Het zal je niet ontgaan zijn dat vanaf 25 mei 2018 de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht is. Er is al ontzettend veel geschreven over wat de AVG betekent voor acquisitie. Het is evident dat het je als sales professional in een business development-rol niet gemakkelijker wordt gemaakt. Toch is er veel verwarring binnen de saleswereld over welke mogelijkheden je beschikt om binnen de AVG wetgeving te blijven en toch proactief acquisitie te kunnen plegen. Kortgezegd, wat mag nog wel binnen de AVG en wat niet?
Het uitgangspunt hierbij is welke acties wettelijk zijn toegestaan als je telefonische koude acquisitie pleegt. Het gaat er hierbij niet om of deze acties vanuit een commercieel of ethisch oogpunt verstandig zijn. Ik heb al eerder een artikel geschreven dat koude acquisitie en cold calling morsdood zijn en heb hiervoor vijf redenen aangedragen. Slechts één van deze redenen heeft te maken met de AVG. Om verwarring te voorkomen bij wat ik versta onder koude acquisitie of cold calling, gebruik ik de definitie uit de telecommunicatiewet: “Het ongevraagd telefonisch benaderen van potentiële klanten, met als doel goederen of diensten aan te bieden of te verkopen of denkbeelden te promoten.”
Aangezien ik geen rechtsgeleerde ben, heb ik de bekende ICT-jurist en blogger Arnoud Engelfriet van juridisch adviesbureau ICTRecht gevraagd om een tiental veel gestelde vragen over koude acquisitie en de AVG te beantwoorden. Arnoud is ook een van de schrijvers van het boek Handboek AVG Compliance in de praktijk Dit boek bevat modellen en stappenplannen voor de belangrijkste privacydocumenten, -processen en verplichtingen van de AVG.
Basisvragen van de AVG
De gehele AVG-wetgeving kort samenvatten valt niet mee. Ik adviseer om in ieder geval de website van de Autoriteit Persoonsgegevens over dit onderwerp en de blogposting van ICTRecht geschreven door Demi Grandiek te lezen. Ik heb enkele passages hieruit overgenomen om eerst tien basisvragen over de AVG te beantwoorden.
Wat is het doel van de AVG? Door de AVG krijgen mensen meer mogelijkheden om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten worden namelijk versterkt en uitgebreid. Als bedrijf moet je dat honoreren, op straffe van torenhoge boetes.
Wat betekent dit voor bedrijven? Als de AVG van toepassing is, heeft u als organisatie meer verplichtingen bij het verwerken van persoonsgegevens. De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt.
Waar valt koude acquisitie onder in de nieuwe wet? Binnen de AVG valt koude acquisitie of cold calling onder de term ‘direct marketing’
Mag je direct marketing bedrijven bij bestaande klanten? U mag uw eigen, bestaande klanten digitale direct marketing sturen met aanbiedingen voor andere, vergelijkbare producten of diensten. Bijvoorbeeld per e-mail, sms of app. Uw klanten hoeven daarvoor niet eerst toestemming te geven, maar u moet ze wel bij het bestelproces hebben gemeld dat u dit gaat doen en ze een afmeldmogelijkheid (opt-out) hebben gegeven.
Iemand is een bestaande klant als deze persoon een product of dienst van u heeft gekocht. Er moet sprake zijn van een koopovereenkomst, waarin u verplicht bent of was om iets te leveren en de klant om daarvoor te betalen. U mag iemand niet tot uw bestaande klanten rekenen als diegene (nog) niets heeft gekocht, maar zich alleen maar heeft aangemeld voor uw nieuwsbrief, een enquête heeft ingevuld, meegedaan heeft aan een prijsvraag of spel of een gebruikersaccount heeft aangemaakt.
Mag je direct marketing bedrijven bij niet-bestaande klanten? Is iemand nog geen bestaande klant van u? En wilt u deze persoon mailen, sms-en of appen met aanbiedingen? Dan moet u diegene hiervoor eerst toestemming vragen.
