• Als concertorganisator verkoop je tickets en daarmee verkrijg je heel wat persoonsgegevens. Wat mag je met die persoonsgegevens eigenlijk doen? Datamatching, nieuwsbrieven, doelgroepenbeleid... Aan de hand van de GDPR-wetgeving analyseerde Robin de verschillende mogelijkheden en hoe je je publiek daarover moet informeren.

• We bespreken verder ook een bijzonder vraagstuk: mogen deze persoonsgegevens ook aan de artiest doorgegeven worden? Deze data kan de positie van de kunstenaar namelijk verstevigen: hoe meer inzicht in je fans, hoe makkelijker het wordt ze te bereiken. Opnieuw wordt gekeken naar de GDPR-wetgeving om te analyseren hoe een doorgifte van concertzaal naar artiest kan gebeuren.

• Zelf vragen over privacyverklaringen of verwerking van persoonsgevens? Cultuurloket (gratis eerstelijnsadvies) of Twee-eiige Drieling via ask@twiiid.be kunnen je verder helpen.

Spotify introduceerde in 2021 heel wat nieuwe functies voor makers van betalende podcasts. Opmerkelijk: vanaf nu kunnen podcastmakers ook een lijst downloaden met de gegevens van hun abonnees, zodat ze de relatie met hun publiek zelf verder kunnen uitbouwen. In een tijd van GDPR lijken zulke zetten misschien risicovol of zelfs verboden. Voor zulke platformen, maar ook concertorganisatoren en artiesten is er echter veel mogelijk met persoonsgegevens, mits een correcte aanpak. In dit artikel nemen we de relatie tussen organisatoren en hun publiek als leidraad, vragen ons dan af wat er allemaal mogelijk is met de gegevens van concertbezoekers en hoe we dat GDPR-gewijs kunnen verklaren.

Een theater of concertzaal organiseert een voorstelling, een fan koopt daarvoor een ticket. Op dat moment verzamelt de organisator heel wat persoonsgegevens. Zo worden al zeker de naam, contactgegevens en betalingsgegevens opgevraagd. Bovendien worden dikwijls de leeftijd, woonplaats en (artistieke) voorkeuren van kopers bijgehouden. Sommige organisatoren werken zelfs met een online profiel, waarin de fans hun favoriete artiesten kunnen aanduiden en gepersonaliseerd nieuws en aanbiedingen ontvangen. Voor de organisator is dit een goudmijn aan data.

               Wat kan er met deze persoonsgegevens gedaan worden?

De organisator kan een analyse maken van de bezoekers: welke doelgroep koopt regelmatig tickets, welke doelgroep wordt helemaal niet bereikt? Zijn er voldoende terugkerende bezoekers en lukt het om bezoekers voor verschillende artiesten en genres aan te trekken? Deze inzichten kunnen zowel ingezet worden bij de programmatie als bij het opzetten van marketingcampagnes. Ook voor de artiest kan het nuttig zijn om aan ‘datamatching' te doen: een set persoonsgegevens van een concertorganisator vergelijken met bijvoorbeeld hun luisteraars. Als de artiest zo vaststelt dat er geen enkele overlap is tussen de luisteraars op Spotify en de fans op de concerten, is er nog een grote marge om meer tickets te verkopen. Mogelijks zijn die concertgangers ook nog niet geabonneerd op het Patreon- of YouTubekanaal, en kunnen ze daar via een nieuwsbrief naartoe geleid worden.

Het is wel belangrijk dat dit op een juridisch correcte manier gebeurt. Volgens de GDPR-regels moet elke verwerking van persoonsgegevens een welbepaald doel hebben, en een bijbehorende rechtvaardigingsgrond. Dat doel wordt door de verwerkingsverantwoordelijke (de organisator en de artiest) zelf bepaald. Van alle wettelijk bepaalde rechtvaardigingsgronden zijn er hier drie relevant: contractuele noodzaak, gerechtvaardigd belang en toestemming. 

Er zijn verschillende handelingen die met persoonsgegevens kunnen gebeuren, die elk om specifieke aandacht vragen.  We onderscheiden (1) wat de concertzaal of organisator met de persoonsgegevens intern kan doen en (2) op welke manier/in welke gevallen de gegevens van ticketkopers kunnen doorgegeven worden aan de artiest. Daarna stelt zich de vraag (3) wat de artiest zelf met deze gegevens kan doen en tot slot (4) of de artiest die ook kan inzetten om de kopers aan te schrijven en reclame te maken. 

