AVG en E-mailmarketing

Home » AVG en E-mailmarketing

Blauwe achtergrond met aan de linkerkant een wit schild met een hangslot, omringd door twaalf sterren – symbool voor Europese gegevensbescherming. Rechts staat in grote witte letters "AVG (GDPR)" met daaronder een enveloppictogram en een vinkje, wat e-mailmarketing en toestemming visualiseert.

AVG en E-mailmarketing

Tijs Drukker avatar
Tijs Drukker

Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) in mei 2018 is de manier waarop organisaties omgaan met persoonsgegevens ingrijpend veranderd. Deze Europese privacywetgeving stelt strenge eisen aan het verzamelen, opslaan en gebruiken van persoonlijke data, met als doel de privacy van individuen beter te beschermen.

Binnen e-mailmarketing heeft de AVG grote impact. Waar het vroeger vaak voldoende was om iemand aan een mailinglijst toe te voegen na een contactmoment, vereist de AVG nu expliciete toestemming.

In dit artikel gaan we in op de basisprincipes van de AVG en wat dit betekent voor e-mailmarketing. We behandelen welke stappen je moet nemen om compliant te zijn.

Inhoud verberg

Wat is de AGV (GDPR)?

Organisaties die persoonsgegevens verzamelen hebben de plicht om verantwoordelijk met deze gegevens te gaan. In de Algemene Verordening Gegevensbescherming (AVG) staan deze plichten van organisaties omschreven. De AVG bestaan uit 7 grondbeginselen:

  1. Persoonsgegevens moeten op een eerlijke, wettige en transparante manier worden verwerkt.
  2. Je mag gegevens alleen verzamelen voor een specifiek, duidelijk omschreven en legitiem doel.
  3. Verzamel alleen de persoonsgegevens die je echt nodig hebt.
  4. Zorg ervoor dat de persoonsgegevens die je bewaart correct zijn en, indien nodig, up-to-date worden gehouden.
  5. Bewaar persoonsgegevens niet langer dan nodig is voor het doel waarvoor je ze hebt verzameld.
  6. Je moet persoonsgegevens goed beveiligen.
  7. Als organisatie moet je kunnen aantonen dat je voldoet aan alle bovenstaande principes.

Wat zijn de gevolgen van de AVG op e-mailmarketing?

Maar wat betekenen de eerder besproken grondbeginslen concreet voor e-mailmarketing? In dit onderdeel passen we de grondbeginselen van de AVG toe op e-mailmarketing. We nemen je stap voor stap mee langs de belangrijkste aandachtspunten, uitzonderingen en risico’s.

Wat is een geldige opt-in?

Een belangrijk principe binnen de AVG en e-mailmarketing is het verkrijgen van toestemming. De AVG vereist dat je alleen marketingmails stuurt aan mensen die hier expliciet mee hebben ingestemd. Deze toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven. Er zijn drie vormen van opt-in die je in e-mailmarketing kunt tegenkomen:

Single opt-in

De gebruiker vult een formulier in en wordt direct toegevoegd aan de verzendlijst. Deze methode is technisch eenvoudig, maar ook foutgevoelig. Een belangrijk nadeel van deze methode is dat iedereen vrijelijk een willekeurig e-mailadres kan invullen, zonder dat gecontroleerd wordt of het adres daadwerkelijk van hen is. Hierdoor loop je het risico dat mensen worden toegevoegd aan je mailinglijst zonder hun medeweten of toestemming.

Een single opt-in is wettelijk toegestaan zolang er aan de AVG-vereisten wordt voldaan. Hoewel single opt-ins juridisch toegestaan zijn, brengt het dus wel risico’s met zich mee.

Double opt-in

De dubbele opt-in-methode heeft een extra stap. Na het invullen van het formulier ontvangt de gebruiker een bevestigingsmail. Pas na bevestiging wordt het e-mailadres geactiveerd. Dit is de meest veilige methode.

