1. Wat is direct marketing?

Bij gebrek aan een definitie in de GDPR, stelt de GBA de volgende definitie voor: "Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of een persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële contact, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt."

Er is dus sprake van direct marketing óók wanneer berichten:

• Via post worden verspreid of ingeval van menselijke interactie. Bv.: scouts die deur tot deur gaan met een lijst van personen die eerder koekjes hebben gekocht.
• Via een pop-up getoond worden op een webpagina, indien het om gerichte direct marketingboodschappen gaat. 
• Informatief zijn en betrekking hebben op de producten of diensten van de onderneming. Bv.: indien een onderneming haar klanten laat weten dat haar producten milieuvriendelijk zijn.
• Informatief zijn en géén betrekking hebben op de producten of diensten van de onderneming, maar wel op haar merken, ideeën of (imago van de) onderneming. Bv.: indien een onderneming e-mails stuurt over zelf georganiseerde vakbeurzen. Of indien een verenging enkel informeert over haar acties tegen milieuvervuiling (imago).
• Gevraagd zijn door een geïnteresseerde.

Wat is géén direct marketing?

• Berichten verstuurd aan niet geïdentificeerde of identificeerbare personen. Bv.: aan een infomailadres van een onderneming. 
• Wanneer er contact wordt gelegd voor een marktonderzoek, peilingen of tevredenheidsenquêtes, op voorwaarde dat dit contact uitsluitend voor dat doel plaatsvindt.
• De mededelingen van de overheidsdiensten die campagnes voeren of diensten promoten waarvoor zij wettelijk verantwoordelijk zijn of die zij als openbare dienst aanbieden; tenzij zij diensten of producten promoten die ook door particuliere dienstverleners worden aangeboden.
• Berichten van natuurlijke personen i.h.k.v. zuiver huishoudelijke activiteiten.

2. Transparantie- en informatieverplichting

• Due dilligence. Een onderneming moet de herkomst nagaan van persoonsgegevens die zij heeft aangekocht bij een derde: hoe ze werden verzameld, op welke rechtsgrond, door wie, voor welke doeleinden, gedurende welke termijn en voor welke verwerkingen.
• Informeer betrokkenen steeds bij veranderingen die impact hebben op de identiteit van de verwerkingsverantwoordelijke of op de toegang tot persoonsgegevens waarvoor zij verantwoordelijk is. Bv.: ingeval van een fusie, splitsing of overname. 
• Omschrijf het direct marketingdoeleinde voldoende gedetailleerd. Zo is de vermelding "wij verwerken uw gegevens voor direct marketingdoeleinden" onvoldoende. De vereiste mate van detaillering hangt af van: type communicatie (sms, e-mail, telefoon, post,...) frequentie (maandelijks, halfjaarlijks,...), inhoud (informatie over merk, product, dienst, nieuwsbrief, kortingsbonnen,...) en complexiteit van de verwerking (bv. o.b.v. profilering). Omschrijf de direct marketingdoeleinden ook in uw register zo gedetailleerd mogelijk.
• Rechten betrokkenen. De betrokkenen moeten op zichtbare en begrijpelijke wijze uitgelegd worden welke rechten zij hebben. Er moet ook vermeden worden dat zij meerdere stappen moeten ondernemen om hun rechten uit te oefenen.

3. Rechtsgronden voor direct marketingdoeleinden

3.1. Gerechtvaardigd belang

Houd steeds rekening met de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke. Pas op indien uw doelgroep minderjarigen zijn! De autoriteit zal hier strenger oordelen.Maak een onderscheid tussen bestaande klanten, geïnteresseerden (die geen klant zijn) en pure prospecten.

U kan geen beroep doen op enige belangen van personen tot wie u uw communicaties richt. U kan ook geen gevoelige gegevens verzamelen op grond van het gerechtigd belang, tenzij u voldoet aan artikel 9.1.d GDPR.

Voorzie voorts het recht op bezwaar. Wanneer een betrokkene bezwaar maakt, leidt tot een regelrechte stopzetting van elke gegevensverwerking voor direct marketingdoeleinden.

Het recht op bezwaar moet duidelijk kenbaar zijn, in een eenvoudige en ondubbelzinnige taal, en moet in alle direct marketingberichten worden opgenomen, vanaf het eerste bericht, en moet gratis aangeboden worden.

