Stel, je wilt iemand binnen een onderneming zonder voorafgaande opbellen (“cold calling”).
Bijvoorbeeld om een product te promoten, sponsor te zoeken voor jouw vereniging, of om een kandidaat te vinden voor een vacature bij een klant.
Mag dat dan? Is cold calling GDPR compliant?
Ja, cold calling mag in B2B context, als je rekening houdt met onderstaande 5 regels.
1. Roep “gerechtvaardigd belang” in
Als je iemand nog niet kent, kan je uiteraard zijn toestemming nog niet hebben.
Gelukkig laat de GDPR ook toe dat je iemand zijn gegevens gebruikt, wanneer je daar een gerechtvaardigd belang toe hebt.
Een gerechtvaardigd belang heb je wanneer jouw belang om een persoon te contacteren, groter is dan het belang (en het recht) van die persoon om niet gecontacteerd te worden.
Jouw belang is het succesvol ontwikkelen van je activiteiten als onderneming of vereniging (een recht o.m. gewaarborgd door art. 16 van het EU Handvest van de Grondrechten).
2. Verzeker het belang voor je contactpersonen
De eerste vraag die je je moet stellen voor cold calling GDPR compliancy, is of je prospect redelijkerwijze kan (moet) verwachten dat je hem zal bellen.
Met andere woorden: zijn de (professionele) activiteiten van je contact van dien aard, dat het logisch is dat je hem contacteert met je product, voorstel, vraag, enz.?
Indien niet, dan heeft je contactpersoon een rechtmatige verwachting om niet door jou gecontacteerd te worden en zal een contactname als misbruik van zijn publiekelijk beschikbare contactgegevens gelden en als een inbreuk op het privéleven van je contactpersoon. Dan mag cold calling onder GDPR dus niet.
Het belang van je contactpersonen verzeker je dus door de kwaliteit van je leads te verhogen. Hoe meer de lead interesse in je product of dienst heeft, hoe groter het belang van je contactpersoon (en jezelf) om hem te contacteren.
3. Stoor zo weinig mogelijk met je telefoontje
Je bent verplicht om vanaf een herkenbaar nummer te bellen. Eenmaal de E-Privacy Verordening in werking treedt (vermoedelijk eind 2018) zal je normaliter ook een specifieke code moeten toevoegen aan je nummer, zodat je contactpersoon weet dat het een commerciële oproep is.
Verifieer op regelmatig tijdstippen en in elk geval bij de aanvang van elke campagne of de personen die je wil bellen, niet op de “Bel-Me-Niet-Lijst” staan (“DoNotCallMe” – www.dncm.be).
Ook indien iemand je zegt dat hij niet meer gecontacteerd wil worden, moet je dat respecteren.
Vermijd zaken die gevoelsmatig een grotere inbreuk in het privéleven van je contact betekenen en die vaak samenhangen met ‘gezond verstand’. Laat de telefoon niet te lang rinkelen. Neemt je contactpersoon niet op na 5-6 maal bellen, bel dan op een later ogenblik terug.
Wanneer je de telefoon onnodig lang laat bellen, kan je contactpersoon er immers van uitgaan dat de oproep van groot belang is (bijv. een noodgeval) en toch opnemen, ook al komt dat niet uit en kan hij dit als een inbreuk in zijn privéleven beschouwen.
Wacht minstens een dag om terug te bellen wanneer je geen antwoord krijgt. Ook hier zou de contactpersoon verkeerdelijk de indruk kunnen krijgen dat er sprake is van een noodgeval.
Is je contactpersoon niet geïnteresseerd of heeft hij geen tijd? Respecteer dat dan en beëindig het gesprek. Eventueel kan je hem wel vragen of een andere ogenblik beter past. En zorg ervoor dat het gesprek op een correcte en vriendelijke manier afgerond wordt.
Bel je op een lijn die ook privé gebruikt kan worden (zoals een GSM-nummer), bel dan niet buiten de normale werktijden van je contactpersoon, rekening houdend met zijn sector.
Vermijd dat je op korte termijn terug naar dezelfde personen belt voor een gelijkaardige dienst of product.
Bellen met een automatische belmachine of telemarketingcomputer zonder dat een echte persoon met je prospect belt, mag niet.
Naar een algemeen nummer van een onderneming bellen en daar vragen om met de verantwoordelijke voor een bepaalde dienst doorverbonden te worden, mag altijd.
4. Doe de “balancing test”
Telkens je een nieuwe (cold calling) campagne plant waarvan de principes afwijken van de vorige, doe je een gegevensbeschermingseffectbeoordeling (“Data Protection Impact Assessment” of “DPIA”) met daarin een belangenafweging (“balancing test”).
