GDPR en e-mailmarketing: wat moet je weten?

Zet jij e-mailmarketing in om (potentiële) klanten te informeren over jouw diensten of producten? Dan krijg je vanaf 25 mei 2018 te maken met de nieuwe privacywet GDPR (General Data Protection Regulation). De GDPR is namelijk van invloed op alles wat te maken heeft met de persoonsgegevens van EU-burgers. Hieronder vallen dus ook e-mailadressen, namen, geboortedata en andere persoonsgerelateerde data die voor e-mailmarketing gebruikt wordt. Om te voorkomen dat je na de invoering van de GDPR voor verrassingen komt te staan, vind je in deze blog punten waar je in je e-mailmarketing rekening mee moet houden.

Wat verandert er na invoering van de nieuwe privacywet GDPR?
Actieve opt-in
Je moet ontvangers van je mailingen expliciet om toestemming vragen (opt-in). Het is van belang dat zij daar zelf actie bij ondernemen. Een vooraf aangevinkte checkbox (‘Ja, ik wil de nieuwsbrief ontvangen’) vraagt geen actieve handeling van een betrokkene en is daarom geen geldige vorm van een e-mail opt-in. De opt-in moet bovendien gescheiden zijn van je algemene voorwaarden en mag geen voorwaarde zijn om bijvoorbeeld een bestelling in je webshop te plaatsen.

LET OP: voorheen mocht je bestaande klanten en relaties die niet expliciet hadden aangegeven mailingen van je te willen ontvangen, toch mailen. Onder de GDPR is dit niet meer het geval. Ook bestaande klanten en relaties moeten via een opt-in expliciet toestemming geven. Voor je nieuwsbrief of nieuwe e-mailcampagne een bestaande database van adressen gebruiken, is na 25 mei 2018 dus niet toegestaan. Voldoet je huidige e-maildatabase niet aan de GDPR, zet dan een re-permission campaign op om de juiste data te verzamelen. Een re-permission campaign houdt in dat je een e-mail of mailing stuurt naar iedereen op je huidige abonneelijst, waarin je vraagt of zij jouw mailingen willen blijven ontvangen.

Heldere informatievoorziening
De betrokkene moet bij het afgeven van zijn of haar opt-in duidelijk geïnformeerd worden over welke persoonsgegevens vastgelegd worden, voor welk doeleinde en hoe lang deze gegevens door jouw organisatie bewaard worden. GDPR geeft EU-burgers namelijk de vrijheid om hun eigen persoonlijke informatie te beheren én de vrijheid om te worden vergeten. Dit laatste betekent dat zij 'recht hebben op vergetelheid', dus op het verwijderen van verouderde gegevens of de inzage hiervan na ten onrechte verkregen of valse informatie. Praktisch gezien betekent dit dat de betrokkene die een e-mail opt-in heeft afgegeven altijd het recht heeft om (eenvoudig!) zijn of haar opt-in in te trekken.

Samengevat is een e-mail opt-in goed ingericht als deze

  • informeert over het doel van de mailing;
  • om een actieve handeling vraagt, bijvoorbeeld dat de betrokkene één of meerdere checkboxen moet aanvinken;
  • de betrokkene de mogelijkheid biedt om zijn of haar gegevens te wijzigen;
  • duidelijk beschrijft hoe de betrokkene zich kan uitschrijven voor de mailing.

Goede administratie
Als organisatie moet je niet alleen precies bijhouden wie een opt-in heeft afgegeven, maar ook wanneer en exact waarvoor. Op het moment dat je controle krijgt moet deze informatie goed inzichtelijk zijn.

Wat gebeurt er als je de GDPR niet naleeft?
Bovenstaande vereisten zijn in principe niet nieuw. Voorheen moest je ook om toestemming vragen wanneer je iemand een mailing wilde sturen, alleen zijn de regels nu verder aangescherpt. Het belang van een goede administratie is echter wel nieuw. Krijg je controle en kun je geen volledige en heldere inzage geven, dan riskeer je een boete. En de consequenties van het niet naleven van de GDPR zijn groot: deze boete kan oplopen tot wel vier procent van je jaaromzet.

Dit is een gastblog geschreven door Moja Rada. Wil je meer weten of kun je hulp gebruiken bij de naleving van de GDPR binnen jouw organisatie? Neem dan vrijblijvend contact op met Moja Rada.

Tags: Online marketing