Mag je klantgegevens voor een interne training gebruiken?

adresboek-gids-lijst-databank.pngEen lezer vroeg me:

Bij een interne training (ik ben software engineer) kregen we de opdracht een web-based CMS te ontwerpen inclusief klantendatabase. Prima, maar ik ontdekte dat de database échte gegevens bevatte. Er stond zelfs een familielid van me in! Mag dat zo maar, klantgegevens gebruiken voor trainingsdoeleinden?

Antwoord: Het gebruiken van klantgegevens mag eigenlijk altijd alleen als de Wet bescherming persoonsgegevens (Wbp) daar ruimte voor biedt. Er is geen letterlijk verbod op testen met productiegegevens. De eis is dat je de gegevens mag gebruiken voor het doel waarvoor je ze krijgt, en voor doelen die in duidelijk direct verband daarmee staan (art. 8 en 9 Wbp).

Het testen van de omgeving waarbinnen je persoonsgegevens wilt gaan gebruiken, lijkt mij zonder meer voldoende verband te hebben met het daadwerkelijk (productie) gebruik van die omgeving. Maar veel verstandiger is fictieve gegevens inzetten, en een ander artikel uit de wet (art. 11) eist dat je gegevens alleen gebruikt als dat “toereikend, ter zake dienend en niet bovenmatig is”. En daar is dan niet aan voldaan.

Bij dit doel gaat het nóg een stapje verder dan testen van een productieomgeving, namelijk een training van medewerkers met een fictieve omgeving. Dan is er geen enkele manier waarop het gegevensgebruik “toereikend, ter zake dienend en niet bovenmatig” zou kunnen zijn.

Soms vraag ik me af welke gedachtenprocessen er ten grondslag liggen aan “geef even een kopietje van alle klantgegevens want we gaan een training doen met IT”.

Arnoud

Moet je klantgegevens per se in Nederland opslaan?

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Wij hebben als bedrijf behoorlijk veel data en overwegen dit nu in de cloud op te slaan. Maar mag dat wettelijk gezien of moeten we per se dit zelf in Nederland beheren?

Er is geen algemene wet of regel die bepaalt dat een Nederlands bedrijf bedrijfsgegevens in Nederland moet opslaan, of zelfs maar in Europa. Je bent daar als bedrijf dus vrij in.

De enige hierbij relevante wet die ik kan bedenken, is de Wet bescherming persoonsgegevens. Wanneer die bedrijfsgegevens iets zeggen over personen (bijvoorbeeld klantdata of personeelsadministratie) dan moeten die worden behandeld volgens deze wet.

De Wbp bepaalt grofweg dat je persoonsgegevens alleen mag opslaan binnen de Europese Unie (art. 76 Wbp) behalve in enkele specifieke gevallen. Zo mag het met aparte toestemming van de betrokken personen of wanneer het nodig is voor afwikkeling van een contract met die persoon. Bemiddel je bij aankoop bij een Amerikaans bedrijf, dan mag je dat bedrijf de klantgegevens geven want anders kan die koop niet worden afgehandeld.

Verder neem je een risico als je gegevens in een ver buitenland opslaat. Wat als het bedrijf ermee ophoudt, of iets simpeler gewoon weigert je toegang tot de bedrijfsgegevens te geven? Je kunt dan moeilijker naar de rechter dan in Nederland. En dat is een risico want stel de Belastingdienst wil inzage in je administratie en die staat net in de Braziliaanse cloud die even down is (huh, een wolk die beneden is?), wat dan?

Technische oplossingen zijn hier misschien beter dan juridische trouwens: ook de hardste SLA en de beste relaties met je leverancier beschermen je niet tegen faillissementen of andere calaimiteiten. Een extra backup ergens anders is dus altijd aan te bevelen.

Arnoud

‘E-bookverkopers mogen klantinformatie doorspelen aan Brein’

scanbook.pngAanbieders van e-books mogen in Nederland klanteninformatie doorspelen aan stichting Brein, las ik bij Nu.nl. Nou ja, mag: mag met apart gegeven toestemming onder de privacywet. Een beetje flauw dus, want met dergelijke toestemming mag zo ongeveer alles.

