De Europese privacywet Algemene Verordening Gegevensbescherming (AVG) stelt strengere eisen aan de manier waarop culturele organisaties persoonsgegevens mogen verwerken. De voorbereiding op deze nieuwe regels is een complexe aangelegenheid en zorgt voor veel vragen vanuit de culturele sector.
De groeiende inzet van data is ook de culturele sector niet voorbijgegaan. Persoonsgegevens worden verzameld bij de verkoop van tickets, gebruikt om bezoekers te benaderen met een nieuwsbrief en vormen de basis van gerichte online advertenties om een voorstelling of tentoonstelling onder de aandacht te brengen. Bovendien heeft elke culturele organisatie wel een databestand of klantrelatiesysteem waarin de gegevens van donateurs, bezoekers of leden in zijn opgeslagen.
De AVG moet er nu voor gaan zorgen dat mensen zelf meer controle krijgen over deze gegevens en stelt daarom strengere eisen aan de verwerking ervan door organisaties. Deze nieuwe verplichtingen hebben grote impact op de bedrijfsvoering van culturele organisaties en vragen om intensieve voorbereiding op juridisch, organisatorisch en technisch vlak.
De sector is daarvan op de hoogte, zo blijkt uit de vele vragen die jullie instuurden na de oproep van Cultuurmarketing in de Facebook-groep voor Cultuurmarketing leden. De vragen later echter ook zien dat er nog veel onduidelijkheid bestaat.
Vraag: In hoeverre mag je mensen verplichten om informatie in te vullen bij het kopen van een ticket?
De basis van de AVG is dat je niet méér gegevens mag verwerken dan nodig is voor het doel waarvoor je de gegevens verzamelt (dataminimalisatie). Verstrekt iemand zijn gegevens om de nieuwsbrief te kunnen ontvangen, dan heb je geen telefoonnummer of geboortedatum nodig. Dat kan anders zijn als iemand online een ticket voor een evenement koopt. Daarvoor kan het nodig zijn om iemand een sms’je te kunnen sturen, bijvoorbeeld als het evenement niet doorgaat.
Veel komt hierbij ook aan op duidelijk informeren. Als het verzamelen van persoonsgegevens meerdere doelen heeft (bijvoorbeeld het tekenen van een petitie en fondsenwerving), dan moet je duidelijk uitleggen dat fondsenwerving óók een doel is van de verwerking. De betrokkene kan daar dan rekening mee houden bij het achterlaten van de gegevens en eventueel weigeren.
Vraag: Wat moet je doen met een relatiebeheersysteem waarvoor het opslaan van de persoonsgegevens nooit expliciete toestemming is gegeven?
Het is belangrijk om te weten dat toestemming niet de enige wettelijke grondslag is voor het verwerken van persoonsgegevens. Expliciete toestemming is alleen verplicht voor het verwerken van bijzondere persoonsgegevens (in Nederland onder meer religieuze of politieke voorkeur). Voor het verwerken van ‘normale’ persoonsgegevens is ondubbelzinnige toestemming één van de zes grondslagen.
Er zijn dus nog vijf andere mogelijkheden die in de meeste situaties een meer logische keuze zijn dan toestemming – ook in het geval van een relatiebeheersysteem. Die gegevens kunnen zeer waarschijnlijk verwerkt worden op basis van een andere grondslag: het gerechtvaardigd belang. Marketing is ook onder de AVG erkend als gerechtvaardigd belang. Je hebt als onderneming een belang om je klanten en prospects beter te leren kennen. Je bent daarbij wel verplicht te beoordelen of de gegevens noodzakelijk zijn voor het doel waarvoor je opvraagt, en vervolgens moet je een afweging maken tussen je eigen belang en dat van de klant. Dat je gegevens van mensen mag opslaan betekent overigens niet dat je ze ook zomaar mag benaderen, bijvoorbeeld via e-mail of telefoon. De regels daarvoor staan in een andere wet, de Telecommunicatiewet, die binnenkort vervangen wordt door de Europese ePrivacy Verordening.
Vraag: Wie is de eigenaar van persoonsgegevens na ticketverkoop, het theater of het gezelschap dat er speelt? En mogen zij onderling deze gegevens zomaar uitwisselen?
Het begrip ‘eigendom’ kennen we niet in de context van privacywetgeving. Je bent ‘verantwoordelijke’, ‘verwerker’ of ‘betrokkene’. Uiteraard kunnen organisaties onderling afspraken maken over het wel of niet uitwisselen van gegevens, maar dit staat los van de AVG/GDPR.
Deze wet bepaalt wél wanneer je gegevens mág delen. Daarvoor moet je kijken naar de grondslagen die hierboven zijn besproken. Doorgifte aan een andere organisatie is namelijk ook een verwerking. Je moet daarvoor beoordelen of dat ‘verenigbaar’ is met het doel waarvoor de betrokkene zijn gegevens heeft achtergelaten en wat de grondslag is. Het delen van deze gegevens tussen het theater en het gezelschap is niet nódig voor de uitvoering van de overeenkomst (namelijk: toegang geven tot het evenement) en het is ook niet verplicht vanuit de wet. Je komt daardoor uit bij het gerechtvaardigd belang of bij toestemming. Je moet dezelfde afweging maken als bij de vorige vraag. Daarvoor zijn met name de volgende twee punten bepalend:
Als het antwoord in beide gevallen ‘ja’ is, kun je het gerechtvaardigd belang als grondslag gebruiken en kunnen zowel het theater als het gezelschap de gegevens verwerken.
Op de website van DDMA beantwoordt Matthias de Bruyne nog uit de culturele sector over de AVG. Ook kun je terecht voor hun AVG Checklist, waarin ze je laten zien hoe je jouw organisatie in tien stappen optimaal kunt voorbereiden op de nieuwe wetgeving. Als laatste willen we je wijzen op de gratis , waarmee je kan zien hoe goed jouw organisatie is voorbereid op de AVG en hoe je het doet in vergelijking met andere organisaties. Succes!