Wat betekent deze nieuwe wet voor je e-mail marketing activiteiten?
Ik krijg steeds meer vragen van klanten over het versturen van nieuwsbrieven. Laat ik met ‘de hamvraag’ beginnen.
Mag ik mijn huidige mailinglijst blijven gebruiken om nieuwsbrieven te versturen?
Je mag na 25 mei 2018 commerciële mailings blijven versturen naar je huidige e-mail klantenlijst, maar alleen aan contacten welke daarvoor toestemming hebben gegeven.
Overigens vallen info@bedrijfsnaam niet onder persoonsgegevens dus die kun je gewoon gebruiken. Doe er je voordeel mee!
Dat is goed nieuws en nu komt de maar… Je moet echter wel aan kunnen tonen hoe de opt-in (nieuwsbrief inschrijving) verkregen is in het verleden. De praktijk wijst uit dat dit wel eens lastig kan zijn.
Data welke je nodig hebt om de opt-in te kunnen bewijzen zijn:
- De opt-in status (ingeschreven of uitgeschreven)
- Hoe heb je de opt-in verkregen?
- Wanneer heb je de opt-in verkregen?
- Welke toestemming is er gegeven? (inschrijven voor nieuwsbrief of meewerken aan een onderzoek).
Kun je de opt-in (inschrijving van de nieuwsbrief) niet aantonen?
Een optie is om je e-mail klantenlijst ruim vóór 25 mei een mail te sturen, met de vraag of ze nog ingeschreven willen blijven voor je nieuwsbrief met bijvoorbeeld een ja- en een nee-button.
- Klikt men op ‘ja’, dan kun je de opt-in registeren.
- Bij een ‘nee’ klik, schrijf je de persoon uit. Verwijder deze gegevens nog niet, hierover staat verder in dit artikel waarom je dat beter niet kunt doen.
- Krijg je geen respons van bepaalde personen? Helaas, deze moet je dan uitschrijven voor je toekomstige nieuwsbrief activiteiten.
Wanneer mag je een (nieuwe) klant een nieuwsbrief sturen?
Je mag een klant mailen op het moment dat je een betaalrelatie hebt, dus als de factuur voldaan is.Jouw mailing moet wel gaan over soortgelijke producten en/of diensten welke afgenomen zijn.
En uiteraard moet er in iedere commerciële mail welke je stuurt ook een uitschrijfmogelijkheid zitten.
Belangrijkste AVG e-mail marketing punten
- De opt-in moet vrijwillig gegeven zijn door middel van een actieve handeling.
- De opt-in mag geen onderdeel zijn van de Algemene Voorwaarden.
- De ontvanger moet geïnformeerd worden waarvoor zijn data gebruiken gaat worden.
- Er mogen niet meer gegevens worden gevraagd dan noodzakelijk is voor het doel waarvoor de gegevens worden verwerkt.
- De gegevens moeten rechtmatig, behoorlijk en op transparante wijze verkregen zijn. Het moet dus duidelijk zijn waarvoor je de gegevens gaat gebruiken.
- Voor elk doel moet er apart toestemming worden gegeven. Bijvoorbeeld een vinkje voor je opt-in en een vinkje dat de persoonsdata met derden wordt gedeeld.
- Gebruik je ‘vinkjes’? Je mag niet al standaard een ‘vinkje’ aan hebben staan.
- Wanneer iemand nog geen 16 is, moet iemand met ouderlijk gezag (mede)toestemming geven.
- Registreer de opt-in. Je moet altijd kunnen aantonen hoe de opt-in verzameld is, zodat de rechtsgeldigheid ervan kan worden bewezen.
- Bij elk inschrijfformulier moet je verwijzen naar het privacy statement op de website.
- Elke commerciële mail moet voorzien zijn van een uitschrijfoptie, waarmee de geadresseerde zichzelf eenvoudig kan uitschrijven.
- Een ‘noreply@’-e-mailadres mag onder de nieuwe wetgeving niet meer. Als je dat nu gebruikt als afzender voor je (nieuwsbrief)mailverkeer, dan moet je dat aanpassen naar een adres waar de ontvanger wel naar kan mailen.
- Deze wist je wellicht al maar om het compleet te maken: je mag iemand niet meer mailen als hij/zij zich uitgeschreven heeft voor je nieuwsbrief.
