Home / Nieuws & Blogs / Bedrijfsgerichte koude acquisitie, mag dat?

Bedrijfsgerichte koude acquisitie, mag dat?

| 10 juli 2017

Is koude acquisitie gericht op bedrijven onder de huidige of komende (privacy)wetgeving verboden? Al eerder hebben we in onze blogposts de verschillende onderwerpen onder de Algemene Verordening Gegevensbescherming belicht. Veel bedrijven zijn bezig met het treffen van maatregelen om volledig te kunnen voldoen aan de nieuwe privacyregels.

Elk proces binnen een bedrijf zal onder andere op privacy getoetst worden. Ook de processen van de Sales afdeling, waar mogelijk koude acquisitie plaatsvindt, kan voorbij komen. Deze blog helpt je dan bij het beoordelen of koude acquisitie is toegestaan.

Het legaal uitvoeren van koude acquisitie is een lastige kwestie. Voor het beoordelen of koude acquisitie mag, zijn twee wetten van belang. De huidige (Wbp) en toekomstige (AVG) privacywetgeving, omdat soms ook (openbare) bedrijfsgegevens, als deze te herleiden zijn naar een bepaald persoon, als persoonsgegevens kunnen worden aangemerkt. Het betreft namelijk gegevens waarmee je een bepaald persoon binnen een bedrijf kunt bereiken. Daarnaast is de Telecommunicatiewet van belang, omdat koude acquisitie het ongevraagd versturen van commerciële berichten betreft.

Verwerken van persoonsgegevens

Openbare bedrijfsgegevens zijn gegevens die door een bedrijf zelf of namens een bedrijf bekend gemaakt zijn aan het publiek, bijvoorbeeld via hun website of de gegevens die zijn opgenomen in het KvK handelsregister. Ook deze gegevens kunnen soms worden aangemerkt als persoonsgegeven en vallen daarom onder de privacywet. Op grond van de privacywetgeving mag je niet zomaar persoonsgegevens verwerken.

Voor het verwerken van persoonsgegevens en dus soms ook voor het verwerken van openbare bedrijfsgegevens is een wettelijke grond vereist, zoals toestemming. Doordat bedrijfsgegevens openbaar zijn, lijkt gebruik (verwerking) daarvan gewoon toegestaan. De wet eist echter dat toestemming uitdrukkelijk en ondubbelzinnig is en vervolgens dat persoonsgegevens alleen mogen worden verwerkt voor het doel waarvoor ze verkregen zijn. Gegevens die door een bedrijf zelf openbaar gemaakt zijn, zijn openbaar gemaakt met een bepaald doel. De omschrijving bij de gegevens kan hier iets over zeggen, maar het kan ook blijken uit de context.

Voorbeeld: Op een klantenservicepagina van een bepaald bedrijf worden contactgegevens weergegeven en daarbij staat beschreven dat je contact op kunt nemen met Joost. Of: ‘met de manager van de Serviceafdeling’. Het verwerken van deze gegevens mag, maar wel alleen met het doel waarvoor de gegevens openbaar zijn gemaakt. In dit geval mag je de contactgegevens van Joost verwerken (bijvoorbeeld opslaan in je leverancierslijst) met het doel om deze later te gebruiken voor het verkrijgen van de benodigde (klanten)service.

De Sales en Marketingafdeling kan op een moment besluiten om de bedrijven op die leverancierslijst staan te bellen om aan deze leveranciers hun eigen product te verkopen (een ander doel dan het verkrijgen van service). De Salesmedewerker vraagt naar de manager van de Serviceafdeling (of Joost), die is immers geregistreerd als contactpersoon. De salesmedewerker gebruikt de openbare bedrijfsgegevens die te herleiden zijn naar een persoon dan voor een ander doel dan het doel waarvoor deze (persoons)gegevens openbaar werden gemaakt. Dit betekent dat de salesmedewerker in strijd met de wet handelt.

Versturen van commerciële berichten

De andere wet, de Telecommunicatiewet, stelt regels aan het overbrengen van ongevraagde commerciële berichten, zoals nieuwsbrieven en aanbiedingen. In principe mag je deze berichten alleen verzenden na voorafgaande uitdrukkelijke toestemming. Voor bedrijven geldt echter een minder strenge eis.

Als namelijk contactgegevens bekend gemaakt zijn voor het doel om commerciële berichten te ontvangen (denk aan acquisitie@bedrijf.nl), dan mogen deze gegevens zonder voorafgaande toestemming gebruikt worden voor het verzenden van commerciële berichten.

Een ‘daarvoor bedoeld e-mailadres’ is niet info@bedrijf.nl (bedoeld voor het leggen van contact in het algemeen) of inkoop@bedrijf.nl, tenzij erbij vermeld stond dat acquisitie naar dat adres mag worden verstuurd. Mag je mailen naar jan@bedrijf.nl? Dat mag, als dat e-mailadres voor dat doel beschikbaar is gesteld. Je mag Jan trouwens wel benaderen als hij namens het bedrijf eerder vergelijkbare aankopen bij het verkopende bedrijf heeft gedaan, mits je hem bij het sluiten van de overeenkomst hiervan op de hoogte hebt gebracht en de mogelijkheid tot opt-out hebt geboden.

Telemarketing

De Telecommunicatiewet stelt ook regels ten aanzien van het ongevraagd telefonisch benaderen van potentiële klanten, met als doel goederen of diensten aan te bieden of te verkopen of denkbeelden te promoten. Telemarketing ten aanzien van consumenten en eenmanszaken is toegestaan, tenzij de ontvanger hier bezwaar tegen heeft gemaakt (‘Bel-mij-niet’-register). Dit geldt niet ten aanzien van de BV, NV of stichting. Deze rechtspersonen mag je gewoon telefonisch benaderen, zolang je maar niet vraagt naar een specifieke persoon. Wat wel kan: een bedrijf bellen en vragen naar iemand die over marketing gaat.

Koude acquisitie gericht op bedrijven is niet verboden.

Het hiervoor gebruiken van openbare bedrijfsgegevens is vaak wel verboden. Let er dus op dat:

  • Bij het telefonisch benaderen van een bedrijf, je het algemene telefoonnummer gebruikt en niet vraagt naar een specifieke persoon, als je geen toestemming hebt gekregen van die persoon om hem of haar te benaderen;
  • Bij het elektronisch (bijv. per e-mail) benaderen van een bedrijf je enkel gebruik maakt van een e-mailadres dat beschikbaar gesteld is voor acquisitie;
  • Bij het verkrijgen van persoonlijke contactgegevens je expliciet toestemming verkrijgt om deze (op een later tijdstip) te gebruiken voor acquisitie.

Toch bellen of mailen zonder toestemming, of contactgegevens gebruiken voor een ander doel dan waarvoor ze verkregen waren? De maximale boete per overtreding van de privacywetgeving zal met de komst van de AVG maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet zijn. Een Europees Comité zal toezien op de juiste toepassing van de AVG. Het ACM ziet daarnaast toe op naleving van de Telecommunicatiewet. Zij kunnen voor overtreding van de Telecommunicatiewet een boete opleggen tot 900,000 euro, of als dat meer is, ten hoogte van 1% van de omzet van de onderneming.

Meer weten over de Wbp en de aankomende AVG / GDPR?

ICTRecht Academy verzorgt een basis- en verdiepingscursus privacywetgeving waarmee je gedegen privacykennis opbouwt en jouw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis vereist. Bij afname van beide cursussen krijg je het handboek De Algemene Verordening Gegevensbescherming gratis.