• E-mail
    wordt gesponsord door

Is jouw e-mailmarketing klaar voor de nieuwe wet voor bescherming persoonsgegevens (GDPR/AVG)?

Is jouw e-mailmarketing klaar voor de nieuwe wet voor bescherming persoonsgegevens (GDPR/AVG)?

Vanaf 25 mei 2018 treedt de nieuwe Europese wet voor databescherming, de General Data Protection Regulation (GDPR), in werking. Oftewel de Algemene Verordening Persoonsgegevens (AVG) in het Nederlands. Zoals te lezen is in een eerder artikel in deze serie, stelt deze wet veel hogere eisen aan de omgang met persoonsdata door bedrijven om zo de privacy van de burger beter te waarborgen. Dit heeft invloed op iedereen die persoonsdata verwerkt van Europese burgers en daardoor ook gevolgen voor alle marketeers die persoonsgegevens verwerken van Europese burgers. In deze blogpost leg ik je je graag uit wat de nieuwe wet voor je e-mailmarketingactiviteiten betekent.

Welke persoonsdata?

De GDPR/AVG heeft invloed op iedereen die persoonsdata verwerkt van Europese burgers. De definitie van persoonsdata is ruim:

“Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.  

Denk aan de naam, het adres, de geboortedatum en het e-mailadres, maar ook alle andere gegevens die te herleiden zijn naar de persoon zoals een IP-adres, kenteken, klantnummer, et cetera. Het verzamelen van e-mailadressen voor het verzenden van je nieuwsbrief valt dus onder de nieuwe wetgeving.

Bewerkersovereenkomst

De wetgeving geldt ook voor andere partijen die in opdracht van jou gegevens verwerken. In dit geval moet je werken met een verwerkersovereenkomst die de hoofdpartij sluit met de partijen waarmee hij samenwerkt. Denk hierbij aan een bedrijf die hun e-mailmarketingactiviteiten (gedeeltelijk) heeft uitbesteed aan een online marketingbureau.

In de bewerkersovereenkomst die gesloten moet worden, wordt vastgelegd voor welke doeleinden de (persoons)gegevens verwerkt mogen worden, welke beveiligingsmaatregelen er zijn, in welke mate toezicht is op het bedrijf dat de gegevens verzameld en welke regels er gelden betreffende onderlinge aansprakelijkheid.

Serie over GDPR/AVG

Dit is het tweede deel in een serie over de impact van GDPR/AVG.

Boetes

Mei 2018 lijkt nog ver weg, maar als marketeer is het goed om nu al na te denken en maatregelen te nemen om te kunnen voldoen aan deze bindende wetgeving. De boetes zijn namelijk niet mals en lopen op tot 20 miljoen euro of 4 procent van de totale jaaromzet van je organisatie.

E-mailmarketing

In Nederland kennen we de Wet Bescherming Persoonsgegevens. Hierin staan richtlijnen die gehanteerd worden bij het verwerken van persoonsgegevens. Op zich verandert er niet heel veel ten opzichte van deze huidige wetgeving. De belangrijkste punten van de AVG/GDPR op gebied van e-mailmarketing zijn:

Opt-in

Je mag alleen mensen mailen die daadwerkelijk toestemming (opt-in) hebben gegeven voor het ontvangen van jouw nieuwsbrieven. Dat is niks nieuws natuurlijk! Toch zet ik de belangrijkste punten volgens de GDPR/AVG voor je op een rijtje:

  • De opt-in moet vrijwillig gegeven zijn door middel van een actieve handeling.
  • De opt-in mag geen onderdeel zijn van de algemene voorwaarden.
  • De ontvanger moet geïnformeerd worden waarvoor zijn data gebruiken gaat worden
  • De gegevens moeten rechtmatig, behoorlijk en op transparante wijze verkregen zijn. Er moet dus tijdens het verzamelen duidelijk zijn waarvoor je de gegevens gaat gebruiken.
  • Voor elk doel moet er apart toestemming worden gegeven. Bijvoorbeeld een vinkje voor je opt-in en een vinkje dat de persoonsdata met derden wordt gedeeld.
  • Wanneer iemand nog geen 16 is, moet iemand met ouderlijk gezag (mede)toestemming geven.
  • De opt-ins moeten geregistreerd worden. Je moet dus altijd kunnen aantonen hoe je de opt-in hebt verzameld, zodat de rechtsgeldigheid ervan kan worden bewezen.
  • Bij elk inschrijfformulier moet naar het privacystatement op de website worden verwezen.
  • Waarschijnlijk geheel overbodig: je mag iemand natuurlijk niet meer mailen als iemand zich uitschrijft voor je nieuwsbrieven.
  • Elke commerciële mail moet een uitschrijflink bevatten, waarmee de ontvanger zich eenvoudig kan uitschrijven.