Naar aanleiding van eerdere berichtgeving dat Brein dit zou hebben afgesproken met ebookverkopers werden Kamervragen gesteld. In het antwoord hierop zegt de minister nu dat zoiets een verwerking van persoonsgegevens is en dat “de meest voor de hand liggende verwerkingsgrond” de uitdrukkelijke toestemming is.

Eh ja. Wanneer iemand zegt dat het gebruiken van privacygevoelige gegevens mag mits met toestemming, bedoelt hij eigenlijk dat het niet mag tenzij dat expliciet apart is gevraagd, na een stukje uitleg én mensen die toestemming mogen weigeren. Dat is immers de definitie van ’toestemming’ onder de privacywet. Een e-boekverkoper kan dus Breindoorgiftetoestemming bedingen als deel van de verkoop, maar zal dat wel met een apart aanvinkvakje moeten vragen:

toestemming-voor-brein

We weten van de cookiewet dat je bij een weigering weer mag weigeren je dienst te leveren. Een ebookverkoper kan dus zeggen, ik verkoop je dat ebook niet want je hebt me geen Breindoorgiftetoestemming gegeven.

Echter wat zegt nu de minister:

In casu lijkt daarvoor doorslaggevend of een klant ondubbelzinnig en uit vrije wil ingestemd heeft met de gegevensverwerking met het oog op handhaving van de op eboeken rustende intellectuele eigendomsrechten. Bij deze beoordeling zal – mede gelet op een vrije toegang tot informatie en cultuur – een rol spelen of een klant ook langs andere weg kennis kan nemen van het boek.

Oftewel: als dit boek niet óók op papier te koop is, dan is er in feite sprake van een afgedwongen toestemming want toegang tot boeken, tot informatie is zo belangrijk dat “dan lees ik wel géén boek” geen optie is. Dat is wel een opmerkelijke visie, die zeker ook in andere internetsituaties leuke toepassing kan opleveren.

Iets logischer lijkt mij de grond van het “dringend eigen belang” – wie écht absoluut die gegevens nodig heeft en redelijkerwijs niet om toestemming kan vragen, mag zonder toestemming werken mits hij maar de privacy van de betrokken personen zo veel mogelijk respecteert. Dat schemert hier door:

Webwinkels kunnen zelf belang hebben bij het bewaren van klantgegevens bijvoorbeeld ten behoeve van het optreden tegen distributie van e-boeken zonder toestemming van de rechthebbende.

Dat zou dan formeel onder “goede uitvoering van de overeenkomst” vallen. Maar of het dan noodzakelijk is de gegevens aan Brein te geven?

Meer algemeen: gaat dit nut hebben? Wie zal zich laten afschrikken door deze gegevensregistratie?

Arnoud

Gastpost: Waarom bewaart een webwinkel klantgegevens ná de koop?

adresboek-gids-lijst-databank.pngIk ben deze week en volgende week met vakantie. Daarom vandaag een gastpost van internetondernemer Hans van Leersum met de interessante vraag, waarom bewaren we eigenlijk allemaal persoonsgegevens van onze klanten?

Waarom bewaren wij webwinkeliers eigenlijk zo veel gegevens van onze klanten? Zelfs als we er helemaal niets mee doen? Deze vraag spookt de afgelopen maanden steeds vaker door mijn hoofd. In de tweeënhalf jaar die we nu bestaan met onze webwinkel Trampolineplezier, hebben we een database opgebouwd met gegevens van honderden klanten. Deden we dat bewust? Nee, niet echt. Hij is eerder opgebouwd tegen wil en dank.