In de cold calling GDPR balancing test controleer je of jouw belangen om de persoon te bellen de lasten (het gebruiken van de persoonsgegevens en het storen van de persoon) overtreffen.
Je moet voor elke nieuwe verwerking een nieuwe balancing test uitvoeren (dus: voor elke campagne die je voert, die afwijkt van de vorige). Herhaal je over een langere periode regelmatig dezelfde campagne, dan is het nog aan te raden om af ten toe een nieuwe balancing test uit te voeren (bijv. 1 maal per jaar).
De balancing test moet schriftelijk opgemaakt worden en de afwegingen zoals hierboven toegelicht bevatten, waaruit volgt dat je een rechtmatig belang hebt om je contacten koud te contacteren.
Je besteed best de nodige aandacht aan de balancing test, want dit document dient om onder meer de bevoegde privacy autoriteit te overtuigen dat je een rechtmatig belang hebt om koud te bellen, wanneer daarnaar gevraagd wordt..
5. Volg de algemene GDPR verplichtingen
Zorg dat je de verplichtingen naleeft die volgen uit de GDPR.
Voeg de cold calling activiteiten in je GDPR verwerkingsregister. Bescherm op organisatorisch en technische wijze de persoonsgegevens. Bescherm de rechten van de persoon (bvb met betrekking tot verbetering, toegang, wissen, enz.). Dat laatste kan via de privacy policy.
In je privacy policy kan je bijvoorbeeld volgende zin zetten die toelicht dat je “personen zonder voorgaande relatie kan contacteren op basis van je rechtmatig belang daartoe om hen je producten aan te bieden, uit te nodigen voor een event, enz., dat dit slechts zal gebeuren na een zorgvuldige afweging van de belangen van de prospecten en er altijd gezorgd wordt om enkel personen te contacteren waarvan verwacht kan worden dat ze geïnteresseerd zijn.“
Verzamel enkel persoonsgegevens die je echt nodig hebt om je lead nuttig te kunnen contacteren en beperk de bewaarduur ervan tot het strikt noodzakelijke. Controleer of dit ook effectief gebeurt.
Train je personeel: zorg ervoor dat iedereen die in aanraking komt met deze gegevens, weet hoe ze ermee moeten omgaan en hoe ze met contactpersonen moeten omgaan die meer informatie vragen daarover.
Documenteer alle bovenstaande:
- Schriftelijke (digitaal) richtlijnen voor je personeel,
- Houd bij welke privacy-trainingen ze krijgen en wat de impact ervan is,
- Leg een proces vast voor de verwerking van de persoonsgegevens, daarin begrepen welke persoonsgegevens opgezocht worden en hoe lang ze bewaard worden.
- Houdt de uitgevoerde DPIA en balancing test goed bij.
Via onze zelftest kan je zelf evalueren wat je als KMO (nog) nodig hebt om aan de GDPR te voldoen.
Je vindt er onder meer een DPIA-tool in terug waarmee je kan analyseren of je een DPIA moet uitvoeren en waarin je de DPIA aanmaakt en gebruiksvriendelijke templates en begeleiding voor het opstellen van je privacy policy, je werknemersrichtlijnen, enz.
Conclusie Cold calling GDPR
Je mag persoonlijk bellen naar specifieke personen die in je product, vereniging of event geïnteresseerd (kunnen) zijn, zonder hun voorafgaande toestemming of bestaand contract.
Dit op voorwaarde dat je:
- Gerechtvaardigd belang inroept,
- Het belang verzekert voor je contactpersonen: bel enkel naar personen waarvan je kan aannemen dat ze geïnteresseerd zijn,
- Stoor zo weinig mogelijk met je telefoontje. Gebruik de persoonsgegevens zo beperkt mogelijk. Bel niemand die op de Bel-Me-Niet-lijst staat (dncm.be)
- De belangen afweegt en bewijst in een belangenafweging (“balancing test”), die je voorafgaand moet uitvoeren voor elk type prospectie.
- Volg de algemene GDPR verplichtingen. Voeg de cold calling activiteiten in je verwerkingsregister. Documenteer alle bovenstaande, inclusief DPIA en balancing test.
Deze tekst behandelt enkel het opbellen in B2B-context.
Leg via deze link een gratis zelftest af en krijg gratis advies over welke stappen je nog moet nemen. Je kan er ook gebruiksvriendelijke templates en tools bestellen, waarmee je je KMO GDPR-compliant maakt.