Is jouw e-mailmarketing klaar voor de nieuwe wet voor bescherming persoonsgegevens (GDPR/AVG)?

5 oktober 2017, 06:00

Vanaf 25 mei 2018 treedt de nieuwe Europese wet voor databescherming, de General Data Protection Regulation (GDPR), in werking. Oftewel de Algemene Verordening Persoonsgegevens (AVG) in het Nederlands. Zoals te lezen is in een eerder artikel in deze serie, stelt deze wet veel hogere eisen aan de omgang met persoonsdata door bedrijven om zo de privacy van de burger beter te waarborgen. Dit heeft invloed op iedereen die persoonsdata verwerkt van Europese burgers en daardoor ook gevolgen voor alle marketeers die persoonsgegevens verwerken van Europese burgers. In deze blogpost leg ik je je graag uit wat de nieuwe wet voor je e-mailmarketingactiviteiten betekent.

Welke persoonsdata?

De GDPR/AVG heeft invloed op iedereen die persoonsdata verwerkt van Europese burgers. De definitie van persoonsdata is ruim:

“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.

Denk aan de naam, het adres, de geboortedatum en het e-mailadres, maar ook alle andere gegevens die te herleiden zijn naar de persoon zoals een IP-adres, kenteken, klantnummer, et cetera. Het verzamelen van e-mailadressen voor het verzenden van je nieuwsbrief valt dus onder de nieuwe wetgeving.

Bewerkersovereenkomst

De wetgeving geldt ook voor andere partijen die in opdracht van jou gegevens verwerken. In dit geval moet je werken met een verwerkersovereenkomst die de hoofdpartij sluit met de partijen waarmee hij samenwerkt. Denk hierbij aan een bedrijf die hun e-mailmarketingactiviteiten (gedeeltelijk) heeft uitbesteed aan een online marketingbureau.

In de bewerkersovereenkomst die gesloten moet worden, wordt vastgelegd voor welke doeleinden de (persoons)gegevens verwerkt mogen worden, welke beveiligingsmaatregelen er zijn, in welke mate toezicht is op het bedrijf dat de gegevens verzameld en welke regels er gelden betreffende onderlinge aansprakelijkheid.

Serie over GDPR/AVG

Dit is het tweede deel in een serie over de impact van GDPR/AVG.

Boetes

Mei 2018 lijkt nog ver weg, maar als marketeer is het goed om nu al na te denken en maatregelen te nemen om te kunnen voldoen aan deze bindende wetgeving. De boetes zijn namelijk niet mals en lopen op tot 20 miljoen euro of 4 procent van de totale jaaromzet van je organisatie.

E-mailmarketing

In Nederland kennen we de Wet Bescherming Persoonsgegevens. Hierin staan richtlijnen die gehanteerd worden bij het verwerken van persoonsgegevens. Op zich verandert er niet heel veel ten opzichte van deze huidige wetgeving. De belangrijkste punten van de AVG/GDPR op gebied van e-mailmarketing zijn:

Opt-in

Je mag alleen mensen mailen die daadwerkelijk toestemming (opt-in) hebben gegeven voor het ontvangen van jouw nieuwsbrieven. Dat is niks nieuws natuurlijk! Toch zet ik de belangrijkste punten volgens de GDPR/AVG voor je op een rijtje:

  • De opt-in moet vrijwillig gegeven zijn door middel van een actieve handeling.
  • De opt-in mag geen onderdeel zijn van de algemene voorwaarden.
  • De ontvanger moet geïnformeerd worden waarvoor zijn data gebruiken gaat worden
  • De gegevens moeten rechtmatig, behoorlijk en op transparante wijze verkregen zijn. Er moet dus tijdens het verzamelen duidelijk zijn waarvoor je de gegevens gaat gebruiken.
  • Voor elk doel moet er apart toestemming worden gegeven. Bijvoorbeeld een vinkje voor je opt-in en een vinkje dat de persoonsdata met derden wordt gedeeld.
  • Wanneer iemand nog geen 16 is, moet iemand met ouderlijk gezag (mede)toestemming geven.
  • De opt-ins moeten geregistreerd worden. Je moet dus altijd kunnen aantonen hoe je de opt-in hebt verzameld, zodat de rechtsgeldigheid ervan kan worden bewezen.
  • Bij elk inschrijfformulier moet naar het privacystatement op de website worden verwezen.
  • Waarschijnlijk geheel overbodig: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven.
  • Elke commerciële mail moet een uitschrijflink bevatten, waarmee de ontvanger zich eenvoudig kan uitschrijven.

Goed om te weten is dat de regels voor opt-in gelden voor het versturen van commerciële mailings. Transactionele e-mails naar aanleiding van een order (orderbevestiging, factuur, et cetera.) zijn uitgesloten en mag je altijd versturen, mits je hier dan weer geen commerciële content in plaatst.

Rechten van de burger

Als burger mag je ten alle tijden je eigen persoonsdata in zien. Daarnaast mag je eigen gegevens laten rectificeren in het geval van onjuistheden en verzoeken om te worden verwijderd uit de database. Hiertoe ben je als organisatie verplicht. Dit geldt voor alle data, dus ook de data in je e-mailmarketingprogramma.

Profilering

Wanneer je profilering toepast dien je op verzoek van de geprofileerde inzicht te kunnen geven in de logica hierachter. Met profilering wordt de geautomatiseerde verwerking van persoonsgegevens bedoeld, waarmee je bijvoorbeeld gedrag evalueert en probeert te voorspellen. Zoals wanneer iemand drie keer vrouwenschoenen besteld en je de klant profileert als vrouw. Met deze informatie mail je vervolgens gericht vrouwenproducten naar deze persoon. Vanaf mei 2018 kan de persoon in kwestie hier bezwaar tegen maken en in dit geval moet je haar uitsluiten voor deze profilering.

Huidige data

Voor 25 mei 2018 moeten al je klantendata voldoen aan de nieuwe wetgeving. Dit geldt dus ook voor je huidige klantendata. Kan je bijvoorbeeld niet aantonen hoe je een opt-in in het verleden hebt verkregen, dan kan je beboet worden.

