Vanaf 25 mei 2018 treedt de nieuwe Europese wet voor databescherming, de General Data Protection Regulation (GDPR), in werking. Oftewel de Algemene Verordening Persoonsgegevens (AVG) in het Nederlands. Zoals te lezen is in een eerder artikel in deze serie, stelt deze wet veel hogere eisen aan de omgang met persoonsdata door bedrijven om zo de privacy van de burger beter te waarborgen. Dit heeft invloed op iedereen die persoonsdata verwerkt van Europese burgers en daardoor ook gevolgen voor alle marketeers die persoonsgegevens verwerken van Europese burgers. In deze blogpost leg ik je je graag uit wat de nieuwe wet voor je e-mailmarketingactiviteiten betekent.
Welke persoonsdata?
De GDPR/AVG heeft invloed op iedereen die persoonsdata verwerkt van Europese burgers. De definitie van persoonsdata is ruim:
“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.
Denk aan de naam, het adres, de geboortedatum en het e-mailadres, maar ook alle andere gegevens die te herleiden zijn naar de persoon zoals een IP-adres, kenteken, klantnummer, et cetera. Het verzamelen van e-mailadressen voor het verzenden van je nieuwsbrief valt dus onder de nieuwe wetgeving.
Bewerkersovereenkomst
De wetgeving geldt ook voor andere partijen die in opdracht van jou gegevens verwerken. In dit geval moet je werken met een verwerkersovereenkomst die de hoofdpartij sluit met de partijen waarmee hij samenwerkt. Denk hierbij aan een bedrijf die hun e-mailmarketingactiviteiten (gedeeltelijk) heeft uitbesteed aan een online marketingbureau.
In de bewerkersovereenkomst die gesloten moet worden, wordt vastgelegd voor welke doeleinden de (persoons)gegevens verwerkt mogen worden, welke beveiligingsmaatregelen er zijn, in welke mate toezicht is op het bedrijf dat de gegevens verzameld en welke regels er gelden betreffende onderlinge aansprakelijkheid.
Serie over GDPR/AVG
Dit is het tweede deel in een serie over de impact van GDPR/AVG.
- In het eerste deel lees je alles over wat je als marketeer mag verwachten van deze wet.
- In deel drie wordt dieper ingegaan op de impact op tracking en analytics.
- In deel vier gaat het over de gevolgen van advertising.
Boetes
Mei 2018 lijkt nog ver weg, maar als marketeer is het goed om nu al na te denken en maatregelen te nemen om te kunnen voldoen aan deze bindende wetgeving. De boetes zijn namelijk niet mals en lopen op tot 20 miljoen euro of 4 procent van de totale jaaromzet van je organisatie.
E-mailmarketing
In Nederland kennen we de Wet Bescherming Persoonsgegevens. Hierin staan richtlijnen die gehanteerd worden bij het verwerken van persoonsgegevens. Op zich verandert er niet heel veel ten opzichte van deze huidige wetgeving. De belangrijkste punten van de AVG/GDPR op gebied van e-mailmarketing zijn:
Opt-in
Je mag alleen mensen mailen die daadwerkelijk toestemming (opt-in) hebben gegeven voor het ontvangen van jouw nieuwsbrieven. Dat is niks nieuws natuurlijk! Toch zet ik de belangrijkste punten volgens de GDPR/AVG voor je op een rijtje:
- De opt-in moet vrijwillig gegeven zijn door middel van een actieve handeling.
- De opt-in mag geen onderdeel zijn van de algemene voorwaarden.
- De ontvanger moet geïnformeerd worden waarvoor zijn data gebruiken gaat worden
- De gegevens moeten rechtmatig, behoorlijk en op transparante wijze verkregen zijn. Er moet dus tijdens het verzamelen duidelijk zijn waarvoor je de gegevens gaat gebruiken.
- Voor elk doel moet er apart toestemming worden gegeven. Bijvoorbeeld een vinkje voor je opt-in en een vinkje dat de persoonsdata met derden wordt gedeeld.
- Wanneer iemand nog geen 16 is, moet iemand met ouderlijk gezag (mede)toestemming geven.
- De opt-ins moeten geregistreerd worden. Je moet dus altijd kunnen aantonen hoe je de opt-in hebt verzameld, zodat de rechtsgeldigheid ervan kan worden bewezen.
- Bij elk inschrijfformulier moet naar het privacystatement op de website worden verwezen.
- Waarschijnlijk geheel overbodig: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven.
- Elke commerciële mail moet een uitschrijflink bevatten, waarmee de ontvanger zich eenvoudig kan uitschrijven.
Goed om te weten is dat de regels voor opt-in gelden voor het versturen van commerciële mailings. Transactionele e-mails naar aanleiding van een order (orderbevestiging, factuur, et cetera.) zijn uitgesloten en mag je altijd versturen, mits je hier dan weer geen commerciële content in plaatst.
Rechten van de burger
Als burger mag je ten alle tijden je eigen persoonsdata in zien. Daarnaast mag je eigen gegevens laten rectificeren in het geval van onjuistheden en verzoeken om te worden verwijderd uit de database. Hiertoe ben je als organisatie verplicht. Dit geldt voor alle data, dus ook de data in je e-mailmarketingprogramma.
