Privacy en E-mailmarketing: dit moet je weten over de AVG

Gaat e-mailmarketing veranderen onder de AVG (GDPR)? Ja en nee. Spammen mocht natuurlijk al niet, maar er veranderen wel een paar zaken. Lees even mee.

Wanneer is een e-mailadres een persoonsgegeven?

Een e-mailadres is een persoonsgegeven, wanneer deze bij een specifiek persoon hoort. Bijvoorbeeld omdat de naam van de persoon erin verwerkt zit, maar ook het info@bedrijfsnaam.nl adres als het een e-mailadres van ZZP’er is, die zelf dat e-mailadres beheert.

Het zijn dus niet meer alleen de e-mailadressen van consumenten die onder de definitie persoonsgegevens vallen. Ook zakelijke e-mailadressen kunnen persoonsgegevens zijn.

E-mailadressen verzamelen

Hoe kom je nu aan e-mailadressen om mensen te mogen mailen? Daar heb je een zogenaamde grondslag voor nodig. De AVG kent zes grondslagen, waaronder toestemming, overeenkomst en gerechtvaardigd belang.

Uiteraard mag je gegevens van klanten opslaan. Dat is meestal ook nodig om met ze te kunnen communiceren en de overeenkomst uit te kunnen voeren en vaak zelfs om de factuur te kunnen sturen.

Daarnaast mag je gegevens opslaan als mensen daar toestemming voor hebben gegeven. Let wel op dat die toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. In een andere blogpost zal ik meer uitleggen over de toestemmingsvereisten.

Een bedrijfsbelang of marketingbelang zou een gerechtvaardigd belang kunnen zijn. Let wel op dat er pas een gerechtvaardigd belang is als het een gerechtvaardigd en rechtmatig belang is voor jouw onderneming, de verwerking noodzakelijk is voor dat belang en de belangen van jou als onderneming worden afgewogen tegen die van de betrokkenen (de personen van wie de persoonsgegevens zijn).

Alleen gebruiken voor het doel waarvoor het is verkregen

Je mag persoonsgegevens alleen inzetten voor het doel waarvoor je ze hebt verkregen. Als je werkt met de grondslag toestemming, moet je ook voor elk doel toestemming vragen. Stuur je meerdere nieuwsbrieven, zul je ook voor elke nieuwsbrief toestemming moeten krijgen.

Heb je e-mailadressen voor een ander doel gekregen dan om die personen te e-mailen, dan mag je ze dus niet zomaar e-mailen. Let daar ook op wanneer je e-mailadressen van derden krijgt. Hebben zij wel toestemming gekregen om de gegevens aan jou door te mogen geven zodat jij ze gaat e-mailen?

Heb je een e-mailadres alleen gekregen om een e-book toe te kunnen sturen? Dan mag je dus niet opeens ook nieuwsbrieven gaan sturen.

Informeren

Je moet transparant zijn over het verzamelen, gebruiken, beveiligen en wissen van gegevens. In totaal moet je over meer dan 11 zaken informeren. Bij toestemming nog voor iemand de persoonsgegevens aan je geeft of anders eigenlijk op hetzelfde moment (gelijk oversteken) en anders binnen een redelijke termijn nadat je de gegevens hebt verkregen.
Dat doe je het beste en makkelijkste door middel van een privacyverklaring.

Heb jij nog geen privacyverklaring?

Dubbel opt-in nodig?

Als je op basis van toestemming mensen wil gaan mailen, heb je dan een dubbele opt-in nodig?

Dubbele opt-in is niet per se nodig, maar de toestemming moet dus wel vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Als het slechts een enkele opt-in is, kan iedereen wel mensen voor een nieuwsbrief inschrijven, zolang ze daar maar het e-mailadres van hebben. Je moet toestemming kunnen bewijzen. Met een enkele opt-in zul je niet zeker weten wie dat e-mailadres heeft ingevuld. Daarom is een dubbele opt-in wel verstandig.

Opnieuw toestemming nodig voor bestaande lijsten?

Klanten mag je altijd mailen. Aan hen hoef je geen toestemming te vragen.

Andere lijsten moeten aan de nieuwe AVG voldoen. Kun je de toestemming niet bewijzen en/of heb je niet op een andere geldige grondslag de gegevens verkregen en/of heb je de mailadressen niet gekregen met het doel te mogen e-mailen? Dan doe je er verstandig aan opnieuw duidelijke toestemming te vragen.

