Dit is het geval bij overeenkomsten tot het geregeld leveren van diensten, zoals gas en energie. Deze contracten mogen daarom niet telefonisch gesloten worden, de consument moet het contract altijd schriftelijk bevestigen.

Is schriftelijke bevestiging vereist, dan mag een organisatie die ook digitaal ophalen, bijvoorbeeld via sms of Whatsapp, maar houdt wel rekening met de eisen hiervoor. Jitty van Doodewaerd, privacy directeur, licht dit toe in onderstaande video.

Wij krijgen regelmatig de vraag gesteld hoe het precies zit met het aanmelden van klanten op de nieuwsbrief bij of na het plaatsen van een online bestelling, mag je dit automatisch doen? We schreven hier ook al een artikel over en DMCC consultant Karlijn Terheijden legt het kort uit in onderstaande video.

Goede doelen willen graag mensen die per sms doneren, bijvoorbeeld naar aanleiding van een tv actie, bellen op hun 06-nummer en vragen om een structurele bijdrage. Maar mag dat? In dit geval kan er sprake zijn van een zogenaamde ‘klantrelatie’, dat betekent dat er een financiële relatie bestaat tussen de donateur en het goede doel. En voor eigen klanten is de wet minder streng. Zo mag een organisatie een eigen klant bellen maar let wel op een aantal punten. Leontien Heck-Daum, privacy consultant, legt het u uit.

Veel organisaties willen het gebruik van papier terug dringen. Maar dan rijst de vraag of het niet nodig is een behandelplan op papier te verzenden, omdat een handtekening voor akkoord op het behandelplan nodig is. Kelly Alink, Marketing manager bij DMCC, geeft u antwoord.

U mag als organisatie een feedback mail sturen zonder dat u daarvoor voorafgaande toestemming – een zogenaamde opt-in – hebt van de ontvanger, maar er zijn bepaalde voorwaarden waar u aan moet voldoen. Jitty van Doodewaerd, directeur privacy, legt het uit in onderstaande video.

Het inzetten van een chatbot heeft veel voordelen. U kunt deze dan ook zeker inzetten om algemene vragen van cliënten te beantwoorden. Maar hoe zit dat met medische informatie? Kelly Alink, Marketing manager bij DMCC, legt het uit.

Bij prijsdiscriminatie is het product hetzelfde, maar de klant anders. Denk aan studenten of 65+ korting (dat is dan positieve discriminatie). Dat geeft al aan dat prijsdiscriminatie niet verboden is. Maar u moet wel nadenken over op basis van welke kenmerken u discrimineert. Jitty van Doodewaerd geeft tekst en uitleg in deze video.

Een wettelijke mentor kan inzage krijgen in een dossier, ook indien de cliënt hier niet mee instemt. Of een vertegenwoordiger ook zonder instemming van de cliënt inzage mag, ligt aan de ‘soort’ vertegenwoordiging. Kelly Alink, Marketing manager bij DMCC, legt het uit.

Een ‘happy call’ is een belletje dat goede doelen doen aan nieuw geworven donateurs. Ze bellen om te bedanken voor het donateurschap en om bepaalde gegevens te verifiëren. In sommige gevallen kan ook gevraagd worden om een extra bijdrage of interesse in andere zaken zoals collecteren. Maar mag dit eigenlijk wel? Jitty van Doodewaerd, directeur privacy, legt het uit.

Kijken, kijken, niet kopen. Mensen hebben de neiging om – zowel in een fysieke winkel als een webshop – producten te bekijken, in de winkelwagen te plaatsen, maar vervolgens toch niet te kopen. Wij krijgen vaak de vraag gesteld of je bezoekers die een online bestelproces voortijdig afbreken dan mag benaderen met een zogenaamde abandoned shopping cart mail? Eerder schreven we dit artikel er al over & DMCC consultant Leontien Heck-Daum licht het toe in onderstaande video.

Wij kregen de vraag of organisaties vrijwilligers mogen inschakelen om contact op te nemen met potentiële leden of donateurs. Jitty van Doodewaerd geeft tekst en uitleg.

Wij kregen de vraag of organisaties telefonisch contact mogen opnemen nadat iemand hen een Whatsapp bericht stuurt. Ronalda van Roekel, privacy consultant bij DMCC, geeft u tekst en uitleg.

We schreven er al eerder over. Het gebruik van KvK data wordt aan banden gelegd en ook is er straks een verbod op het hergebruik van persoonsgegevens uit publieke registers. De markt gaat op zoek naar nieuwe databronnen. We krijgen daarom steeds vaker de vraag of organisaties hun eigen bestand mogen verrijken met data uit andere beschikbare bronnen of data die op internet gepubliceerd is. Maar daar zitten best wat haken en ogen aan. DMCC consultant Leontien Heck-Daum licht dit toe in onderstaande video.