Automatisch opslaan

Het opslaan van klantgegevens gebeurt tegenwoordig automatisch. Er wordt steeds meer online gewinkeld waardoor persoonsgegevens van de consument met elke bestelling in een nieuwe database belanden. In de software van webwinkels is het opslaan en oneindig bewaren van klantgegevens namelijk de standaardoptie. Een optie om de klantgegevens te verwijderen als ze niet meer nodig zijn, bestaat niet. Magento, het webwinkelCMS wat we bij Trampolineplezier gebruiken, heeft deze optie evenmin.

Als je een fiets koopt bij een fietsenmaker, dan zal hij niet snel vragen wie je bent of waar je precies woont. Maakt hem het wat uit. Hoogstens vraagt hij naar je postcode, om te weten waar zijn klanten vandaan komen. Maar als je een fiets koopt bij een webwinkel, sta je als klant wel je naam, adres en soms ook nog creditcardgegevens af. Met het vertrouwen dat de webwinkel er goed mee omgaat. Maar wat gebeurt er met je gegevens als de fiets bij jou bezorgd is? Nee, ze worden niet gewist.

Persoonlijk vind ik het geen fijne gedachte dat, bij elke bestelling die ik online plaats, mijn gegevens weer in een extra database terechtkomen. Maar in mijn rol als webwinkelier vind ik het net zo goed niet prettig om zoveel klantgegevens te bezitten. Je hebt als bedrijf bestaansrecht, omdat je waarde toevoegt voor je klant. Maar wat voor waarde voeg je toe door zijn naw-gegevens te bewaren? Vanuit die gedachte: waarom gooien we de klantgegevens die we niet meer gebruiken niet weg?

Klantgegevens weggooien? Ben je gek?!

Nee, ik meen het. Er zijn ongetwijfeld webwinkels die baat hebben bij het bewaren van klantgegevens, maar wij niet. Wij verkopen trampolines en dat zijn eenmalige aankopen. Sporadisch hebben wij te maken met herhaalaankopen, slechts zo’n 1-2 procent van alle bestellingen. Redenen om de klantgegevens te bewaren hebben we dus niet. En waarom zou je iets bewaren als je het toch niet gebruikt?

Omdat het verplicht is door de fiscus, denk je misschien. Dat klopt. Maar alleen op de facturen. Alleen in je boekhouding is dus voldoende. Of misschien wil je de gegevens graag bewaren om het een en ander te controleren bij een garantiegeval. Daar valt natuurlijk iets voor te zeggen. Maar mijn inziens zijn er meer redenen te noemen voor het wél weggooien van de gegevens.:

    <li>Je laat klanten zien dat je hen serieus neemt. Je respecteert ze, behandelt ze as een volwaardig persoon door hem de keuze te geven. Je erkent dat deze gegevens niet van jou zijn, maar het eigendom van de klant. </li>
    
    <li>Je hebt een betere beveiliging tegen hacken. Persoonsgegevens die je niet in een database hebt staan, kunnen ook niet buitgemaakt worden bij een hack. Zo voorkom je het risico op identiteits- en creditcardfraude met de gegevens van jouw klanten.</li>
    
    <li>Je sluit misbruik in de toekomst uit. Door je personeel, een andere eigenaar, je webbouwer, malware op de server, enzovoort.</li>
    
    <li>Je voorkomt imagoschade. Een lek van je klantenbestand doet je naam en betrouwbaarheid als webwinkel niet goed. Al zal het voor een webwinkel in medicijnen of erotische artikelen erger zijn dan voor een webwinkel in ijzerwaren. </li>
    
    <li>De beveiliging van de gegevens kost tijd en geld. Waarom zou je geld uitgeven aan de beveiliging van gegevens die je niet gebruikt en nooit nodig zult hebben?</li>
    

Wat vinden collega-webwinkeliers?

Wat vinden jullie? Overdrijf ik? Is de kans op een hack te verwaarlozen? Zijn er redenen om de gegevens van mijn klanten wél te bewaren die ik over het hoofd heb gezien? Ik ben erg benieuwd naar reacties.

Hans van Leersum is internetondernemer met bijzondere interesse in privacy.