Wat zijn openbare gegevens? Openbare bedrijfsgegevens zijn gegevens die door een bedrijf zelf of namens een bedrijf bekend gemaakt zijn aan het publiek, bijvoorbeeld via hun website of de gegevens die zijn opgenomen in het KvK handelsregister. Gegevens van een bedrijf vallen buiten de privacywet, maar gegevens van ondernemers of personeel zijn gewoon persoonsgegeven en vallen daarom onder de privacywet. Op grond van de privacywetgeving mag je die laatste categorie dus niet zomaar verwerken. Daarop gelden de regels die hierboven staan. De Autoriteit Persoonsgegevens, die toeziet op naleving van de privacywet, heeft recent aangekondigd de Kamer van Koophandel aan te gaan pakken voor handel in die gegevens.
Hoe zit het met het verwerken van persoonsgegevens? Voor het verwerken van persoonsgegevens en dus soms ook voor het verwerken van openbare bedrijfsgegevens is een wettelijke grond vereist, zoals toestemming. Doordat bedrijfsgegevens openbaar zijn, lijkt gebruik (verwerking) daarvan gewoon toegestaan.
De wet eist echter dat toestemming uitdrukkelijk en ondubbelzinnig is en vervolgens dat persoonsgegevens alleen mogen worden verwerkt voor het doel waarvoor ze verkregen zijn. Gegevens die door een bedrijf zelf openbaar gemaakt zijn, zijn openbaar gemaakt met een bepaald doel. De omschrijving bij de gegevens kan hier iets over zeggen, maar het kan ook blijken uit de context.
Is er nog andere wetgeving van belang bij koude acquisitie? Ja, ook de Telecommunicatiewet is van belang, omdat koude acquisitie het ongevraagd versturen van commerciële berichten betreft. De Telecommunicatiewet stelt ook regels ten aanzien van het ongevraagd telefonisch en per e-mail benaderen van potentiële klanten, met als doel goederen of diensten aan te bieden of te verkopen of denkbeelden te promoten. Telemarketing ten aanzien van consumenten en eenmanszaken is toegestaan, tenzij de ontvanger hier bezwaar tegen heeft gemaakt (‘Bel-mij-niet’-register). Dit geldt niet ten aanzien van de BV, NV of stichting. Deze rechtspersonen mag je gewoon telefonisch benaderen, zolang je maar niet vraagt naar een specifieke persoon. Wat wel kan: een bedrijf bellen en vragen naar iemand die over marketing gaat.
Koude acquisitie gericht op bedrijven is dus niet verboden? Nee, maar het hiervoor gebruiken van openbare bedrijfsgegevens is vaak wel verboden. Let er dus op dat:
- Bij het telefonisch benaderen van een bedrijf, je het algemene telefoonnummer gebruikt en niet vraagt naar een specifieke persoon, als je geen toestemming hebt gekregen van die persoon om hem of haar te benaderen;
- Bij het elektronisch (bijv. per e-mail) benaderen van een bedrijf je enkel gebruik maakt van een e-mailadres dat beschikbaar gesteld is voor acquisitie;
- Bij het verkrijgen van persoonlijke contactgegevens je expliciet toestemming verkrijgt om deze (op een later tijdstip) te gebruiken voor acquisitie. Let op dat je achteraf moet kunnen bewijzen dat je die toestemming hebt gekregen.
De praktijk van koude acquisitie en de AVG
Het is tijd om Arnoud Engelfriet tien vragen voor te leggen die specifiek te maken hebben met de alledaagse praktijk van koude acquisitie en wat dit betekent onder de AVG.
1. Harro: Cold callers zijn gewend om vanuit openbare bronnen gegevens te verzamelen van hun potentiële klanten, voordat ze contact opnemen. Ze gaan bijvoorbeeld op zoek op de website van de klant of kijken op Linkedin. Ze proberen zo de naam, functie of telefoonnummer van een contactpersoon te achterhalen. Mag je zondermeer dit soort gegevens opzoeken en opslaan in je eigen CRM-pakket, met als doel om deze later te gebruiken voor koude acquisitie?