De data die je nodig hebt om een opt-in te bewijzen zijn: de opt-in status (ingeschreven of uitgeschreven), hoe je de opt-in hebt verkregen, wanneer je de opt-in hebt verkregen en welke toestemming is gegeven (inschrijven voor de nieuwsbrief, alleen meewerken aan onderzoeken, et cetera.).

Kun je de opt-in niet aantonen? Een optie is dan die groep voor mei volgend jaar een mail te sturen, met de vraag of ze nog ingeschreven willen blijven voor je nieuwsbrief. Plaats in de mail een Ja-knop en een Nee-knop. Drukken ze op “ja”, dan kan je de opt-in registreren, drukken ze op “nee”, dan schrijf je de persoon uit. Bij geen respons moet je helaas de persoon uitschrijven voor je nieuwsbrief.

Andere belangrijke punten uit de GDPR

De GDPR/AVG bevat nog meer belangrijke punten die marketeers moeten kennen. Zo moet je een data protection officer aanwijzen binnen je bedrijf, datalekken verplicht melden binnen 72 uur en heeft de burger het recht om zijn datagegevens in machine-leesbaar formaat op te vragen. Wanneer je dit niet kunt bieden, moet de data worden doorgezet naar een andere verwerker.

Andere regels voor e-mailmarketing

Voor e-mailmarketing zijn er nog meer regels en richtlijnen. De regels rondom SPAM staan in de Telecommunicatiewet en gedragsregels over het versturen van commerciële e-mails kan je nalezen in de Code Reclame via E-mail. De GDPR/AVG gaat alleen over het verwerken van persoonsgegevens, hierin staan dus geen regels over bijvoorbeeld het afmelden voor een nieuwsbrief. Een samenvatting over de regels in de Code Reclame via E-mail staan in een blogpost die ik eerder over dit onderwerp schreef.

ePrivacy Regulation

Aanvullend op de GDPR/AVG wordt er gewerkt aan de ePrivacy Regulation. In deze wetgeving staan regels over het gebruik van metadata, nieuwe cookieregels, maar ook regels om burgers te beschermen tegen SPAM. De ePrivacy Regulation zou ook ingaan op 25 mei 2018, maar deze wordt uitgesteld, aangezien er nog geen overeenstemming is bereikt. Goed om te weten dat er dus naast de GDPR/AVG nog een aanvullende wetgeving komt die relevant is voor e-mailmarketing.

Onduidelijkheid en interpretatie van de wet

De wettekst van de GDPR/AVG laat naar mijn mening nog veel ruimte over voor eigen interpretatie en er zijn nog niet voor alle artikelen heldere richtlijnen. Denk hier bijvoorbeeld aan de regel dat je een klant waarmee je een betaalrelatie hebt mag mailen over soortgelijke producten. Wat is “soortgelijk” in dit verhaal? Dat staat nergens vermeld en kan je breed interpreteren. Ook is er nergens een richtlijn afgegeven voor welke periode je persoonsgegevens mag opslaan. Na veel informatie te hebben gelezen en gevraagd, las ik onderstaande tekst op de site van Autoriteit Persoonsgegevens:

“De Autoriteit Persoonsgegevens (AP) vindt het belangrijk om u goed voor te lichten over de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 geldt. Maar de AP kan op dit moment nog niet al uw vragen over de nieuwe Europese privacyregels beantwoorden. Dit heeft onder andere te maken met verduidelijking van de regels binnen de EU, de nationale uitvoeringswet en nieuwe jurisprudentie”.

Wat duidelijk is aan de nieuwe wet; is dat je de rechtmatig verkregen opt-ins goed moet registreren, je per doel toestemming dient te vragen, je zorgt dat je huidige database met opt-ins voor ingang van de GDRP/AVG voldoet aan de richtlijnen, je een bewerkingsovereenkomst sluit wanneer een derde partij met jouw data werkt, je de nieuwsbriefinschrijver inzicht kan geven in zijn data en deze op verzoek verwijderd en je op verzoek inzicht kan geven op de wijze waarop je profilering toepast en de persoon hiervoor kunt uitsluiten.

Gebruik je gezonde verstand

Daarnaast is mijn advies altijd je gezonde verstand te gebruiken en je in te leven in de ontvanger. Is de boodschap relevant of de ontvanger dit als een ongewenste boodschap ervaren? Uiteindelijk heb je als marketeer er niks aan als een steeds grotere groep ontvangers, je nieuwsbrief niet meer opent. Dit gaat namelijk ten koste van de afleverbaarheid van je mails, maar ook van je resultaten!

Jasmijn Hemersma
E-mail & Marketing Automation Specialist bij Kramp

Jasmijn is een e-mail- en marketing automation professional met ruim 12 jaar ervaring. Ze heeft succesvolle campagnes opgezet voor bedrijven zoals Drukwerkdeal.nl, Adwise, Kees Smit Tuinmeubelen, HP, Electro World en Beter Bed. In 2016 was ze genomineerd als DDMA E-mail Professional van het Jaar en is sinds 2023 jurylid van de awards tijdens hetzelfde evenement (EMAS). Ze deelt graag haar kennis door blogs te schrijven. Momenteel is ze verantwoordelijk voor vernieuwingsprojecten in marketing automation bij Kramp, een toonaangevend bedrijf dat actief is in 26 landen.

Categorie
Tags

58 Reacties

    Janne De Cloedt

    Het is me wel nog steeds niet duidelijk in welke mate deze regels effectief gelden voor adressen die puur professioneel zijn? Geen enkel artikel die ik laatste maanden las geeft hierover uitsluitsel.


    5 oktober 2017 om 06:12
    Jasmijn Hemersma

    Hoi Janne,

    De wetgeving geldt voor alle informatie die terug te herleiden is naar een persoon. Dus het geldt voor alle e-mailadressen. Er wordt dus geen onderscheidt gemaakt tussen professionele en niet professionele adressen.

