Een loyaliteitsprogramma: het is het ultieme middel om gasten aan uw organisatie te binden en een bestendige relatie met hen op te bouwen. De afgelopen jaren worden steeds meer hotels onderdeel van franchiseformules met als gevolg meer ketenvorming in Nederland. Door deze ontwikkeling transformeert de hotelmarkt jaarlijks en wordt gastloyaliteit nog belangrijker.
Het is inherent aan loyaliteitsprogramma’s dat er hierbij door u, informatie over uw gasten verzameld wordt. Denk hierbij aan naam en adresgegevens, maar ook informatie zoals aankoopgeschiedenis en klantnummers. Deze informatie wordt gezien als persoonsgegevens. Het gebruiken van persoonsgegevens valt onder de Algemene verordening gegevensbescherming (AVG) en hierdoor moet er aan bepaalde voorwaarden worden voldaan. Maar welke voorwaarden zijn dat precies? En hoe zit het ook alweer met het versturen van direct marketing berichten aan uw gasten in verband met het loyaliteitsprogramma? Wat zegt de aanstaande Europese ePrivacy Verordening hierover?
Door de Artikel 29 Werkgroep1 is uitdrukkelijk aanbevolen2 dat gastgegevens door een organisatie enkel verwerkt mogen worden voor een loyaliteitsprogramma als de gast hiervoor toestemming heeft gegeven. Deze toestemming moet aan een aantal voorwaarden voldoen, wil deze rechtsgeldig zijn. Zo moet de toestemming vrij en dus zonder druk of dwang zijn afgegeven, specifiek en geïnformeerd zijn, en moet het een ondubbelzinnige wilsuiting betreffen, waarmee de verwerking via een actieve handeling door de gast wordt aanvaard. Met andere woorden: stilzitten levert geen geldige toestemming op. Toestemming tot verwerken van persoonsgegevens betekent dat er toestemming moet worden gegeven door bijvoorbeeld (i) het invullen van een formulier voor het loyaliteitsprogramma, (ii) het aanvinken van een niet automatisch geselecteerd selectievakje op de website of (iii) een mondelinge mededeling van de gast.
Een toestemming is ‘specifiek’ als de gast apart van andere toestemmingsvragen toestemming kan geven voor de verwerking van gegevens voor het loyaliteitsprogramma. Van ‘geïnformeerde’ toestemming spreken we als de gast op tijd, duidelijk en volledig is geïnformeerd over de wijze waarop de gegevens worden gebruikt voor het loyaliteitsprogramma. Deze informatie wordt doorgaans opgenomen in een (online gepubliceerde) privacyverklaring, en voorafgaand aan het verwerken van de gegevens voor het loyaliteitsprogramma afgegeven.
Een logische plek voor het online integreren van de toestemmingsvraag is (i) voor gasten met een account: in het scherm waar de gast zich als gast registreert en (ii) voor gasten zonder een account: in het check-out scherm dat wordt doorlopen om een product of dienst te kopen. Het is belangrijk om in deze schermen altijd actief te verwijzen naar de privacyverklaring, bijvoorbeeld door het opnemen van een hyperlink naar de webpagina van uw organisatie waarop de privacyverklaring is terug te vinden.
De toestemming van de gast voor het gebruik van gastgegevens voor het loyaliteitsprogramma moet – zoals gezegd – ‘geïnformeerd’ zijn. De volgende informatie moet altijd worden opgenomen in de privacyverklaring om aan deze voorwaarde te voldoen:
naam en contactgegevens van uw organisatie en eventueel van de functionaris voor gegevensbescherming;
doeleinden waarvoor de gastgegevens worden gebruikt, waarbij het loyaliteitsprogramma duidelijk is toegelicht);
welke persoonsgegevens u van uw gast gebruikt;
welke derde partijen deze gastgegevens nog meer ontvangen;
of de gegevens buiten de Europese Economische Ruimte3 terecht kunnen komen, bijvoorbeeld omdat dienstverleners (IT-leveranciers) of servers aldaar zijn gevestigd;
hoe lang de gastgegevens worden bewaard voor het loyaliteitsprogramma;
rechten van de gast, zoals het intrekken van de gegeven toestemming.