Goed om te weten is dat de regels voor opt-in gelden voor het versturen van commerciële mailings. Transactionele e-mails naar aanleiding van een order (orderbevestiging, factuur, et cetera.) zijn uitgesloten en mag je altijd versturen, mits je hier dan weer geen commerciële content in plaatst.

Rechten van de burger

Als burger mag je ten alle tijden je eigen persoonsdata in zien. Daarnaast mag je eigen gegevens laten rectificeren in het geval van onjuistheden en verzoeken om te worden verwijderd uit de database. Hiertoe ben je als organisatie verplicht. Dit geldt voor alle data, dus ook de data in je e-mailmarketingprogramma.

Profilering

Wanneer je profilering toepast dien je op verzoek van de geprofileerde inzicht te kunnen geven in de logica hierachter. Met profilering wordt de geautomatiseerde verwerking van persoonsgegevens bedoeld, waarmee je bijvoorbeeld gedrag evalueert en probeert te voorspellen. Zoals wanneer iemand drie keer vrouwenschoenen besteld en je de klant profileert als vrouw. Met deze informatie mail je vervolgens gericht vrouwenproducten naar deze persoon. Vanaf mei 2018 kan de persoon in kwestie hier bezwaar tegen maken en in dit geval moet je haar uitsluiten voor deze profilering.

Huidige data

Voor 25 mei 2018 moeten al je klantendata voldoen aan de nieuwe wetgeving. Dit geldt dus ook voor je huidige klantendata. Kan je bijvoorbeeld niet aantonen hoe je een opt-in in het verleden hebt verkregen, dan kan je beboet worden.

De data die je nodig hebt om een opt-in te bewijzen zijn: de opt-in status (ingeschreven of uitgeschreven), hoe je de opt-in hebt verkregen, wanneer je de opt-in hebt verkregen en welke toestemming is gegeven (inschrijven voor de nieuwsbrief, alleen meewerken aan onderzoeken, et cetera.).

Kun je de opt-in niet aantonen? Een optie is dan die groep voor mei volgend jaar een mail te sturen, met de vraag of ze nog ingeschreven willen blijven voor je nieuwsbrief. Plaats in de mail een Ja-knop en een Nee-knop. Drukken ze op “ja”, dan kan je de opt-in registreren, drukken ze op “nee”, dan schrijf je de persoon uit. Bij geen respons moet je helaas de persoon uitschrijven voor je nieuwsbrief.

Andere belangrijke punten uit de GDPR

De GDPR/AVG bevat nog meer belangrijke punten die marketeers moeten kennen. Zo moet je een data protection officer aanwijzen binnen je bedrijf, datalekken verplicht melden binnen 72 uur en heeft de burger het recht om zijn datagegevens in machine-leesbaar formaat op te vragen. Wanneer je dit niet kunt bieden, moet de data worden doorgezet naar een andere verwerker.

Andere regels voor e-mailmarketing

Voor e-mailmarketing zijn er nog meer regels en richtlijnen. De regels rondom SPAM staan in de Telecommunicatiewet en gedragsregels over het versturen van commerciële e-mails kan je nalezen in de Code Reclame via E-mail. De GDPR/AVG gaat alleen over het verwerken van persoonsgegevens, hierin staan dus geen regels over bijvoorbeeld het afmelden voor een nieuwsbrief. Een samenvatting over de regels in de Code Reclame via E-mail staan in een blogpost die ik eerder over dit onderwerp schreef.

ePrivacy Regulation

Aanvullend op de GDPR/AVG wordt er gewerkt aan de ePrivacy Regulation. In deze wetgeving staan regels over het gebruik van metadata, nieuwe cookieregels, maar ook regels om burgers te beschermen tegen SPAM. De ePrivacy Regulation zou ook ingaan op 25 mei 2018, maar deze wordt uitgesteld, aangezien er nog geen overeenstemming is bereikt. Goed om te weten dat er dus naast de GDPR/AVG nog een aanvullende wetgeving komt die relevant is voor e-mailmarketing.

