Soms lijkt het dat dataminimalisatie -Algemene Verordening Gegevensbescherming artikel 5 lid 1 onder c– en e-mail marketing op gespannen voet staan. Het klopt dat de AVG, die per 25 mei geldig is, duidelijk aangeeft dat je niet meer data mag uitvragen, terugkrijgen en opslaan dan strikt noodzakelijk. Toch betekent een minimale opslag van gegevens niet dat je alle reeds opgeslagen data moet wissen. Het betekent wel dat je kritisch moet zijn over het doel en de inzet van de opgeslagen data.

Koppeling data en opslagdoel

In het hierboven genoemde AVG-artikel staat letterlijk: ‘persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.’ Laten we -ter illustratie- een klein voorbeeld geven: Nix 18.

Stel: je werkt bij een webwinkel die alcohol verkoopt. Als iemand via jouw webshop een bestelling plaatst dan is het prima om te vragen naar de leeftijd van de besteller. Je mag immers alleen alcohol verkopen aan 18-plussers. Of anders: je vraagt naar dit persoonsgegeven omdat het een duidelijk doel dient.

Stel nu dat je bij een online boekhandel werkt en iemand bestelt via jouw website de laatste roman van Tommy Wieringa. Mag je dan op het bestelformulier vragen naar de leeftijd? Als dit persoonsgegeven noodzakelijk is voor de verwerking van de bestelling, dan vindt de AVG dat prima. Toch ligt dit niet erg voor de hand. Het lijkt lastig om de relatie tussen het invulveld ‘leeftijd’ en de reden waarom je ernaar vraagt aannemelijk te maken. Ondanks dat je als online boekverkoper voor het afronden van de bestelling geen geboortedata nodig hebt, mag je er wel naar vragen als je er een ander gerechtvaardigd belang -dat is de officiële term- voor hebt. Maar nogmaals: maak ’t aannemelijk.

Maak opslagdoelen aannemelijk

Zolang je een aannemelijk doel voor ogen hebt en je slaat daarvoor alleen de noodzakelijke gegevens op, dan handel je niet in strijd met de AVG. Zo zou je wel geboortedata mogen opslaan als je graag een leuke verjaardagsmail stuurt. Je hebt dan immers dit persoonsgegeven nodig om je doel te bereiken.

Als je nieuwsbrieflezers daarnaast vraagt naar hun postcode en huisnummer, dan lijken dit geen noodzakelijke gegevens voor het sturen van een verjaardagsmail. Maar je hebt deze gegevens wel weer nodig als je liever een verjaardagskaart naar het huisadres van de jarige stuurt.

De AVG is op dit punt niet ingewikkeld: weet welke persoonsgegevens je opslaat, leg vast waarvoor je ze nodig hebt en wees daar transparant over. Met dat eerste helpt Spotler je graag. Ga in MailPlus naar het tabblad AVG Compliance en je ziet direct welke persoonsgegevens je verwerkt. De tweede stap is aan jezelf: maak duidelijk welke persoonsgegevens je opslaat, op basis van welke grondslag je dit doet en hoe lang je ze denkt te bewaren.

Om je met de tweede stap te helpen, is het handig als je -naast de term dataminimalisatie- nog twee termen kent: verwerkingsregister en bewaartermijn.

Verwerkingsregister en bewaartermijn

Het is niet voldoende om reactief met dataopslag van persoonsgegevens om te gaan. Je kunt niet wachten tot de wetgever bij je aan klopt en dan pas bedenken met welke doelen je gegevens opslaat. Je moet hier proactief in handelen.

De wetgever verlangt dat je een verwerkingsregister inricht. Deze wat ambtelijke term houdt in dat je schriftelijk vastlegt onder welke criteria je persoonsgegevens uitvraagt, terugkrijgt en opslaat. De Autoriteit Persoonsgegevens -de toezichthouder- schrijft verder dat ‘u zelf mag weten hoe u het register opstelt’. Het maakt dus niet uit of je een overzichtelijke Excelsheet inricht of dat je er een specifieke softwaretool voor aanschaft.

Dit alles geldt ook voor de bewaartermijn van de opgeslagen gegevens. Je zult zelf aannemelijk moeten maken voor welke periode je welke gegevens opslaat. Zo is het prima vol te houden dat je geboortedata minimaal een jaar bewaart, maar heb je deze data al een jaartje of vier ongebruikt in je database dan wordt het hoog tijd om actie te ondernemen.

En dat actie ondernemen kan twee vormen aannemen: óf je stelt heldere verwerkingscriteria op en je zorgt ervoor dat je die verjaardagscampagne nu echt eens gaat inrichten óf je verwijdert de data. En als marketeer kies je natuurlijk voor de eerste optie.

Om je nog iets verder te helpen: als het gaat over de criteria die je schriftelijk moet vastleggen, kun je denken aan het volgende:

  • In welke categorie vallen de opgeslagen gegevens? Verwerk je gegevens van klanten, prospects of van beide?
  • Is er een duidelijke relatie tussen de opgeslagen gegevens en het doel waarvoor je de opgeslagen gegevens wilt inzetten? Zijn deze doelen aannemelijk? En denk niet alleen aan het versturen van mailings, maar ook aan personalisatie, het samenstellen van doelgroepen e.d.
  • Sla je voor het behalen van je marketingdoelen niet meer gegevens op dan strikt noodzakelijk? Kun je de hoeveelheid opgeslagen gegevens aannemelijk maken?
  • Welke bewaartermijnen hanteer voor je welke opgeslagen persoonsgegevens? En zijn de vastgestelde bewaartermijnen aannemelijk?
  • Hoe zorg je ervoor dat de persoonsgegevens up-to- date blijven?

Deze opsomming is niet uitputtend. Kijk altijd bij Autoriteit Persoonsgegevens of het verwerkingsregister voor jouw specifieke organisatie voldoet aan de eisen.

Data zonder opslagdoel

Als je bovenstaande hebt overdacht, uitgevoerd en schriftelijk vastgelegd en je hebt dan nog steeds data in je systemen waar je niks mee gaat doen, dan moet je deze verwijderen.