Skip to the content

AVG en e-mailmarketing

In de aanloop naar 25 mei zijn we allemaal overspoeld met berichten of we alstublieft opnieuw toestemming willen geven voor het ontvangen van een nieuwsbrief. Marketeers waren druk in de weer om maar zo snel mogelijk te voldoen aan de nieuwe privacy wetgeving. Maar waar moet je als marketeer allemaal rekening mee houden en is er eigenlijk wel zo veel veranderd?

AVG vervangt de WBP

De AVG vervangt de Wet Bescherming Persoonsgegevens (WBP) die simpelweg aan vernieuwing toe was. De AVG is een versterking en uitbreiding van de huidige privacy rechten en legt organisaties meer verantwoordelijkheden op.

E-mailmarketing is een veelgebruikt middel voor communicatie met (potentiële) klanten. Met ingang van de AVG is het van groot belang om bewust, of beter gezegd, nog bewuster om te gaan met het versturen van e-mails. Dat er eerst toestemming gevraagd moet worden voordat u een e-mail kan sturen is niet nieuw en is al van kracht sinds de Telecommunicatiewet uit 1998.

Belangrijke punten nieuwe privacy wetgeving

We hebben de belangrijkste punten met ingang van de AVG op een rijtje gezet:

  1. Je mag alleen mensen e-mailen die daadwerkelijk toestemming hebben gegeven voor het ontvangen van jouw nieuwsbrieven. (Opt-in)
  2. De opt-in moet vrijwillig zijn gegevens door middel van actieve handeling.
  3. De opt-in mag geen onderdeel zijn van de algemene voorwaarden.
  4. De ontvanger moet geïnformeerd worden over het gebruik van zijn/haar data.
  5. Tijdens het ontvangen van de data moet duidelijk zijn waarvoor je deze gaat gebruiken.
  6. Voor ieder doel moet apart toestemming worden gegeven. Bijvoorbeeld een vinkje voor de opt-in en een vinkje dat de persoonlijke data wordt gedeeld met derden.
  7. Ontvanger moet minimaal 16 zijn. Zo niet, dan is ouderlijke (mede)toestemming vereist.
  8. De opt-in’s moeten geregistreerd worden. U moet altijd aan kunnen tonen hoe de opt-in verzameld is. Hiermee kan de rechtsgeldigheid worden aangetoond.
  9. Op iedere pagina met inschrijfformulier moet worden verwezen naar het privacy statement.
  10. Ieder commercieel bericht moet een uitschrijflink bevatten.
  11. En uiteraard mag u iemand die zich heeft uitgeschreven niet meer e-mailen.

Bovenstaande punten geven houvast voor uw toekomstige emailcampagnes. Hieronder volgen enkele nader uitgewerkte voorbeelden die extra aandacht vragen.

E-mail marketing en AVG

Nieuwe situatie
Als u al langer e-mail marketing gebruikt mag u uw huidige database gewoon blijven e-mailen na 25 mei, mits u zich houdt aan de reeds geldende wet- en regelgeving. Voor het versturen van nieuwe contactgegevens dient u zich uiteraard te houden aan de AVG.

Verzamelen data
Zoals vermeld in punt 5 en 6 moet u duidelijk aangeven waarvoor u gegevens verzamelt en u moet het doel van verwerken duidelijk hebben. U mag dus niet zomaar alle gegevens opslaan als het doel van verwerking niet duidelijk is. Ga aan de slag met dataminimalisatie, vraag dus alleen wat écht nodig is.

Data profilering

Met de verzamelde data blijven uw gebruikelijke e-mail marketingactiviteiten mogelijk. Open rates en klikgedrag mag u blijven meten, profielen blijven verrijken en op basis hiervan segmenteren.