Onduidelijkheid en interpretatie van de wet

De wettekst van de GDPR/AVG laat naar mijn mening nog veel ruimte over voor eigen interpretatie en er zijn nog niet voor alle artikelen heldere richtlijnen. Denk hier bijvoorbeeld aan de regel dat je een klant waarmee je een betaalrelatie hebt mag mailen over soortgelijke producten. Wat is “soortgelijk” in dit verhaal? Dat staat nergens vermeld en kan je breed interpreteren. Ook is er nergens een richtlijn afgegeven voor welke periode je persoonsgegevens mag opslaan. Na veel informatie te hebben gelezen en gevraagd, las ik onderstaande tekst op de site van Autoriteit Persoonsgegevens:

“De Autoriteit Persoonsgegevens (AP) vindt het belangrijk om u goed voor te lichten over de Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 geldt. Maar de AP kan op dit moment nog niet al uw vragen over de nieuwe Europese privacyregels beantwoorden. Dit heeft onder andere te maken met verduidelijking van de regels binnen de EU, de nationale uitvoeringswet en nieuwe jurisprudentie”.

Wat duidelijk is aan de nieuwe wet; is dat je de rechtmatig verkregen opt-ins goed moet registreren, je per doel toestemming dient te vragen, je zorgt dat je huidige database met opt-ins voor ingang van de GDRP/AVG voldoet aan de richtlijnen, je een bewerkingsovereenkomst sluit wanneer een derde partij met jouw data werkt, je de nieuwsbriefinschrijver inzicht kan geven in zijn data en deze op verzoek verwijderd en je op verzoek inzicht kan geven op de wijze waarop je profilering toepast en de persoon hiervoor kunt uitsluiten.

Gebruik je gezonde verstand

Daarnaast is mijn advies altijd je gezonde verstand te gebruiken en je in te leven in de ontvanger. Is de boodschap relevant of de ontvanger dit als een ongewenste boodschap ervaren? Uiteindelijk heb je als marketeer er niks aan als een steeds grotere groep ontvangers, je nieuwsbrief niet meer opent. Dit gaat namelijk ten koste van de afleverbaarheid van je mails, maar ook van je resultaten!

Credits afbeelding: Pixabay, licentie: Alle rechten voorbehouden

Delen

0
8


Er zijn 39 reacties op dit artikel

  • Het is me wel nog steeds niet duidelijk in welke mate deze regels effectief gelden voor adressen die puur professioneel zijn? Geen enkel artikel die ik laatste maanden las geeft hierover uitsluitsel.

    geplaatst op
  • Hoi Janne,
    De wetgeving geldt voor alle informatie die terug te herleiden is naar een persoon. Dus het geldt voor alle e-mailadressen. Er wordt dus geen onderscheidt gemaakt tussen professionele en niet professionele adressen.
    Groeten Jasmijn Hemersma

    geplaatst op
  • Duidelijk artikel. Als iemand zich uitschrijft voor de nieuwsbrief moet de data dan niet geheel worden verwijderd onder GDPR? "Opt-in status (ingeschreven of uitgeschreven)" is dan overbodig.

    geplaatst op
  • Hi Anne, Wanneer iemand zich uitschrijft voor je nieuwsbrief verwijder je de info niet, maar veranderd de opt-in status. Alleen wanneer iemand je verzoekt om zijn of haar data te wissen, verwijder je deze.
    Groeten Jasmijn

    geplaatst op
  • Jasmijn, super geschreven. je bent nog altijd een kei in je job. Ik geloof dat nog heel veel firma's nog moeten bij schakelen om mee te zijn met de nieuwe wetgeving.

    geplaatst op
  • Thanks, Sietse! Mooi compliment :) Leuk dat je het blog hebt gelezen!

    geplaatst op
  • Duidelijk artikel Jasmijn!
    Ik zit nog wel met de volgende vraag, gezien ik hier altijd tegenstrijdige dingen over hoor en lees:
    Wanneer iemand zich aanmeld voor een nieuwsbrief mailinglijst op een website, moet deze persoon dan ook nog een email ontvangen waarbij een extra opt-in conformatie button geklikt moet worden? (Aangezien de persoon in kwestie dan zelf de handeling heeft ondernomen om zich aan te melden)

    geplaatst op
  • @Jasmijn
    Dank voor je reactie. Ik bedoelde iets anders. Is het niet zo dat onder GDPR persoonsgegevens die niet je niet meer nodig hebt, je niet meer mag bewaren?

