E-mailmarketing & dataveiligheid: meer dan alleen de AVG

Met alle aandacht voor de Algemene Verordening Gegevensbescherming (AVG) zou je bijna denken dat privacy en dataveiligheid wel op orde zijn. Helaas. Dat is maar ten dele waar. Naast alle veiligheids- en privacymaatregelen die voortvloeien uit de AVG is het – zeker voor e-mailmarketeers – belangrijk om na te denken over zaken als tweestapsverificatie, anti-botbeveiliging of het doorvoeren van domeinlinks. Bij een goede bescherming van je gegevens komt dus meer kijken dan alleen de laatste privacywet.

Hieronder deel ik enkele tips vanuit onze eigen praktijk.

Bescherm je gegevens met persoonlijke logins

Je zou verwachten dat iedere medewerker die inlogt op een systeem daarvoor een persoonlijke login gebruikt. Ondanks de strenge AVG merken wij als softwareleverancier nog steeds dat meerdere gebruikers met dezelfde login werken. En dat er eerder sprake is van een algemene, gedeelde login dan van persoonlijke logingegevens. Natuurlijk is deze situatie onwenselijk. Wij wijzen onze gebruikers er dan ook nadrukkelijk op deze werkwijze te wijzigen.

Goed voornemen

Naast een veiligere werkomgeving kun je met persoonlijke logins ook altijd nagaan wie welke handelingen uitvoert. Dit bevordert de transparantie van de werkzaamheden. Het lijkt dus erg voor de hand te liggen dat iedere medewerker zijn eigen gebruikersnaam en wachtwoord gebruikt, maar dat is het allerminst. Mocht je dit niet op orde hebben, dan is het wellicht een goed voornemen om de inrichting van persoonlijke logins voor 2019 op de agenda te zetten.

Bescherm je gegevens met tweestapsverificatie

Met de inrichting van persoonlijke logins zet je een belangrijke stap naar een veiligere werkomgeving, maar het is wel een eerste stap. Tegenwoordig is het heel gebruikelijk om aan je persoonlijke login nog een extra beveiligingslaag toe te voegen. Ook de accounts van je e-mailmarketingsoftware kun je uitstekend beveiligen met deze zogeheten tweestapsverificatie.

Met tweestapsverificatie log je niet alleen in met je gebruikersnaam en wachtwoord, maar heb je ook een verificatiecode nodig om toegang te krijgen tot de software. Die code wordt gegenereerd via een app die je eenvoudig op je smartphone zet. Het mooie van zo’n authentication app is dat hij telkens ververst en na enkele seconden een nieuwe code genereert. Mochten je gebruikersnaam en wachtwoord  – om wat voor reden dan ook –  bekend raken, dan blijft de toegang tot je account beschermd.

Wissel bestanden niet uit via Dropbox of WeTransfer

Stel dat je aan je e-mailserviceprovider (ESP) vraagt om bepaalde klantbestanden te importeren in je e-mailmarketingsoftware, dan is het belangrijk dat je alle AVG-privacyregels in acht neemt. Dropbox en WeTransfer werken fantastisch, maar bestanden met persoonsgegevens uitwisselen via deze platforms is en blijft een bestandsuitwisseling via een derde partij.

Dataveiligheid van uitgewisselde bestanden is veel beter te waarborgen als je e-mailmarketingsoftware bestandsuitwisseling mogelijk maakt. Een goede ESP zorgt er daarnaast voor dat de geüploade bestanden slechts beperkt beschikbaar blijven.

Bescherm je gegevens met anti-botbeveiliging

Elke e-mailmarketeer maakt gebruik van online formulieren om in contact te komen met organisaties. Bij het gebruik hiervan is spam een van de grootste ergernissen. Je wil simpelweg voorkomen dat je database vol legitiem verkregen adressen vervuild wordt met informatie die is achtergelaten door een spambot.

Anti-botbeveiliging

Je kunt dit allemaal tegengaan met anti-botbeveiliging. Enigszins technisch: aan de online formulieren worden enkele verborgen vragen toegevoegd. Vragen die niet zichtbaar zijn in de opgemaakte versie van het formulier, maar wel in de HTML. Spambots lezen uiteraard alleen de HTML en zien deze verborgen vragen als onderdeel van het formulier.

