Skip to content

E-mailmarketing in een GDPR tijdperk

GDPR-1

Je hebt er zelf waarschijnlijk een: zo’n datum die je aan iets herinnert. Bij  veel bedrijven zal die datum 25 mei 2018 zijn, de dag dat de General Data Protection Regulation in werking is getreden. 

Sinds dat moment staan persoonsgegevens achter slot en grendel binnen de bedrijfsdeuren. Persoonsgegevens mogen door bedrijven nog maar op drie manieren worden verwerkt: voor een overeenkomst, gerechtvaardigd belang en toestemming. Tot de inwerkingtreding van de GDPR kon jij jouw prospecten en klanten zonder al teveel voorwaarden alle e-mails sturen die je maar wilde. De GDPR hier verandering in gebracht. In dit blog zetten wij de veranderingen die GDPR heeft op diverse aspecten binnen de e-mailmarketing voor je op een rijtje, zo kun jij jouw e-mailmarketingsysteem GDPR-proof maken.

GDPR en e-mail opt-in

Het vragen om opt-in met betrekking tot het verzenden van e-mail is geregeld in de Telecommunicatiewet. De inwerkingtreding van de GDPR verandert hier niets aan, hetgeen betekent dat in dezelfde situaties nog steeds om goedkeuring gevraagd dient te worden. Het voorschrift dat je geen goedkeuring nodig hebt om e-mail aan jouw klanten te verzenden blijft ook van kracht, echter de GDPR regelt hiervoor wel de werkwijze waarop de goedkeuring gegeven moet worden, te weten:

  • Concreet: welke informatie mag verstuurd worden
  • Vrij: vooraf ingevulde vakjes en goedkeuring vragen in de algemene voorwaarden zijn uitgesloten
  • Het aangeven van de soort en veelvuldigheid van de e-mail
  • Eenduidig: jouw bedrijf moet kunnen aantonen dat goedkeuring op een rechtmatige manier is gegeven

Verscherpte bewijsgrond bij e-mail opt-in

De eerste drie eisen van toestemming zijn al langer in werking. De eis van ondubbelzinnigheid is daar als laatste bijgekomen. Voor jouw bedrijf een verzwaring van de bedrijfslast en manier waarop de opt-in wordt vastgelegd.

 Als bedrijf moet je kunnen aantonen:

  • Dat de goedkeuring werkelijk én op een vrije manier is gegeven
  • Dat de soorten informatie waarvoor goedkeuring is gegeven
  • Dat het script bij het geven van de goedkeuring genoeg informatie bevat

 Ook als het gaat om een prospect die een opt-in voor e-mail geeft dienen deze elementen vastgelegd te worden. Van opt-in registraties die voor 25 mei 2018 hebben plaatsgevonden en te bewijzen zijn, hoef je de prospecten en klanten niet opnieuw om goedkeuring te vragen. Enkel indien je niet genoeg hebt vastgelegd en je niet alle elementen kunt bewijzen dien je opnieuw om goedkeuring te vragen.

Profilering

Doe jij aan e-mailmarketing, dan klinkt profilering jou wellicht niet onbekend in de oren. Bij profilering bouw je profielen op waardoor je prospecten en klanten in groepen indeelt. Aan de hand van die groepen worden voorspellingen gedaan over gedrag en voorkeuren. Op het moment dat je profilering inzet, verwerk je persoonsgegevens en moet je op verzoek van de geprofileerde de logica hierachter kunnen aantonen. Stel dat je een webshop hebt met diverse producten en iemand besteld vier keer mannenschoenen. Je profileert de klant dan als man. Op basis van deze informatie verstuur je daaropvolgend per e-mail mannenproducten naar deze persoon.

 Bij profilering onder de GDPR gelden extra aanvullende eisen waar de grondslag op gebaseerd is, te weten:

  • De persoon in kwestie moet, via bijvoorbeeld een privacyverklaring, geïnformeerd worden over de profileringsmogelijkheden
  • De persoon in kwestie heeft altijd recht van bezwaar en dient hier ook concreet over te worden geïnformeerd
  • Enkel de persoonsgegevens die noodzakelijk zijn worden verwerkt

Sinds de inwerkingtreding van de GDPR kan de persoon hier een protest tegen maken. Voor jouw bedrijf zit er niets anders op dan de persoon uit te sluiten voor deze profilering. Houdt je bij profilering dus aan de regelgeving voor toestemming die vanuit de GDPR wordt gehanteerd.

Uitbesteding van jouw e-mailmarketing: verwerkersovereenkomst

Het komt regelmatig voor dat bedrijven e-mailmarketing uitbesteden aan een extern bureau. De externe organisatie werkt dan met jouw klantgegevens. Voor bedrijven waar jij jouw e-mailmarketingpakket hebt aangeschaft, zoals Active Campaign of MailChimp, geldt hetzelfde. Ook deze bedrijven beschikken over jouw klantgegevens. Die externe partij wordt een verwerker genoemd. Laat jouw bedrijf dus persoonsgegevens verwerken door een verwerker, dan is een verwerkersovereenkomst tussen beide partijen verplicht. Dus ook als het gaat om persoonsgegevens ten behoeve van e-mailmarketing. Met een verwerkersovereenkomst leg je vast dat een externe partij zorgvuldig met persoonsgegevens omgaat en zich houd aan de regels. Wel zo fijn als jouw gegevens op een legale manier worden verwerkt.

ePrivacy Regulation

De GDPR is algemeen geformuleerd. Als aanvulling op de GDPR wordt een ePrivacy Regulation ontwikkeld. De ePrivacy Regulation, afgekort ePV, is een voorgestelde Europese verordening die de e-mailprivacyrichtlijn (Richtlijn 2002/58/EG) op termijn dient te vervangen. In deze wetgeving staan eisen over de inzet van onder andere metadata, cookieregels en het beschermen van prospects en klanten tegen spam. Kortom, de ePV focust zich op bedrijven die online communiceren en gebruik maken van zowel tracking techonologien als direct marketing. Zoals aangegeven moet de ePV de huidige wet op termijn vervangen. De ePV is gelijktijdig met de GDPR in werking treden, maar wordt uitgesteld daar nog geen overeenstemming is bereikt.

GDPR en e-mailmarketing: stappenplan

Je hebt nu inzicht in de invloeden die GDPR heeft op diverse aspecten binnen de e-mailmarketing. Nu is het tijd om zelf aan de slag te gaan en jouw e-mailmarketingsysteem GDPR-proof te maken. Om je op weg te helpen hebben wij de actiestappen die jouw helpen naar een GDPR-proof e-mailmarketingsysteem voor je op een rijtje gezet:

  • Breng de GDPR-maatregelen die je wilt treffen boven tafel
  • Sluit een verwerkersovereenkomst af
  • Heb overzichtelijk welke persoonsgegevens je bewaard
  • Bescherm de privacy-rechten van de belanghebbenden
  • Pas jouw privacyverklaring aan

Het GDPR-proof maken van jouw e-mailmarketingsysteem heb je volledig in eigen hand. De Autoriteit Persoonsgegevens houdt toezicht of bedrijven de GDPR naleven. Boetes kunnen oplopen tot €20 miljoen of 4% van de jaaromzet, afhankelijk welke van de twee hoger is. Blijf op vrije voeten en houdt daar rekening mee.

Blog comments