5x hoe je e-mailmarketing AVG-proof maakt

Een paar weken geleden was er een wereldwijde storing op Facebook, Instagram en WhatsApp. Deze duurde naar je gevoel misschien ook wel heel lang. Extra vervelend is dat je je (potentiële) klanten dan ook niet meer kan bereiken, terwijl social media marketing juist ook belangrijk is voor klantbinding. Een andere manier om met je klanten te verbonden te zijn en blijven, is e-mailmarketing (zoals het versturen van nieuwsbrieven).

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming van toepassing: de alom bekende Europese regelgeving met betrekking tot bescherming van persoonsgegevens. Indien je met persoonsgegevens werkt, wat dus ook geldt voor e-mailmarketing, dien je aan de deze regels te voldoen. Maar hoe maak je je e-mailmarketing AVG-proof?

1. De manier van toestemming geven

Vrij, specifiek, geïnformeerd en ondubbelzinnig

Wanneer een iemand toestemming geeft, dan moet deze toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Wat houdt dit in?

  • Vrij: iemand moet de keuze hebben om toestemming te weigeren, mag de toestemming niet onder dwang geven en de toestemming mag ook geen voorwaarde zijn voor iets anders (“als je geen toestemming geeft voor A, krijg je B ook niet”).
  • Specifiek en geïnformeerd: iemand moet voldoende informatie hebben om een besluit te nemen over of hij wel of geen toestemming wil geven. Het bedrijf die persoonsgegevens verwerkt, moet dus heldere informatie geven waarom de persoonsgegevens en voor welk doel ze verzameld worden, met wie de gegevens eventueel gedeeld worden, e.d.
  • Ondubbelzinnig: elke twijfel moet zijn uitgesloten over de vraag of iemand daadwerkelijk zijn toestemming heeft gegeven. Iemand moet dus zelf een verklaring afleggen of zelf een actieve handeling verrichten om toestemming te geven (“opt-in”).

Wat mag dus bijvoorbeeld absoluut niet?
➞ Een al aangevinkt vakje voor toestemming
➞ Een gratis e-book aanbieden en iemand inschrijven voor je nieuwsbrief zonder dat hij daar expliciet toestemming voor heeft gegeven.

Single opt-in of double opt-in?

Zoals aangegeven moet iemand actief toestemming geven: een opt-in. Nu heb je twee soorten: single opt-in en double opt-in. Een single opt-in houdt in dat iemand zich inschrijft voor je nieuwsbrief volgens een formulier en direct is ingeschreven. Bij een double opt-in vult iemand het formulier in, maar krijgt daarna ook nog een mailtje met een bevestigingslink.

Een double opt-in is niet verplicht volgens de AVG, maar is om meerdere redenen aan te raden. Iemand schrijft zich namelijk heel bewust in voor je nieuwsbrief. Bovendien moet je toestemming volgens de AVG kunnen bewijzen. Een double opt-in is daarom een stuk veiliger. Iemand heeft namelijk twee acties moeten verrichten om toestemming te geven (het inschrijven en het bevestigen).

Niet alleen juridisch is een double opt-in een goed idee. Je krijgt ook nog eens minder spam, en minder foutieve adressen, de mensen die ingeschreven zijn, zijn echt geïnteresseerd, en je hebt een lagere bounce rate.

Mogelijkheid tot opheffen toestemming

Ook niet geheel onbelangrijk: volgens de AVG moet iemand zijn toestemming kunnen intrekken. Zorg dus altijd dat je die optie geeft onderaan de nieuwsbrief.

2. De manier van verwerken van persoonsgegevens

Aan het verwerken van persoonsgegevens worden in de AVG bepaalde eisen gesteld. Van belang voor e-mailmarketing is vooral dat de verwerking:

  • rechtmatig is. Zoals de manier hoe toestemming wordt gegeven.
  • transparant is. Er moet bijvoorbeeld heel duidelijk zijn voor welk doel persoonsgegevens verwerkt worden. Verzamel je ze als bedrijf alleen omdat je echt alleen je gratis e-book wil versturen, of ook zodat iemand je nieuwsbrief ontvangt?
  • gebonden is aan een specifiek doel. De persoonsgegevens mogen alleen voor een bepaald doel verwerkt worden. Wil je de persoonsgegevens voor een ander doel gebruiken? Dan moet je opnieuw toestemming vragen.
  • met zo min mogelijk persoonsgegevens gebeurt. Je mag bijvoorbeeld geen geboortedatum vragen als je nooit iets met de geboortedatum zal doen. Je mag wel een geboortedatum vragen als je iemand een e-mail stuurt voor zijn verjaardag met bijvoorbeeld een kortingsactie.

