Alles wat je als e-mailmarketeer moet weten over AVG/GDPR

De AVG (Algemene Verordening Gegevensbescherming) of internationaal beter bekend als GDPR (General Data Protection Regulation) heeft invloed op vrijwel alle digitale marketingactiviteiten, dus ook op e-mailmarketing. Vanaf 25 mei 2018 moeten alle records die je commerciële e-mails stuurt voldoen aan deze wetgeving. In dit blog vertellen we wat je als e-mailmarketeer moet weten over AVG/GDPR.

AVG/GDPR

De AVG/GDPR is al op 25 mei 2016 in werking getreden, maar vanaf 25 mei 2018 wordt er ook daadwerkelijk gehandhaafd. De AVG/GDPR vervangt de huidige Wet bescherming persoonsgegevens (Wbp) en heeft invloed op alle bedrijven die persoonlijke data van Europese burgers gebruiken. Vanaf 25 mei 2018 moeten bedrijven kunnen aantonen dat zij toestemming hebben gekregen om de persoonsgegevens van de persoon in kwestie te verwerken.

Vanaf 25 mei 2018 heb je veel meer specifieke toestemming van de eindgebruiker nodig, wanneer je als organisatie met persoonlijke of naar een individuele persoon herleidbare data werkt.

1. Welke gegevens vallen volgens de AVG/GDPR onder het begrip ‘persoonsgegevens’?

De definitie van het begrip ‘persoonsgegevens’ wordt met de introductie van AVG/GDPR aangescherpt. Onder persoonsgegevens wordt verstaan: alle informatie over een geïdentificeerde of identificeerbaar persoon. Als het mogelijk is om iemand te identificeren, spreek je al van persoonsgegevens. Bij het verwerken van data kan onderscheid gemaakt worden tussen persoonsgegevens, pseudo-anonieme gegevens en anonieme gegevens.

Persoonsgegevens

Gegevens van een geïdentificeerd of identificeerbaar persoon. Voorbeelden: NAW-gegevens, telefoonnummer, e-mailadres, IP-adres, geboortedatum en locatiegegevens.

Pseudo-anonieme gegevens

Gegevens die zonder aanvullende informatie niet herleidbaar zijn naar een natuurlijk persoon, maar wel individualiseerbaar. Voorbeelden: hashed e-mailadres, ordernummer, klantnummer en gebruikersnaam. 

Anonieme gegevens

Als identificatie niet mogelijk is, dan is er geen sprake van persoonsgegevens. We spreken dan van anonieme gegevens. Dit valt buiten de scope van AVG/GDPR.

2. Wat zijn de rechten van de mensen?

Mensen krijgen door de AVG/GDPR een aantal aanvullende rechten. Hieronder noemen we er twee.

Recht op vergetelheid

Mensen hebben momenteel al het recht om bedrijven te verzoeken hun gegevens te verwijderen. Vanaf 25 mei kunnen zij ook eisen dat het bedrijf de verwijdering doorgeeft aan alle andere bedrijven die deze gegevens via dit bedrijf hebben verkregen.

Recht op dataportabiliteit

Mensen hebben straks ook (onder bepaalde voorwaarden) het recht om hun persoonsgegevens in een standaardformaat op te vragen bij bedrijven.

3. Moet ik een dubbele opt-in hebben?

Het is niet noodzakelijk om een dubbele opt-in te hebben. De AVG/GDPR spreekt enkel over dataverwerking. Gezien binnen Nederland de Wbp (Wet bescherming persoonsgegevens) al redelijk strikt was, heeft de invoering van de AVG/GDPR niet bijzonder veel invloed op bedrijven die reeds compliant zijn met de Wbp.

4. Waar moet mijn opt-in aan voldoen?

Dit staat er over de e-mail opt-in in de AVG/GDPR-wet:

  • De e-mail opt-in moet een duidelijke en bevestigende actie zijn.
  • De opt-in moet gescheiden zijn van andere voorwaarden en het mag geen voorwaarde zijn. “Bij het accepteren van de algemene voorwaarden wordt u automatisch ingeschreven voor onze nieuwsbrief’’ is dus verboden.  
  • Het is verboden om de opt-in checkbox automatisch aan te vinken.
  • Je hebt gescheiden opt-ins nodig als je de data op verschillende manieren gebruikt.
  • In je database moet je de opt-in worden bijhouden zodat je kunt aantonen dat je daadwerkelijk toestemming hebt ontvangen.
  • Ontvangers hebben het recht om de opt-in in te trekken. Je moet de ontvanger duidelijk laten weten hoe hij zich kan uitschrijven.

