Home Blog Clang is AVG/GDPR-PROOF!

Clang is AVG/GDPR-PROOF!

Clang is AVG/GDPR-PROOF!

Geschreven door Femke van Zelst / 28 mei 2018 / Wet- en regelgeving / Techniek

Per 25 mei 2018 is de Wbp (Wet bescherming persoonsgegevens) vervangen door de AVG (Algemene Verordening Gegevensbescherming), internationaal ook wel bekend als GDPR (General Data Protection Regulation). Deze nieuwe wetgeving geldt voor de hele Europese Unie en heeft twee belangrijke consequenties: versterking en uitbreiding van privacyrechten en meer verantwoordelijkheden voor organisaties. Hierbij speelt de ESP een belangrijke rol en als e-mailmarketeer wil je natuurlijk weten is Clang klaar voor de AVG/GDPR? Het antwoord is: JA! In dit blog lees je hoe Clang klaar is voor de AVG/GDPR.

Verwerken van data

E-mailmarketing is een vorm van direct marketing. Over direct marketing staat in artikel 6 van de AVG/GDPR:

‘’De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.’’

Dit betekent dat de AVG/GDPR stelt dat het verwerken van persoonsgegevens voor e-mailmarketingdoeleinden is toegestaan op basis van de grondslag van een gerechtvaardigd belang. Er is sprake van gerechtvaardigd belang wanneer er een relevante en passende verhouding is tussen een organisatie en de persoon wiens gegevens worden verwerkt. Deze verhouding is bijvoorbeeld aanwezig tussen een organisatie en haar klanten. Zolang het marketingbelang opweegt tegen het privacybelang van de betrokkene, is het dus toegestaan om persoonsgegevens te verwerken. De manier waarop je persoonsgegevens verwerkt moet worden opgenomen in het privacy statement.

Rechten en plichten

De AVG/GDPR brengt een aantal nieuwe rechten en plichten met zich mee. Zodra een betrokkene van zo’n recht gebruik wil maken, dan ben je verplicht hem zo snel mogelijk van dienst te zijn. Hieronder worden enkele rechten en plichten uitgelicht en hoe je hier binnen Clang aan kunt voldoen.

Transparantie

Transparantie is een belangrijke plicht binnen de AVG/GDPR. Zo moet je in je privacy statement transparant zijn over je (e-mail)marketingactiviteiten en moet je transparant zijn over alle maatregelen die je hebt doorgevoerd om AVG-compliant te zijn.

Bewijsplicht tot het aantonen van geldige toestemming

Na 25 mei mag je alleen nog commerciële mailings versturen aan contacten die daarvoor toestemming hebben gegeven. Wanneer je al toestemming hebt, hoef je daar niet opnieuw om te vragen. Als bedrijf moet je kunnen bewijzen dat je geldige toestemming voor het verzamelen van persoonsgegevens hebt gekregen. In je database moet je dus duidelijk vermelden wat de privacystatus van iedere record is, wanneer deze verkregen is, op welke manier deze verkregen is en waarvoor precies toestemming is gegeven.

Status

In een klantoptieveld (ofwel customer option veld) in Clang kun je de nodige informatie met betrekking tot het vastleggen van de toestemming opslaan. Door in dit veld een versienummer van het privacy statement op te slaan, kun je de records, wanneer je privacy statement wijzigt, gemakkelijk informeren over de wijzigingen.

Wanneer

Bij het aanmaken van een record slaat Clang automatisch de datum op (created at). Wanneer een toestemming niet direct bij het vastleggen van een record plaatsvindt, kun je de datum van het verkrijgen van de toestemming opslaan in het daarvoor zelf aangemaakte klantoptieveld.

Hoe

Wanneer de vastlegging van de toestemming binnen Clang plaatsvindt, kan ook deze informatie opgeslagen worden in een klantoptieveld. Denk hierbij aan: datum bevestiging dubbel opt-in (de hiervoor gebruikte content wordt opgeslagen in het historieoverzicht) of datum laatste transactie.

Waarvoor

Bij expliciete toestemming gaat de betrokkene akkoord met het ontvangen van commerciële e-mails van jouw bedrijf. Uiteraard moet het voor de betrokkene duidelijk zijn waar hij mee akkoord gaat. Het is dan ook verstandig om de akkoordgave (de tekst van de stelling waarmee een betrokkene akkoord gaat) te voorzien van een versienummer en deze op te slaan in een klantoptieveld. Zo kun je hierop selecteren en bij een wijziging van de voorwaarden de betreffende personen gemakkelijk op de hoogte stellen. Hieronder twee voorbeelden van een akkoordgave:

‘’Ja, ik wil graag via e-mail op de hoogte gehouden worden over voor mij interessante informatie, producten, diensten en aanbiedingen van {bedrijf X}.’’

‘’Ja, ik wil graag op de hoogte gehouden worden van {bedrijf X} en wil maandelijks de nieuwsbrief met aanbiedingen en informatie ontvangen.’’

Recht op vergetelheid

Wanneer een betrokkene wil dat zijn gegevens worden verwijderd, dan kan hij gebruikmaken van het recht op vergetelheid. Je bent als bedrijf dan verplicht om dit recht te erkennen en alle opgeslagen gegevens te verwijderen. In bijvoorbeeld een preference center kan de betrokkene zijn gegevens aanpassen of verwijderen. Clang voorziet in diverse mogelijkheden om gegevens te verwijderen, bijvoorbeeld met het object ‘RemoveCustomer’ in de Campaign Designer. Door het RemoveCustomer-object in je campagne te implementeren, worden de records die je mailings niet meer willen ontvangen automatisch uit Clang verwijderd.

