Strategie

AVG & e-mailmarketing: de 10 meest gestelde vragen

0

Welke gevolgen heeft de AVG (GDPR) voor e-mailmarketing? Veel marketeers lopen nog met talloze vragen rond. En de tijd dringt: je moet toch echt voor 25 mei zorgen dat je voldoet aan de wetgeving. Hieronder lees je de antwoorden op de meest gestelde vragen over de AVG onder e-mailmarketeers.

1. Kan ik mijn huidige database nog mailen vanaf 25 mei 2018?

Er wordt al enige tijd veel geschreven en geblogd over de AVG. Aan de ene kant lees je dat e-mailmarketeers hun activiteiten goed geregeld hebben met de Telecomwet en de Code E-mail, maar je leest ook dat e-mailmarketeers aan elk contact opnieuw een opt-in moeten vragen. Wat is nu waar? Dit maakt e-mailmarketeers onzeker en om die reden stellen velen de vraag of ze na 25 mei nog op de huidige voet verder kunnen.

Zolang je wetten en regels naleeft, is er niets aan de hand. Je kunt je huidige database na 25 mei blijven mailen. Belangrijk blijft wel dat je commerciële mailings alleen mag versturen aan contacten die daarvoor toestemming hebben gegeven. Deze toestemming of opt-in is al jaren goed geregeld met de huidige Telecomwet.

Toestemming verkrijgen van je klanten en prospects om ze commerciële mailings te mogen sturen, blijft zeker van kracht. Ook na 25 mei 2018. De AVG doet daar niets aan af.

2. Als we al de Telecomwet en de Code E-mail hebben, wat voegt de AVG dan nog toe?

De AVG vervangt de Wet bescherming persoonsgegevens (Wbp) en niet de Telecomwet of de Code E-mail. De Wbp is van 2001 en sinds die tijd is er veel veranderd. De Wbp is simpelweg aan vervanging toe. De AVG of – in het Engels – de GDPR geldt voor de hele Europese Unie en heeft twee belangrijke consequenties: versterking en uitbreiding van privacyrechten en meer verantwoordelijkheden voor organisaties.

3. Heeft een uitbreiding van de privacy-rechten ook gevolgen voor het aanmeldproces?

Ook hiervoor geldt dat de AVG geen specifieke uitspraken doet over de inrichting van het aanmeldproces. De huidige werkwijze blijft ook hier van kracht. Zolang contacten expliciet toestemming geven voor de ontvangst van mailings en ze weten met welk doel je hun gegevens inzet, dan zit je goed.

Stel: je hebt klanten of prospects gevraagd naar hun geboortedatum, omdat je graag een leuke verjaardagsmail naar ze stuurt. Voor deze marketing heb je geen aparte toestemming nodig. Klanten vinden zo’n mail vaak hartstikke leuk en ervaren het niet als schending van hun privacy.

4. In de AVG staat toch iets over data-minimalisatie. Wat betekent dat voor de e-mailmarketing?

Data-minimalisatie is zeker nieuw. Het is heel simpel: je kunt niet allerlei persoonsgegevens opslaan zonder ze in te zetten voor je e-mailmarketing. Als je geboortedata uitvraagt, terugkrijgt en opslaat zonder dat je iets met deze data doet, dan moet je ze óf verwijderen óf nog beter: inzetten. Stuur een leuke verjaardagsmail naar je contacten. Het is immers een bewezen effectieve vorm van e-mailmarketing. Zonde om niets met die data te doen!

5. Profielverrijking en segmentatie blijven mogelijk. Of toch niet?

Gebruikelijke e-mailmarketingactiviteiten blijven mogelijk onder de AVG. Het is prima om open- en klikgedrag van je contacten bij te houden, profielen te verrijken en op basis hiervan segmentaties te maken. De ontvangers van je e-mails ondervinden geen nadelen van deze activiteiten. De meeste ontvangers vinden het immers prettig als ze relevante e-mails ontvangen.

De AVG is wel streng als het gaat om zogenaamde geautomatiseerde besluitvorming die ten nadele is van de ontvanger. Zo mag een verzekeringsmaatschappij de premie niet automatisch verhogen als uit het koop- en klikgedrag – via mail, website of via derden – blijkt dat de ontvanger er een ongezonde levensstijl op nahoudt. Ook mag je in je webwinkel niet automatisch hogere prijzen tonen voor bezoekers van wie op basis van hun IP-adres wordt geconstateerd dat ze in een dure gemeente wonen.

