Blog

GDPR en e-mailmarketing: dit moet u weten

Zet u e-mailmarketing in om (potentiële) klanten te informeren over uw diensten of producten? Dan krijgt u zeker met de GDPR (General Data Protection Regulation) te maken. U leest er alles over in deze blog.

Stel, u ontvangt per e-mail een mailing van een voor u volstrekt onbekende organisatie. In de footer van de nieuwsbrief staat dat u de e-mail ontvangt, omdat u in het verleden contact met de organisatie heeft gehad. Wellicht heeft u hier geen problemen mee, beschouwt u de mailing als niet verzonden of meldt u zich af voor een volgende nieuwsbrief. Maar stel, het is nu 25 mei 2018. Dan spelen er een aantal zaken:

  • Uw persoonlijke e-mailadres (onderdeel van uw persoonsgegevens) valt vanaf die datum onder de nieuwe privacywet GDPR;
  • De organisatie die deze nieuwsbrief heeft verstuurd, had dat volgens die wet niet mogen doen;
  • Ook al zou u uw e-mailadres inderdaad eens aan deze organisatie verstrekt hebben, bijvoorbeeld voor een informatieaanvraag, dan nog had uw e-mailadres niet gebruikt mogen worden. U had hier expliciet toestemming voor moeten geven.

GDPR: 25 mei 2018
Zet u net als de organisatie in het voorbeeld ook e-mailmarketing in om (potentiële) klanten te informeren over uw diensten of producten? Dan krijgt u ook zeker met de GDPR (General Data Protection Regulation) te maken. De GDPR is namelijk van invloed op alles wat te maken heeft met de persoonsgegevens van EU-burgers. Hieronder vallen dus ook e-mailadressen, namen, geboortedata en andere persoonsgerelateerde data die voor e-mailmarketing gebruikt wordt. Om te voorkomen dat u na de invoering van de GDPR op 25 mei 2018 voor verrassingen komt te staan, delen wij in deze blog graag enkele punten waar u rekening mee moet houden.

Wat verandert er na invoering van de nieuwe privacywet GDPR?
Actieve opt-in
U moet ontvangers van uw mailingen expliciet om toestemming vragen (opt-in). Het is van belang dat zij daar zelf actie bij ondernemen. Een vooraf aangevinkte checkbox (‘Ja, ik wil de nieuwsbrief ontvangen’) vraagt geen actieve handeling van een betrokkene en is daarom geen geldige vorm van een e-mail opt-in. De opt-in moet bovendien gescheiden zijn van uw algemene voorwaarden en mag geen voorwaarde zijn om bijvoorbeeld een bestelling in uw webshop te plaatsen.

LET OP: voorheen mocht u bestaande klanten en relaties die niet expliciet hadden aangegeven mailingen van u te willen ontvangen, toch mailen. Onder de GDPR is dit niet meer het geval. Ook bestaande klanten en relaties moeten via een opt-in expliciet toestemming geven. Voor uw nieuwsbrief of nieuwe e-mailcampagne een bestaande database van adressen gebruiken, is na 25 mei 2018 dus niet toegestaan. Voldoet uw huidige e-mail database niet aan de GDPR, zet dan een re-permission campaign op om de juiste data te verzamelen. Een re-permission campaign houdt in dat u een e-mail of mailing stuurt naar iedereen op uw huidige abonneelijst waarin u vraagt of zij uw mailingen willen blijven ontvangen. Kortom: u vraagt betrokkenen nogmaals om hun toestemming te geven.

Heldere informatievoorziening
De betrokkene dient bij het afgeven van zijn of haar opt-in duidelijk geïnformeerd te worden over welke persoonsgegevens vastgelegd worden, voor welk doeleinde en hoe lang deze gegevens door uw organisatie bewaard worden. GDPR geeft EU-burgers namelijk de vrijheid om hun eigen persoonlijke informatie te beheren én de vrijheid om te worden vergeten. Dit laatste betekent dat zij ‘recht hebben op vergetelheid’, dus op het verwijderen van verouderde gegevens of de inzage hiervan na ten onrechte verkregen of valse informatie. Praktisch gezien betekent dit dat de betrokkene die een e-mail opt-in heeft afgegeven altijd het recht heeft om (eenvoudig!) zijn of haar opt-in in te trekken.

Samengevat is een e-mail opt-in goed ingericht als deze

  • informeert over het doeleinde van de mailing;
  • om een actieve handeling vraagt, bijvoorbeeld dat de betrokkene één of meerdere checkboxen moet aanvinken;
  • de betrokkene de mogelijkheid biedt om zijn of haar gegevens te wijzigen;
  • duidelijk beschrijft hoe de betrokkene zich kan uitschrijven voor de mailing.

Goede administratie
Als organisatie moet u niet alleen precies bijhouden wie een opt-in heeft afgegeven, maar ook wanneer en exact waarvoor. Op het moment dat u controle krijgt moet deze informatie goed inzichtelijk zijn.

Wat gebeurt er als u de GDPR niet naleeft?
Bovenstaande vereisten zijn in principe niet nieuw. Immers, voorheen moest u ook om toestemming vragen wanneer u iemand een mailing wilde sturen. Het belang van een goede administratie is echter wel nieuw. Krijgt u controle en kunt u geen volledige en heldere inzage geven, dan riskeert u een boete. En de consequenties van het niet naleven van de GDPR zijn groot: deze boete kan oplopen tot wel vier procent van uw jaaromzet.

Wilt u meer weten of kunt u hulp gebruiken bij de naleving van de GDPR binnen uw organisatie? Neem dan vrijblijvend contact op met Moja Rada. En lees vooral deze blog over de GDPR en marketing ook eens.

Comments are closed, but trackbacks and pingbacks are open.