Arnoud: Nee, het is niet toegestaan om zomaar gegevens uit externe bronnen in je CRM pakket te stoppen om daarmee acquisitie te plegen. Dat de bron openbaar was, is niet relevant. Waar het om gaat, is of je een grondslag hebt om de acquisitie te doen. Dat kan zijn toestemming of een bestaande relatie. Maar “het staat al op internet” is geen grond.
2. Harro: Cold callers hebben vaak een zorgvuldig opgebouwde database, waarin door de jaren heen persoonsgegevens uit allerlei bronnen zijn verzameld. Denk aan gegevens van bedrijven waar in de afgelopen jaren acquisitie-acties zijn geprobeerd, die niet succesvol waren, (delen van) gekochte adressenbestanden en deskresearch uit openbare bronnen. Meestal is niet meer duidelijk waar gegevens überhaupt vandaan kwamen. Mogen dit soort gegevens gewoon gebruikt blijven worden, of moeten deze onder de AVG gegevens worden ‘opgeschoond’ of verwijderd?
Arnoud: Ook gegevens die je al had voordat de AVG van kracht werd, moeten vanaf 25 mei voldoen aan de eisen uit de AVG. Persoonsgegevens waarvan je niet kunt aantonen dat je ze met een AVG-proof grondslag hebt verkregen, moeten dus vernietigd worden.
3. Harro: In Overweging 47 van de AVG staat: “De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang”. Het lijkt alsof je hiermee als verwerker van persoonsgegevens de afweging moet maken tussen de belangen van de verwerkende organisatie (jij als cold caller dus) en de privacy-belangen van je potentiële klant. Betekent dit dat je als cold caller bij iedere potentiële klant kunt zeggen: “Ik heb een afweging gemaakt en ik vind mijn belang groter dan het privacy-belang van mijn potentiele klant?” Simpel gesteld: mag ik als cold caller gewoon al mijn potentiële klanten bellen, omdat ik altijd mijn belang boven die van de klant laat gaan.
Arnoud: Naast toestemming en de contractuele relatie kent de AVG ook als grondslag het eigen gerechtvaardigd belang. Je zegt dan, mijn belang weegt zwaarder dan uw privacy dus ik mag dit gewoon doen. Inderdaad wordt direct marketing gezien als zo’n belang, maar je moet nog steeds laten zien waarom jouw behoefte aan direct marketing zwaarder weegt dan de privacy van de persoon die je benadert. Hieraan kun je voldoen door waarborgen in te bouwen, zoals een afmeldmogelijkheid. Maar je zult ook moeten aangeven waarom het legitiem is om die op internet gevonden gegevens te gebruiken voor direct marketing. Deze belangenafweging moet je op papier zetten zodat je achteraf bewijs hebt dat je er goed over nagedacht hebt vanuit jouw bedrijfssituatie.
4. Harro: Hoe zit het nu precies met het wel of niet direct vragen naar een bepaalde contactpersoon als je het algemene nummer belt van een bedrijf. Ga er hierbij vanuit dat je nog geen toestemming hebt gehad en de naam (dhr Jansen, hoofd afdeling marketing) in een openbare bron hebt gevonden. Kun je wel gewoon direct naar dhr Jansen vragen of mag je dan alleen vragen naar iemand die gaat over marketing?
Arnoud: De AVG gaat verder. Het feit dat Jansen in jouw CRM systeem zit, maakt dat je op dat moment al moet kunnen rechtvaardigen dat je dit doet. Heb je toestemming van Jansen, is er een contractuele relatie of heb je zo’n gerechtvaardigd belang? Als je Jansen op internet hebt gevonden, krijg je die rechtvaardiging niet snel rond.