5. Wat als mijn opt-ins niet aan de voorwaarden voldoen?  

Als je de e-mailadressen op een valide manier hebt verkregen en als dit goed is gedocumenteerd, dan is er helemaal geen reden voor paniek. Heb je dit niet, dan is er werk aan de winkel. Je kunt twee dingen doen:

  • Je database deleten en een hele nieuwe database opbouwen;
  • Ervoor zorgen dat je valide opt-ins verkrijgt voor je huidige database.

Optie 1 is wat ons betreft erg rigoureus. Daarom gaat onze voorkeur uit naar optie 2. Hieronder leggen we graag uit hoe je door middel van een Permission Passing Campaign een valide opt-in kunt verkrijgen. Met deze campagne ga je namelijk je database mailen met de vraag of zij nog steeds je e-mails willen ontvangen. Door middel van een button in de mailing kan de ontvanger expliciete toestemming geven. Als je dit vervolgens documenteert in je database dan is de opt-in valide verkregen. 

6. Mag ik nog profileren?

Profileren is het automatisch verwerken van persoonsgegevens waarmee je het gedrag evalueert en probeert te voorspellen. Je mag nog profileren, maar er zijn wel enkele vereisten waaraan je moet voldoen om de rechten van de mens te waarborgen.

  • Het recht van vergetelheid;
  • Het recht om bezwaar aan te tekenen;
  • Het recht om te stoppen;
  • Het recht op data-portabiliteit of gegevensoverdracht;
  • Rechten met betrekking tot geautomatiseerde besluitvorming en profilering.

7. Wat is een verwerkersovereenkomst?

Een verwerkersovereenkomst geldt voor bedrijven die systematisch persoonsgegevens verwerken of laten verwerken. E-mailmarketing valt hier ook onder. In de verwerkersovereenkomst wordt vastgelegd voor welke doeleinden de (persoons)gegevens verwerkt mogen worden, welke beveiligingsmaatregelen er genomen worden, welke vormen van toezicht het bedrijf dat de gegevens verzamelt mag uitoefenen en welke regels er gelden met betrekking tot onderlinge aansprakelijkheid.

8. Heb ik een verwerkersovereenkomst nodig?

Het antwoord luidt: Ja! Het is wettelijk verplicht. Vanaf 25 mei 2018 worden de regels onder de AVG/GDPR nog strikter voor een verwerkersovereenkomst. Het is dus een must. Vooral voor bedrijven die data verwerken. Heb je geen geldige overeenkomst, dan zijn hier sancties aan verbonden. Zorg er daarom voor dat je op tijd een verwerkersovereenkomst afsluit. Lees in ons blog Heb jij al een AVG-verwerkersovereenkomst? meer over de verwerkersovereenkomst.

9. Moet ik een Functionaris voor Gegevensbescherming (FG) aanstellen?

Een Functionaris voor Gegevensbescherming is een interne toezichthouder op de naleving van de privacy verordening binnen een organisatie. Het aanstellen van een Functionaris voor Gegevensbescherming is verplicht voor specifieke organisaties of wanneer een bepaald type verwerking van persoonsgegevens wordt verricht. Drie soorten organisaties zijn straks verplicht om een FG te hebben:

  • De overheid;
  • Organisaties die voornamelijk belast zijn met het doen van verwerkingen die vanwege hun aard, omvang en/of doeleinden regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen;
  • Organisaties die voornamelijk belast zijn met het op grote schaal verwerken van bijzondere gegevens.

Het is niet moeilijk om te bepalen of je organisatie in optie 1 of 2 valt. De derde categorie is iets lastiger. Je organisatie behoort tot de derde categorie als:

  • Er op grote schaal gegevens worden verwerkt;
  • Het monitoren van personen frequent en systematisch wordt gedaan;
  • Het verwerken van persoonsgegevens noodzakelijk voor het uitvoeren van de kerntaak van de organisatie is.