    geplaatst op
  • Jasmijn, bedankt voor het artikel! Ik ben benieuwd hoe je over het volgende denkt: Wanneer een bedrijf een relatie met een persoon heeft die beperkt is tot een nieuwsbriefinschrijving, is het dan proportioneel om na een opt-out het mailadres van die persoon te behouden (met opt-out status)? Vooral in het licht van het dataminimalisatieprincipe vraag ik me dit af.

    geplaatst op
  • Hoi AC, Bedankt voor je bericht! Het is niet verplicht om gebruik te maken van een double opt-in, waarbij je een extra bevestiging vraagt aan de gene die zich heeft ingeschreven. Het heeft wel voordelen: zo weet je bijvoorbeeld echt zeker dat iemand zichzelf heeft ingeschreven en je mails wilt ontvangen én dat het een werkend e-mailadres is voordat je deze toelaat tot je mailinglijst. Een nadeel is dat je een gedeelte van je inschrijvers zal verliezen omdat ze zich "vergeten" te bevestigen. Maar volgens de GDPR/AVG is deze vorm van opt-in niet verplicht.
    Groeten Jasmijn

    geplaatst op
  • Hoi Anne,
    Er wordt in de wettekst gezegd dat je persoonsgegevens niet langer mag opslaan dan je het nodig hebt. Maar een richtlijn qua tijd wordt hierin niet gegeven. Dit is één van de punten in de wettekst die nog ruimte laten voor interpretatie. Het lijkt mij vrij onlogisch als je informatie van een actieve opt-in, die maandelijks 1 of meer nieuwsbrieven van je opent, na 2 jaar ineens moet verwijderen. Zodra hier meer over bekend is, zal ik deze als comment delen onder deze post.
    Groeten Jasmijn

    geplaatst op
  • Hi Jonas, Bedankt voor je reactie! Waarom zou je deze info verwijderen als dit nog niet direct nodig is? Juist om je goed aan de wetgeving te houden is opt-out informatie ook heel waardevol. Stel je "verwijderd" gegevens van iemand die zich heeft uitgeschreven voor je nieuwsbrief. Vervolgens wordt hij klant en je kiest er als bedrijf voor om nieuwe klanten pro-actief in te schrijven voor (hem relevante) mailings. Officieel mag je hem niet meer mailen, omdat hij zich in het verleden heeft uitgeschreven, maar aangezien je zijn gegevens hebt verwijderd kun je geen check meer doen of hij zich in het verleden heeft uitgeschreven. Op dit moment mail je hem tegen zijn wens in en dat mag natuurlijk niet.
    Dat je de klant na enkele jaren na uitschrijven verwijderd vind ik een ander verhaal.
    Ik hoop je vraag goed te hebben beantwoord.
    Groeten Jasmijn

    geplaatst op
  • @Jasmijn
    Dan is het toch wel logisch om informatie van een opt-out te verwijderen?

    geplaatst op
  • "je kiest er als bedrijf voor om nieuwe klanten pro-actief in te schrijven voor (hem relevante) mailings."
    Dat mag toch ook niet. De klant dient dan expliciet aan te geven dat hij zich (weer) wil inschrijven voor de nieuwsbrief.

    geplaatst op
  • Hi Anne,
    Zie mijn reactie op Jonas waarom ik informatie over een opt-out niet zou adviseren om te verwijderen. Of doelde je op deze reactie?

    geplaatst op
  • Hi Anne,
    Ik zie nu je vervolgvraag. Je mag klanten waarmee je een betaalrelatie hebt pro-actief inschrijven voor je nieuwsbrief waarin je relevante producten/informatie communiceert voor de klant, tenzij hij zich in het verleden heeft afgemeld voor je mailings. Als je de opt-in of -out informatie van een klant verwijderd kun je dus nooit die check doen of iemand zich in het verleden heeft uitgeschreven.

    geplaatst op
  • Ja daar doelde ik op. Als de relatie alleen is beperkt is tot een nieuwsbriefinschrijving dan zijn de gegevens bij een uitschrijving toch niet meer nodig? Als hij/zij daarna klant wordt dan moet er toch apart toestemming worden gevraagd voor opname in de maillijst (lost van het akkoord voor de gegevensverwerking voor het klantaccount). Afhankelijk van die keuze kun je hem dan wel/niet mailen. Heeft toch niets te maken met een eerdere opt-out?