Een verzekeringsmaatschappij mag de premie niet automatisch verhogen als uit het koop- en klikgedrag blijkt dat de ontvanger er een ongezonde levensstijl op nahoudt.

6. Hoe zit het met het recht op vergetelheid en e-mailmarketing?

Stel dat je zo’n verjaardagsmail niet leuk vindt en dat je als ontvanger het liefst wil dat al je gegevens worden verwijderd, dan kan de persoon in kwestie gebruikmaken van het recht op vergetelheid. Je bent dan verplicht om dit recht te erkennen en alle opgeslagen gegevens te verwijderen. Dit is een duidelijk voorbeeld van de versterking en uitbreiding van de privacyrechten.

7. De AVG is ook streng als het gaat over het afsluiten van verwerkersovereenkomsten. Hoe zit dat precies?

Als je samenwerkt met een E-mail Service Provider (ESP) dan is deze ESP de verwerker van gegevens en is jouw organisatie een verwerkingsverantwoordelijke. Deze partijen moeten met elkaar een verwerkersovereenkomst afsluiten.

In zo’n overeenkomst staat bijvoorbeeld beschreven hoe je gegevens van contacten gaat inzetten en met welk doel, dat de verwerker verantwoordelijk is voor alle technische en organisatorische beveiligingsmaatregelen, dat de verwerker assistentie verleent bij het melden van datalekken et cetera. De kans is vrij groot dat je huidige overeenkomst niet voldoet aan de AVG en dat je een nieuwe moet afsluiten met je ESP.

8. Hoeveel verwerkersovereenkomsten moet je afsluiten als je software hebt gekoppeld aan je CRM-systeem of je webshop?

Dit is geheel afhankelijk van hoe de koppeling tot stand komt. Als je een koppeling hebt die rechtstreeks data synchroniseert met je e-mailmarketing, dan is voor de koppeling an sich geen extra verwerkersovereenkomst nodig. Dit geldt niet voor koppelingen die als dienst worden geleverd door een derde partij. Het punt is dat persoonsgegevens via deze derde partij in je e-mailmarketingsoftware terechtkomen. Je hebt dan te maken met een extra verwerker volgens de AVG.

In deze gevallen sluit je een extra verwerkersovereenkomst af met de organisatie die de koppeling als dienst levert. En vergeet niet om ook met de leverancier van je CRM-software of je webshopsoftware een overeenkomst af te sluiten. Deze leveranciers zijn immers ook verwerkers.

Avg en e-mailmarketing

9. Is retargeting van mijn e-mailbestand nog mogelijk?

Zodra een derde partij toegang heeft of krijgt tot jouw opgeslagen persoonsgegevens, dan heb je van de personen in kwestie toestemming nodig en met die derde partij dien je een verwerkersovereenkomst af te sluiten.

Stel dat je gebruik wil maken van Facebook Custom Audiences of Look a like Audiences. Je verstrekt e-mailadressen aan Facebook om zo gericht advertenties te plaatsen op de tijdlijn van een specifieke doelgroep. De AVG stelt dat je van de personen in kwestie toestemming nodig hebt voor het verstrekken van hun e-mailadres en je dient met Facebook een verwerkersovereenkomst af te sluiten.

10. Hoe zorg je er als e-mailmarketeer voor dat je vanaf 25 mei AVG-compliant bent?

Door goed op een rij te zetten op welke punten je allemaal moet letten. En dat zijn er best veel. Zo moet je je verwerkersovereenkomsten opnieuw kritisch onder de loep nemen en als je samenwerkt met een ESP dan ben jij (als verwerkersverantwoordelijke) verplicht om na te gaan en te beoordelen of je ESP passende technische en organisatorische maatregelen heeft getroffen om de opgeslagen persoonsgegevens te beveiligen.

Zo speelt naast het recht op vergetelheid ook het recht op informatie, verzet en rectificatie een rol in e-mailmarketing. Zodra een contact van zo’n recht gebruik wil maken, dan moet je deze betrokkene snel en gemakkelijk van dienst zijn.

Wees transparant!

Maar dat is nog niet alles. Je moet er ook voor zorgen dat je transparant bent over je e-mailmarketingactiviteiten in je privacy statement. Transparantie is sowieso belangrijk voor de AVG. Uiteindelijk moet je helder zijn over alle maatregelen die je hebt doorgevoerd om AVG-compliant te zijn.

Wij wensen alle e-mailmarketeers ontzettend veel succes met het doorvoeren van de benodigde maatregelen.