    Groeten Jasmijn Hemersma


    5 oktober 2017 om 06:49
    Anne

    Duidelijk artikel. Als iemand zich uitschrijft voor de nieuwsbrief moet de data dan niet geheel worden verwijderd onder GDPR? “Opt-in status (ingeschreven of uitgeschreven)” is dan overbodig.


    5 oktober 2017 om 07:23
    Jasmijn Hemersma

    Hi Anne, Wanneer iemand zich uitschrijft voor je nieuwsbrief verwijder je de info niet, maar veranderd de opt-in status. Alleen wanneer iemand je verzoekt om zijn of haar data te wissen, verwijder je deze.

    Groeten Jasmijn


    5 oktober 2017 om 07:37
    sietse schelpe

    Jasmijn, super geschreven. je bent nog altijd een kei in je job. Ik geloof dat nog heel veel firma’s nog moeten bij schakelen om mee te zijn met de nieuwe wetgeving.


    5 oktober 2017 om 08:21
    Jasmijn Hemersma

    Thanks, Sietse! Mooi compliment 🙂 Leuk dat je het blog hebt gelezen!


    5 oktober 2017 om 08:48
    AC

    Duidelijk artikel Jasmijn!

    Ik zit nog wel met de volgende vraag, gezien ik hier altijd tegenstrijdige dingen over hoor en lees:

    Wanneer iemand zich aanmeld voor een nieuwsbrief mailinglijst op een website, moet deze persoon dan ook nog een email ontvangen waarbij een extra opt-in conformatie button geklikt moet worden? (Aangezien de persoon in kwestie dan zelf de handeling heeft ondernomen om zich aan te melden)


    5 oktober 2017 om 08:53
    Anne

    @Jasmijn

    Dank voor je reactie. Ik bedoelde iets anders. Is het niet zo dat onder GDPR persoonsgegevens die niet je niet meer nodig hebt, je niet meer mag bewaren?


    5 oktober 2017 om 08:57
    Jonas Lodewegen

    Jasmijn, bedankt voor het artikel! Ik ben benieuwd hoe je over het volgende denkt: Wanneer een bedrijf een relatie met een persoon heeft die beperkt is tot een nieuwsbriefinschrijving, is het dan proportioneel om na een opt-out het mailadres van die persoon te behouden (met opt-out status)? Vooral in het licht van het dataminimalisatieprincipe vraag ik me dit af.


    5 oktober 2017 om 09:00
    Jasmijn Hemersma

    Hoi AC, Bedankt voor je bericht! Het is niet verplicht om gebruik te maken van een double opt-in, waarbij je een extra bevestiging vraagt aan de gene die zich heeft ingeschreven. Het heeft wel voordelen: zo weet je bijvoorbeeld echt zeker dat iemand zichzelf heeft ingeschreven en je mails wilt ontvangen én dat het een werkend e-mailadres is voordat je deze toelaat tot je mailinglijst. Een nadeel is dat je een gedeelte van je inschrijvers zal verliezen omdat ze zich “vergeten” te bevestigen. Maar volgens de GDPR/AVG is deze vorm van opt-in niet verplicht.

    Groeten Jasmijn


    5 oktober 2017 om 09:08
    Jasmijn Hemersma

    Hoi Anne,

    Er wordt in de wettekst gezegd dat je persoonsgegevens niet langer mag opslaan dan je het nodig hebt. Maar een richtlijn qua tijd wordt hierin niet gegeven. Dit is één van de punten in de wettekst die nog ruimte laten voor interpretatie. Het lijkt mij vrij onlogisch als je informatie van een actieve opt-in, die maandelijks 1 of meer nieuwsbrieven van je opent, na 2 jaar ineens moet verwijderen. Zodra hier meer over bekend is, zal ik deze als comment delen onder deze post.

    Groeten Jasmijn


    5 oktober 2017 om 09:18
    Jasmijn Hemersma

    Hi Jonas, Bedankt voor je reactie! Waarom zou je deze info verwijderen als dit nog niet direct nodig is? Juist om je goed aan de wetgeving te houden is opt-out informatie ook heel waardevol. Stel je “verwijderd” gegevens van iemand die zich heeft uitgeschreven voor je nieuwsbrief. Vervolgens wordt hij klant en je kiest er als bedrijf voor om nieuwe klanten pro-actief in te schrijven voor (hem relevante) mailings. Officieel mag je hem niet meer mailen, omdat hij zich in het verleden heeft uitgeschreven, maar aangezien je zijn gegevens hebt verwijderd kun je geen check meer doen of hij zich in het verleden heeft uitgeschreven. Op dit moment mail je hem tegen zijn wens in en dat mag natuurlijk niet.

    Dat je de klant na enkele jaren na uitschrijven verwijderd vind ik een ander verhaal.

    Ik hoop je vraag goed te hebben beantwoord.

    Groeten Jasmijn


    5 oktober 2017 om 09:28
    Anne

    @Jasmijn

    Dan is het toch wel logisch om informatie van een opt-out te verwijderen?


    5 oktober 2017 om 09:30
    Anne

    “je kiest er als bedrijf voor om nieuwe klanten pro-actief in te schrijven voor (hem relevante) mailings.”

    Dat mag toch ook niet. De klant dient dan expliciet aan te geven dat hij zich (weer) wil inschrijven voor de nieuwsbrief.


    5 oktober 2017 om 09:35
    Jasmijn Hemersma

    Hi Anne,

    Zie mijn reactie op Jonas waarom ik informatie over een opt-out niet zou adviseren om te verwijderen. Of doelde je op deze reactie?


    5 oktober 2017 om 09:35
    Jasmijn Hemersma

    Hi Anne,

    Ik zie nu je vervolgvraag. Je mag klanten waarmee je een betaalrelatie hebt pro-actief inschrijven voor je nieuwsbrief waarin je relevante producten/informatie communiceert voor de klant, tenzij hij zich in het verleden heeft afgemeld voor je mailings. Als je de opt-in of -out informatie van een klant verwijderd kun je dus nooit die check doen of iemand zich in het verleden heeft uitgeschreven.


