Dit artikel is met toestemming overgenomen van Harro Willemsen, verschenen op 26 april 2018 op de website van 3to1.
De praktijk van koude acquisitie en de AVG
Het is tijd om Arnoud Engelfriet tien vragen voor te leggen die specifiek te maken hebben met de alledaagse praktijk van koude acquisitie en wat dit betekent onder de AVG.
1. Harro: Cold callers zijn gewend om vanuit openbare bronnen gegevens te verzamelen van hun potentiële klanten, voordat ze contact opnemen. Ze gaan bijvoorbeeld op zoek op de website van de klant of kijken op Linkedin. Ze proberen zo de naam, functie of telefoonnummer van een contactpersoon te achterhalen. Mag je zonder meer dit soort gegevens opzoeken en opslaan in je eigen CRM-pakket, met als doel om deze later te gebruiken voor koude acquisitie?
Arnoud: Nee, het is niet toegestaan om zomaar gegevens uit externe bronnen in je CRM pakket te stoppen om daarmee acquisitie te plegen. Dat de bron openbaar was, is niet relevant. Waar het om gaat, is of je een grondslag hebt om de acquisitie te doen. Dat kan zijn toestemming of een bestaande relatie. Maar ?het staat al op internet? is geen grond.
2. Harro: Cold callers hebben vaak een zorgvuldig opgebouwde database, waarin door de jaren heen persoonsgegevens uit allerlei bronnen zijn verzameld. Denk aan gegevens van bedrijven waar in de afgelopen jaren acquisitie-acties zijn geprobeerd, die niet succesvol waren, (delen van) gekochte adressenbestanden en deskresearch uit openbare bronnen. Meestal is niet meer duidelijk waar gegevens überhaupt vandaan kwamen. Mogen dit soort gegevens gewoon gebruikt blijven worden, of moeten deze onder de AVG gegevens worden ?opgeschoond? of verwijderd?
Arnoud: Ook gegevens die je al had voordat de AVG van kracht werd, moeten vanaf 25 mei voldoen aan de eisen uit de AVG. Persoonsgegevens waarvan je niet kunt aantonen dat je ze met een AVG-proof grondslag hebt verkregen, moeten dus vernietigd worden.
3. Harro: In Overweging 47 van de AVG staat: "De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang". Het lijkt alsof je hiermee als verwerker van persoonsgegevens de afweging moet maken tussen de belangen van de verwerkende organisatie (jij als cold caller dus) en de privacy-belangen van je potentiële klant. Betekent dit dat je als cold caller bij iedere potentiële klant kunt zeggen: ?Ik heb een afweging gemaakt en ik vind mijn belang groter dan het privacy-belang van mijn potentiële klant?? Simpel gesteld: mag ik als cold caller gewoon al mijn potentiële klanten bellen, omdat ik altijd mijn belang boven die van de klant laat gaan.
Arnoud: Naast toestemming en de contractuele relatie kent de AVG ook als grondslag het eigen gerechtvaardigd belang. Je zegt dan, mijn belang weegt zwaarder dan uw privacy dus ik mag dit gewoon doen. Inderdaad wordt direct marketing gezien als zo’n belang, maar je moet nog steeds laten zien waarom jouw behoefte aan direct marketing zwaarder weegt dan de privacy van de persoon die je benadert. Hieraan kun je voldoen door waarborgen in te bouwen, zoals een afmeldmogelijkheid. Maar je zult ook moeten aangeven waarom het legitiem is om die op internet gevonden gegevens te gebruiken voor direct marketing. Deze belangenafweging moet je op papier zetten zodat je achteraf bewijs hebt dat je er goed over nagedacht hebt vanuit jouw bedrijfssituatie.
4. Harro: Hoe zit het nu precies met het wel of niet direct vragen naar een bepaalde contactpersoon als je het algemene nummer belt van een bedrijf. Ga er hierbij vanuit dat je nog geen toestemming hebt gehad en de naam (dhr. Jansen, hoofd afdeling marketing) in een openbare bron hebt gevonden. Kun je wel gewoon direct naar dhr. Jansen vragen of mag je dan alleen vragen naar iemand die gaat over marketing?