    geplaatst op
  • Je hebt geen toestemming nodig om een klant te mailen. Je mag hem mailen tot hij zich uitschrijft. Hierin moet zeker naar de voorgeschiedenis qua uitschrijvingen gekeken worden. Kun je niet met 100% zekerheid zeggen dat iemand zich nooit heeft uitgeschreven, dan zou ik inderdaad wel om toestemming vragen.
    Het is een keuze om wel altijd toestemming te vragen aan klanten om zich in te schrijven. In dit geval doet een eerdere opt-out er niet toe. Maar het is dus niet verplicht die toestemming te vragen wanneer je een betaalrelatie hebt.

    geplaatst op
  • Ligt dat niet wat genuanceerder? Is het niet zo dat bij een soft opt-in bij het verwerven van de gegevens ook duidelijk de mogelijkheid van een opt-out moet zijn gegeven. Als die er niet is mag je niet mailen, ook al is er een betaalrelatie en is er een opt-out in de email.

    geplaatst op
  • Ik ben zelf al een tijdje met dit onderwerp bezig, en er is nog veel onduidelijkheid omtrent de interpretatie van de wet. De DDMA raadt het bijvoorbeeld af om voor mei 2018 eenmalig te mailen om een bevestiging van een eerdere opt-in te vragen. Mij lijkt dat ook de enige mogelijkheid om een waterdichte opt-in te krijgen, maar de DDMA denkt daar dus anders over.

    geplaatst op
  • Ik ben zelf al een tijdje met dit onderwerp bezig, en er is nog veel onduidelijkheid omtrent de interpretatie van de wet. De DDMA raadt het bijvoorbeeld af om voor mei 2018 eenmalig te mailen om een bevestiging van een eerdere opt-in te vragen. Mij lijkt dat ook de enige mogelijkheid om een waterdichte opt-in te krijgen, maar de DDMA denkt daar dus anders over.

    geplaatst op
  • Voor zo ver ik weet moet je, in de eerste mail die je stuurt, een duidelijke melding plaatsen dat iemand vanaf dat punt commerciële mails van je krijgt. En in elke commerciële mail moet natuurlijk de mogelijkheid aanwezig zijn om je af te melden. Heb je toevallig een bron waarin staat dat je bij het verzamelen van een soft-optin je direct een uitschrijfmogelijkheid moet plaatsen? Thanks!

    geplaatst op
  • Hi Anja Bart, bedankt voor je reactie. Ik zou zo'n mail ook alleen sturen aan de groep opt-ins waarvan je niet meer met zekerheid kunt achterhalen waar en wanneer je hun opt-in hebt verzameld. Geeft de DDMA ook een alternatief dan? Bedankt!

    geplaatst op
  • “However, you must have given them a clear chance to opt out – both when you first collected their details, and in every message you send.”

    https://ico.org.uk/for-organisations/guide-to-pecr/electronic-and-telephone-marketing/electronic-mail-marketing/

    http://www.bto.co.uk/blog/post-gdpr-and-soft-opt-in-for-marketing.aspx

    geplaatst op
  • Hoi Anne,
    Bedankt voor de bronnen. Zoals het er staat moet je dus een mogelijkheid geven om je uit te schrijven op het moment dat je de gegevens verzamelt. Je mag een klant pas mailen op het moment dat je een betaalrelatie hebt, dus je geeft pas de opt-in mee op het moment dat de factuur is voldaan. Bij het ene bedrijf is dit direct wanneer je de order plaatst en nog op de website bent en bij het andere bedrijf is dit misschien pas na 14 dagen. Daarom zou je prima in de eerste welkomsmail die je stuurt, nadat je de opt-in status wijzigt, de klant kunnen informeren over zijn nieuwsbriefinschrijving. En zoals ik eerder noemde is er in elke commerciële mail die je stuurt een uitschrijfmogelijkheid. Zoals ik het zie heb je dit punt dan getackeld en voldoe je aan de wetgeving. Ik ben benieuwd hoe jij dit ziet.
    Groeten Jasmijn

