Met juristen hebben wij gekozen om het door de Autoriteit Persoonsgegevens aanbevolen 10 stappenplan te hanteren.
Onder andere is een zogenaamde Data Protection Impact Assessment (DPIA) doorlopen.
De conclusies uit de diverse stappen worden onder andere verwerkt in de vorm van een aanpassing van de gebruikersovereenkomst voor een licentie en het introduceren van functionaliteit rondom gebruikersbeheer.
AVG versus Wet Bescherming Persoonsgegevens en de Telecommunicatiewet
De invoering van de AVG, bekeken vanuit de werkzaamheden van SalesFeed, gaat uiteraard enige invloed hebben op onze organisatie.
Als eerste, vanuit “de transparantie invalshoek”. SalesFeed gaat per januari 2018 gebruikers van de licenties vastleggen. Dit zijn medewerkers van de organisaties die SalesFeed gebruiken, voor zover zij toegang hebben tot onze software of rapporten willen ontvangen.
Ten tweede, rondom het notitieveld op een bedrijfsdetailpagina, zal tekst toegevoegd gaan worden in de licentieovereenkomst of in onze algemene voorwaarden, in de vorm van een verwerkersovereenkomst. In dat veld kan een gebruiker namelijk persoonsgegevens “noteren”, zoals de naam van een functionaris waar contact mee is geweest. Zo’n notitie slaan wij op en daarmee verwerken we dan een persoonsgegeven. Hieruit volgt dat SalesFeed volgens de AVG aan bepaalde verplichtingen moet voldoen, zoals het ondersteunen van de verwerkingsverantwoordelijkheid bij het faciliteren van de rechten van de betrokkenen. Overigens maakt niet iedere gebruiker (dergelijke) notities.
Ook zal vastgelegd worden, dat SalesFeed een datalek zal melden, mocht dat zich voordoen. Een datalek kan betrekking hebben op de namen van gebruikers of op de inhoud van een licentie (de inhoud van het notitieveld).
Er bleek nog een aantal relevante invalshoeken. Deels kwamen deze aan de orde bij het denken vanuit “de letter van de wet”, deels vanuit de “geest van de wet”.
Directe en indirecte identificeerbaarheid
Of een gegeven een persoonsgegeven is, is situationeel afhankelijk. SalesFeed herkent organisaties en verricht op geen enkele wijze inspanningen ten behoeve van het herkennen van personen.
Wij kunnen direct, noch indirect, op een geautomatiseerde wijze een verband leggen tussen een consument of functionaris en de organisaties die wij herkennen.
Rondom de WBP en nu de AVG, hebben wij de nodige discussie gevoerd over de status van eenmanszaken. In een eenmanszaak kan bijvoorbeeld meer dan 1 functionaris actief zijn. Een eenmanszaak kan ook op een privé adres zijn gevestigd waarbij meerdere personen gebruik maken van de internetaansluiting, zoals gezinsleden en gasten. Wij kunnen ook geen onderscheid maken tussen een privé adres of zakelijk adres. SalesFeed geeft in de bedrijfsdetailpagina slechts het vestigingsadres aan, zoals geregistreerd bij de Kamer van Koophandel.
Een gebruiker van SalesFeed kan door middel van telefoon proberen te achterhalen welke persoon een bezoek heeft uitgevoerd. Conform AVG mag gebeld worden naar een algemeen nummer. Als goed huisvader zullen wij onze gebruikers er op attenderen dat zij moeten controleren of een eenmanszaak zich heeft ingeschreven in het zakelijke bel-me-niet-register, indien zij besluiten te gaan bellen met een eenmanszaak.
Geest van de wet, DPIA voor SalesFeed onnodig!
Denkend vanuit de WPB en de Telecommunicatiewet, hoe zit het met de gevoeligheid van persoonsgegevens die wij vastleggen? Wij blijven immers verre van gegevens die als privacygevoelig worden beschouwd, zoals onder andere medische gegevens, financiële gegevens en persoonlijke gegevens zoals geslacht, leeftijd, politieke overtuiging en seksuele geaardheid.
Stel dat er bij SalesFeed een datalek zou ontstaan, dan zou er bekend worden dat er vanuit een bepaalde organisatie de website van een andere organisatie is bezocht. Dat kan zakelijk gezien inderdaad zeer gevoelig liggen. Maar, dit raakt echter in principe niet de privacy van natuurlijke personen. In die zin, conform DPIA richtlijnen, valt de persoonsverwerking zoals SalesFeed die in gevallen uitvoert en de diensten die wij met onze software mogelijk maken, niet onder een High Risk beoordeling.
Niet alleen de gevoeligheid van gegevens, ook de gevolgen van eventuele discontinuïteit van rechten door het (tijdelijk) wegvallen van databeschikbaarheid moeten hierbij worden beoordeeld. Denk eens aan software waarmee een medisch dossier wordt vastgelegd. Wanneer dergelijke software uitvalt, zou een arts belemmerd kunnen worden in de behandeling van een patiënt. Dat soort discontinuïteitsrisico’s zijn niet verbonden aan het gebruik van SalesFeed.
SalesFeed concludeerde dat zij in principe mocht afzien van het uitvoeren van een DPIA. Vanwege zorgvuldigheid hebben wij dit echter wel gedaan.
Liquid Content
Een aantal gebruikers maakt gebruik van de Liquid Content module. Daarmee kan op basis van engagement of op basis van bedrijfsgegevens, andere content op een webpagina worden getoond. Indien aan een bedrijf een variatie wordt getoond, wordt deze getoond aan iedereen binnen het bedrijf die de betreffende website bezoekt. Het tonen van een variatie is niet te herleiden tot een persoon. Het tonen van een variatie wordt ook niet gebaseerd op gegevens over een persoon.
De webpagina die wordt aangepast, is uitsluitend een webpagina van de website van de gebruiker van een licentie. Er worden met de Liquid Content module geen pagina’s van de websites van derden aangepast, een organisatie of individuele bezoeker wordt dus niet “gevolgd” tot op andere websites.
Openbare informatie
SalesFeed toont in de bedrijfsdetailpagina, in gevallen de naam van de DGA, zoals geregistreerd bij de Kamer van Koophandel. SalesFeed treedt hierin op als dataleverancier. Wij impliceren daar niet mee dat deze persoon het bezoek aan een website van een gebruiker heeft uitgevoerd. De gebruiker van een licentie verstrekt SalesFeed deze gegevens niet en SalesFeed treedt dan niet op als Verwerker, tenzij zoals eerder gesteld, de gebruiker een naam van een persoon typt in het notitieveld.
SalesFeed toont in gevallen ook een openbare widget van LinkedIn. Deze toont tot 16 personen die werken bij een herkend bedrijf. Wij impliceren daar niet mee dat deze personen, of één daarvan, het bezoek aan een website van een gebruiker heeft uitgevoerd. De gegevens van de personen die via de widget worden getoond, worden niet verwerkt of in bestandsvorm overgedragen door SalesFeed.