Arnoud: De AVG gaat verder. Het feit dat Jansen in jouw CRM systeem zit, maakt dat je op dat moment al moet kunnen rechtvaardigen dat je dit doet. Heb je toestemming van Jansen, is er een contractuele relatie of heb je zo’n gerechtvaardigd belang? Als je Jansen op internet hebt gevonden, krijg je die rechtvaardiging niet snel rond.
5. Harro: Als je voor het eerst je potentiële klant aan de lijn krijgt, zijn er dan verplichtingen direct aan het begin van het gesprek? Bijvoorbeeld dat je meteen moet vertellen dat je zijn naam uit openbare bron hebt gevonden? Of zijn er andere zaken die je direct openbaar moet maken, ten aanzien van de AVG?
Met deze vragen en antwoorden zullen vast niet alle praktijksituaties zijn behandeld. Er blijven altijd grijze gebieden over. Mijn advies blijft om ruim aan de goede kant van de streep te blijven. Je wilt als organisatie niet je reputatie op het spel zetten door te agressief te blijven hunten.
Arnoud: De AVG eist inderdaad dat je mensen actief informeert over hoe je aan hun gegevens komt en wat je daarmee doet. Dat hoef je niet als een robot direct aan het begin te doen, maar je moet het wel in het gesprek melden. Ook moet je mensen melden dat ze recht van bezwaar hebben, oftewel dat ze op verzoek uit jouw bestand verwijderd gaan worden.
6. Harro: In overweging 70 van de AVG staat: "Wanneer persoonsgegevens worden verwerkt ten behoeve van direct marketing dient de betrokkene, ongeacht of het een aanvankelijke dan wel een verdere verwerking betreft, het recht te hebben te allen tijde en kosteloos bezwaar te maken tegen deze verwerking, ook in het geval van profilering voor zover deze betrekking heeft op de direct marketing. Dat recht moet uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie, onder de aandacht van de betrokkene worden gebracht." Dit lijkt alsof je de potentiële klant erop moet wijzen dat je data opslaat in je CRM-systeem, als je hem of haar hebt benaderd via koude acquisitie. En dat de ander het recht heeft om toestemming te weigeren, zodat je verplicht bent deze data uit je CRM systeem te verwijderen. Hoe formeel moet je dit aanpakken? Is dit vergelijkbaar met het bekende bandje van de business to consumer callcenters, of kun je dit ook informeel in het gesprek verwerken?
Arnoud: Je bent verplicht inderdaad om ze te melden dat ze bezwaar kunnen maken, en je mag dat niet verstoppen in je algemene voorwaarden of website. Maar je mag het informeel in het gesprek melden, bijvoorbeeld zodra je merkt dat de gebelde persoon geen interesse heeft? Ach wat vervelend. Zal ik u dan meteen uit ons bestand halen ook, dat is namelijk uw wettelijk recht.?
7. Harro: Hoe zit het met het direct benaderen van potentiële klanten op een platform als Linkedin. Je hebt hierbij de mogelijkheid om ongevraagd een zogenaamde ?inmail? te sturen. Valt deze manier van communicatie ook onder de AVG, is dit geregeld binnen de gebruiksovereenkomst van Linkedin of geldt hier iets anders?
Arnoud: Specifiek bij platforms als LinkedIn geldt dat je meer mag doen, wanneer het platform daar zelf expliciet functionaliteit voor heeft gebouwd. Zo kun je op LinkedIn instellen of je open staat voor bijvoorbeeld recruiters. Als je dat aangeeft, dan mag een recruiter je mailen, daar is die functionaliteit
voor. Maar let op: je mag dan niet die persoon in je eigen database stoppen om hem later te blijven bestoken met nieuwe banen. Dat gaat buiten de functionaliteit van LinkedIn zelf om. LinkedIn heeft natuurlijk ook weer het recht om mensen te weren als die hun eigen huisregels overtreden. Het sociale netwerk verbiedt het versturen van ?any unsolicited or unauthorized advertising, ?junk mail,? ?spam,? ?chain letters,? ?pyramid schemes,? or any form of solicitation unauthorized by LinkedIn;?. Een koud acquisitiebericht kan daar eenvoudig onder vallen, en als LinkedIn genoeg klachten krijgt dan mogen ze je account afsluiten.
