Analyser son audience pour mieux communiquer… quelles sont les règles ?

Analyseer je publiek om beter te communiceren. Wat zijn de regels?

Juridische Watch nr. 49 – Juli 2022

Analyseer je publiek om beter te communiceren. Wat zijn de regels? Tegenwoordig maken media en sociale netwerken het voor bedrijven mogelijk om hun doelgroep te analyseren. Zo kunnen ze hen beter targeten, hun imago verbeteren en hun marketingstrategie aanpassen.

Het is dus mogelijk, en komt steeds vaker voor, om een beroep te doen op een bedrijf dat zich bezighoudt met "social media monitoring". Dit bedrijf kamt het web uit, volgt de meest relevante gesprekken op de sociale netwerken en levert zijn klanten rapporten en analyses die zijn afgestemd op hun behoeften.

Hoewel de geanalyseerde gegevens openbaar zijn, zijn ze vaak persoonsgegevens die beschermd blijven door de AVG. Het maakt daarbij niet uit of het gaat om influencers, journalisten of andere personen die actief zijn op sociale netwerken.

Wie moet aan deze verplichtingen voldoen?

Wanneer u een externe partner inschakelt om te beoordelen hoe uw bedrijf op sociale media wordt waargenomen, wordt het klantbedrijf beschouwd als de verwerkingsverantwoordelijke voor de gecontracteerde dienst en het mediamonitoringbedrijf als de onderaannemer.

De gevolgen zijn groot, omdat er aansprakelijkheid ontstaat voor de manier waarop gegevens van sociale media worden verzameld, verwerkt en opgeslagen.

Het is daarom raadzaam om bij het sluiten van een dergelijk contract een aantal elementen te controleren, om er zeker van te zijn dat de praktijken van het bedrijf dat de “mediamonitoring” uitvoert, in overeenstemming zijn met de AVG:

  • Waar is het bedrijf gevestigd?

Als het bedrijf buiten de EU is gevestigd, is het belangrijk om de toepasselijke wetgeving te controleren, met name als het bedrijf niet is gevestigd in een land dat een passend beschermingsniveau biedt.

In dat geval zal de onderneming specifieke garanties moeten bieden om de gegevensbescherming te waarborgen. Meestal zijn dat standaardcontractbepalingen.

  • Geeft het bedrijf de naam en contactgegevens van zijn DPO?
  • Publiceert het bedrijf zijn privacybeleid op zijn website of kan het op verzoek worden opgevraagd?

Houd er rekening mee dat hierbij een onderscheid gemaakt moet worden tussen het gegevensbeschermingsbeleid voor de website en het gegevensverwerkingsbeleid voor mediamonitoringdiensten.

  • Zijn de volgende gegevens in dit document en/of het contract opgenomen?
  • Respectievelijke rollen als onderaannemer of gegevensbeheerder, omvang van de verantwoordelijkheden van elke persoon;
  • Voorwaarden voor het verzamelen van persoonsgegevens, bron van de gegevens, soorten verzamelde gegevens en plaats van opslag, wijze waarop deze gegevens worden samengevoegd of gepseudonimiseerd indien van toepassing;
  • Wettelijke basis;
  • Bewaartermijn van de gegevens;
  • Beveiligings- en vertrouwelijkheidsmaatregelen;
  • Gegevensoverdracht buiten de EU;
  • Informatie voor de betrokkenen en methoden om hun rechten uit te oefenen.

Het beste kunt u vertrouwen op bedrijven die de grootste mate van detail bieden over deze verschillende elementen.

Dit ontslaat het klantbedrijf niet van de plicht om zelf als verwerkingsverantwoordelijke aanvullende maatregelen te nemen.

Met name wat betreft het informeren van de betrokkenen, kan worden geoordeeld dat directe informatieverstrekking onevenredige inspanningen vergt.

Aan het privacybeleid van de website kan echter een informatiebericht worden toegevoegd waarin het algemene publiek wordt geïnformeerd over de uitgevoerde bezoekersanalyses, waarin de verschillende rechten en verantwoordelijkheden worden vermeld en waarin voor meer informatie wordt verwezen naar de website van de externe partner.

En ook

Frankrijk:

De CNIL publiceerde op 19 juli haar standpunt over augmented cameras en roept op tot een algemene reflectie op het juiste gebruik van deze hulpmiddelen in de openbare ruimte.