Heb je het voorheen al zorgvuldig aangepakt en zijn je lijsten op orde? Dan hoef je nu niets te doen.

Voorkom spam!

Het kan zijn dat je rechtmatig aan de e-mailadressen bent gekomen en dus een goede grondslag en geschikt doel te pakken hebt. Als die grondslag niet de toestemming is en je klanten over andere zaken wil mailen dan die gerelateerd zijn aan de opdracht, mag je toch nog niet zomaar mailen.

Dat komt niet door de privacywet AVG, maar door te Telecommunicatiewet. Je mag dan geen geautomatiseerd systeem gebruiken voor ongevraagde commerciële communicatie. Je hebt dan nog steeds toestemming nodig om mensen te mogen mailen.

Denk bijvoorbeeld aan het geval dat je gegevens ‘openbaar’ hebt gevonden op LinkedIn of een ander sociaal netwerk. Dat deze gegevens voor iedereen zichtbaar zijn, wil nog niet zeggen dat je deze mensen geautomatiseerd mag benaderen of direct acquisitie mag plegen.

Opt-out!

Verder is heeeeeeeel belangrijk dat je zorgt voor een gemakkelijke opt-out. Die optie moet je in elke nieuwbrief bieden. Daarbij mag dan niet nog eens gevraagd worden om welk e-mailadres het gaat. En het systeem van Emerce, waarbij je dan aan moet vinken welke nieuwsbrief je niet meer wil, mag eigenlijk ook niet, omdat het niet voldoende duidelijk is.

Bewaartermijn

Heeft iemand zich uitgeschreven, heb je de persoonsgegevens waarschijnlijk niet meer nodig voor het doel waarvoor je ze hebt verkregen. Vanuit de dataminimalisatieverplichting moeten gegevens dan ook verwijderd worden. Tenzij je in de privacyverklaring al duidelijk hebt aangegeven hoe lang de gegevens ook na uitschrijving nog bewaard zouden worden (en waarom dan)

Emerce – zo moet het niet

Helaas is Emerce een voorbeeld van hoe het vooral niet moet:

  • Je mag mensen niet voor meer nieuwsbrieven inschrijven dan waar ze zelf expliciet toestemming voor hebben gegeven.
  • Gegevens moeten verwijderd of geanonimiseerd worden, wanneer ze niet meer gebruikt worden voor het doel waarvoor ze verzameld zijn.
  • Uitgeschreven = uitgeschreven. Dan mag je niet later weer opnieuw contact opnemen.
  • Uitschrijven moet zo gemakkelijk mogelijk en vooral ook duidelijk zijn.

Laat je privacybeleid controleren

Comments

  1. Super handig artikel weer! Dankje voor de fijne uitleg.

  2. Marianne says:

    Bedankt voor je wegwijs, Charlotte.

    Ik heb een vraag over documenteren van toestemming.

    SITUATIE
    Op een beurs leggen we nieuwe contacten en ontvangen we visitekaartjes.
    We verwerken de gegevens in in onze database.
    We nemen contact op met betrokkene via e-mail of telefoon.
    We zijn transparant en wijzen op hoe de relatie tot stand is gekomen (ontmoeting op beurs x).
    We wijzen betrokkene op ons privacystatement (Telefonisch ook verplicht? “In het kader van de AVG wijs ik u op ons privacy statement”. In de praktijk wil je dat niet.)

    VRAAG
    Hoe documenteer ik, bewijs ik, dat ik deze persoonsgegevens zelf heb ontvangen van betrokkene? Het kan namelijk ook lijken op koude acquisitie met niet-algemene bedrijfsgegevens. De visitekaartjes willen we liever niet archiveren.

    • Als je je gegevensverwerking gaat baseren op de grondslag toestemming (en niet een van de andere grondslagen), zul je moeten bewijzen dat je de toestemming daadwerkelijk hebt. Ook moet je laten zien dat de toestemming “geïnformeerd” en “specifiek” gegeven is. Dit zul je moeten kunnen aantonen aan de Autoriteit Persoonsgegevens. De last om dat te bewijzen ligt in dat geval wel bij jou. Hoe je daar concreet invulling aan moet geven is nu nog vrij open gelaten. Lees ook deze pagina van de Autoriteit Persoonsgegevens over de verantwoordingsplicht.