Profilering
Wanneer je profilering toepast dien je op verzoek van de geprofileerde inzicht te kunnen geven in de logica hierachter. Met profilering wordt de geautomatiseerde verwerking van persoonsgegevens bedoeld, waarmee je bijvoorbeeld gedrag evalueert en probeert te voorspellen. Zoals wanneer iemand drie keer vrouwenschoenen besteld en je de klant profileert als vrouw. Met deze informatie mail je vervolgens gericht vrouwenproducten naar deze persoon. Vanaf mei 2018 kan de persoon in kwestie hier bezwaar tegen maken en in dit geval moet je haar uitsluiten voor deze profilering.
Huidige data
Voor 25 mei 2018 moeten al je klantendata voldoen aan de nieuwe wetgeving. Dit geldt dus ook voor je huidige klantendata. Kan je bijvoorbeeld niet aantonen hoe je een opt-in in het verleden hebt verkregen, dan kan je beboet worden.
De data die je nodig hebt om een opt-in te bewijzen zijn: de opt-in status (ingeschreven of uitgeschreven), hoe je de opt-in hebt verkregen, wanneer je de opt-in hebt verkregen en welke toestemming is gegeven (inschrijven voor de nieuwsbrief, alleen meewerken aan onderzoeken, et cetera.).
Kun je de opt-in niet aantonen? Een optie is dan die groep voor mei volgend jaar een mail te sturen, met de vraag of ze nog ingeschreven willen blijven voor je nieuwsbrief. Plaats in de mail een Ja-knop en een Nee-knop. Drukken ze op “ja”, dan kan je de opt-in registreren, drukken ze op “nee”, dan schrijf je de persoon uit. Bij geen respons moet je helaas de persoon uitschrijven voor je nieuwsbrief.
Andere belangrijke punten uit de GDPR
De GDPR/AVG bevat nog meer belangrijke punten die marketeers moeten kennen. Zo moet je een data protection officer aanwijzen binnen je bedrijf, datalekken verplicht melden binnen 72 uur en heeft de burger het recht om zijn datagegevens in machine-leesbaar formaat op te vragen. Wanneer je dit niet kunt bieden, moet de data worden doorgezet naar een andere verwerker.
Andere regels voor e-mailmarketing
Voor e-mailmarketing zijn er nog meer regels en richtlijnen. De regels rondom SPAM staan in de Telecommunicatiewet en gedragsregels over het versturen van commerciële e-mails kan je nalezen in de Code Reclame via E-mail. De GDPR/AVG gaat alleen over het verwerken van persoonsgegevens, hierin staan dus geen regels over bijvoorbeeld het afmelden voor een nieuwsbrief. Een samenvatting over de regels in de Code Reclame via E-mail staan in een blogpost die ik eerder over dit onderwerp schreef.
ePrivacy Regulation
Aanvullend op de GDPR/AVG wordt er gewerkt aan de ePrivacy Regulation. In deze wetgeving staan regels over het gebruik van metadata, nieuwe cookieregels, maar ook regels om burgers te beschermen tegen SPAM. De ePrivacy Regulation zou ook ingaan op 25 mei 2018, maar deze wordt uitgesteld, aangezien er nog geen overeenstemming is bereikt. Goed om te weten dat er dus naast de GDPR/AVG nog een aanvullende wetgeving komt die relevant is voor e-mailmarketing.
Onduidelijkheid en interpretatie van de wet
De wettekst van de GDPR/AVG laat naar mijn mening nog veel ruimte over voor eigen interpretatie en er zijn nog niet voor alle artikelen heldere richtlijnen. Denk hier bijvoorbeeld aan de regel dat je een klant waarmee je een betaalrelatie hebt mag mailen over soortgelijke producten. Wat is “soortgelijk” in dit verhaal? Dat staat nergens vermeld en kan je breed interpreteren. Ook is er nergens een richtlijn afgegeven voor welke periode je persoonsgegevens mag opslaan. Na veel informatie te hebben gelezen en gevraagd, las ik onderstaande tekst op de site van Autoriteit Persoonsgegevens:
“De Autoriteit Persoonsgegevens (AP) vindt het belangrijk om u goed voor te lichten over de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 geldt. Maar de AP kan op dit moment nog niet al uw vragen over de nieuwe Europese privacyregels beantwoorden. Dit heeft onder andere te maken met verduidelijking van de regels binnen de EU, de nationale uitvoeringswet en nieuwe jurisprudentie”.
Wat duidelijk is aan de nieuwe wet; is dat je de rechtmatig verkregen opt-ins goed moet registreren, je per doel toestemming dient te vragen, je zorgt dat je huidige database met opt-ins voor ingang van de GDRP/AVG voldoet aan de richtlijnen, je een bewerkingsovereenkomst sluit wanneer een derde partij met jouw data werkt, je de nieuwsbriefinschrijver inzicht kan geven in zijn data en deze op verzoek verwijderd en je op verzoek inzicht kan geven op de wijze waarop je profilering toepast en de persoon hiervoor kunt uitsluiten.
Gebruik je gezonde verstand
Daarnaast is mijn advies altijd je gezonde verstand te gebruiken en je in te leven in de ontvanger. Is de boodschap relevant of de ontvanger dit als een ongewenste boodschap ervaren? Uiteindelijk heb je als marketeer er niks aan als een steeds grotere groep ontvangers, je nieuwsbrief niet meer opent. Dit gaat namelijk ten koste van de afleverbaarheid van je mails, maar ook van je resultaten!