    5 oktober 2017 om 09:40
    Anne

    Ja daar doelde ik op. Als de relatie alleen is beperkt is tot een nieuwsbriefinschrijving dan zijn de gegevens bij een uitschrijving toch niet meer nodig? Als hij/zij daarna klant wordt dan moet er toch apart toestemming worden gevraagd voor opname in de maillijst (lost van het akkoord voor de gegevensverwerking voor het klantaccount). Afhankelijk van die keuze kun je hem dan wel/niet mailen. Heeft toch niets te maken met een eerdere opt-out?


    5 oktober 2017 om 09:54
    Jasmijn Hemersma

    Je hebt geen toestemming nodig om een klant te mailen. Je mag hem mailen tot hij zich uitschrijft. Hierin moet zeker naar de voorgeschiedenis qua uitschrijvingen gekeken worden. Kun je niet met 100% zekerheid zeggen dat iemand zich nooit heeft uitgeschreven, dan zou ik inderdaad wel om toestemming vragen.

    Het is een keuze om wel altijd toestemming te vragen aan klanten om zich in te schrijven. In dit geval doet een eerdere opt-out er niet toe. Maar het is dus niet verplicht die toestemming te vragen wanneer je een betaalrelatie hebt.


    5 oktober 2017 om 10:05
    Anne

    Ligt dat niet wat genuanceerder? Is het niet zo dat bij een soft opt-in bij het verwerven van de gegevens ook duidelijk de mogelijkheid van een opt-out moet zijn gegeven. Als die er niet is mag je niet mailen, ook al is er een betaalrelatie en is er een opt-out in de email.


    5 oktober 2017 om 11:24
    Anja Bart

    Ik ben zelf al een tijdje met dit onderwerp bezig, en er is nog veel onduidelijkheid omtrent de interpretatie van de wet. De DDMA raadt het bijvoorbeeld af om voor mei 2018 eenmalig te mailen om een bevestiging van een eerdere opt-in te vragen. Mij lijkt dat ook de enige mogelijkheid om een waterdichte opt-in te krijgen, maar de DDMA denkt daar dus anders over.


    5 oktober 2017 om 11:34
    Anja Bart

    Ik ben zelf al een tijdje met dit onderwerp bezig, en er is nog veel onduidelijkheid omtrent de interpretatie van de wet. De DDMA raadt het bijvoorbeeld af om voor mei 2018 eenmalig te mailen om een bevestiging van een eerdere opt-in te vragen. Mij lijkt dat ook de enige mogelijkheid om een waterdichte opt-in te krijgen, maar de DDMA denkt daar dus anders over.


    5 oktober 2017 om 11:34
    Jasmijn Hemersma

    Voor zo ver ik weet moet je, in de eerste mail die je stuurt, een duidelijke melding plaatsen dat iemand vanaf dat punt commerciële mails van je krijgt. En in elke commerciële mail moet natuurlijk de mogelijkheid aanwezig zijn om je af te melden. Heb je toevallig een bron waarin staat dat je bij het verzamelen van een soft-optin je direct een uitschrijfmogelijkheid moet plaatsen? Thanks!


    5 oktober 2017 om 11:36
    Jasmijn Hemersma

    Hi Anja Bart, bedankt voor je reactie. Ik zou zo’n mail ook alleen sturen aan de groep opt-ins waarvan je niet meer met zekerheid kunt achterhalen waar en wanneer je hun opt-in hebt verzameld. Geeft de DDMA ook een alternatief dan? Bedankt!


    5 oktober 2017 om 11:40
    Jasmijn Hemersma

    Hoi Anne,

    Bedankt voor de bronnen. Zoals het er staat moet je dus een mogelijkheid geven om je uit te schrijven op het moment dat je de gegevens verzamelt. Je mag een klant pas mailen op het moment dat je een betaalrelatie hebt, dus je geeft pas de opt-in mee op het moment dat de factuur is voldaan. Bij het ene bedrijf is dit direct wanneer je de order plaatst en nog op de website bent en bij het andere bedrijf is dit misschien pas na 14 dagen. Daarom zou je prima in de eerste welkomsmail die je stuurt, nadat je de opt-in status wijzigt, de klant kunnen informeren over zijn nieuwsbriefinschrijving. En zoals ik eerder noemde is er in elke commerciële mail die je stuurt een uitschrijfmogelijkheid. Zoals ik het zie heb je dit punt dan getackeld en voldoe je aan de wetgeving. Ik ben benieuwd hoe jij dit ziet.

    Groeten Jasmijn


    5 oktober 2017 om 18:51
    Anne

    Voor Nederland is de bron overigens de Telecomwet (11.7 lid 3), maar dat weet jij ongetwijfeld beter dan ik:

    “ Een ieder die elektronische contactgegevens voor elektronische berichten heeft verkregen in het kader van de verkoop van zijn product of dienst mag deze gegevens gebruiken voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden met betrekking tot eigen gelijksoortige producten of diensten, mits bij de verkrijging van de contactgegevens aan de klant duidelijk en uitdrukkelijk de gelegenheid is geboden om kosteloos en op gemakkelijke wijze verzet aan te tekenen tegen het gebruik van die elektronische contactgegevens, en, indien de klant hiervan geen gebruik heeft gemaakt, hem bij elke overgebrachte communicatie de mogelijkheid wordt geboden om onder dezelfde voorwaarden verzet aan te tekenen tegen het verder gebruik van zijn elektronische contactgegevens.”

    Maar de vraag is vervolgens of deze soft opt-in onder de GDPR ook nog is toegestaan? Ik kan daar geen eenduidig antwoord op vinden.

    Ik lees op Engelse sites (op Nederlandse is helemaal niets te vinden) dat dit onder “legitimate interest” ook zonder positieve toestemming zou kunnen, maar elders ook weer dat dit niet kan.

    Daarbij gebruiken veel bedrijven emailsoftware waarmee bijgehouden wordt of de mails is geopend, of er is doorgeklikt is etc.

