Alles wat je als e-mailmarketeer moet weten over de AVG/GDPR

De AVG (Algemene Verordening Gegevensbescherming), of internationaal beter bekend als GDPR (General Data Protection Regulation), heeft invloed op vrijwel alle digitale marketingactiviteiten, dus ook op e-mailmarketing. Vanaf 25 mei 2018 moeten alle records die je commerciële e-mails stuurt voldoen aan deze wetgeving. In dit blog vertellen we wat je als e-mailmarketeer moet weten over de AVG/GDPR.

AVG/GDPR

De AVG/GDPR is al op 25 mei 2016 in werking getreden, maar vanaf 25 mei 2018 wordt er ook daadwerkelijk gehandhaafd. De AVG/GDPR vervangt de huidige Wet bescherming persoonsgegevens (Wbp) en heeft invloed op alle bedrijven die persoonsgegevens van Europese burgers verwerken. Vanaf 25 mei 2018 moeten bedrijven in sommige gevallen aan kunnen aantonen dat zij toestemming hebben gekregen om de persoonsgegevens van de persoon in kwestie te verwerken.

Vanaf 25 mei 2018 heb je veel meer specifieke toestemming van de eindgebruiker nodig, wanneer je als organisatie met persoonlijke of naar een individuele persoon herleidbare gegevens werkt.

1. Welke gegevens vallen volgens de AVG/GDPR onder het begrip ‘persoonsgegevens’?

De definitie van het begrip ‘persoonsgegevens’ wordt met de introductie van AVG/GDPR aangescherpt. Onder persoonsgegevens wordt verstaan: ''alle informatie over een geïdentificeerde of identificeerbare persoon''. Als het mogelijk is om iemand te identificeren, spreek je al van persoonsgegevens. Bij het verwerken van persoonsgegevens kan onderscheid gemaakt worden tussen niet-anonieme persoonsgegevens, pseudo-anonieme persoonsgegevens en anonieme persoonsgegevens.

Persoonsgegevens

Gegevens van een geïdentificeerde of identificeerbare persoon. Voorbeelden: NAW-gegevens, telefoonnummer, e-mailadres, IP-adres, geboortedatum en locatiegegevens.

Pseudo-anonieme gegevens

Gegevens die zonder aanvullende informatie niet herleidbaar zijn naar een natuurlijk persoon, maar wel individualiseerbaar. Voorbeelden: hashed e-mailadres, ordernummer, klantnummer en gebruikersnaam. Ook het versleutelen van persoonsgegevens, zoals het toepassen van encryptie, is een vorm van het pseudonimiseren van de gegevens. 

Anonieme gegevens

Als identificatie niet mogelijk is en ook niet mogelijk kan worden gemaakt, dan is er geen sprake meer van persoonsgegevens. We spreken dan van anonieme gegevens. Dit valt buiten de scope van AVG/GDPR.

2. Wat zijn de rechten van de betrokkene?

De betrokkene, ofwel: de persoon wiens gegevens worden verwerkt, krijgt door de AVG/GDPR een aantal aanvullende rechten. Hieronder noemen we er twee.

Recht op vergetelheid

Betrokkenen hebben momenteel al het recht om bedrijven te verzoeken hun gegevens te verwijderen. Vanaf 25 mei kunnen zij ook eisen dat het bedrijf de verwijdering doorgeeft aan alle andere bedrijven die deze gegevens via dit bedrijf hebben verkregen.

Recht op dataportabiliteit

Betrokkenen hebben straks ook (onder bepaalde voorwaarden) het recht om hun persoonsgegevens in een standaardformaat op te vragen bij bedrijven.

3. Moet ik een dubbele opt-in hebben?

Het is niet noodzakelijk om een dubbele opt-in te hebben. De AVG/GDPR spreekt enkel over dataverwerking. Gezien binnen Nederland de Wbp (Wet bescherming persoonsgegevens) al redelijk strikt was, heeft de invoering van de AVG/GDPR op dit vlak niet bijzonder veel invloed op bedrijven die reeds compliant zijn met de Wbp.

4. Waar moet mijn opt-in aan voldoen?

Dit staat er over de e-mail opt-in in de AVG/GDPR-wetgeving:

  • De e-mail opt-in moet een duidelijke en bevestigende actie zijn.
  • De opt-in moet gescheiden zijn van andere voorwaarden en het mag geen voorwaarde zijn voor het leveren van een product of dienst. “Bij het accepteren van de algemene voorwaarden wordt u automatisch ingeschreven voor onze nieuwsbrief’’ is dus verboden.  
  • Het is verboden om de opt-in checkbox automatisch aan te vinken. Dit heet 'Privacy by default'. 
  • Je hebt gescheiden opt-ins nodig als je de data op verschillende manieren gebruikt, ofwel: wanneer je dezelfde data voor verschillende doelen inzet. Dit heet ook wel 'doelbinding'. 
  • In je database moet de opt-in worden bijhouden zodat je kunt aantonen dat je daadwerkelijk toestemming van de betrokkene hebt ontvangen.
  • Ontvangers hebben het recht om de opt-in in te trekken. Je moet de ontvanger duidelijk laten weten hoe hij zich kan uitschrijven. Dit kan worden vormgegeven in een 'Privacy Statement'.