De betrokkene moet dit recht rechtstreeks kunnen uitoefenen, gemakkelijk (via digitale kanalen moet 1 klik volstaan) en zonder extra stappen (zij moeten hun verzoek niet herhalen of bevestigen). 

Wat mag niet? Het is onvoldoende om (i) het recht enkel in uw privacybeleid te vermelden (en niet te herhalen in marketingberichten). Om (ii) onderaan een e-mail te plaatsen. Om (iii) in kleine letters en zonder onderscheidende tekens te vermelden. Om (iv) te beschrijven als "uitschrijven", "afmelden", "niet langer ontvangen". Het moet duidelijk zijn dat de verwerking wordt stopgezet. Bv.: "Indien u dergelijke communicatie niet langer wenst te ontvangen en wij de verwerking van uw persoonsgegevens voor onze direct marketingdoeleinden stopzetten, klik dan hier_". 

U mag hierbij een onderscheid maken tussen de verschillende direct marketingdoeleinden. Bv.: de betrokkene kan bezwaar maken tegen de verwerking i.h.k.v. profiling en/of nieuwsbrieven via e-mail en/of promotionele sms-berichten.

3.2. Toestemming

Geïnformeerde en specifieke toestemming: zie artikelen 13-14 GDPR... Toestemming vereist een reële mogelijkheid om te aanvaarden of te weigeren, zonder dat de betrokkene in geval van weigering de toegang tot een dienst of enig ander voordeel wordt ontzegd (‘vrij'): de levering van uw producten of diensten (zelfs gratis) mag niet afhankelijk gemaakt worden van de aanvaarding van de verwerking van persoonsgegevens die niet noodzakelijk zijn voor de levering van deze producten of diensten. Bv.: de toegang tot online persartikels mag niet afhankelijk zijn van de verwerking van persoonsgegevens voor direct marketingdoeleinden.

Een ondubbelzinnige toestemming vereist duidelijkheid. Zo is het onvoldoende om een duidelijke zichtbare knop, in een onderscheiden kleur met vermelding "alles accepteren", te hebben, terwijl hierboven in een klein lettertype en overlopend in het venster de boodschap staat dat de betrokkene zo ook toestemming geeft voor direct marketing.

Toestemming vereist ook een opt-in. Er mag niet gewerkt worden met vooraf aangevinkte vakjes (opt-out), maar de betrokkene moet actief toestemming geven door de vakjes aan te vinken. Bv.: de betrokkene geeft geen (geldige) toestemming indien deze niet reageert op een direct marketingbericht waarin staat dat het gebrek aan reactie geldt als toestemming voor het ontvangen van promotionele reclame.

Eén knop om alle vakjes aan te vinken (waarvoor toestemming wordt gevraagd) is niet geldig.

• Indien er inhoudelijk meerdere keuzemogelijkheden, moet de keuze voor direct marketingdoeleinden duidelijk zichtbaar zijn en vergelijkbaar met elke andere keuze.
• Ook indien er verschillende marketingdoeleinden zijn, moet de betrokkene de kans hebben om bepaalde doeleinden te aanvaarden en andere te weigeren.
• Bij gebruik van meerdere communicatiemiddelen, moet de betrokkene ook per communicatiemiddel toestemming kunnen geven. Eén enkel verzoek om toestemming is onvoldoende.

U moet de toestemming steeds kunnen aantonen en deze kan steeds worden ingetrokken. En wees voorzichtig bij het vragen van toestemming van minderjarigen.

De EDPB adviseert om toestemming met tussenpozen te vernieuwen. Voor het bepalen van bewaartermijn moet u alleszins rekening houden met het proportionaliteitsbeginsel.

4. Conclusie

Direct marketing is heel lang een grijs gebied geweest. Via deze aanbeveling geeft de GBA duidelijk weer wat volgens haar wel en niet kan. Aangezien dat direct marketing in de komende jaren één van de prioriteiten van de GBA is, kunnen de adviezen in deze aanbeveling best aandachtig gelezen (en gevolgd!) worden. De boetes bij inbreuken zijn immers zeer hoog (zie arresten van enkele autoriteiten in de aanbeveling).

Magalie Manshoven, advocaat
Jan Coninx, advocaat