    Is bij deze tracking sowieso niet altijd een positieve opt-in noodzakelijk onder GDPR?

    Als je meer hierover weet hoor ik het graag.


    6 oktober 2017 om 07:06
    michelhendriks

    Helder artikel, leuk om alles nog eens op een rijtje te zien! Je zegt onder andere het volgende:

    “De data die je nodig hebt om een opt-in te bewijzen zijn: de opt-in status (ingeschreven of uitgeschreven), hoe je de opt-in hebt verkregen, wanneer je de opt-in hebt verkregen en welke toestemming is gegeven (inschrijven voor de nieuwsbrief, alleen meewerken aan onderzoeken, et cetera.).”

    Ik heb eerder gezocht naar welke data nodig is om een opt-in te bewijzen, maar kon daar niets over vinden. Dit staat niet in de GDPR vermeld toch? Of heb ik er overheen gelezen? En als ik dit zo lees, is dit nauwelijks bewijs te noemen dat je de opt-in daadwerkelijk hebt verkregen. Je kunt dit immers zelf ook in een database zetten. Ik zou zelf verwachten dat minimaal een combinatie van datum, tijd en IP-adres van de inschrijving in de richting komen van afdoende bewijs, al is ook dat niet waterdicht.

    Over die betaalrelatie overigens; dat heb ik ook altijd een beetje verwarrend gevonden. Officieel is het klantrelatie, maar de definitie van klantrelatie staat niet in de wet. Voorheen was de uitleg van de ACM dat er sprake KAN zijn van een klantrelatie als er een product of dienst is verkocht. Nu zie ik dat er staat dat iemand klant IS als er een product of dienst is verkocht. Een subtiel verschil!


    6 oktober 2017 om 13:50
    Jasmijn Hemersma

    Hi Michel,

    Leuk dat je de blogpost hebt gelezen! Het klopt dat er niet in de AVG/ GDPR staat welke info je exact moet opslaan nadat je een opt-in hebt gekregen. Het lijkt mij dat je met deze informatie prima kan aantonen dat iemand een opt-in heeft gegeven/gekregen: “de opt-in status (ingeschreven of uitgeschreven), hoe je de opt-in hebt verkregen, wanneer je de opt-in hebt verkregen en welke toestemming is gegeven (inschrijven voor de nieuwsbrief, alleen meewerken aan onderzoeken, et cetera.).” Het IP-adres zou je ook op kunnen slaan, maar ook in dit geval zal je nooit met 100% zekerheid kunnen aantonen dat je de opt-in op de juiste manier hebt verkregen en zal je altijd zelf de gegevens in je database kunnen zetten. Of er harde richtlijnen komen aan de data die je op moet slaan, zal de tijd ons leren.

    En wat betreft de klant/betaalrelatie. Het gaat er om dat er een aankoop is geweest. Deze regel wordt niet zo zeer behandeld in de AVG/GDPR, maar in de telecommunicatiewet: “Een ieder die elektronische contactgegevens voor elektronische berichten heeft verkregen in het kader van de verkoop van zijn product of dienst mag deze gegevens gebruiken voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden met betrekking tot eigen gelijksoortige producten of diensten”.

    Ik hoop dat ik je vraag goed heb kunnen beantwoorden.

    Groeten Jasmijn


    9 oktober 2017 om 09:48
    michelhendriks

    Hoi Jasmijn,

    Dank voor je reactie! Maar, met de informatie die je noemt kan ik niet bewijzen dat jij daadwerkelijk degene bent die de opt-in heeft afgegeven, toch? Terwijl dat me juist het doel van de wet lijkt. Als ik jouw mailadres ergens heb gekocht, zet ik gewoon jasmijn@mailadres in onze database, met optin=ja, verkregen via site.nl/nieuwsbrief op 9-10-2017 13:31 en toestemming voor de nieuwsbrief, onderzoeken en alles wat ik verder kan bedenken. Klaar, en keurig aan de wet voldaan! Dat kan niet de bedoeling zijn lijkt me.

    Ik denk inderdaad dat het IP-adres opslaan geen 100% garantie geeft, maar het geeft wel een indicatie wie de opt-in heeft afgegeven (mits je je inschrijft via een eigen internetaansluiting, en daar zit dan de valkuil). Er zullen vast geen harde richtlijnen komen, ik denk dat zoiets als dit alleen via jurisprudentie duidelijk gaat worden. Laten we hopen dat het zo ver niet snel komt 🙂


    9 oktober 2017 om 11:44
    jvanrijn

    @Michel

    Je voorbeeld van “zelf invullen” voldoet niet aan GDPR, omdat het gegevensvervalsing is. Liegbeest!

    Er is nog geen absolute set aan gegevens die het bewijzen van de opt-in geven. IP adres en datetimestamp van de inschrijving + bron ben je al een heel eind. Die bron is wel belangrijk om specifiek genoeg vast te leggen: denk aan versiebeheer van bijvoorbeeld formulieren en andere opt-in methoden.


    9 oktober 2017 om 12:34
    Anne

    De ICO ziet het opslaan van IP adres als “Bad practice”:

    BAD: “You keep the time and date of consent linked to an IP address with a web link to your current data-capture form and privacy policy”

    GOOD: “You keep records that include an ID and the data submitted online together with a timestamp. You also keep a copy of the version of the data-capture form and any other relevant documents in use at that date”


    9 oktober 2017 om 12:37
    Joep

    Hi Jasmijn,

    Helder artikel. Maar zoals ik ’t nu begrijp is de GDPR vanaf 25 mei ’18 actief voor álle landen in EU? M.a.w. voor Duitsland, waar ik dacht dat het strenger was, is een dubbele opt-in ook niet verplicht?

    Thanks.