5. Wat als mijn opt-ins niet aan de voorwaarden voldoen?  

Als je de e-mailadressen op een valide manier hebt verkregen en als dit goed is gedocumenteerd, dan is er helemaal geen reden voor paniek. Heb je dit niet, dan is er werk aan de winkel. Je kunt twee dingen doen:

  • Je database deleten en een hele nieuwe database opbouwen;
  • Ervoor zorgen dat je valide opt-ins verkrijgt voor je huidige database.

Optie 1 is wat ons betreft erg rigoureus. Daarom gaat onze voorkeur uit naar optie 2. Hieronder leggen we graag uit hoe je door middel van een Permission Passing Campaign een valide opt-in kunt verkrijgen. Met deze campagne ga je namelijk je database mailen met de vraag of zij nog steeds je e-mails willen ontvangen. Door middel van een button in de mailing kan de ontvanger toestemming geven. Als je dit vervolgens documenteert in je database dan is de opt-in valide verkregen. 

6. Mag ik nog profileren?

Profileren is het automatisch verwerken van persoonsgegevens waarmee je het gedrag van personen evalueert en probeert te voorspellen. Je mag nog profileren, maar er zijn wel enkele eisen waaraan je moet voldoen om de rechten van de betrokkenen te waarborgen. In de eerste plaats heb je voor profileren expliciete toestemming nodig. Dat is een bijzondere vorm van toestemming geven, waarbij de handeling specifiek gericht is op het geven van de toestemming. Je bent verder verplicht de betrokkene te informeren over het feit dat je profileert en daarnaast om de basale logica achter het profileren uit te leggen, het belang en de gevolgen van het profileren. Ook ben je verplicht de betrokkene te informeren dat hij/zij een eigen standpunt mag toevoegen aan de door jou gemaakte profilering. Dit proces dien je vervolgens natuurlijk ook te kunnen faciliteren. 

7. Wat is een verwerkingsregister?

Een verwerkingsregister is een overzicht van de verwerkingen van persoonsgegevens die je als organisatie doet. Het gaat hierbij niet alleen om verwerkingen die je voor je eigen organisatie doet, zoals je personeelsadministratie, maar ook voor verwerkingen die je van de persoonsgegevens van je klanten, prospects en contactpersonen doet. Daarom is het opstellen van een verwerkingsregister ook voor e-mailmarketeers relevant. In het verwerkingsregister wordt vastgelegd voor welke doeleinden de persoonsgegevens verwerkt worden, welke risico's er aan de verwerking kleven en welke beveiligingsmaatregelen er genomen zijn om de persoonsgegevens te beschermen. 

8. Heb ik een verwerkingsregister nodig?

Het antwoord luidt: Ja! Het is vanaf 25 mei 2018 wettelijk verplicht om verwerkingsregisters aan te leggen van structurele verwerkingen, zoals je bestand met klanten, prospects en contactpersonen. Heb je geen verwerkingsregister, dan voldoe je niet aan de AVG/GDPR-wetgeving en loop je het risico op sancties. Zorg er daarom voor dat je op tijd een verwerkingsregister opstelt. 

9. Moet ik een Functionaris Gegevensbescherming (FG) aanstellen?

Een Functionaris Gegevensbescherming (FG) is een interne of externe toezichthouder op de naleving van de privacy verordening binnen een organisatie. Het aanstellen van een Functionaris Gegevensbescherming is verplicht voor specifieke organisaties of wanneer een bepaald type verwerking van persoonsgegevens wordt verricht. Drie soorten organisaties zijn straks verplicht om een FG te hebben:

  • Overheidsorganisaties;
  • Organisaties die doen aan grootschalige en structurele observatie; 
  • Organisaties die doen aan grootschalige en structurele verwerking van bijzondere persoonsgegevens. 