  3. Goed artikel! Ik vraag mij alleen af wat ik moet doen met de E-mail adressen die ik heb verworven aan de hand van visitekaartjes cq LinkedIn connections.

  4. Ik werk bij een subonderdeel van een grote organisatie. Vanuit dat onderdeel versturen we al jaren een nieuwsbrief naar medewerkers, ‘omdat ze medewerkers zijn’. We hebben hiervoor nooit om toestemming gevraagd. We hebben (tot nu toe) ook nooit een opt-out gehad in deze nieuwsbrief, omdat (ik citeer opnieuw de organisatie) ‘we vinden dat medewerkers nu eenmaal op de hoogte behoren zijn van wat er zich binnen onze organisatie afspeelt.’
    (NB: mijn persoonlijke mening hierover wijkt af van hoe de organisatie hiermee omgaat.)

    Vooruitkijkend op de AVG vraag ik me nu af:
    – Behoren de medewerkers die al jaren deze nieuwsbrief ontvangen tot de groep ‘bestaande klanten’, ookal hebben we ze nooit om toestemming gevraagd? Of moeten we ze voor 1 mei alsnog om toestemming vragen?
    – Deze medewerkers zijn al jaren gewend dat de nieuwsbrief geen opt-out bevat. De organisatie zegt: ‘Oké, binnenkort is dat verplicht, maar zet het dan maar heel klein onderaan, zodat mensen zich niet massaal gaan afmelden.’ Mag dat of moeten we het juist expliciet onder de aandacht brengen?

    • Iemand is een klant als je hem/haar een product of dienst verkocht hebt, zie ook deze webpagina van de ACM.
      Medewerkers vallen dus niet onder “bestaande klanten”.

      Met betrekking tot het afmelden van een nieuwsbrief moet dit vooral eenvoudig, kosteloos en direct kunnen. In iedere nieuwsbrief moet de mogelijkheid tot afmelden staan. Het mag dus aan het einde van een e-mail staan, in een kleiner lettertype, zo lang je het iemand maar niet té moeilijk maakt om maf te melden.

    • De opt-out moet er gewoon zijn, onderaan de nieuwsbrief. Die links zijn meestal niet zo groot. Dat hoef je nu niet extra onder de aandacht te brengen.
      Je kunt medewerkers overigens vergelijken met klanten. Je zou medewerkers daarom best ongevraagd e-mails mogen sturen over de organisatie. Naar hun zakelijke e-mailadres, niet naar het privé-e-mailadres.
      Verder kun je natuurijk wel de eis stellen aan werknemers dat ze over bepaalde zaken binnen de organisatie op de hoogte horen te zijn. Ik kan me daarom best voorstellen dat er een soort personeelsnieuwsbrief is die mogelijk wel verplicht gemaakt kan worden.

  5. Hoi Charlotte,
    Dank voor alle informatie over de AVG. Helder!
    Maar heb je een idee hoe er met deze nieuwe regelgeving tegen het werk van headhunters wordt aangekeken? Zij benaderen ervaren kandidaten rechtstreeks (per telefoon of mail) voor een bepaalde openstaande functie. Logischerwijs hebben kandidaten daar vooraf geen toestemming voor gegeven.
    Betekent dit dat na 25 mei alle headhunters hun kantoren moeten sluiten of kunnen zij een beroep doen op gerechtvaardigd belang?
    Ik ben benieuwd naar je reactie.
    mvgr Sander van Nieuwenhuijzen

    • Daar kan zeker gerechtvaardigd belang een grondslag zijn, maar belangrijk is dan wel dat er niet geautomatiseerd een bericht gestuurd wordt, maar persoonlijk (anders is het spam) en de gegevens moeten wel snel genoeg weer verwijderd worden.

      • Dank voor je snelle reactie.
        De kracht van een headhunter is dat men over zoveel mogelijk relevante gegevens beschikt om een kandidaat gericht te kunnen benaderen voor een bepaalde positie. Meestal gebeurt dit per telefoon (mobiel). Het verzamelen van relevante gegevens is “het kapitaal” van een headhunterskantoor. Zowel op korte als op langere termijn.
        Het is voor een goede uitvoering van de activiteiten van een headhunter niet handig als de gegevens snel na een contact met een kandidaat weer verwijderd moeten worden.
        Valt dit volgens jou op te lossen onder de AVG?

Trackbacks

Speak Your Mind

*