    Gr. Joep


    10 oktober 2017 om 07:39
    Jasmijn Hemersma

    Hi Joep,

    De GDPR gaat nog een stapje verder. De wet geldt voor iedereen die naar Europese burgers mailt, dus voor een Amerikaans bedrijf die naar Nederlandse opt-ins mailt als voor een Nederlands bedrijf die naar Nederlandse opt-ins mailt. Aanvullende regels, zoals de double opt-in regel in Duitsland, zullen naast de GDPR blijven bestaan.

    Groeten Jasmijn


    10 oktober 2017 om 08:16
    michelhendriks

    @Anne

    Dank voor je toevoeging! Waar kan ik dit terugvinden? Ik ben benieuwd of ICO ook aangeeft waar dit standpunt op berust. Misschien is het een kwestie van semantiek, maar als ik lees dat ik moet kunnen aantonen dat ik toestemming heb, lijkt het voor mij vanzelfsprekend dat dat niet enkel kan op basis van gegevens die ik makkelijk kan vervalsen.

    @Jordie

    Bedankt Jordie, jou ontgaat ook niets! 😛


    10 oktober 2017 om 12:05
    Marc Poelsma – FRMWRK

    Duidelijk artikel! Een puntje, volgens mij is het pas bij 50 FTE verplicht om een data protection officer aan te stellen. Al kan het nooit kwaad een verantwoordelijke hiervoor aan te wijzen.


    9 november 2017 om 16:37
    Kim Smith

    Hi,

    Ik heb twee vaagjes

    – Je zegt als iemand zich uitschrijft dat je de gegevens niet hoeft te verwijderen. Maar voor welk doel heb je het email adres dan nog? Je moet gegevens toch verwijderen als het doel niet meer is?

    – Hoe sta jij tegenover het gebruik van gmail (google) onder de gdpr?

    Groet, Kim


    21 december 2017 om 12:38
    FJD

    @ Jasmine, het is logisch dat commerciële bedrijven een opt-in registratie moeten hebben voor het versturen van nieuwsbrieven. Maar geldt dat ook voor verenigingen? Ik doe namelijk vrijwilligerswerk en stuur o.a. nieuwsbrieven naar leden. Alvast bedankt voor je reactie. Groet, Frank


    23 januari 2018 om 13:01
    Jasmijn Hemersma

    Hoi Kim en FJD,

    Bedankt voor jullie vragen!

    @Kim: Opt-out informatie is ook waardevol. Je mag bijvoorbeeld klanten mailen tot het moment dat hij zich uitschrijft. Dit mag niet als hij zich in het verleden al heeft uitgeschreven. Stel je “vergeet” iemand die zich heeft uitgeschreven, kun je ook nooit meer een check doen op die uitschrijving om aan de wet te voldoen.

    Wat bedoel je precies met je 2e vraag? Gmail heeft geen andere regels onder de GDPR, dan andere clients.

    @FJD: De wetgeving geldt voor e-mailadressen van alle Europese burgers. Er wordt geen onderscheidt gemaakt tussen commercieel of particulier gebruik, als voor verenigingen. Dus ook in jouw geval is de GDPR van belang.

    Succes!

    Groeten Jasmijn


    24 januari 2018 om 13:01
    Frank

    Dag Jasmijn,

    Dank voor je artikel. In je reactie dd 24 januari schrijf je dat de AVG geen onderscheid maakt “tussen commercieel en particulier gebruik, als voor verenigingen.”. Dit lijkt niet te stroken met een eerder genoemd criterium, namelijk het hebben van een klantrelatie – in de praktijk kennelijk ook wel vertaald als een betaalrelatie.

    Een casus: een kunstenaar stelt belangstellenden een paar keer per jaar per e-mail op de hoogte van tentoonstellingen, met een nette uitschrijflink. Er wordt geen commercieel aanbod gedaan. Een opt-in lijkt hier alleen geboden voor diegenen die de afgelopen X maanden een werk van de kunstenaar kochten, of bijvoorbeeld ruimte in een galerie beschikbaar stelden, waarbij X het aantal maanden is dat een opt-in geldig is. Ben je het eens? Hoe lang is overigens een opt-in geldig?

    Ik ben benieuwd naar je antwoorden.

    Vriendelijke groeten,

    Frank Evelein


    8 februari 2018 om 15:29
    Jasmijn Hemersma

    Hoi Frank,

    Bedankt voor je reactie. Wat je zegt zijn 2 verschillende zaken:

    1. De AVG geldt voor iedereen die naar Europese burgers mailt. Dus ook voor de kunstenaar in jouw voorbeeld, mits hij mailt naar Europese burgers.

    2. Een uitzondering op de regel op gebied van opt-in is dat je een klant waarmee je een betaalrelatie hebt mag mailen over soortgelijke diensten of producten tot hij zich uitschrijft. Dus als we kijken naar jouw voorbeeld: de kunstenaar mag alle belangstellenden die toestemming hebben gegeven mailen EN hij mag klanten waarmee hij een betaalrelatie heeft mailen over soortgelijke producten of diensten.

    Er is geen officiele regel over hoe lang een opt-in geldig is. Ik zou adviseren om kritisch naar je database te blijven kijken en mensen die bijvoorbeeld 6 maanden geen mails meer van je hebben geopend een heractivatie campagne sturen en bij geen respons deze mensen uit te schrijven voor je nieuwsbrief.

    Groeten Jasmijn


    13 februari 2018 om 10:40
    PJ

    Ik hoop dat mijn vraag bij dit onderwerp past. Via je artikel over wetgeving rondom e-mailmarketing kwam ik hier terecht. Ik weet dat het in de VS verplicht is om een fysiek adres van de afzender in je nieuwsbrief te vermelden. Weet iemand of dit in NL ook verplicht is of wordt? Als ZZP’er met blog vind ik dit niet heel prettig.


    16 maart 2018 om 11:23
    Arvid Kuipers

    Hoi Jasmijn,

    Tof artikel, dank je!

    Ik heb een vraag over dit stuk

    ‘Voor elk doel moet er apart toestemming worden gegeven. Bijvoorbeeld een vinkje voor je opt-in en een vinkje dat de persoonsdata met derden wordt gedeeld.’