1. Kan de organisator de persoonsgegevens intern gebruiken?

Voor de ticketverkoop en de organisatie van een concert, kan de organisator zich baseren op een contractuele noodzaak voor het verzamelen van de basisgegevens van de bezoeker. Zonder een naam, e-mailadres en betalingsgegevens is het immers niet mogelijk die toegang te geven tot het concert. Om bijkomende gegevens op te vragen, bijvoorbeeld om een analyse te maken van de leeftijden van de concertgangers, kan er beroep gedaan worden op het gerechtvaardigd belang.

Zo’n ‘gerechtvaardigd belang’ moet steeds geval per geval worden bewezen. Het is in deze aan de organisator om een belangenafweging te maken en die idealiter op papier te zetten. Het recht van de organisator om te ondernemen en aan marktonderzoek te doen kan een adequate grondslag vormen. Het is hierbij belangrijk dat de betrokkene goed geïnformeerd wordt, bijvoorbeeld aan de hand van een privacyverklaring, in het bijzonder over diens recht van bezwaar[1]. 

Hoe meer gegevens de organisator wil bemachtigen en verwerken, hoe moeilijker het gerechtvaardigd belang te verdedigen zal zijn. Een veilige keuze lijkt dan om toch de toestemming van de betrokkene te vragen. Toch moet hier omzichtig mee omgesprongen worden: het bewijs van deze toestemming zal altijd door de verwerkingsverantwoordelijke moeten geleverd worden. Bovendien kunnen de betrokkenen hun toestemming steeds intrekken, waardoor de verwerking moet worden stopgezet. Het is in de praktijk vaak lastig om welbepaalde gegevens nog uit meerdere excelbestanden of een doelgroepanalyse te halen. 

Hoe dan ook is het voor organisatoren mogelijk om grondige analyses te maken van hun bezoekersstromen, wat in de praktijk door marketingteams uiteraard al lang gebeurt. Er mag daarbij echter niet vergeten worden om de betrokkenen te informeren over al deze verwerkingen. Dit kan de organisator eenvoudig doen door de verwerkingen op overzichtelijke wijze op te nemen in de privacyverklaring.

Voor het versturen van nieuwsbrieven of gerichte marketing, kan de organisator ook een keuze maken tussen het gerechtvaardigd belang of de toestemming.. In de praktijk zal de organisator, ook bij het versturen van mails op basis van het gerechtvaardigd belang als grondslag voor de GDPR-regelgeving, ermee rekening moeten houden dat de betrokkene steeds kan weigeren om dergelijke communicatie nog langer te ontvangen.

Deze analyse toont meteen het belang aan van gedifferentieerde grondslagen per verwerkingsdoel in een privacyverklaring. In het geval dat de betrokkene diens toestemming intrekt, diens recht van bezwaar uitoefent of de organisator op een gebrekkige belangenafweging wordt gewezen, en er dus voor één van de voorziene verwerkingen een probleem optreedt, kunnen de andere verwerkingen nog steeds doorgaan. Een tabel met daarin elk doel, de grondslag en de soort persoonsgegevens die worden verwerkt is daarvoor vaak de meest overzichtelijke manier.

2. Kan de organisator de persoonsgegevens doorgeven aan de artiest?

Naar analogie met de nieuwe Spotify-functionaliteit, zouden artiesten van de organisator een overzicht kunnen krijgen van welk soort fans kaarten kochten voor hun shows. Dat is uiteraard geen contractuele noodzaak voor de organisator en wellicht weegt het gerechtvaardigd belang van de artiest bij zo’n verwerking niet op tegen de belangen van de betrokkene.

In zulke gevallen zal de organisator om toestemming moeten vragen. Ook Spotify kwam allicht tot die conclusie. Om hun nieuwe functionaliteit te faciliteren, werd er de mogelijkheid ingebouwd voor de abonnee om steeds diens toestemming dan wel te geven of in te trekken. Zulke functionaliteiten komen de transparantie ten goede, leidt tot minder klachten vanwege de abonnees en past ook volledig binnen de transparantie- en verantwoordingsplicht die op de verwerkingsverantwoordelijke rust.

De toestemming die de concertzaal dus van de kaartjeskoper dient te verkrijgen, moet uit vrije wil gegeven worden, specifiek en ondubbelzinnig zijn en moet bovendien een geïnformeerde toestemming zijn. Een algemene toestemming voor de hierboven besproken verwerkingen en de doorgifte van de gegevens volstaat niet: de organisator moet voor elk verwerkingsdoel afzonderlijk toestemming krijgen. Om over een geïnformeerde toestemming te spreken, zullen de betrokkenen minstens moeten kunnen weten aan wie de gegevens juist verstrekt zullen worden, zodanig dat zij de gevolgen van die doorgifte kunnen inschatten. Verder moet het duidelijk zijn dat de betrokkene deze toestemming te allen tijde kan intrekken.