5. Harro: Als je voor het eerst je potentiële klant aan de lijn krijgt, zijn er dan verplichtingen direct aan het begin van het gesprek? Bijvoorbeeld dat je meteen moet vertellen dat je zijn naam uit openbare bron hebt gevonden? Of zijn er andere zaken die je direct openbaar moet maken, ten aanzien van de AVG?
Arnoud: De AVG eist inderdaad dat je mensen actief informeert over hoe je aan hun gegevens komt en wat je daarmee doet. Dat hoef je niet als een robot direct aan het begin te doen, maar je moet het wel in het gesprek melden. Ook moet je mensen melden dat ze recht van bezwaar hebben, oftewel dat ze op verzoek uit jouw bestand verwijderd gaan worden.
6. Harro: In overweging 70 van de AVG staat: “Wanneer persoonsgegevens worden verwerkt ten behoeve van direct marketing dient de betrokkene, ongeacht of het een aanvankelijke dan wel een verdere verwerking betreft, het recht te hebben te allen tijde en kosteloos bezwaar te maken tegen deze verwerking, ook in het geval van profilering voor zover deze betrekking heeft op de direct marketing. Dat recht moet uitdrukkelijk, op duidelijke wijze en gescheiden van overige informatie, onder de aandacht van de betrokkene worden gebracht.” Dit lijkt alsof je de potentiele klant erop moet wijzen dat je data opslaat in je CRM-systeem, als je hem of haar hebt benaderd via koude acquisitie. En dat de ander het recht heeft om toestemming te weigeren, zodat je verplicht bent deze data uit je CRM systeem te verwijderen. Hoe formeel moet je dit aanpakken? Is dit vergelijkbaar met het bekende bandje van de business to consumer callcenters, of kun je dit ook informeel in het gesprek verwerken?
Arnoud: Je bent verplicht inderdaad om ze te melden dat ze bezwaar kunnen maken, en je mag dat niet verstoppen in je algemene voorwaarden of website. Maar je mag het informeel in het gesprek melden, bijvoorbeeld zodra je merkt dat de gebelde persoon geen interesse heeft “Ach wat vervelend. Zal ik u dan meteen uit ons bestand halen ook, dat is namelijk uw wettelijk recht.”
7. Harro: Hoe zit het met het direct benaderen van potentiële klanten op een platform als Linkedin. Je hebt hierbij de mogelijkheid om ongevraagd een zogenaamde ‘inmail’ te sturen. Valt deze manier van communicatie ook onder de AVG, is dit geregeld binnen de gebruiksovereenkomst van Linkedin of geldt hier iets anders?
Arnoud: Specifiek bij platforms als LinkedIn geldt dat je meer mag doen, wanneer het platform daar zelf expliciet functionaliteit voor heeft gebouwd. Zo kun je op LinkedIn instellen of je open staat voor bijvoorbeeld recruiters. Als je dat aangeeft, dan mag een recruiter je mailen, daar is die functionaliteit voor. Maar let op: je mag dan niet die persoon in je eigen database stoppen om hem later te blijven bestoken met nieuwe banen. Dat gaat buiten de functionaliteit van LinkedIn zelf om. LinkedIn heeft natuurlijk ook weer het recht om mensen te weren als die hun eigen huisregels overtreden. Het sociale netwerk verbiedt het versturen van “any unsolicited or unauthorized advertising, “junk mail,” “spam,” “chain letters,” “pyramid schemes,” or any form of solicitation unauthorized by LinkedIn;”. Een koud acquisitiebericht kan daar eenvoudig onder vallen, en als LinkedIn genoeg klachten krijgt dan mogen ze je account afsluiten.
8. Harro: Ik heb begrepen dat als je toestemming hebt gekregen van een potentiële klant om hem of haar te benaderen, je deze toestemming (opt-in) moet vaststellen. Hoe zit dit als je mondeling toestemming hebt gekregen, hoe leg je dan deze opt-in vast? Neem bijvoorbeeld de situatie dat je iemand hebt gesproken op een netwerkbijeenkomst en je vraagt de ander of je hem kunt bellen om verder te praten over jouw product of dienst. Als de ander zegt dat dit oké is, dan heb je, neem ik aan, toestemming gekregen. Moet je deze toestemming dan vastleggen op een of andere manier?