    geplaatst op
  • Voor Nederland is de bron overigens de Telecomwet (11.7 lid 3), maar dat weet jij ongetwijfeld beter dan ik:
    “ Een ieder die elektronische contactgegevens voor elektronische berichten heeft verkregen in het kader van de verkoop van zijn product of dienst mag deze gegevens gebruiken voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden met betrekking tot eigen gelijksoortige producten of diensten, mits bij de verkrijging van de contactgegevens aan de klant duidelijk en uitdrukkelijk de gelegenheid is geboden om kosteloos en op gemakkelijke wijze verzet aan te tekenen tegen het gebruik van die elektronische contactgegevens, en, indien de klant hiervan geen gebruik heeft gemaakt, hem bij elke overgebrachte communicatie de mogelijkheid wordt geboden om onder dezelfde voorwaarden verzet aan te tekenen tegen het verder gebruik van zijn elektronische contactgegevens.”

    Maar de vraag is vervolgens of deze soft opt-in onder de GDPR ook nog is toegestaan? Ik kan daar geen eenduidig antwoord op vinden.
    Ik lees op Engelse sites (op Nederlandse is helemaal niets te vinden) dat dit onder “legitimate interest” ook zonder positieve toestemming zou kunnen, maar elders ook weer dat dit niet kan.
    Daarbij gebruiken veel bedrijven emailsoftware waarmee bijgehouden wordt of de mails is geopend, of er is doorgeklikt is etc.
    Is bij deze tracking sowieso niet altijd een positieve opt-in noodzakelijk onder GDPR?
    Als je meer hierover weet hoor ik het graag.

    geplaatst op
  • Helder artikel, leuk om alles nog eens op een rijtje te zien! Je zegt onder andere het volgende:

    "De data die je nodig hebt om een opt-in te bewijzen zijn: de opt-in status (ingeschreven of uitgeschreven), hoe je de opt-in hebt verkregen, wanneer je de opt-in hebt verkregen en welke toestemming is gegeven (inschrijven voor de nieuwsbrief, alleen meewerken aan onderzoeken, et cetera.)."

    Ik heb eerder gezocht naar welke data nodig is om een opt-in te bewijzen, maar kon daar niets over vinden. Dit staat niet in de GDPR vermeld toch? Of heb ik er overheen gelezen? En als ik dit zo lees, is dit nauwelijks bewijs te noemen dat je de opt-in daadwerkelijk hebt verkregen. Je kunt dit immers zelf ook in een database zetten. Ik zou zelf verwachten dat minimaal een combinatie van datum, tijd en IP-adres van de inschrijving in de richting komen van afdoende bewijs, al is ook dat niet waterdicht.

    Over die betaalrelatie overigens; dat heb ik ook altijd een beetje verwarrend gevonden. Officieel is het klantrelatie, maar de definitie van klantrelatie staat niet in de wet. Voorheen was de uitleg van de ACM dat er sprake KAN zijn van een klantrelatie als er een product of dienst is verkocht. Nu zie ik dat er staat dat iemand klant IS als er een product of dienst is verkocht. Een subtiel verschil!

    geplaatst op
  • Hi Anne, ik denk dat je in dit artikel je antwoorden gaat vinden: https://ico.org.uk/for-organisations/marketing/

    "The most important thing to remember is that you can only carry out unsolicited electronic marketing if the person you're targeting has given you their permission.

    However, there is an exception to this rule. Known as the 'soft opt-in' it applies if the following conditions are met;

    where you've obtained a person's details in the course of a sale or negotiations for a sale of a product or service;
    where the messages are only marketing similar products or services; and
    where the person is given a simple opportunity to refuse marketing when their details are collected, and if they don't opt out at this point, are given a simple way to do so in future messages."

    geplaatst op
  • Hi Jasmijn,
    Het gaat meer om het andere stukje wat op die pagina staat:
    “A note on the GDPR
    Recital 47 of the GDPR says direct marketing is a legitimate use of personal information, which is true.”
    Maar elders lees ik weer dat dit vereist dat je een “balancing test” moet doen en dit moet documenteren en dat je daarbij alsnog het risico loopt dat het gebruik van de persoonlijke data niet legitiem is:
    https://pagefair.com/blog/2017/gdpr-legitimate-interest/

    Daarbij komt dat als er tracking/profiling plaatsvindt er alsnog toestemming noodzakelijk is:
    http://www.gdprtoons.com/2017/09/direct-marketing-is-mentioned-few-times.html