Elke invoer op zo’n vraag triggert de beveiliging. Vraag aan je ESP of je online formulieren en surveys kunt beschermen met deze beveiliging tegen spambots. Het voorkomt veel narigheid en het vergroot de veiligheid van je database.

Kom betrouwbaar over

Naast allerlei beschermingsmaatregelen zoals tweestapsverificatie en anti-botbeveiliging kun je als e-mailmarketeer ook heel veel maatregelen nemen rondom de betrouwbaarheid van je e-mailmarketing. Elke professionele e-mailmarketeer wil door ontvangers en e-mailclients aangemerkt worden als legitieme verzender. Dit is belangrijk omdat onze inboxen niet alleen worden gevuld met mooie en legitieme mailings, maar ook met spam, phishingberichten en allerlei andere ongewenste mails.

Nepmails herkennen

Zo kunnen Nederlanders op Veiliginternetten.nl lezen hoe je nepmails of phishingmails kunt herkennen. Deze website is een initiatief van de ministeries van Economische Zaken & Klimaat en van Justitie & Veiligheid en geldt als autoriteit in de voorlichting aan Nederlanders over cybersecurity. Op de website staat letterlijk:

 ‘Klik nooit zomaar op de links in een e-mail die je niet vertrouwt. Controleer het adres van de link door, zonder erop te klikken, de cursor van je muis op de link te zetten en te kijken welk adres er verschijnt.’

Als steeds meer Nederlanders deze aanwijzingen gebruiken, dan is het verstandig om in je eigen mailings een linknaam te gebruiken die direct herkenbaar is. Een trackable link waarin alleen de naam van je ESP zichtbaar is, gaat daarbij niet helpen. En ESP’s tonen standaard hun eigen naam en niet de domeinnaam van jouw organisatie.

Nog meer goede voornemens

Kortom, gebruik in je trackable links altijd je eigen domeinnaam. Die moet je wel zelf instellen. Is dat nog een klusje dat je moet uitvoeren? Misschien kun je deze actie ook wel toevoegen aan je lijst met goede e-mailvoornemens voor 2019.

Laat de mailaflevering controleren

Afleveringscontrole van je mailings vindt plaats door middel van Sender Policy Framework (SPF) en Domain-based Message Authentication, Reporting & Conformance (DMARC). E-mailmarketeers houden zich liever bezig met de effectiviteit van hun campagnes dan met deze technische authenticatieprotocollen, maar voor een betrouwbare e-mailaflevering zijn ze wel belangrijk.

SPF & DMARC

De SPF is een authenticatieprotocol dat de herkomst van e-mailberichten valideert. De validatie wordt gedaan door te checken of het IP-adres van de verzendende e-mailserver bij die van de afzender hoort – en dus betrouwbaar is. DMARC is een extra waarborg waarmee je – onder andere – aangeeft dat je mailings beschermd zijn met SPF.

Misbruik van je domeinnaam

Ingewikkeld? Ja! Toch zijn deze protocollen de beste garantie tegen phishing en tegen misbruik van jouw domeinnaam. Loop eens binnen bij IT om te vragen hoe deze protocollen zijn ingericht, of vraag je ESP om een toelichting. Het is altijd goed om er zeker van te zijn dat ook de technische inrichting van je e-mailmarketing goed geregeld is.

Toch kun je ook zelf wel het een en ander nagaan. Stuur vanuit je e-mailmarketingsoftware een testmail naar mail-tester.com. Deze website test graag de ‘spammyness van je e-mails’, zoals ze zelf zeggen.

Uiteraard: voldoe aan de wet

De Telecomwet (of de toekomstige ePrivacy Verordening), de AVG en de DDMA Code E-mail beschrijven regels en voorschriften die belangrijk zijn voor de e-mailmarketeer. Neem er kennis van. Op Frankwatching vind je voldoende artikelen die je daarbij ondersteunen.

Maar onthoud: wet- en regelgeving alleen garanderen nog niet dat je veilig met je data omgaat. Daar is dus meer voor nodig. Zorg er zeker voor dat je veilig inlogt, dat je de toegang tot je e-mailmarketingsoftware beveiligt met tweestapsverificatie en dat je in elke trackable link je domeinnaam terug laat komen. Zijn ook je anti-botbeveiliging en je authenticatieprotocollen op orde? Dan ben je helemaal goed bezig.

Voor 2019: veel succes met je e-mailmarketing!