Data-minimalisatie... wat is dat dan?
Data-minimalisatie is nieuw. Je mag niet allerlei persoonsgegevens verzamelen en opslaan zonder dat je ze gebruikt. Dus vraag en krijg je geboortedata welke je opslaat zonder hier iets mee te doen dan moet je deze verwijderen.
Maar je kunt deze gegevens ook goed gebruiken! Stuur een leuke persoonlijke verjaardagsmail naar je contacten. Dit is een hele effectieve vorm van email marketing!
Verwerkersovereenkomsten; wat zijn dat en wat moet ik ermee?
De wetgeving geldt ook voor andere partijen die in opdracht van jou gegevens verwerken. Dus als je samenwerkt met een E-mail Service Provider (ESP) zoals bijvoorbeeld MailChimp, Mistermail of andere ‘nieuwsbrief makers’ dan is deze ESP de verwerker van gegevens en is jouw bedrijf een verwerkersverantwoordelijke.
Zo ook als je je e-mail marketingactiviteiten (gedeeltelijk) uitbesteedt. In bovenstaande gevallen moet je een verwerkersovereenkomst afsluiten met elkaar.
Je hebt een webshop gekoppeld aan e-mail marketing software?
Als je een koppeling hebt welke rechtstreeks data synchroniseert met je e-mail marketing dan is voor de koppeling geen extra verwerkersovereenkomst nodig.
Je hebt wel een verwerkersovereenkomst nodig als de koppeling een dienst is welke geleverd wordt door een derde partij. In dit geval heb je volgens de AVG te maken met een extra verwerker omdat persoonsgegevens via deze derde partij in je e-mail marketing software terechtkomt.
Behalve dus met de leverancier van je webshop software moet je dus ook een verwerkersovereenkomst afsluiten met het bedrijf die de koppeling als dienst levert.
Wat leg je vast in een verwerkersovereenkomst?
In een verwerkersovereenkomst leg je het volgende vast:
- voor welke doeleinden de (persoons)gegevens verwerkt mogen worden;
- welke beveiligingsmaatregelen er zijn;
- in welke mate is er toezicht op het bedrijf dat gegevens verzameld;
- welke regels er gelden betreffende de onderlinge aansprakelijkheid.
Wat is een datalek?
Ieder beveiligingsrisico kan aangemerkt worden als een datalek. Bij beveiligingsincidenten waar sprake van kan zijn van een inbreuk op de beveiliging van persoonsgegevens kun je denken aan:
- een kwijtgeraakte USB-stick;
- een gestolen laptop;
- een inbraak door een hacker;
- een malware-besmetting*;
- verkeerd verzonden e-mail met persoonlijke data;
- een calamiteit zoals brand in een datacentrum.
* Malware-besmetting
Bij een malware-besmetting moet je ervan uitgaan dat er sprake is van een datalek. Bepaalde typen malware doorzoeken de besmette apparatuur op waardevolle persoonsgegevens zoals e-mailadressen, gebruikersnamen, wachtwoorden en creditcardgegevens, om de gevonden gegevens vervolgens weg te sluizen naar een server die in handen is van de aanvaller.
Een malware-besmetting stelt de getroffen persoonsgegevens dus bloot aan onbevoegde kennisname en andere vormen van onrechtmatige verwerking. Andere typen malware maken bestanden ontoegankelijk voor de rechtmatige eigenaar door ze te blokkeren (‘ransomware’) of te versleutelen (‘cryptoware’). Door deze vormen van malware worden de getroffen persoonsgegevens dus blootgesteld aan onbevoegde aantasting of wijziging.
Uitschrijvingen? Bewaar ze!
Als iemand zich uitschrijft voor je nieuwsbrief kun je de gegevens het beste niet verwijderen maar de status uiteraard wel in een opt-out wijzigen.
Waarom niet verwijderen?
Stel je wist de gegevens van iemand die zich heeft uitgeschreven voor je nieuwsbrief. Vervolgens wordt deze persoon opnieuw klant en als bedrijf heb je ervoor gekozen om nieuwe klanten pro-actief in te schrijven voor relevante mailings.