Het grote voordeel van double opt-in is dat je kunt aantonen dat iemand zich bewust en actief heeft aangemeld. Bovendien draagt een double opt-in bij aan een hogere kwaliteit van je mailinglijst. Alleen mensen die daadwerkelijk interesse hebben in je aanbod voltooien het proces, waardoor je minder te maken krijgt met inactieve abonnees.

Wel is er één nadeel: een deel van de mensen zal de bevestigingsmail niet openen of vergeten te bevestigen, waardoor je potentiële inschrijvers kunt verliezen. Toch weegt dit nadeel voor veel organisaties niet op tegen de voordelen van een schone mailinglijst.

Soft opt-in

Dit is een uitzondering op de regel. Het geldt alleen voor bestaande klanten waarbij het e-mailadres is verkregen in het kader van een verkoop, en de marketing over vergelijkbare producten of diensten gaat. Deze uitzondering komt is opgenomen in de Telecommunicatiewet en is alleen toegestaan onder zeer specifieke voorwaarden:

  • Het e-mailadres moet zijn verkregen in het kader van een verkoop van een product of dienst.
  • De marketing moet gericht zijn op vergelijkbare producten of diensten als diegene waarvoor de klant eerder interesse toonde of iets kocht.
  • Bij het verzamelen van het e-mailadres moet de klant geïnformeerd worden dat het gebruikt zal worden voor marketing.

Opt-out: mogelijkheid tot uitschrijving

Naast het verkrijgen van toestemming is een opt-out-mogelijkheid verplicht volgens de AVG. Elke marketingmail moet een eenvoudige en duidelijke mogelijkheid bieden om je uit te schrijven. Deze optie moet direct zichtbaar zijn en zonder gedoe uitvoerbaar zijn. Een verborgen link of ingewikkelde afmeldprocedure voldoet niet aan de wet.

Dataminimalisatie: verzamel alleen wat je echt nodig hebt

Een van de kernprincipes van de AVG is dataminimalisatie. Dit betekent dat je alleen persoonsgegevens mag verzamelen die noodzakelijk zijn voor het doel waarvoor je ze gebruikt. Extra gegevens ‘voor het geval dat’ opslaan is niet toegestaan.

Een veelvoorkomend voorbeeld is het vragen om een geboortedatum bij inschrijving voor een nieuwsbrief. Tenzij je die informatie daadwerkelijk gebruikt, bijvoorbeeld om iemand een verjaardagskorting of gepersonaliseerde felicitatie te sturen, heb je geen rechtvaardiging om deze gegevens te vragen. Gebruik je de geboortedatum niet actief, dan overtreed je het beginsel van dataminimalisatie en handel je in strijd met de AVG.

Vraag je dus altijd af: heb ik deze informatie echt nodig om mijn doel te bereiken?

Verwerkersovereenkomst: samenwerking met externe partijen

Wanneer je voor e-mailmarketing gebruikmaakt van een externe partij, zoals een e-mailplatform, ben je verplicht om een verwerkersovereenkomst (ook wel een Data Processing Agreement, DPA) af te sluiten. In deze overeenkomst leg je vast hoe de externe partij met persoonsgegevens omgaat, welke beveiligingsmaatregelen worden genomen en welke verantwoordelijkheden beide partijen hebben. Dit is een vereiste onder de Algemene Verordening Gegevensbescherming (AVG). Zonder zo’n overeenkomst ben je als organisatie niet compliant met de AVG, zelfs als je verder zorgvuldig met data omgaat.

Gelukkig bieden de meeste e-mailplatformen automatisch een verwerkersovereenkomst aan. Zodra je een account aanmaakt en hun diensten gebruikt, ga je automatisch akkoord met hun verwerkersovereenkomst. Deze is publiek toegankelijk via de website van de specifieke e-mailplatform. In de verwerkersovereenkomst wordt onder andere besproken hoe ze persoonsgegevens beveiligen, hoe ze omgaan met subverwerkers en welke rechten jij als verantwoordelijke partij hebt. Het blijft echter belangrijk om als organisatie te controleren of deze standaardovereenkomst voldoet aan je eigen compliance-eisen, zeker als je met gevoelige gegevens werkt.