10. Wat houdt de documentatieplicht in?

Onder de Wet bescherming persoonsgegevens moest je, wanneer je persoonsgegevens verwerkt, dit melden aan de Autoriteit Persoonsgegevens (AP). Onder AVG/GDPR moet je als verwerker, in plaats daarvan, voldoen aan de documentatieplicht. Dit betekent dat je verplicht bent om documentatie bij te houden van alle verwerkingen die je binnen de organisatie doet, hoe je dat doet en dat je daarbij in staat bent om de rechten van de betrokkene te kunnen behartigen. Je moet dus kunnen aantonen dat je in overeenstemming met de bepalingen van de AVG/GDPR, de juiste organisatorische en technische maatregelen hebt getroffen en voldoen aan de wetgeving.

11. Wat wordt er verstaan onder gerechtvaardigd belang?

Onder de AVG/GDPR mag je persoonsgegevens verwerken als dit noodzakelijk is op basis van een gerechtvaardigd belang. Het verwerken mag alleen als de fundamentele rechten en vrijheden van de betrokkene niet zwaarder wegen dat het doel van de verwerking en het verwerken zelf. Je moet dus kunnen aantonen dat jouw belang voldoende opweegt tegen het belang van de betrokkene. Het verwerken van persoonsgegevens voor marketingdoeleinden kan volgens de AVG/GDPR een verwerking zijn waarop een gerechtvaardigd belang rust. Een webshop kan bijvoorbeeld een gerechtvaardigd belang hebben als het gebruik maakt van een e-mailadres voor het doen van gerichte reclame. Dit mag niet wanneer de persoon in kwestie hier bezwaar tegen heeft.

12. Wat zijn de gevolgen als je niet aan de wetgeving voldoet?

Als je vanaf 25 mei 2018 niet aan de AVG/GDPR-wetgeving voldoet, dan kun je een boete riskeren. Er wordt onderscheid gemaakt tussen zware overtredingen en minder zware overtredingen.

Zware overtreding

Bij een zware overtreding kunnen er boetes opgelegd worden van 20 miljoen euro of 4% van de totale jaaromzet (welke van beiden hoger is). Onder zware overtredingen wordt onder andere gerekend:

  • Overtreden van de basisbeginselen van de AVG/GDPR, zoals het verkrijgen en documenteren van een valide opt-in.
  • Overtreden van de verplichtingen met betrekking tot de rechten van de ontvanger, zoals het recht op verzet of recht op dataportabiliteit.

Minder zware overtreding

Bij minder zware overtredingen kunnen er boetes opgelegd worden van 10 miljoen euro of 2% van de jaaromzet (welke van beiden hoger is). Onder minder zware overtredingen wordt onder andere gerekend:

  • Het niet melden van een datalek aan de AP (Autoriteit Persoonsgegevens) en indien nodig aan de betrokkenen.
  • Het niet hebben van toestemming van een ouder wanneer het gaat om een opt-in van een kind van jonger dan 16 jaar.

13. Zijn er nog andere zaken waar je rekening mee moet houden?

Zeker! Hieronder wordt nog een aantal zaken voor je op een rijtje gezet.

  • Je mag geen noreply-adres meer gebruiken als afzenderadres. Het moet namelijk mogelijk zijn om te reageren op een e-mail.
  • Bij het aanmelden voor een mailinglijst zijn de naam en het e-mailadres de enige gegevens die onder de noemer ‘gewone informatie’ vallen. Gegevens als geboortedatum, geslacht en adres mogen dus niet verplicht zijn om je aan te kunnen melden.
  • Bij het verzamelen van e-mailadressen moet je altijd verwijzen naar het Privacy Statement, bijvoorbeeld opgenomen in de algemene voorwaarden, waarin uitgelegd staat hoe je de gegevens gaat gebruiken.
  • Je hebt geen opt-in nodig voor het versturen van transactionele e-mails, mits je geen commerciële content plaatst.

Wij hopen met dit blog de belangrijkste vragen omtrent de AVG/GDPR te hebben beantwoord. Wist je dat we in september 2017 een kennissessie over AVG/GDPR hebben georganiseerd? We hebben de sessie in zijn geheel opgenomen. Bekijk de video hier. Binnenkort publiceren wij een blog over hoe alle zaken met betrekking tot AVG/GDPR zijn geregeld in Clang.

Dit blog beschrijft de impact van AVG/GDPR op e-mailmarketing. Het blog dient niet te worden geïnterpreteerd als juridisch advies. Uiteraard kun je bij vragen omtrent deze wetgeving contact met ons opnemen. Of laat een bericht achter in de LinkedIn-groep E-mailmarketing Nederland.



Ja, natuurlijk wil ik dit artikel delen:




Reageer op dit artikel


Best bekeken blogs


Vraag aan e-Village?

Wist je dat...

Wist je dat...

...e-Village een deliverability ratio (afleverpercentage) heeft van 99,72%?

Meer weetjes? Schrijf je in voor de nieuwsbrief en blijf altijd op de hoogte