Voorbeeld preference center AVG-PROOF

Figuur 1: Voorbeeld van een goed preference center

Recht op vergetelheid

Een betrokkene heeft het recht om te weten of zijn persoonsgegevens verwerkt worden en wanneer dit zo is, heeft hij recht op informatie over deze gegevens. De betrokkene heeft onder andere recht op informatie over:

  1. de doelen van de verwerking;

  2. de betrokken categorieën van persoonsgegevens;

  3. de opslagperiode;

  4. aan wie de persoonsgegevens worden verstrekt;

  5. het feit dat de betrokkene een klacht in kan dienen.

Je bent dus verplicht om een betrokkene duidelijk te informeren over wat je met zijn persoonsgegevens doet. Je kunt dit het best in je privacy statement vermelden. Het is daarnaast ook mogelijk om pop-ups te tonen met een toelichting bij elke toestemmingsvraag.

Recht van verzet

Het recht van verzet houdt in dat een betrokkene het recht heeft om een organisatie te vragen zijn persoonsgegevens niet meer te gebruiken. Organisaties moeten dit verzet altijd respecteren. Zorg er daarom voor dat je in al je commerciële e-mails een afmeldproces bouwt.

Recht van inzage

Een betrokkene heeft het recht om te weten of zijn persoonsgegevens worden verwerkt door de verantwoordelijke. Wanneer de betrokkene zich beroept op het recht van inzage dan ben je als organisatie verplicht om een kopie te verstrekken van de persoonsgegevens die worden verwerkt. De gegevens die je van een betrokkene in het klant(optie)veld en campagneveld hebt opgeslagen, kun je gemakkelijk uitdraaien via exports.

Recht op rectificatie

Wanneer een betrokkene zijn gegevens wil wijzigen, kan hij een beroep doen op het recht op rectificatie. Dit kan hij bijvoorbeeld doen via een preference center. Op deze pagina kan de betrokkene zien voor welke contactmomenten en/of communicatievormen hij zich kan aanmelden en heeft aangemeld. Deze pagina kun je uitbreiden tot een profieloverzichtspagina, waar je de betrokkene inzicht geeft in de verkregen en door hem verstrekte data. Je kunt de betrokkene hier de mogelijkheid geven om zijn gegevens te wijzigen en te verwijderen. Hulp nodig bij het maken van een preference center? Neem dan contact op met een Project Manager

Gooi je database niet weg!

Het vragen om een opt-in voor het versturen van commerciële e-mails is geregeld in de Telecommunicatiewet (Tw). Deze wet verandert niet. Al het overige, zoals het verwerken van gegevens, staat in de AVG. De AVG is direct van invloed op de Telecommunicatiewet, omdat deze wet voor de definitie van het verkrijgen van toestemming naar de Wet bescherming persoonsgegevens (Wpb) verwijst en de Wpb wordt dus per 25 mei vervangen door de AVG. Het belangrijkste verschil is dat de toestemming van de betrokkene voortaan ‘ondubbelzinnig’ moet zijn. De toestemming moet een vrijwillige actieve handeling zijn en mag niet worden ontleend aan een akkoord op de algemene voorwaarden.

De AVG vereist de bewijslast. Als je toestemming van de betrokkene hebt verkregen, dan moeten je die kunnen aantonen. De spelregels voor de opt-in en opt-out blijven verder zoals ze zijn. Zolang je opt-ins conform de huidige wetgeving zijn verkregen en je aan kunt tonen hoe, hoef je je opt-ins niet opnieuw aan te vragen en al helemaal niet weg te gooien! Hieronder nog even kort waar je opt-in aan moet voldoen:

  • De e-mail opt-in moet een duidelijke en bevestigende actie zijn.

  • De opt-in moet gescheiden zijn van andere voorwaarden en het mag geen voorwaarde zijn voor het leveren van een product of dienst. “Bij het accepteren van de algemene voorwaarden wordt u automatisch ingeschreven voor onze nieuwsbrief’’ is dus verboden.

  • Het is verboden om de opt-in checkbox automatisch aan te vinken. Dit heet 'Privacy by default'.

  • Je hebt gescheiden opt-ins nodig als je de data op verschillende manieren gebruikt, ofwel: wanneer je dezelfde data voor verschillende doelen inzet. Dit heet ook wel 'doelbinding'.

  • In je database moet de opt-in worden bijhouden zodat je kunt aantonen dat je daadwerkelijk toestemming van de betrokkene hebt ontvangen.

  • Ontvangers hebben het recht om de opt-in in te trekken. Je moet de ontvanger duidelijk laten weten hoe hij zich kan uitschrijven. Dit kan worden vormgegeven in een 'Privacy Statement'.

De afgelopen periode hebben wij voor diverse klanten, waaronder Robeco, Zicht Adviseurs en Technische Unie, AVG/GDPR-campagnes gebouwd. Heb je hulp nodig bij het bouwen van een AVG/GDPR-campagne of laat je het liever volledig aan ons over? Onze e-mailspecialisten staan voor je klaar! Neem voor meer informatie contact op met je Project Manager.

Wil je meer weten over de AVG/GDPR? Lees dan ons blog Alles wat je als e-mailmarketeer moet weten over de AVG/GDPR.

Scroll omhoog