Toestemming bewijzen: wat moet je kunnen aantonen?

Onder de AVG geldt het principe van accountability: je moet als organisatie niet alleen voldoen aan de regels, maar ook kunnen bewijzen dat je dat doet. Dit geldt in het bijzonder voor het verkrijgen van toestemming. Je kunt dus niet volstaan met alleen het hebben van een opt-in; je moet aantoonbaar maken dat de toestemming op een geldige manier is verkregen.

Concreet moet je minimaal kunnen aantonen:

  • Dat de betreffende persoon toestemming heeft gegeven
    Je moet kunnen laten zien dat iemand zelf een actieve handeling heeft verricht, zoals het aanvinken van een vakje of bevestigen via een e-mail (bij double opt-in).
  • Wanneer de toestemming is gegeven
    Het exacte tijdstip van inschrijving moet worden vastgelegd, zodat je kunt aantonen dat de toestemming op een specifiek moment is verkregen.
  • Aan wie de toestemming is gegeven
    Het moet duidelijk zijn dat de toestemming aan jouw organisatie of een specifieke entiteit binnen je bedrijf is verleend.
  • Waarvoor de toestemming is gegeven
    Je moet kunnen laten zien welk doel je bij de toestemming hebt gecommuniceerd. Ging het om een nieuwsbrief, aanbiedingen, gepersonaliseerde content? Dit moet vastliggen.
  • De manier waarop toestemming is gegeven
    Was er sprake van een aanvinkvakje op een formulier, een e-mailbevestiging of een mondelinge toestemming (bijvoorbeeld aan de telefoon)? Dit moet ook worden geregistreerd.

Praktische tip

Gebruik een e-mailmarketingplatform dat deze gegevens automatisch logt (bijvoorbeeld datum en tijdstip van inschrijving, IP-adres en inhoud van het formulier). Zo ben je voorbereid als je ooit moet aantonen dat je toestemming op de juiste manier hebt verkregen.

Waarom sommige tools mogelijk niet voldoen

Veel bedrijven gebruiken internationale e-mailmarketingplatforms. Hoewel deze platforms gebruiksvriendelijk zijn en veel functionaliteit bieden, is er een belangrijk juridisch aandachtspunt rondom de locatie van de gegevensopslag. Amerikaanse platforms vallen daardoor onder Amerikaanse wetgeving, zoals de CLOUD Act. Dat betekent dat Amerikaanse autoriteiten in sommige gevallen toegang kunnen krijgen tot Europese persoonsgegevens.

Sinds de ongeldigverklaring van het Privacy Shield door het Europese Hof van Justitie in 2020 (Schrems II-uitspraak), is het verwerken van persoonsgegevens via Amerikaanse platforms zonder aanvullende garanties risicovol. Dit werd onderstreept in Duitsland, waar de Beierse toezichthouder oordeelde dat een organisatie onrechtmatig Mailchimp gebruikte voor het versturen van nieuwsbrieven. De organisatie had geen aanvullende waarborgen getroffen voor de gegevensoverdracht naar de VS, zoals versleuteling of extra juridische bescherming.

De toezichthouder concludeerde dat de doorgifte van e-mailadressen aan Mailchimp in strijd was met de AVG, omdat Amerikaanse autoriteiten theoretisch toegang konden krijgen tot de data op basis van de Amerikaanse CLOUD Act.

Conclusie: verantwoord omgaan met AVG en e-mailmarketing

De AVG stelt duidelijke eisen aan e-mailmarketing: je moet expliciete toestemming (opt-in) vragen, altijd een eenvoudige uitschrijfmogelijkheid (opt-out) bieden en alleen noodzakelijke gegevens verzamelen (dataminimalisatie). Daarnaast is een verwerkersovereenkomst met je e-mailprovider wettelijk verplicht.

Organisaties moeten kritisch zijn op hun gebruikte tools en processen. Alleen zo bescherm je de data van jouw klanten en voorkom je boetes.

Reacties

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Onderwerpen

,

Recente artikelen