De Commissie wijst op het risico dat er sprake is van wijdverbreide surveillance en analyse, waardoor het gedrag van mensen die op straat lopen of naar winkels gaan, zou kunnen veranderen.

Zij wijst erop dat de Franse wet het gebruik van geavanceerde camera's door overheidsinstanties voor het opsporen en vervolgen van overtredingen niet toestaat. Zij is van mening dat er grenzen moeten worden gesteld aan het gebruik van deze camera's om mensen te 'beoordelen'.

Op 26 juli publiceerde de CNIL aanbevelingen met betrekking tot leeftijdscontrole op websites: Er wordt opgeroepen tot de ontwikkeling van effectievere en privacyvriendelijkere oplossingen, met name wat betreft het gebruik van bankpassen en gezichtsherkenning.

Het ondersteunt ook de ontwikkeling van de rol van vertrouwde derde partijen.

De CNIL legde op 21 juli ook een boete van 175.000 euro op aan het bedrijf Ubeeqo International. autoverhuurbedrijf, in het bijzonder omdat het een onevenredige inbreuk op de privacy van zijn klanten heeft gemaakt door hen bijna permanent te geolokaliseren.

Europa:

De twee Europese verordeningen over digitale markten en digitale diensten (DMA en DSA) werden op 5 juli door het Europees Parlement met een zeer grote meerderheid aangenomen.

Ook de DMA werd in juli definitief door de Raad goedgekeurd, terwijl de DSA naar verwachting in november wordt goedgekeurd.

De Commissie overweegt al om een gespecialiseerde afdeling op te richten die ervoor moet zorgen dat digitale giganten zich aan de DMA houden.

De Europese Raad voor Gegevensbescherming (EDPB) heeft op 28 juli in een brief aan verschillende NGO's gereageerd op de verzameling van persoonsgegevens door TikTok.

Het benadrukt de snelle actie die de Ierse, Italiaanse en Spaanse toezichthoudende autoriteiten hebben ondernomen na de aankondiging van TikTok dat het niet langer toestemming van gebruikers zou vragen om gepersonaliseerde advertenties te sturen (de wettelijke basis werd het legitieme belang van TikTok en zijn partners).

Naar aanleiding van deze maatregelen heeft TikTok aangekondigd dat het deze wijziging van de rechtsgrondslag opschort.

Het Comité heeft ook een standpunt ingenomen bij de Europese Toezichthouder voor gegevensbescherming (EDPS) over de voorgestelde verordening ter voorkoming en bestrijding van seksueel misbruik van kinderen.

Het voorstel heeft als doel om verplichtingen op te leggen aan verschillende webdiensten met betrekking tot het detecteren, melden, verwijderen en blokkeren van online materiaal met seksueel misbruik van kinderen (CSAM) en het benaderen van kinderen.

De toezichthoudende autoriteiten herinneren eraan dat zij deze misdrijven als bijzonder ernstig en afschuwelijk beschouwen, maar merken op dat het indringende karakter van het voorstel in zijn huidige vorm meer risico's met zich mee kan brengen voor individuen en, bij uitbreiding, voor de samenleving als geheel, dan voor de criminelen die vervolgd worden door CSAM.

De EDPB en de EDPS hebben hun advies uitgebracht over het voorstel van de Europese Commissie voor de Europese ruimte voor gezondheidsgegevens (EHDS).

Het voorstel heeft als doel een "Europese Gezondheidsunie" te creëren door "het potentieel van veilige en beveiligde uitwisseling, gebruik en hergebruik van gezondheidsgegevens volledig te benutten."

In het advies wordt met name gewezen op de risico's die verbonden zijn aan het secundaire gebruik van elektronische gezondheidsgegevens. Dit gebruik kan weliswaar voordelen opleveren voor het algemeen belang, maar is niet zonder risico voor de rechten en vrijheden van individuen.

Op 12 juli publiceerde de EDPB haar standpunt over overdrachten naar Rusland.

Het Comité doet geen uitspraken over de ontwikkeling van het niveau van gegevensbescherming in dit land sinds het begin van de oorlog, maar wijst erop dat de impact van overdrachten per geval moet worden geanalyseerd.

Het Hof van Justitie van de Europese Unie publiceerde op 1 augustus een belangrijk arrest over de omvang van de bescherming van gevoelige gegevens.

Het begrip ‘bijzondere categorieën’ van persoonsgegevens moet ruim worden uitgelegd, met name om ervoor te zorgen dat het doel van artikel 9(1) AVG wordt bereikt.

