Gaat e-mailmarketing veranderen onder de AVG (GDPR)? Ja en nee. Spammen mocht natuurlijk al niet, maar er veranderen wel een paar zaken. Lees even mee.
Wanneer is een e-mailadres een persoonsgegeven?
Een e-mailadres is een persoonsgegeven, wanneer deze bij een specifiek persoon hoort. Bijvoorbeeld omdat de naam van de persoon erin verwerkt zit, maar ook het info@bedrijfsnaam.nl adres als het een e-mailadres van ZZP’er is, die zelf dat e-mailadres beheert.
Het zijn dus niet meer alleen de e-mailadressen van consumenten die onder de definitie persoonsgegevens vallen. Ook zakelijke e-mailadressen kunnen persoonsgegevens zijn.
E-mailadressen verzamelen
Hoe kom je nu aan e-mailadressen om mensen te mogen mailen? Daar heb je een zogenaamde grondslag voor nodig. De AVG kent zes grondslagen, waaronder toestemming, overeenkomst en gerechtvaardigd belang.
Uiteraard mag je gegevens van klanten opslaan. Dat is meestal ook nodig om met ze te kunnen communiceren en de overeenkomst uit te kunnen voeren en vaak zelfs om de factuur te kunnen sturen.
Daarnaast mag je gegevens opslaan als mensen daar toestemming voor hebben gegeven. Let wel op dat die toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig moet zijn. In een andere blogpost zal ik meer uitleggen over de toestemmingsvereisten.
Een bedrijfsbelang of marketingbelang zou een gerechtvaardigd belang kunnen zijn. Let wel op dat er pas een gerechtvaardigd belang is als het een gerechtvaardigd en rechtmatig belang is voor jouw onderneming, de verwerking noodzakelijk is voor dat belang en de belangen van jou als onderneming worden afgewogen tegen die van de betrokkenen (de personen van wie de persoonsgegevens zijn).
Alleen gebruiken voor het doel waarvoor het is verkregen
Je mag persoonsgegevens alleen inzetten voor het doel waarvoor je ze hebt verkregen. Als je werkt met de grondslag toestemming, moet je ook voor elk doel toestemming vragen. Stuur je meerdere nieuwsbrieven, zul je ook voor elke nieuwsbrief toestemming moeten krijgen.
Heb je e-mailadressen voor een ander doel gekregen dan om die personen te e-mailen, dan mag je ze dus niet zomaar e-mailen. Let daar ook op wanneer je e-mailadressen van derden krijgt. Hebben zij wel toestemming gekregen om de gegevens aan jou door te mogen geven zodat jij ze gaat e-mailen?
Heb je een e-mailadres alleen gekregen om een e-book toe te kunnen sturen? Dan mag je dus niet opeens ook nieuwsbrieven gaan sturen.
Informeren
Je moet transparant zijn over het verzamelen, gebruiken, beveiligen en wissen van gegevens. In totaal moet je over meer dan 11 zaken informeren. Bij toestemming nog voor iemand de persoonsgegevens aan je geeft of anders eigenlijk op hetzelfde moment (gelijk oversteken) en anders binnen een redelijke termijn nadat je de gegevens hebt verkregen.
Dat doe je het beste en makkelijkste door middel van een privacyverklaring.
Heb jij nog geen privacyverklaring?
Dubbel opt-in nodig?
Als je op basis van toestemming mensen wil gaan mailen, heb je dan een dubbele opt-in nodig?
Dubbele opt-in is niet per se nodig, maar de toestemming moet dus wel vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Als het slechts een enkele opt-in is, kan iedereen wel mensen voor een nieuwsbrief inschrijven, zolang ze daar maar het e-mailadres van hebben. Je moet toestemming kunnen bewijzen. Met een enkele opt-in zul je niet zeker weten wie dat e-mailadres heeft ingevuld. Daarom is een dubbele opt-in wel verstandig.
Opnieuw toestemming nodig voor bestaande lijsten?
Klanten mag je altijd mailen. Aan hen hoef je geen toestemming te vragen.
Andere lijsten moeten aan de nieuwe AVG voldoen. Kun je de toestemming niet bewijzen en/of heb je niet op een andere geldige grondslag de gegevens verkregen en/of heb je de mailadressen niet gekregen met het doel te mogen e-mailen? Dan doe je er verstandig aan opnieuw duidelijke toestemming te vragen.
Heb je het voorheen al zorgvuldig aangepakt en zijn je lijsten op orde? Dan hoef je nu niets te doen.
Voorkom spam!
Het kan zijn dat je rechtmatig aan de e-mailadressen bent gekomen en dus een goede grondslag en geschikt doel te pakken hebt. Als die grondslag niet de toestemming is en je klanten over andere zaken wil mailen dan die gerelateerd zijn aan de opdracht, mag je toch nog niet zomaar mailen.
Dat komt niet door de privacywet AVG, maar door te Telecommunicatiewet. Je mag dan geen geautomatiseerd systeem gebruiken voor ongevraagde commerciële communicatie. Je hebt dan nog steeds toestemming nodig om mensen te mogen mailen.
Denk bijvoorbeeld aan het geval dat je gegevens ‘openbaar’ hebt gevonden op LinkedIn of een ander sociaal netwerk. Dat deze gegevens voor iedereen zichtbaar zijn, wil nog niet zeggen dat je deze mensen geautomatiseerd mag benaderen of direct acquisitie mag plegen.
Opt-out!
Verder is heeeeeeeel belangrijk dat je zorgt voor een gemakkelijke opt-out. Die optie moet je in elke nieuwbrief bieden. Daarbij mag dan niet nog eens gevraagd worden om welk e-mailadres het gaat. En het systeem van Emerce, waarbij je dan aan moet vinken welke nieuwsbrief je niet meer wil, mag eigenlijk ook niet, omdat het niet voldoende duidelijk is.
Bewaartermijn
Heeft iemand zich uitgeschreven, heb je de persoonsgegevens waarschijnlijk niet meer nodig voor het doel waarvoor je ze hebt verkregen. Vanuit de dataminimalisatieverplichting moeten gegevens dan ook verwijderd worden. Tenzij je in de privacyverklaring al duidelijk hebt aangegeven hoe lang de gegevens ook na uitschrijving nog bewaard zouden worden (en waarom dan)
Emerce – zo moet het niet
Helaas is Emerce een voorbeeld van hoe het vooral niet moet:
- Je mag mensen niet voor meer nieuwsbrieven inschrijven dan waar ze zelf expliciet toestemming voor hebben gegeven.
- Gegevens moeten verwijderd of geanonimiseerd worden, wanneer ze niet meer gebruikt worden voor het doel waarvoor ze verzameld zijn.
- Uitgeschreven = uitgeschreven. Dan mag je niet later weer opnieuw contact opnemen.
- Uitschrijven moet zo gemakkelijk mogelijk en vooral ook duidelijk zijn.
Me ooit uitgeschreven voor alle @Emerce nieuwsbrieven, maar de laatste week ofzo spammen ze me weer, ook met nieuwsbrieven waar ik nooit voor ingeschreven ben geweest. Beetje jammer.
— Charlotte Meindersma (@CharlottesLaw) February 7, 2018
Zelfde hier. En dan kijk je in je profiel aldaar en heb je opeens 10+ verschillende nieuwsbrieven waar ik me niet voor heb aangemeld.
— Arvid Bux (@Arvid) February 7, 2018
Emerce heeft veel dingen goed geregeld maar ook veel dingen (voornamelijk onIine) verschrikkelijk slecht.
— Eva Hoefsloot (@EvaHoefsloot) February 7, 2018