Uw gasten hebben verschillende rechten in verband met persoonsgegevens. Zo kan uw gast bijvoorbeeld verzoeken om inzage in de persoonsgegevens te krijgen. In de praktijk betekent dat, dat er een kopie moet worden verstrekt maar ook verwijdering van persoonsgegevens en/of het loyaliteitsaccount. Ook kan worden verzocht om foutieve gegevens te corrigeren. Geen van deze rechten is absoluut, dat wil zeggen dat het aan de organisatie is om te beoordelen of zij hier gehoor aan geven. 4 Een verzoek tot verwijdering hoeft bijvoorbeeld niet te worden gefaciliteerd als de gegevens nodig zijn in verband met een juridisch geschil.
Een recht dat wél absoluut is en dus altijd moet worden gehonoreerd, is het recht van de gast om de gegeven toestemming in te trekken. Deze intrekking mag op elk moment plaatsvinden en hoeft niet gemotiveerd te worden. Nadat een verzoek tot intrekking is ontvangen, mag de organisatie de gastgegevens niet langer gebruiken voor het loyaliteitsprogramma. De ingetrokken toestemming tast de verwerking van de gastgegevens voor andere, rechtmatige doeleinden, bijvoorbeeld de fiscale administratie, niet aan.
Ook de overige verplichtingen uit de AVG moeten worden nageleefd om de gastgegevens rechtsgeldig te mogen verwerken voor het loyaliteitsprogramma. Dit betekent onder meer dat de verwerking opgenomen moet worden in het register van verwerkingsactiviteiten van de organisatie. Er moet ook een concrete bewaartermijn worden vastgesteld, alleen de gegevens worden verwerkt die echt nodig zijn voor het loyaliteitsprogramma, en de gegevens moeten passend worden beveiligd.5
Naast de AVG, gelden ook de zogenaamde ‘direct marketing’ regels als u uw gasten via e-mail, telefoon, sms of whatsapp benadert in verband met het loyaliteitsprogramma. Deze regels zijn op dit moment neergelegd in de Telecommunicatiewet, maar de intentie is dat deze vervangen zal worden door de Europese ePrivacy Verordening. Over deze verordening wordt echter al sinds 2016 (!) op Europees niveau onderhandeld zonder dat er op dit moment uitzicht is op overeenstemming. De (vlotte) totstandkoming van deze wet is dan ook niet gegeven. Voorzichtige geluiden gaan zelfs op dat de onderhandelingen dusdanig zijn vastgelopen dat de ePrivacy Verordening er helemaal niet meer komt. Wat hiervan ook zij, voor u is het belangrijk om te beseffen dat – zowel volgens de Telecommunicatiewet als de ePrivacyverordening – u uw gasten alleen berichten mag sturen via de hiervoor genoemde kanalen als de gast hiervoor toestemming (opt-in) heeft gegeven. Deze opt-in moet los worden gegeven van de AVG-toestemming, maar kan wel op dezelfde plaats en op dezelfde wijze (leeg selectievakje) geïntegreerd worden als de AVG toestemming.
1 Het gezaghebbende Europese gegevensbeschermingsadviesorgaan, waarin alle nationale gegevensbeschermingstoezichthouders zijn vertegenwoordigd.
2 Artikel 29 Werkgroep, “Opinion 15/2011 on the definition of consent”, goedgekeurd op 13 juli 2011 (WP187), hier te raadplegen: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2011/wp187_en.pdf
3 Dit betreft alle landen van de Europese Unie, inclusief Noorwegen, IJsland en Liechtenstein.
4 In hoofdstuk V AVG is per type recht toegelicht welke uitzonderingen hierop bestaan (en dus: wanneer deze niet hoeven te worden gefaciliteerd).
5 Op basis van respectievelijk artikelen 30, 5 lid 1 sub e, 5 lid 1 sub c en 32 AVG.