Arnoud: Je moet onder de AVG inderdaad kunnen bewijzen dat je toestemming hebt. Beter gezegd: als je het niet kunt bewijzen dan wordt aangenomen dat je geen toestemming hebt. Je mag het aantonen zoals je wilt. Een gespreksopname is bijvoorbeeld prima bewijs, een notitie van een netwerkbijeenkomst zou ook aardig bewijs zijn.
9. Harro: Hoe zit het als een collega of bevriende relatie je aanraadt om eens contact op te nemen met een potentiële klant? Een praktijksituatie is bijvoorbeeld dat een bestaande klant je vertelt dat een relatie van hem ook gebruik zou kunnen maken van je producten of diensten. Hij geeft je hierbij meteen een naam en telefoonnummer. Heb je hiermee toestemming (opt-in) gekregen om te kunnen bellen?
Arnoud: In principe niet. Ik zou dus doorvragen, denk je dat hij het goed vindt dat ik hem direct bel? Als hij dan ja zegt, dan is dat in ieder geval een steviger argument naar die relatie toe waarom je hem belt.
10. Harro: Als laatste een vraag vanuit het perspectief van je potentiële klant. Als hij het zeer ongepast vond dat hij werd benaderd via koude acquisitie en het gevoel heeft dat zijn privacy hiermee is geschaad. Welke stappen kan hij nemen in de praktijk om bezwaar te maken?
Arnoud: De eerste optie is dus dat hij bij jou bezwaar kan maken, jij moet hem dan op de zwarte lijst zetten en je mag hem niet meer benaderen. Ook kan hij vragen hoe je aan zijn gegevens komt, en dan bij de bron gaan klagen of zorgen dat die zijn gegevens niet meer beschikbaar stelt.Als hij erg boos is, kan hij een klacht bij de toezichthouder (de Autoriteit Persoonsgegevens) indienen. Krijgen die genoeg klachten, dan starten ze een onderzoek tegen je en daar kan een boete uit volgen. Had je via e-mail, sms of telefoon hem benaderd, dan kan hij ook klagen bij de Autoriteit Consument en Markt wegens overtreding van de spamwetgeving. Ook daar kunnen boetes voor volgen als er genoeg klachten waren.
In theorie kan hij ook naar de rechtbank om een contactverbod te eisen op straffe van een dwangsom. Bel of mail je hem daarna toch, dan moet je bijvoorbeeld 500 of 1000 euro per bericht betalen. Dit is een paar keer gebeurd bij hardnekkige organisaties zoals de Postcode Loterij maar het is natuurlijk wel een dure stap om te nemen.
Als laatste blijft natuurlijk het aloude middel over van negatieve publiciteit: hij kan op Twitter of LinkedIn klagen dat hij steeds gebeld of gemaild wordt door een spammer.
Het beste advies?
Met deze vragen en antwoorden zullen vast niet alle praktijksituaties zijn behandeld. Er blijven altijd grijze gebieden over. Mijn advies blijft om ruim aan de goede kant van de streep te blijven. Je wilt als organisatie niet je reputatie op het spel zetten door te agressief te blijven hunten. En mijn beste tip blijft om helemaal te stoppen met koude acquisitie en te gaan werken met onze par-5 methode. Zoals eerder aangekondigd doen we in de komende artikelen onze methode helemaal uit de doeken.
Dit artikel is tot stand gekomen met behulp van Arnoud Engelfriet, ICT-jurist, blogger en werkzaam bij juridisch adviesbureau ICTRecht. Hij is ook medeauteur van het boek Handboek AVG Compliance in de praktijk.
Wil meer weten over de nieuwe standaard in acquisitie? Lees het boek de Par5 methode of download kosteloos een samenvatting op de website https://www.par5.nl/boek.