    Ook bij gebruikt van een email-serviceprovider (bijv. Mailchimp) is er een (extra) opt-in nodig voor de overdracht van data aan Mailchimp. Mailchimp geeft dit ook zelf aan in haar GDPR document:
    https://kb.mailchimp.com/binaries/content/assets/mailchimpkb/us/en/pdfs/mailchimp_gdpr_sept2017.pdf
    Hierin staat ook:
    - gebruik je “Connect Your Store, Google Web Retargeting Ads, Product Retargeting Emails, Facebook and Instagram Ad Buying” dan moet je hier ook apart per gebruik (unbundeled and informed) toestemming voor vragen. Niemand gaat toch zoveel opt-ins vragen of krijgen?
    - gebruikers kunnen verder direct zelf bij Mailchimp hun gegevens laten verwijderen: lekker overzichtelijk?

    Volgens mij sterft de soft opt-in zo dus een langzame dood.
    En zal het gebruik van third party diensten bij de opt-in flink afnemen.

    Ik begrijp het als je hier verder niet op in wil gaan omdat dit jullie business ondermijnt. Maar er is wel een grote behoefte aan dit soort gedetailleerde informatie en de Autoriteit Persoonsgegevens laat het op dit punt helaas erg afweten!

    geplaatst op
  • Hi Michel,
    Leuk dat je de blogpost hebt gelezen! Het klopt dat er niet in de AVG/ GDPR staat welke info je exact moet opslaan nadat je een opt-in hebt gekregen. Het lijkt mij dat je met deze informatie prima kan aantonen dat iemand een opt-in heeft gegeven/gekregen: "de opt-in status (ingeschreven of uitgeschreven), hoe je de opt-in hebt verkregen, wanneer je de opt-in hebt verkregen en welke toestemming is gegeven (inschrijven voor de nieuwsbrief, alleen meewerken aan onderzoeken, et cetera.)." Het IP-adres zou je ook op kunnen slaan, maar ook in dit geval zal je nooit met 100% zekerheid kunnen aantonen dat je de opt-in op de juiste manier hebt verkregen en zal je altijd zelf de gegevens in je database kunnen zetten. Of er harde richtlijnen komen aan de data die je op moet slaan, zal de tijd ons leren.

    En wat betreft de klant/betaalrelatie. Het gaat er om dat er een aankoop is geweest. Deze regel wordt niet zo zeer behandeld in de AVG/GDPR, maar in de telecommunicatiewet: "Een ieder die elektronische contactgegevens voor elektronische berichten heeft verkregen in het kader van de verkoop van zijn product of dienst mag deze gegevens gebruiken voor het overbrengen van communicatie voor commerciële, ideële of charitatieve doeleinden met betrekking tot eigen gelijksoortige producten of diensten".

    Ik hoop dat ik je vraag goed heb kunnen beantwoorden.

    Groeten Jasmijn

    geplaatst op
  • Hi Anne,

    Over de “balancing test” durf ik geen uitspraken te doen.

    Over profiling zegt de AVG/GDPR het volgende:
    "Voorts moet de betrokkene worden geïnformeerd over het bestaan van profilering en de gevolgen daarvan. Indien de persoonsgegevens van de betrokkene moeten worden verkregen, moet hem worden meegedeeld of hij verplicht is de persoonsgegevens
    te verstrekken en wat de gevolgen zijn van niet-verstrekking van de gegevens"

    "Een betrokkene moet het recht hebben om de persoonsgegevens die over hem zijn verzameld, in te zien, en om dat recht eenvoudig en met redelijke tussenpozen uit te oefenen, zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren."

    Toestemming voor profiling is dus niet nodig, je moet het wel melden,op aanvraag inzicht kunnen bieden en ook hier heeft de persoon het recht om uitgesloten te worden voor profiling of "vergeten" te worden.

    Wat betreft de soft opt-in: De DDMA zegt op hun blog dat de soft opt-in niet komt te vervallen: https://ddma.nl/actueel/avg-en-toestemming/. Daarnaast zal in de nieuwe wet "ePrivacy Regulation" wellicht meer duidelijkheid komen over het toepassen van de soft opt-in, maar aangezien hier nog geen overeenstemming is bereikt, moeten we hier nog even op wachten. Dus in dat opzicht ben ik niet bang dat het verdwijnt. En mocht het verdwijnen dan is het onze taak om creatieve andere manieren te vinden om kwalitatieve opt-ins te verwerven.