8. Harro: Ik heb begrepen dat als je toestemming hebt gekregen van een potentiële klant om hem of haar te benaderen, je deze toestemming (opt-in) moet vaststellen. Hoe zit dit als je mondeling toestemming hebt gekregen, hoe leg je dan deze opt-in vast? Neem bijvoorbeeld de situatie dat je iemand hebt gesproken op een netwerkbijeenkomst en je vraagt de ander of je hem kunt bellen om verder te praten over jouw product of dienst. Als de ander zegt dat dit oké is, dan heb je, neem ik aan, toestemming gekregen. Moet je deze toestemming dan vastleggen op een of andere manier?
Arnoud: Je moet onder de AVG inderdaad kunnen bewijzen dat je toestemming hebt. Beter gezegd: als je het niet kunt bewijzen dan wordt aangenomen dat je geen toestemming hebt. Je mag het aantonen zoals je wilt. Een gespreksopname is bijvoorbeeld prima bewijs, een notitie van een netwerkbijeenkomst zou ook aardig bewijs zijn.
9. Harro: Hoe zit het als een collega of bevriende relatie je aanraadt om eens contact op te nemen met een potentiële klant? Een praktijksituatie is bijvoorbeeld dat een bestaande klant je vertelt dat een relatie van hem ook gebruik zou kunnen maken van je producten of diensten. Hij geeft je hierbij meteen een naam en telefoonnummer. Heb je hiermee toestemming (opt-in) gekregen om te kunnen bellen?
Arnoud: In principe niet. Ik zou dus doorvragen, denk je dat hij het goed vindt dat ik hem direct bel? Als hij dan ja zegt, dan is dat in ieder geval een steviger argument naar die relatie toe waarom je hem belt.
10. Harro: Als laatste een vraag vanuit het perspectief van je potentiële klant. Als hij het zeer ongepast vond dat hij werd benaderd via koude acquisitie en het gevoel heeft dat zijn privacy hiermee is geschaad. Welke stappen kan hij nemen in de praktijk om bezwaar te maken?
Arnoud: De eerste optie is dus dat hij bij jou bezwaar kan maken, jij moet hem dan op de zwarte lijst zetten en je mag hem niet meer benaderen. Ook kan hij vragen hoe je aan zijn gegevens komt, en dan bij de bron gaan klagen of zorgen dat die zijn gegevens niet meer beschikbaar stelt.
Als hij erg boos is, kan hij een klacht bij de toezichthouder (de Autoriteit Persoonsgegevens) indienen. Krijgen die genoeg klachten, dan starten ze een onderzoek tegen je en daar kan een boete uit volgen. Had je hem via e-mail, sms of telefoon benaderd, dan kan hij ook klagen bij de Autoriteit Consument en Markt wegens overtreding van de spamwetgeving. Ook daar kunnen boetes voor volgen als er genoeg klachten waren.
In theorie kan hij ook naar de rechtbank om een contactverbod te eisen op straffe van een dwangsom. Bel of mail je hem daarna toch, dan moet je bijvoorbeeld 500 of 1000 euro per bericht betalen. Dit is een paar keer gebeurd bij hardnekkige organisaties zoals de Postcode Loterij maar het is natuurlijk wel een dure stap om te nemen.
Als laatste blijft natuurlijk het aloude middel over van negatieve publiciteit: hij kan op Twitter of LinkedIn klagen dat hij steeds gebeld of gemaild wordt door een spammer.