    Ik heb een opt-in waarin je m’n boek als PDF kunt downloaden.

    En daarbij staat vermeldt dat je af en toe een mailtje van me krijgt met tips.

    Begrijp ik het goed dat ik aan mn opt-in formulier nu vinkjes moet toevoegen? Dan zou je zoiets kunnen krijgen als dit:

    =====================================================================

    Naam: __________

    Email: ______________

    O stuur me je boek

    O stuur me een mail als er een nieuwe versie van je boek is

    O ja, ik ontvang graag af en toe een mail met tips

    [aanmelden]

    =====================================================================

    Ik zie op heel veel websites een opt-in voor een download, een proefles, een webinar.. en op de meeste staat geen apart vinkje ‘schrijf me in voor je nieuwsbrief’.

    Dus ik snap de interpretatie niet.

    Hartelijke groet,

    Arvid


    18 maart 2018 om 12:06
    petra siebelink

    En mag je klanten (die een bestelling hebben geplaatst of een cursus hebben gevolgd) altijd een nieuwsbrief sturen zonder toestemming/opt-in te vragen???? Nu mag dat wel zolang het om dezelfde type producten/diensten gaat.


    22 maart 2018 om 10:29
    Martin Schenderling

    Hoi Jasmijn,

    Ik verzorg regelmatig de digitale informatie nieuwsbrief, via YMLP (Mailchimp achtige), voor het Huis van de Wijk Rivierenbuurt in Amsterdam. Dit is een ’pure’ non-profitorganisatie zonder winstoogmerk of zakelijke belangen. De ontvangers kunnen zichzelf desgewenst via de mailings uitschrijven. Behalve hun e-mailadressen (totaal ca. 300 e-mail adressen) is/wordt er verder bij YMLP niets opgeslagen.

    Is het ook hiervoor noodzakelijk aan alle, soms wisselende, ontvangers toestemming te vragen of zij deze mailings willen (blijven) ontvangen?

    Graag verneem ik jouw antwoord wat te doen in dit geval.

    Met vriendelijke groet, Martin Schenderling


    19 april 2018 om 09:47
    Jasmijn Hemersma

    Hoi PJ,

    Bedankt voor je vraag. Het klopt inderdaad dat je contactinformatie over jou, als bestandeigenaar, moet verstrekken. Het volgende staat bijvoorbeeld in de Code E-mail: “De adverteerder draagt er zorg voor dat de bestandseigenaar zich in iedere e-mail zodanig identificeert dat de bestandseigenaar gemakkelijk en effectief bereikbaar is voor de geadresseerde van de e-mail door de contactgegevens van de bestandseigenaar, waaronder in ieder geval diens naam, adres en contactgegevens te vermelden of naar deze te verwijzen via een werkende link.”

    Groeten Jasmijn

    Hoi Arvid,

    Bedankt voor je bericht. Ook bij het aanvragen van een whitepaper moet je de toestemming van de aanvrager bemachtigen om hem in te schrijven voor je nieuwsbrief. Iemand die het formulier invult verwacht dat hij een whitepaper krijgt, dus hier hoef je ze geen vinkje te laten zetten. Je kunt hierbij tekstueel vermelden dat je nadat de aanvraag is ingediend je de whitepaper per mail verstuurd. Voor de andere 2 opties moet je inderdaad wel apart toestemming vragen.

    Groeten Jasmijn

    Hoi Petra,

    De nuance zit ‘m in 2 dingen:

    – De klant / cursist heeft een betaalrelatie met je. Hij heeft dus betaald voor de goederen en/of diensten.

    – Op het moment dat je zijn e-mailadres hebt verzameld dien je recht van verzet te bieden. Dit kan zijn in of na het bestelproces of in een welkomstmail die je direct stuurt. Via het recht van verzet biedt je de mogelijkheid om je af te melden voor je nieuwsbrieven. Dit kan via een vinkje in een checkbox zijn of een verwijzing naar de uitschrijflink in elke mail die je stuurt.

    Is dit het geval? Dan mag je inderdaad mails sturen over soortgelijke producten en diensten.

    Ik hoop je vraag naar wens te hebben beantwoord!

    Groeten Jasmijn

    Hoi Martin,

    Bedankt voor je vraag. De regels gelden ook voor non-profit organisaties. Als je op de juiste manier je contacten hebt verzameld en je dit zou kunnen bewijzen, dan hoef je niet opnieuw toestemming te vragen. Wanneer dit niet het geval is, zou je inderdaad moeten overwegen om opnieuw toestemming te vragen voor 25 mei.

    Groeten Jasmijn


    30 april 2018 om 08:40
    Margreet

    Hi

    I werf klanten via LinkedIn. Mag ik deze gegevens wel bewaren of mag dat alleen als de klant je verzoek heeft bevestigd?


    2 mei 2018 om 11:54
    Karin van Schaik

    Hoi Jasmijn,

    Wij verzamelen alleen e-mailadressen van klanten voor onze nieuwsbrief. Moet wij ook een privacy statement opstellen of is dit alleen voor persoonsgegevens die via een website worden verzameld?

    Goeten Karin


    3 mei 2018 om 12:52
    Karin van Schaik

    Hoi Jasmijn,

    Wij verzamelen alleen e-mailadressen van klanten voor onze nieuwsbrief. Moet wij ook een privacy statement opstellen of is dit alleen voor persoonsgegevens die via een website worden verzameld?

    Goeten Karin


    3 mei 2018 om 12:53
    Jasmijn Hemersma

    Hoi Margeet,

    Bedankt voor je vraag.

    Waar zou je de gegevens willen opslaan?

    Daarnaast is een connectie via LinkedIn geen toestemming om iemand via andere kanalen te benaderen met commerciële content, bijvoorbeeld voor het toesturen van je nieuwsbrieven.

    Groeten Jasmijn


    3 mei 2018 om 14:29
    Jasmijn Hemersma

    Hoi Karin,

    Tijdens het verzamelen dien je recht van verzet te bieden en kun je inderdaad ook verwijzen naar de privacy statement. Bijvoorbeeld in de check out.