    Er zal nog genoeg voor ons marketeers blijven om uit te zoeken rondom de wetgeving, omdat nog niet alles duidelijk uitgekristalliseerd is. Hopelijk komt er voor deze punten snel duidelijkheid!

    Groeten Jasmijn

    geplaatst op
  • “Toestemming voor profiling is dus niet nodig”, daar ben ik nog niet van overtuigt. Volgens mij is dit juist een van de redenen dat de GDPR in het leven is geroepen.
    Maar goed, ik hoop ook dat er snel meer duidelijkheid komt. Anders kan je ook altijd nog Wethersoon volgen:
    http://www.bluesheep.com/blog/gdpr-wetherspoons-has-deleted-its-entire-email-marketing-database.-should-you

    geplaatst op
  • Hoi Jasmijn,

    Dank voor je reactie! Maar, met de informatie die je noemt kan ik niet bewijzen dat jij daadwerkelijk degene bent die de opt-in heeft afgegeven, toch? Terwijl dat me juist het doel van de wet lijkt. Als ik jouw mailadres ergens heb gekocht, zet ik gewoon jasmijn@mailadres in onze database, met optin=ja, verkregen via site.nl/nieuwsbrief op 9-10-2017 13:31 en toestemming voor de nieuwsbrief, onderzoeken en alles wat ik verder kan bedenken. Klaar, en keurig aan de wet voldaan! Dat kan niet de bedoeling zijn lijkt me.

    Ik denk inderdaad dat het IP-adres opslaan geen 100% garantie geeft, maar het geeft wel een indicatie wie de opt-in heeft afgegeven (mits je je inschrijft via een eigen internetaansluiting, en daar zit dan de valkuil). Er zullen vast geen harde richtlijnen komen, ik denk dat zoiets als dit alleen via jurisprudentie duidelijk gaat worden. Laten we hopen dat het zo ver niet snel komt :)

    geplaatst op
  • @Michel

    Je voorbeeld van "zelf invullen" voldoet niet aan GDPR, omdat het gegevensvervalsing is. Liegbeest!

    Er is nog geen absolute set aan gegevens die het bewijzen van de opt-in geven. IP adres en datetimestamp van de inschrijving + bron ben je al een heel eind. Die bron is wel belangrijk om specifiek genoeg vast te leggen: denk aan versiebeheer van bijvoorbeeld formulieren en andere opt-in methoden.

    geplaatst op
  • De ICO ziet het opslaan van IP adres als “Bad practice”:

    BAD: “You keep the time and date of consent linked to an IP address with a web link to your current data-capture form and privacy policy”

    GOOD: “You keep records that include an ID and the data submitted online together with a timestamp. You also keep a copy of the version of the data-capture form and any other relevant documents in use at that date”

    geplaatst op
  • Hi Jasmijn,

    Helder artikel. Maar zoals ik 't nu begrijp is de GDPR vanaf 25 mei '18 actief voor álle landen in EU? M.a.w. voor Duitsland, waar ik dacht dat het strenger was, is een dubbele opt-in ook niet verplicht?

    Thanks.

    Gr. Joep

    geplaatst op
  • Hi Joep,

    De GDPR gaat nog een stapje verder. De wet geldt voor iedereen die naar Europese burgers mailt, dus voor een Amerikaans bedrijf die naar Nederlandse opt-ins mailt als voor een Nederlands bedrijf die naar Nederlandse opt-ins mailt. Aanvullende regels, zoals de double opt-in regel in Duitsland, zullen naast de GDPR blijven bestaan.

    Groeten Jasmijn

    geplaatst op
  • @Anne

    Dank voor je toevoeging! Waar kan ik dit terugvinden? Ik ben benieuwd of ICO ook aangeeft waar dit standpunt op berust. Misschien is het een kwestie van semantiek, maar als ik lees dat ik moet kunnen aantonen dat ik toestemming heb, lijkt het voor mij vanzelfsprekend dat dat niet enkel kan op basis van gegevens die ik makkelijk kan vervalsen.

    @Jordie

    Bedankt Jordie, jou ontgaat ook niets! :P

    geplaatst op
  • @Michel
    Dat staat in de "GDPR consent guidance" (vanaf pagina 33).
    Is nog wel "draft”, de definitieve versie komt later dit jaar.
    Om aan te tonen dat gegevens niet vervalst kunnen worden noemt de ICO het gebruik van “an appropriate cryptographic hash function”.

    https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.