3. Data niet laten opslaan in de Verenigde Staten

In 2020 oordeelde het Hof van Justitie van de Europese Unie (“HvJ”) dat bedrijven in de EU geen persoonsgegevens meer mogen doorgeven aan de Verenigde Staten. Bedrijven mogen alleen nog persoonsgegevens doorgeven aan de Verenigde Staten als persoonsgegevens in dezelfde mate worden beschermd als in de EU. Dat persoonsgegevens op dezelfde manier worden beschermd, kan echter niet gewaarborgd worden, omdat de Amerikaanse inlichtingendiensten zomaar bij alle persoonsgegevens kunnen. Zoiets kan niet in de EU.

Wat betekent dit voor als je je met e-mailmarketing bezighoudt? Als je e-mailmarketingsoftware kiest (zoals bijvoorbeeld Mailchimp), mag deze zijn data niet opslaan in de Verenigde Staten. Zoek dit dus uit voordat je software kiest, of als je al software hebt.

Update juli 2023: Het EU-US Data Privacy Framework is van kracht. Indien een Amerikaanse partij meedoet aan dit Privacy Framework, dan ben je legaal bezig (lees hier meer). Maar: in de privacywereld is hier op dit moment veel ophef over. Het Privacy Framework zou namelijk nog steeds niet aan de AVG voldoen. Het kán dus zijn dat dit Framework later weer opgeheven wordt.

4. Het hebben van een geldige verwerkersovereenkomst

Indien je e-mailmarketingsoftware inschakelt, moet je een verwerkersovereenkomst afsluiten. Wat een verwerkersovereenkomst is, lees je hier. E-mailmarketingsoftware heeft vaak al een modelcontract die je kunt ondertekenen. In dit contract moet, conform de AVG, kort gezegd staan:

  • een beschrijving van de verwerking van persoonsgegevens, zoals de duur en het doel van de verwerking
  • instructies voor de verwerker
  • een geheimhoudingsplicht voor de verwerker
  • hoe de verwerker de persoonsgegevens beschermt
  • eventuele subverwerkers
  • dat de verwerker meehelpt wanneer iemand zich beroept op zijn privacyrechten (zoals recht op inzage of recht op correctie)
  • andere verplichtingen voor de verwerker, zoals het melden van datalekken
  • dat de verwerker de persoonsgegevens verwijdert nadat hij zijn dienst heeft geleverd (tenzij hij wettelijk verplicht is ze te bewaren)
  • dat de verwerker meewerkt aan audits.

Met “verwerker” wordt in dit geval de e-mailmarketingsoftware bedoeld.

Let dus op bovenstaande punten als je een modelcontract van e-mailmarketingsoftware tekent.

5. E-mailmarketing in je privacyverklaring opnemen

Omdat je persoonsgegevens verzamelt wanneer je aan e-mailmarketing doet, moet je ook in je privacyverklaring (laten) vermelden welke gegevens je precies verzamelt, onder welke grondslag van de AVG je dit doet en hoelang je die gegevens bewaart. Voorbeeldje:

Nieuwsbrief
Om jou een nieuwsbrief te kunnen versturen, verwerk ik jouw voornaam en e-mailadres. Deze persoonsgegevens vul je – wanneer je de nieuwsbrief wil ontvangen – zelf in op het formulier op mijn website of formulieren die ik op andere plekken plaats.
Grondslag AVG: toestemming
Bewaartermijn: totdat je je uitschrijft

Jurist auteursrecht

Heb je een vraag als ondernemer/bedrijf ?

Stel ‘m gerust!

Misschien vind je deze blogs ook interessant:

Wekelijks al die handige juridische tips in je mailbox?

Abonneer je op mijn nieuwsbrief!