De AVG en de online consument

10 januari 2018

We shoppen met z’n allen steeds meer online. Lekker makkelijk en snel, surfend naar de laagste prijs. Maar is dat laatste wel zo? Webshops verzamelen en analyseren steeds meer gegevens van de surfende consument (‘big data analytics’). Niet alleen online advertenties worden daarop afgestemd, ook prijsdifferentiatie op basis van individuele klantgegevens is een bekend fenomeen. Mag dat zo maar? De nieuwe Europese Privacyverordening (AVG), die per 25 mei 2018 van kracht wordt, regelt het. Graag blik ik hier alvast op vooruit met jullie.

Prijsdifferentiatie

Dat online aanbieders de prijsstelling van hun waren of diensten afstemmen op de individuele koper, is niets nieuws. Prijsdifferentiatie (of ‘prijsdiscriminatie’) komt in allerlei vormen voor. Hoe vaker je op internet zoekt naar dat goedkope vliegticket voor een weekendje Londen, hoe duurder het lijkt te worden. Gebruik je vervolgens een andere computer (met een ander IP-adres), dan kan de prijs zomaar weer een stuk lager zijn.

Een ander voorbeeld is de getoonde prijs van een hotelkamer die verschilt, afhankelijk van uit welk land of welke stad je de website bezoekt. Als de boekingssite constateert dat je met name bij luxe viersterren hotels kijkt, kan dat leiden tot een hogere getoonde kamerprijs. Of de online winkel in kantoorbenodigdheden die producten goedkoper aanbiedt aan een consument die dichtbij een filiaal van een concurrent woont (‘geotargeting’).

Prijsdifferentiatie mag, tenzij..

Een veelgehoorde reactie op dergelijke verschillen in prijsstelling is dat het discriminerend is en ‘dus’ niet mag. Dat is in algemene zin niet juist. Het maken van onderscheid is verboden als dat gebeurt op basis van bepaalde kenmerken (zoals geslacht, ras of nationaliteit). Afgezien daarvan is prijsdifferentiatie in beginsel toegestaan. Er zal bijvoorbeeld niet gauw discussie ontstaan over de toelaatbaarheid van een 65+ kortingspas of een jongerenkorting bij de sportschool.

Pas op met persoonsgegevens

Als een online aanbieder op deze manier inspeelt op de locatie (of andere individuele kenmerken) van een consument, verwerkt hij persoonsgegevens. In de nieuwe Europese Privacyverordening (de Algemene Verordening Gegevensbescherming, AVG) wordt het begrip persoonsgegevens nog ruimer. Locatiegegevens zijn daarin uitdrukkelijk aangemerkt als persoonsgegevens. Bedrijven mogen persoonsgegevens opslaan en gebruiken (‘verwerken’), maar ze moeten hier wel transparant over zijn. Dat houdt in dat het bedrijf duidelijk moet uitleggen en communiceren met welk doel het persoonsgegevens verwerkt. Dat geldt nu ook al, maar de eisen worden in de nieuwe regelgeving verduidelijkt en verscherpt.

Onvoldoende concreet is de melding in een privacyverklaring dat gegevens worden gebruikt ‘om onze service te verbeteren’ of ‘om nog beter op uw wensen te kunnen inspelen’. Als gegevens gebruikt worden om (bijvoorbeeld) prijsdifferentiatie toe te passen, dan moet dat uitdrukkelijk en in ‘duidelijke en eenvoudige taal’ worden gemeld. Ook hebben bedrijven in veel gevallen de toestemming van de klant nodig om persoonsgegevens te mogen verwerken.

Check privacyverklaring en tref voorbereidingen voor de AVG

Het is inmiddels bekend dat de nieuwe regelgeving draconische boetes (tot € 20 miljoen!) stelt op schending van de regels. Zo’n vaart zal het in de meeste gevallen niet direct lopen. Maar het is wel dringend aan te bevelen om alle procedures en werkwijzen in uw organisatie te toetsen op de aankomende nieuwe regels. De Autoriteit Persoonsgegevens heeft een handige brochure gemaakt waarin de nieuwe regels worden toegelicht. Win zo nodig op tijd advies in. Het is namelijk zo 25 mei.