Sinds 25 mei mag er geen geautomatiseerde besluitvorming worden ingezet. Een ontvanger kan hier nadelen aan ondervinden. Zo mag u niet op basis van koop- en klikgedrag van e-mail en website data hogere prijzen aanbieden omdat blijkt dat de persoon of bedrijf in kwestie een hoger budget heeft. Profilering blijft mogelijk, echter in een gematigde vorm.

Recht van vergetelheid en e-mailmarketing

Uw ontvanger krijgt te veel mail of vindt de berichten niet (meer) relevant. De ontvanger schrijft zich uit maar wil ook dat u alle verzamelde data verwijdert. U bent dan verplicht om alle opgeslagen gegevens te verwijderen.

Een heldere procedure voor het registeren van data is dus van groot belang om snel te voldoen aan het recht van vergetelheid.

Verwerkersovereenkomst
Wanneer je als verwerkingsverantwoordelijke aan een andere organisatie (een verwerker) een opdracht verstrekt waarbij verwerking van persoonsgegevens aan de orde is, dien je een verwerkersovereenkomst af te sluiten. Dit is dus ook het geval bij e-mail marketing. Als u bijvoorbeeld mailt via een E-mail Service Providers (ESP) dat is uw ESP verwerker van de gegevens en bent u verwerkersverantwoordelijke. U dient dan met uw ESP een verwerkersovereenkomst af te sluiten.

In een verwerkersovereenkomst wordt onder andere vastgelegd waar de persoonsgegevens voor worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker subverwerkers mag inschakelen voor de verwerking.

Tijd om de overeenkomst met uw ESP na te gaan. Grote kans dat de huidige overeenkomst (nog) niet volledig is.

E-mailmarketing gekoppeld aan CRM systeem

Verwerking van data speelt ook een grote rol als u werkt met een CRM systeem en de e-mail hieraan gekoppeld is. U heeft hier in eerste geen verwerkersovereenkomst voor nodig.

Echter, wanneer u een CRM systeem af neemt van een derde partij dan zijn zij sub-verwerker omdat de persoonsgegevens, verkregen via e-mail marketing, via het betreffende CRM worden opgeslagen en verwerkt.

In dit geval is een extra verwerkersovereenkomst nodig met leverancier van de CRM-software.

De verwerking van data door uw ESP of leverancier van uw CRM systeem zijn slechts voorbeelden. Het is mogelijk dat u meerdere verwerkers heeft voor uw e-mail marketing. Maak dus een inventarisatie van het pad dat uw e-mail data af legt en ga vervolgens na of het hier om een verwerker gaat.

Retargeting op basis van e-mail
Uw e-mail database volgen en informeren via retargeting mag gelukkig nog steeds. Echter moet hier expliciet toestemming voor worden gegeven.

Voor retargeting deelt u de gegevens met derde en is ook hier een verwerkersovereenkomst voor nodig. Houdt hier dus rekening mee met de cookie consent.

E-mail marketing na 25 mei

Transparantie is het sleutelwoord. Openheid en eerlijkheid over de wijze van verzamelen en verwerken van de verkregen data. Ga na welke gegevens u via e-mail marketing verzamelt en met welk doel. Breng hiernaast in kaart met welke verwerkers u te maken heeft en wat de kwaliteit van de verwerkersovereenkomst is.

Als u aan de slag gaat probeer dan de ‘’barrières’’ te vergeten en zet de kwaliteit van de e-mailmarketing vooraan in plaats van het bereik. Zo ziet u als marketeer e-mailmarketing het liefst. Toch?

E-mail marketing is uiteraard maar één van vele onderdelen waar u rekening mee moet houden voor de AVG. Wilt u weten hoe u organisatie er voor staat, wat het compliance niveau van uw organisatie is?

Download hier de whitepaper

2-Control B.V.

Haagsemarkt 1
4813 BA Breda
T: +31 (0) 76 50 194 70
info @ 2-control.nl

Contact

Vragen over IT beveiliging, privacy, AVG, autorisaties in Dynamics NAV of iets anders? Wij helpen u graag.