Op 25 mei 2018 trad de AVG (GDPR) in werking, dit heeft ook gevolgen voor e-mailmarketing. Verzamel je e-mailadressen en verstuur je mailings? Dan moet je voldoen aan de regels. Dit is met de huidige wetgeving echter ook al geregeld. Het is dus belangrijk om te beginnen met controleren of je nu voldoet.
Je hoeft je geen zorgen te maken als je nu ook al voldoet aan de wetten en regels. In dit geval mag je ook na 25 mei gewoon blijven mailen aan je huidige database, zonder dat je iets hoeft te wijzigen.
Er zijn wel nog een paar andere dingen om rekening mee te houden … het gaat er vooral om dat je transparant en relevant bent.
Wat is een geldige opt-in?
Hoe weet je of jouw e-maildatabase voldoet aan de AVG? Volgens de wetgeving moet je de opt-in kunnen aantonen. Dit doe je door ervoor te zorgen dat de volgende informatie per opt-in in jouw e-maildatabase terug te vinden is:
- Wie de e-mail opt-in heeft afgegeven
- Waar en wanneer deze is verkregen
- Hoe de opt-is verkregen (de daadwerkelijke aanmeldtekst moet per opt-in worden opgeslagen, daarmee kan worden beoordeeld of de informatie op dat moment helder en begrijpelijk was), daarmee is ook inzichtelijk welke toestemming is gegeven
Een e-mailadres die niet voldoet aan de GDPR moet opnieuw worden verkregen (toestemming) of je moet deze verwijderen.
Hoe verkrijg je een geldige opt-in?
De AVG geeft geen specifieke regels over hoe je het aanmeldproces moet inrichten. Ook hier blijft de huidige wetgeving van toepassing. De aanmelder moet zelf een duidelijk bevestigende actie uitvoeren, bijvoorbeeld het aanvinken van een checkbox. Vooraf aangevinkte checkboxes tellen dus niet mee, omdat de aanmelder dit zelf niet heeft aangezet.
Contacten moeten expliciet toestemming geven voor het ontvangen van mailings en ze moeten voorafgaand aan de aanmelding weten waarvoor de gegevens worden gebruikt. Een duidelijke aanmeldtekst is dus heel belangrijk! Uit de tekst moet duidelijk kunnen worden opgemaakt wat het onderwerp van de mailing is, hoe vaak deze wordt verstuurd en of er data aan derden wordt verstrekt.
Commerciële mailings mogen alleen worden verstuurd aan contacten die daarvoor toestemming hebben gegeven. Deze toestemming (opt-in) is al geregeld in de huidige Telecomwet. De persoonsgegevens die je hebt ontvangen, mag je alleen gebruiken voor het doel waarvoor je ze hebt verkregen. Stel iemand laat zijn e-mailadres achter om een whitepaper te downloaden, dan mag je dit niet zien als een nieuwsbriefinschrijving. Dit geldt ook voor als je meerdere soorten nieuwsbrieven verstuurt. Je moet in dat geval toestemming krijgen voor elke nieuwsbrief.
Dubbel opt-in
Het is niet nodig om een dubbele opt-in te hebben, maar het is wel verstandig. Je moet de toestemming immers kunnen bewijzen. Met een single opt-in kan iedereen iemand anders inschrijven voor een nieuwsbrief, met alleen een e-mailadres. Je kunt in dat geval niet bewijzen dat je toestemming hebt van de daadwerkelijke ontvanger. Met een dubbele opt-in wordt er nog een e-mail met een bevestigingslink gestuurd naar het ingeschreven adres. Pas wanneer de ontvanger ook op deze link klikt, is deze pas echt ingeschreven. In dat geval weet je wel zeker dat de eigenaar van het e-mailadres ook toestemming geeft.
Mag je mailings personaliseren?
De AVG is niet bedoeld om mailen en marketing onmogelijk te maken, maar eerder erop gericht om te verzekeren dat dit niet ten nadele van de ontvanger komt. Klikgedrag kan bijvoorbeeld ten nadele van de ontvanger worden gebruikt voor het verhogen van prijzen (een bedrijf weet dat contact x interesse heeft in een bepaald product of dienst en verhoogt de prijs voor contact x). Houdt dus altijd het belang van de ontvanger in gedachten. Zorg dat jouw contacten relevante mailings ontvangen. Dat is prettig voor de ontvanger en daarmee uiteindelijk ook voor jouw bedrijf.
Je mag het open- en klikgedrag van je contacten bijhouden, profielen verrijken en segmenteren. Je kunt daarmee immers de relevantie voor de ontvanger verhogen.
Wat niet mag is persoonsgegevens opslaan, zonder dat je ze gebruikt. Oftewel hebben om het hebben. Zorg er dus voor dat je de gegevens die je hebt ook inzet. Doe je dat niet, dan moet je de data verwijderen. Dat is het stukje data-minimalisatie dat de AVG met zich meebrengt.
Een simpel voorbeeld is de geboortedatum van een contact. Doe je er niks mee, dan mag je deze data niet hebben. Gebruik je de geboortedatum om 1 keer per jaar een verjaardagsmail te sturen? Dan mag het wel.
E-mailadres uitschrijven en de AVGHet moet heel gemakkelijk zijn voor de ontvanger om zich uit te schrijven. De optie op uit te schrijven moet in elke nieuwsbrief worden aangeboden en je mag niet eens vragen om welk e-mail adres het gaat. Het gaat er namelijk ook weer om dat het zo simpel mogelijk is.
Zodra iemand zich uitschrijft heb je de persoonsgegevens niet meer nodig voor het doel waarvoor ze zijn verkregen. Vanuit de data-minimalisatie moet je deze gegevens dan ook meteen verwijderen. Dit is, tenzij je in je privacy verklaring al duidelijk hebt aangegeven, hoe lang je de gegevens (ook na uitschrijving) bewaart en waarom.
Tot slot heeft je klant het recht op vergetelheid. Met de AVG ben je verplicht om dit recht te erkennen en daarmee alle opgeslagen persoonsgegevens te verwijderen.
E-mailbestanden delen met derden
Hoe makkelijk is het dat je een bestand met jouw e-mailcontacten kan uploaden in Facebook, zodat je deze contacten op Facebook kunt bereiken met een mooie advertentie! Het lijkt misschien onschuldig, je hebt die contacten al via een opt-in… maar je hebt specifiek toestemming nodig van die contanten als je hun e-mailadres ook aan derden gaat verstrekken.
Daarnaast is het ook verplicht om een verwerkersovereenkomst te sluiten met een derde partij waar je persoonsgegevens aan verstrekt. Kijk daarom ook uit met het ontvangen van e-mailbestanden van derden. Heeft degene die de lijst aanlevert ook de toestemming om de gegevens met jou te delen, met als doel dat jij ze gaat mailen? Weet je dit niet zeker en heb je geen bewijs voor de opt-ins, mail dan niet!
Het valt wel mee!
Zoals je ziet valt het allemaal wel mee, want je moet nu ook al aan de meeste regels voldoen. De AVG zorgt er vooral voor dat je transparant moet zijn over wat je met de persoonsgegevens van je contacten doet.
Tip: zet alle maatregelen die je treft in het kader van de AVG en de verwerking van persoonsgegevens voor jezelf op papier. Zo heb je voor jezelf een duidelijk overzicht en kun je dit ook gebruiken om aan te tonen dat je je bewust bent van de AVG.