Officieel mag je deze klant dus niet meer mailen omdat hij/zij zich uitgeschreven heeft. Maar omdat je alle gegevens van deze klant gewist hebt, kun je niet checken of hij zich eerder uitgeschreven heeft. Dus waarschijnlijk ga je tegen de wens van deze klant weer mailen en dat mag nu net niet.
Weet je niet zeker of de klant zich eerder uitgeschreven heeft? Vraag dan gewoon om toestemming wel te mogen mailen.
Krijg je het verzoek om zijn of haar data te wissen (recht op vergetelheid), dan verwijder je uiteraard wel de gegevens.
Wat doe je in geval van een datalek?
De meldplicht datalekken geldt al sinds 1 januari 2016 dus dit is niet nieuw.
Een datalek hoeft alleen gemeld te worden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens of als een aanzienlijke kans bestaat dat dit gebeurt.
Zodra een verantwoordelijke voor de verwerking een lek vaststelt, moet dit zo snel mogelijk, binnen 72 uur, worden gemeld bij het Meldloket van de Autoriteit Persoonsgegevens.
Betrokkenen, dus de personen van wie je gegevens verwerkt, hoef je alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer. Heb je passende technische beschermingsmaatregelen (bijvoorbeeld goede encryptie) getroffen of zijn de gelekte gegevens onbegrijpelijk of ontoegankelijk dan hoeven de betrokkenen niet geïnformeerd te worden.
Je moet alle datalekken documenteren. Met deze documentatie moet de AP kunnen controleren of je aan de meldplicht hebt voldaan.
Amai, mijn e-mail lijst... wordt alleen maar kleiner door deze nieuwe wet!
Ja, dat kan het geval zijn. Maar is dat zo erg? Kijk je wel eens naar de statistieken van de e-mail nieuwsbrieven welke je verstuurd hebt? Hoe vaak en door wie worden je berichten gezien en geopend? Belangrijk is dat je relevant nieuws hebt. In de praktijk maakt A-merkwaardig vaak mee dat er maar 1 groep is waar alle nieuwsbrieven naar verzonden worden.
Luister, kijk en leer van je klanten; wat wil je klant? Deel je mailinglijst op in segmenten, speel daarop in en geef je klant die informatie welke voor hem/haar relevant is. Dit wordt vaak vergeten en ‘op grote hoop gegooid’. Kost tijd ja, maar dit is ook weer wel effectieve marketing…
Wellicht is dit ook een goed moment om eerst zelf je gekoesterde e-mail adressenbestand op te schonen. En misschien blijkt dan wel dat je een aantal e-mail adressen zelf al kunt schrappen.
Hoe ben je met je e-mail marketing 'AVG ready'?
Komt er veel op je af nu? Hoe meer je leest over de AVG, hoe meer beren je op de weg ziet. Heel begrijpelijk. Breng voor jouw bedrijf in kaart op welke punten je moet letten:
- Maak/zorg voor verwerkersovereenkomsten.
- Werk je samen met een ESP dan ben jij (als verwerkersverantwoordelijk) verplicht om na te gaan en te beoordelen of jouw ESP passende technische en organisatorische maatregelen heeft getroffen om de opgeslagen persoonsgegevens te beveiligen.
- Recht op informatie, verzet en rectificatie; zodra een contact van zo’n recht gebruik wil maken, moet je deze betrokkene snel en eenvoudig van dienst kunnen zijn.
- Wees transparant over je e-mail marketingactiviteiten in je privacy statement op je website.
En hoe gaat A-merkwaardig om met de nieuwe AVG wet?
A-merkwaardig vat deze wet serieus op. Volop bezig om alles ‘dicht te timmeren’ voor zover dit nog niet gedaan was om voor onze klanten een volwaardige en veilige partner te zijn. En ja, daar zien we ook zeker wat verbeterpunten in maar ook een nieuwe uitdaging.
Vraag je je af wat voor soort uitdaging A-merkwaardig hierin ziet? We zien dat niet iedereen actief met de AVG bezig is. A-merkwaardig wil zich op positief onderscheiden en meerwaarde bieden. Door alles goed geregeld te hebben en de klanten veiligheid te kunnen bieden, willen we ook hiermee het verschil maken.
Meer weten over e-mail marketing? Neem gerust contact op.