De betreffende Litouwse wet, betreffende het voorkomen van belangenverstrengeling en corruptie, vereiste de publicatie van de naam van de partner van de ambtenaar.

Het Hof oordeelde dat deze informatie informatie kon onthullen over het seksleven of de seksuele geaardheid van de agent en zijn partner.

In Noorwegen is de gegevensbeschermingsautoriteit een samenwerking met vakbonden aangegaan om cameratoezicht op de werkplek te monitoren.

De Beroepscommissie van de Autoriteit was het er verder over eens dat een overnemende onderneming de verantwoordelijkheid op zich neemt voor de gegevensbeheerder vóór de overname, en bevestigde het besluit om het bedrijf een boete van ongeveer € 12.000 op te leggen voor onrechtmatige kredietbeoordeling in strijd met artikel 6(1) AVG (via GDPRhub)

De gegevensbeschermingsautoriteit van Nedersaksen heeft Volkswagen een boete van één miljoen euro opgelegd wegens schending van de privacy bij het gebruik van een testvoertuig met camera's. bedoeld om de systemen voor bestuurdersassistentie en ongevalpreventie te verbeteren.

De testauto werd bestuurd zonder dat er zichtbare informatie in het camerabeeld te zien was.

De Deense DPA heeft de Autoriteit voor gezondheidsgegevens berispt omdat deze de geneesmiddelendatabase niet heeft getest. om fouten in de servicearchitectuur op te sporen, die leidden tot een datalek dat 267 personen trof (via GDPRhub).

De DPA berispte de gemeente Helsingør ook voor het gebruik van Google Chromebooks en "Google Workspace for Education" in basisscholen.

Deze verwerking is verboden totdat het bedrijf voldoet aan de AVG. Ook zijn alle gerelateerde gegevensoverdrachten naar de Verenigde Staten (via GDPRhub) opgeschort.

In Nederland worden studenten en medewerkers voor hun zoekopdrachten op internet nu doorverwezen naar DuckDuckGo in plaats van naar Google Zoeken.

De Sloveense Autoriteit voor gegevensbescherming heeft een overeenkomst tussen een aanbieder van clouddiensten en zijn klanten opnieuw geclassificeerd. Er werd geoordeeld dat er geen sprake was van een relatie tussen de verwerkingsverantwoordelijke en de verwerker, maar van gedeelde verantwoordelijkheden., aangezien beide partijen beslissingen hebben genomen over de doeleinden en middelen van de verwerking (via GDPRhub)

De Kamer van Aanbestedingen Baden-Württemberg merkt op dat de doorgifte van persoonsgegevens naar een derde land (buiten de EU) volgens de AVG ontoelaatbaar is., zelfs als de bijbehorende server wordt beheerd door een bedrijf dat in de EU is gevestigd, zolang het onderdeel is van een Amerikaanse groep.

Internationaal :

De NGO Data Rights en haar Keniaanse partnerorganisaties, de Kenya Human Rights Commission en het Nubian Rights Forum, dagen IDEMIA, een toonaangevend Frans bedrijf in biometrische technologie, voor de rechter in Parijs..

Deze organisaties beschuldigen IDEMIA ervan geen rekening te hebben gehouden met de mensenrechten in haar waakzaamheidsplan met betrekking tot het verzamelen van biometrische gegevens van de bevolking voor de ontwikkeling van een nationaal digitaal identificatiesysteem in Kenia.

De Daily Mail van 13 juli bespreekt China's gebruik van kunstmatige intelligentie om de werking van haar rechtbanken te 'verbeteren': Computers zouden menselijke fouten in een vonnis kunnen corrigeren. Rechters zouden dan een schriftelijke verklaring aan de machine moeten sturen als ze het niet eens zijn met de correcties van de AI.

Groot-Brittannië en de Verenigde Staten gaan in oktober gegevens delen met betrekking tot onderzoeken door rechtshandhaving, als onderdeel van een CLOUD-overeenkomst tussen de twee landen.

Anne Christine Lacoste

Anne Christine Lacoste is partner bij Olivier Weber Avocat en is een advocaat gespecialiseerd in gegevensrecht. Zij was hoofd internationale betrekkingen bij de Europese Toezichthouder voor gegevensbescherming en werkte aan de implementatie van de AVG in de Europese Unie.

Ontdek Viqtor®
nl_NL_formalNL
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT de_ATDE_AT etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL nl_NL_formalNL