Mits aan al deze voorwaarden voldaan is, kunnen de persoonsgegevens ook aan de artiest worden doorgegeven. Die artiest bepaalt zelf waarom en hoe deze persoonsgegevens te gebruiken. Dit betekent dat ook de artiest een verwerkingsverantwoordelijke is, en dus een eigen privacyverklaring moet voorzien, met daarin de doeleinden en de grondslagen van de verwerkingen. Aangezien het informeren van de betrokkene één van de pijlers van de GDPR uitmaakt en omdat de gegevens niet rechtstreeks bij de betrokkene werden verzameld, moet de artiest diens privacyverklaring uitsturen binnen een maand na verkrijging van de gegevens of uiterlijk bij het eerste contact met de betrokkene.

Kan er een alternatief gevonden worden om aan deze regels te ontsnappen?

Als de artiest zich niet bezig wil houden met de plichten van een verwerkingsverantwoordelijke, die gekoppeld zijn aan het verwerken van persoonsgegevens, kan de organisator bijvoorbeeld geanonimiseerde, of nog beter, statistisch verwerkte gegevens doorgeven. Wanneer die gegevens niet meer herleid kunnen worden naar een natuurlijk persoon, dan zijn het geen persoonsgegevens en is de GDPR niet van toepassing.

3. Kan de artiest de persoonsgegevens intern gebruiken?

De artiest kan met de verzamelde gegevens aan ‘datamatching’ doen. Zo kan er bijvoorbeeld gekeken worden of de luisteraars en abonnees op Spotify hun weg naar de concertzaal vinden. En wie weet ontbreekt een heel pak van die trouwe fans nog op het Patreon-account van de artiest. Voor al dit soort toepassingen, kan de analyse uit (1) gehanteerd worden. Het gerechtvaardigd belang is hier van toepassing en ook zeer praktisch. De toestemming vragen aan een fan of betrokkene, waarvan de gegevens via de organisator bij de artiest terecht kwamen, is daarentegen omslachtig en bezorgt de fans ook een extra last doordat er een nieuwe actie van hen wordt vereist.

4. Kan de artiest nieuwsbrieven naar fans verzenden?

Door het samenspel met een regel uit het economisch recht, is het niet evident om als artiest deze fans zomaar met nieuwsbrieven aan te schrijven. In principe kan zulke ‘direct marketing’ enkel plaatsvinden op grond van de toestemming van de aangeschreven persoon. De wetgever voorzag wel een ‘soft opt-in’: bestaat er tussen de onderneming en de aangeschreven persoon al een band, dan mag de toestemming verondersteld worden, tot die persoon laat weten de marketing niet te willen ontvangen. De organisator verkocht al een ticket en kan door deze band de toestemming veronderstellen. Dit geldt niet in de relatie tussen de artiest en de fan, waar er geen transactie aan vooraf ging.

Het is niet duidelijk hoe de artiest de toestemming kan vragen aan een fan, zonder die fan eerst persoonlijk te contacteren en of deze communicatie dan reeds als ‘direct marketing’ wordt aanzien. De economische wetgeving en de privacywetgeving lijken hier met elkaar te botsen. Terwijl de gegevensbeschermingsautoriteit een uitgebreid advies aan direct marketing heeft gewijd, nemen de economische instanties hier vooralsnog geen standpunt over in.

Wij zij van mening dat het mogelijk moet zijn om ook als artiest met de verkregen persoonsgegevens aan direct marketing te doen. Een oplossing kan zijn door eerst ‘economische’ toestemming te vragen aan de fan, maar deze communicatie privacyrechtelijk te baseren op het gerechtvaardigd belang. In tweede instantie kan gecommuniceerd worden op grond van deze verkregen toestemming. Een andere, meer pragmatische aanpak, bestaat uit het versturen van de nieuwsbrief of marketingmails met daarin een zeer duidelijke privacyverklaring en een functionaliteit in te bouwen die de fan in één klik de mogelijkheid biedt zich uit de mailinglijst te verwijderen.

Zoals dit artikel probeert aan te tonen, hoeft de GDPR-wetgeving geen beperking te zijn om inzichten te verkrijgen in het publiek. Een voorafgaandelijke analyse van de plannen en een bijbehorende privacyverklaring, maken heel wat mogelijk. Heb je vragen over hoe je dit als organisator, concertzaal of artiest kan toepassen? Contacteer ons via ask@twiiid.be