Vanuit een van onze klanten kregen wij de vraag of zij gegevens mogen uitwisselen met hun dochtermaatschappijen voor marketing doeleinden. Leontien Heck-Daum geeft tekst en uitleg.

Vanuit een van onze klanten kregen wij de vraag of zij een verwerker mogen inschakelen in een Nederlands gebied over zee. Hoe zit dat nu precies? Ronalda van Roekel geeft tekst en uitleg.

Werkt uw organisatie met vrijwilligers dan worden er vast en zeker persoonsgegevens van deze vrijwilligers verwerkt. De personeelsadministratie bevat een kopie van het legitimatiebewijs van elke medewerker. Maar hoe zit dit met vrijwilligers? Mag een organisatie een kopie van het legitimatiebewijs van vrijwilligers opslaan? Jitty van Doodewaerd geeft tekst en uitleg in onderstaande video.

Workations, digital nomads, met het nieuwe werken gaan steeds meer medewerkers vanuit het buitenland aan de slag. Maar hoe zit dat precies als ze buiten de EU toegang hebben tot systemen met persoonsgegevens, is dat wel toegestaan?

In principe wel, in juridische zin is er namelijk geen sprake van een ‘overdracht van persoonsgegevens buiten de EU’. De club van Europese privacy toezichthouders (EDPB) bevestigd dit in hun richtlijnen over de wisselwerking tussen de toepassing van artikel 3 AVG (territoriaal toepassingsgebied) en de bepalingen inzake internationale doorgiften overeenkomstig Hoofdstuk V van de AVG. Voorbeeld 7 leest als volgt:

Een werknemer van een verwerkingsverantwoordelijke in de EU maakt een zakenreis naar een derde land. George, werknemer van de in Polen gevestigde onderneming A, reist voor een vergadering naar een derde land en neemt zijn laptop mee. Tijdens zijn verblijf in het buitenland zet George zijn computer aan en opent hij op afstand persoonsgegevens in de databanken van zijn onderneming om een memo af te werken. Bij het meenemen van de laptop en het verkrijgen van toegang op afstand tot persoonsgegevens vanuit een derde land, is geen sprake van een doorgifte van persoonsgegevens, aangezien George geen andere verwerkingsverantwoordelijke is, maar een werknemer, en dus een integraal onderdeel van de verwerkingsverantwoordelijke (A). De doorzending wordt dus binnen dezelfde verwerkingsverantwoordelijke (A) uitgevoerd. De verwerking, waaronder de toegang op afstand en de door George na verkrijging van toegang uitgevoerde verwerkingsactiviteiten, worden uitgevoerd door de Poolse onderneming, d.w.z. een in de Europese Unie gevestigde verwerkingsverantwoordelijke die onder artikel 3, lid 1, AVG valt. Hierbij kan echter worden opgemerkt dat, indien George, in zijn hoedanigheid van werknemer van A, gegevens aan een andere verwerkingsverantwoordelijke of verwerker in het derde land zou zenden of ter beschikking zou stellen, de betrokken gegevensstroom zou neerkomen op een doorgifte overeenkomstig hoofdstuk V; van de exporteur (A) in de EU naar die importeur in het derde land.

Met andere woorden: een medewerker kan op workation buiten de EU voor een verwerkingsverantwoordelijke in de EU werken met persoonsgegevens, mits hij die gegevens niet aan een andere verwerkingsverantwoordelijke of in dat land verwerker verstrekt. Dat remote werken buiten de EU op grond van de AVG mogelijk is, neemt natuurlijk niet weg dat je als werkgever toch werken vanuit bepaalde landen mag verbieden omdat het teveel risico met zich meebrengt. En je doet er sowieso goed aan om de zaak goed te beveiligen. Zorg ervoor dat je de laptop op afstand kan wissen bij diefstal en zorg dat de medewerker in jouw applicaties werkt en geen lokale kopieën opslaat. Bon voyage!

Het uitoefenen van een Recht van Bezwaar (Algemene Verordening Gegevensbescherming) of Recht van Verzet (Telecommunicatiewet) houdt in dat een consument bij uw organisatie aangeeft dat hij niet meer wilt dat u zijn persoonsgegevens verwerkt voor een bepaald doel. Dit is vaak gerelateerd aan direct marketing. Iemand wil bijvoorbeeld niet meer gebeld of gemaild worden. Mag de klantenservice het Recht van Verzet ongedaan maken? Leontien Heck-Daum geeft in onderstaande video antwoord op deze vraag.