Is er sprake van een verwerking van persoonsgegevens?

Om die vraag te beantwoorden moeten we eerst kijken welke persoonsgegevens verwerkt worden. De leadgeneratie software herkent de bedrijven die een website bezoeken door het IP adres te koppelen aan een eigen database met informatie uit openbare bronnen, zoals de KvK. Vervolgens toont de software organisatiegegevens, emailadressen en LinkedIn profielen van medewerkers en bedrijven. Deze kan de organisatie dan weer gebruiken voor marketing en sales.

Grondslagen voor de verwerking

Voor iedere verwerking van persoonsgegevens heeft u een zogenaamde grondslag nodig onder de AVG. Een legitieme reden om persoonsgegevens te verwerken, anders mag u niet aan de slag. De wet geeft zes van deze redenen. Voor marketing gelden er twee. U mag gegevens verwerken met toestemming van de webbezoeker of omdat u hiervoor als organisatie een gerechtvaardigd belang heeft. Reclame maken voor uw diensten is zo’n belang. Daarom mag u zonder toestemming bepaalde gegevens verzamelen die u hierbij helpen. Denk hierbij aan naam, adres en telefoonnummer, maar ook geboortedatum, geslacht en aankoophistorie. Er moet wel altijd een belangenafweging plaatsvinden. Als de inbreuk voor een consument groter is dan het belang van reclamemaken, zal dit niet altijd opgaan. En dan moet u wel toestemming vragen.

Leadsoftware leveranciers geven aan dat toestemming van de webbezoeker voor het gebruik van de software niet altijd vereist is. Dat de gegevens verzameld kunnen worden onder gerechtvaardigd belang. Dat dus het privacybelang van de webbezoeker in dit geval niet prevaleert omdat maar beperkt gegevens verwerkt worden. En daar kan je je vraagtekens bij zetten.

Uitlezen IP-adres en de cookiewetgeving

Het uitlezen van een IP-adres van de apparatuur van de eindgebruiker kan ook vallen onder de reikwijdte van de cookiewet. Die geeft aan dat als je informatie uitleest van de randapparatuur van een bezoeker, zoals een IP-adres, hiervoor toestemming vereist is. Behalve als dit noodzakelijk is voor het leveren van de dienst of om communicatie over een netwerk mogelijk te maken. De ACM geeft aan dat ook bij serverloganalyse geen toestemming nodig is.

“artikel 11.7a Tw ziet op het plaatsen en uitlezen van gegevens op de randapparatuur van een gebruiker. Bij serverloganalyse is er geen sprake van het actief plaatsen of uitlezen van gegevens, maar van het analyseren van de gegevens die door de gebruiker zelf naar de server worden gestuurd. Het gaat hier om analyse van de door de gebruiker bij een initieel get / http request gestuurde informatie. Dit initiële request bevat gegevens over het opgevraagde adres, het opvragende IP-adres, user agents en soortgelijke beperkte gegevens. Alle gegevens die na het initiële request worden geplaatst of uitgelezen vallen wel onder het bereik van artikel 11.7a Tw. “

Maar de vraag is even of het opslaan van een IP-adres voor leadgeneratie hieronder valt. Of dat hier gewoon toestemming voor nodig is.

Algemeen vs. specifiek profiel

Van de AVG mag profileren wel op basis van een gerechtvaardigd belang. Tenminste als er sprake is van een ‘algemeen profiel’. Het detailniveau is daarbij van belang. In een publicatie geven de Europese privacy toezichthouders een voorbeeld van een algemeen profiel zijnde “native English teachers living in Paris”. Voor zo’n profiel kan het gerechtvaardigd belang een grondslag zijn.

De vraag is uiteraard of de profielen gemaakt met lead software nu wel of niet onder de uitzondering vallen? We moeten hier volgens de privacy toezichthouders kijken naar:

  • Hoe uitgebreid het profiel is: beschrijft het een klein aspect van iemands leven of geeft het een uitgebreid beeld?
  • De impact van de profilering: wat is het effect op de persoon?
  • De waarborgen die je hebt getroffen om de profilering eerlijk en accuraat uit te voeren.

In een besluit aan het adres van cookiebedrijf YD concludeerde onze privacy toezichthouder dat YD zich voor het maken van profielen op basis van cookiedata zich alleen kon beroepen op toestemming als grondslag. YD verzamelde unieke user en server ID’s, de URL’s van de bezochte sites en in sommige gevallen eerder bekeken producten of diensten met datum en tijd, gegevens over de browser, het

gebruikte soort apparaat, de versie en taal van het gebruikte besturingssysteem, het (gehashte) IP-adres en (afgeleide) ruwe geografische gegevens (land of regio), evenals conversiegegevens. Dat is dan een specifiek profiel, mogen we concluderen. De vraag is waar de leadsoftware zich in dit spectrum bevindt: het is een grijs gebied.

En nu?

Of leadsoftware gebruikt mag worden zonder toestemming van de webbezoeker is dus te bediscussiëren. Dat is helemaal niet erg, de wet laat ruimte voor interpretaties. Maar het is wel goed om  je hiervan bewust te zijn. Als organisatie die gebruik maakt van de software bent u namelijk verantwoordelijk voor het naleven van de privacywet. Wij kijken graag met u mee naar de mogelijkheden, neem daarvoor gerust contact met ons op!