10. Wat houdt de documentatieplicht in?

Onder de Wet bescherming persoonsgegevens moest je wanneer je persoonsgegevens verwerkt, dit melden aan de Autoriteit Persoonsgegevens (AP). Onder AVG/GDPR moet je als verwerker voldoen aan de documentatieplicht. Dit betekent dat je verplicht bent om een documentatie bij te houden van alle verwerkingen die je binnen de organisatie laat uitvoeren. Je moet dus kunnen aantonen dat je in overeenstemming met de bepalingen van de AVG/GDPR, de juiste organisatorische en technische maatregelen hebt getroffen.

11. Wat wordt er verstaan onder gerechtvaardigd belang?

Onder AVG/GDPR mag je persoonsgegevens verwerken als dit noodzakelijk is op basis van een gerechtvaardigd belang. Het verwerken mag alleen als de fundamentele rechten en vrijheden van de betrokkene niet zwaarder wegen. Je moet dus kunnen aantonen dat jouw belang voldoende opweegt tegen het belang van de betrokkene. Het verwerken van persoonsgegevens voor marketingdoeleinden kan volgens AVG/GDPR een verwerking zijn die is uitgevoerd met een gerechtvaardigd belang. Een webshop kan bijvoorbeeld een gerechtvaardigd belang hebben als het gebruik maakt van een e-mailadres voor het doen van gerichte reclame. Dit mag niet wanneer de persoon in kwestie hier bezwaar tegen heeft.

12. Wat zijn de gevolgen als je niet aan de wetgeving voldoet?

Als je vanaf 25 mei 2018 niet aan de AVG/GDPR-wet voldoet, dan kun je een boete riskeren. Er wordt onderscheid gemaakt tussen zware overtredingen en minder zware overtredingen.

Zware overtreding

Bij een zware overtreding kunnen er boetes opgelegd worden van 20 miljoen euro of 4% van de totale jaaromzet. Onder zware overtredingen wordt onder andere gerekend:

  • Overtreden van de basisbeginselen van de AVG/GDPR, zoals het verkrijgen en documenteren van een valide opt-in.
  • Overtreden van de verplichtingen met betrekking tot de rechten van de ontvanger, zoals het recht op verzet of recht op dataportabiliteit.

Minder zware overtreding

Bij minder zware overtredingen kunnen er boetes opgelegd worden van 10 miljoen euro of 2% van de jaaromzet. Onder minder zware overtredingen wordt onder andere gerekend:

  • Het niet melden van een datalek aan de AP (Autoriteit Persoonsgegevens) en betrokkene.
  • Het niet hebben van toestemming van een ouder wanneer het gaat om een opt-in van een kind van 16 jaar of jonger.

13. Zijn er nog andere zaken waar je rekening mee moet houden?

Zeker! Hieronder wordt nog een aantal zaken voor je op een rijtje gezet.

  • Je mag geen noreply-adres meer gebruiken als afzenderadres. Het moet namelijk mogelijk zijn om te reageren op een e-mail.
  • Bij het aanmelden voor een mailinglijst zijn de naam en het e-mailadres de enige gegevens die onder de noemer ‘gewone informatie’ vallen. Gegevens als geboortedatum, geslacht en adres mogen dus niet verplicht zijn om je aan te kunnen melden.
  • Bij het verzamelen van e-mailadressen moet je altijd verwijzen naar de algemene voorwaarden, waarin uitgelegd staat hoe je de gegevens gaat gebruiken.
  • Je hebt geen opt-in nodig voor het versturen van transactionele e-mails, mits je geen commerciële content plaatst.

Wij hopen met dit blog de belangrijkste vragen omtrent de AVG/GDPR te hebben beantwoord. Wist je dat we in september 2017 een kennissessie over AVG/GDPR hebben georganiseerd? We hebben de sessie in zijn geheel opgenomen. Bekijk de video hier. Binnenkort publiceren wij een blog over hoe alle zaken met betrekking tot AVG/GDPR zijn geregeld in Clang.

Dit blog beschrijft de impact van AVG/GDPR op e-mailmarketing. Het blog dient niet te worden geïnterpreteerd als juridisch advies. Uiteraard kun je bij vragen omtrent deze wetgeving contact met ons opnemen. Of laat een bericht achter in de LinkedIn-groep E-mailmarketing Nederland.



Ja, natuurlijk wil ik dit artikel delen:




Reageer op dit artikel


Best bekeken blogs


Vraag aan e-Village?

Wist je dat...

Wist je dat...

...e-Village een deliverability ratio (afleverpercentage) heeft van 99,72%?

Meer weetjes? Schrijf je in voor de nieuwsbrief en blijf altijd op de hoogte