    Groeten Jasmijn


    3 mei 2018 om 14:30
    Roy

    Dag Jasmijn,

    Onze stichting heeft dezelfde vraag die Martin 19 april jl gesteld heeft. Jouw reactie was dat als de contacten op “de juiste manier” verzameld zijn je niet opnieuw expliciet toestemming hoeft te vragen.

    Ons email bestand van ca 100 adressen is opgebouwd (a) omdat ze destijds via de website aangegeven hebben de nieuwsbrief te willen ontvangen of (b) doordat men ons hun email adres mondeling doorgegeven hebben tbv het ontvangen van nieuwsbrieven.

    Mijn vraag is vallen beide opties onder “de juiste manier”?

    Met vriendelijke groet, Roy


    18 mei 2018 om 13:25
    Jasmijn Hemersma

    Hoi Roy,

    Bedankt voor je vraag!

    Het gaat er om dat je de nieuwsbriefaanmelding kunt aantonen. Zo te lezen kun je in elk geval al verschil zien in wie zich via de website hebben aangemeld en wie mondeling akkoord heeft gegeven. Als je kunt aantonen dat je via de website een goed proces hebt ingericht voor de aanmelding en je voldoet aan de punten die ik in mijn blogpost noem onder “opt-in”, dan zit je goed. Een mondelinge overeenkomst is wat lastiger aan te tonen. Je kunt achteraf niet “bewijzen” of iemand vrijwillig de opt-in heeft gegeven en of duidelijk is aangegeven wat je van je inschrijving kunt verwachten. Mocht er een controle komen, dan kun je door deze opt-ins wellicht in de problemen komen. Daarom zou ik voor deze groep adviseren om een nieuwe opt-in uit te vragen en deze schriftelijk goed vast te leggen.

    Groeten Jasmijn


    23 mei 2018 om 08:03
    Mark

    Dag Jasmijn,

    In het kader van de bovenstaande vragen zie ik ook dat je schrijft dat de opt-in alleen geldt voor commerciële mailings. Is het voor een Stichting zonder commerciële doeleinden hierom niet nodig deze toestemming te vragen? Nieuwsbrieven hebben een puur informatief karakter. Ook hier worden de meeste adressen gebruikt met mondelinge toestemming.

    Groet,

    Mark


    23 mei 2018 om 10:58
    Mark

    Dag Jasmijn,

    Een belangrijke nuance op mijn vorige vraag:

    In het kader van de bovenstaande vragen zie ik ook dat je schrijft dat de opt-in alleen geldt voor commerciële mailings. Is het voor een particuliere mailing zonder commerciële doeleinden daarom niet nodig deze toestemming te vragen? Nieuwsbrieven hebben een puur informatief karakter. Ook hier worden de meeste adressen gebruikt met mondelinge toestemming.

    Groet,

    Mark


    23 mei 2018 om 11:14
    Jasmijn Hemersma

    Hoi Mark,

    Bedankt voor je vraag. De AVG geldt voor iedereen die naar Europese burgers mailt. Het onderscheid wat ik benoem in mijn blogpost is die tussen commerciële mails en transactionele e-mails. Transactionele e-mails zijn mails naar aanleiding van bijvoorbeeld een order. Hierbij kun je denken aan een orderbevestiging, factuur of wanneer een product niet meer leverbaar is. Deze mails mag je altijd sturen, maar mogen geen commerciële content bevatten. Alle andere mails die verstuurd worden zullen waarschijnlijk vallen onder de noemer “commercieel”.

    De mails die jij noemt, vallen voor zo ver ik het nu kan beoordelen, ook onder commercieel. Ook al zijn ze informatief, ze hebben waarschijnlijk als doel om een donateur langer aan te houden of meer te laten doneren. Dus ook van deze opt-ins moet je kunnen aantonen dat je ze op de juiste manier hebt verzameld.

    Groeten Jasmijn


    24 mei 2018 om 07:20
    Leonie

    Hi Jasmijn,

    als ik een puur informatieve nieuwsbrief stuur aan klante (ouders) van de kinderen van onze opvang organisatie is dan een opt-in mogelijkheid ook verplicht?

    En als we dit tot op heden nog niet hebben vastgelegd/gedaan, moeten we dit dan nu alsnog opzetten of is een opt-out mogelijkheid in de nieuwsbrief dan voldoende?

    Alvast bedankt voor je reactie. Groet Leonie


    29 mei 2018 om 11:39
    Jasmijn Hemersma

    Hoi Leonie,

    Serviceberichten mag je altijd sturen. Denk bijvoorbeeld aan berichten zoals “De opvang sluit op maandag een uur eerder” of “De prijzen worden verhoogd”.

    Gaat het om berichten die commercieel van aard zijn, dan moet je inderdaad gaan werken met een opt-in. In elke nieuwsbrief zit natuurlijk een werkende afmeldknop.

    Je kunt het opt-in proces heel mooi onderdeel maken van het aanmeldformulier welke een ouder invult bij het aanmelden van hun kind.

    Succes! Groeten Jasmijn


    13 juni 2018 om 15:01
    Marcel Janssen

    Dag lotgenoten,

    Hoe gaan jullie om met e-mails ooit ontvangen van betrokkenen waarvan de data (dus ook de e-mail) ‘moeten’ worden vernietigd? e-mail kunnen in meerder map[en zijn opgeslagen, ook bij verschillende personen.

    Ik hoor graag hou jullie hiermee ogaan.

    Met vriendelijke groeten,

    Marcel


    25 februari 2019 om 13:10
    Д а р и м В а м л o т e p e й н ы й б и л е

    М ы д а р и м В а м б и л е т Г О С Л О Т О . У с п е х о в в р о з ы г р ы ш е ! З а б р а т ь в ы и г р ы ш н ы й б и л е т : http://www.tinyurl.com/bafpoips MTGJNF6879THRT


    25 november 2020 om 22:01

Marketingfacts. Elke dag vers. Mis niks!