De datum waarop de nieuwe privacy wetgeving ingaat komt snel dichterbij, voor je het weet is het 25 mei 2018 en moet je als marketeer het verwerken van persoonsgegevens op orde hebben. Hier en daar zie je een vorm van paniek die leidt tot verkeerde inschattingen en adviezen. Aan de vragen van klanten die we binnenkrijgen zie je dat de verwarring toeneemt. Tijd om het een en ander op te helderen.

Wat is de Algemene Verordening Gegevensbescherming?

De AVG (de internationale naam is GDPR – General Data Protection Regulation) is de nieuwe Europese privacywet die in alle landen van de EU van toepassing is vanaf 25 mei 2018. Deze wet vervangt de huidige Wet bescherming persoonsgegevens (Wpb). Gevolg is dat marketeers onder de nieuwe wet zorgvuldiger moeten omgaan met persoonsgegevens, zowel in de B2C als in de B2B sector.

De vijf uitgangspunten van de AVG

1. Transparantie: voor betrokkene moet het duidelijk zijn dat zijn gegevens verwerkt worden, welke gegevens verwerkt worden, hoe en door wie de gegevens verwerkt worden, of er sprake is van profilering en wat zijn rechten zijn.
2. Doelbinding: de gegevens mogen alleen verwerkt worden voor een welbepaald, van tevoren omschreven doel.
3. Dataminimalisatie: er mogen alleen gegevens verwerkt worden die nodig zijn voor dat doel.
4. Beveiliging en opslagbeperking: de gegevens moeten passend worden beveiligd, hoe gevoeliger de persoonsgegevens zijn, hoe hoger het beveiligingsniveau moet zijn.
5. Privacy by design & default: privacy by design houdt in dat je al bij de ontwikkeling van je producten en diensten vastlegt hoe er met persoonsgegevens binnen je organisatie wordt omgegaan. Privacy by default houdt in dat je standaard uit moet gaan van de meest privacyvriendelijke settings (bij bijv. apps, de algemene voorwaarden en privacy statement).

Wanneer is het toegestaan persoonsgegevens te verwerken?

De AVG staat in drie situaties toe dat er door organisaties persoonsgegevens verwerkt worden:

• Overeenkomst
  De gegevens die nodig zijn om een overeenkomst uit te voeren mogen vastgelegd worden.
• Gerechtvaardigd belang
  Het blijft toegestaan om voor marketingdoeleinden gegevens te verwerken, zolang het marketing belang opweegt tegen het privacybelang van betrokkenen (privacytoets). Het verwerken van gegevens voor marketingdoeleinden en de manier waarop dit gedaan wordt moet in je privacy statement opgenomen zijn.
• Toestemming
  In alle overige gevallen van het verwerken van persoonsgegevens is toestemming nodig. Die toestemming moet door middel van een vrije, specifieke en ondubbelzinnige wilsuiting gegeven zijn. Nieuw is het aspect ‘ondubbelzinnig’.

De Autoriteit Persoonsgegevens houdt toezicht op naleving van de AVG. Deze kan boetes opleggen tot maximaal €20 miljoen of 4% van de jaaromzet (welke van de twee meer is).

Welke gevolgen heeft de AVG voor e-mailmarketing?

Er is nog steeds in dezelfde gevallen opt-in nodig

Er bestaan veel misverstanden over de veranderingen die de AVG met zich meebrengt voor e-mail opt-in. De AVG regelt niet de gevallen waarin je toestemming (opt-in) moet vragen voor het versturen van e-mail. Het vragen om opt-in voor het versturen van commerciële of charitatieve e-mail is geregeld in de Telecommunicatiewet (met als toezichthouder de Autoriteit Consument en Markt). Die blijft gelden en verandert niet . Er moet nog steeds in dezelfde gevallen om toestemming gevraagd worden. De regel dat je geen toestemming nodig hebt om e-mail aan klanten te sturen blijft dus ook van kracht. Kijk voor de opt-in regels naar ons eerdere blogartikel ‘E-mail regelgeving: De vier meest gestelde vragen’.

De AVG regelt wel de manier waarop de toestemming gegeven moet worden:

• Specifiek: welke informatie mag gestuurd worden.
• Vrij: geen vooraangevinkte vakjes, niet in de algemene voorwaarden.
• Op informatie berustend: type en frequentie van de e-mail aangeven.
• Ondubbelzinnig: je moet kunnen bewijzen dat de toestemming op een juiste manier is gegeven.

De bewijslast voor opt-in wordt wel aangescherpt

De eerste drie elementen van toestemming geven gelden ook nu al. De eis van ondubbelzinnigheid is nieuw. Dat betekent een verzwaring van de bewijslast en daarmee van de manier waarop de opt-in vastgelegd wordt.

Je moet als organisatie kunnen bewijzen:

• dat de toestemming daadwerkelijk gegeven is;
• dat de toestemming op een vrije manier gegeven is;
• voor het toesturen van welk soort informatie de toestemming gegeven is;
• dat de tekst bij het geven van de toestemming voldoende informatie bevat.

Dit zijn dan ook de elementen die vastgelegd moeten worden als een prospect of andere geïnteresseerde een opt-in voor e-mail geeft. Belangrijk is dat je voor 25 mei 2018 nagaat of in jouw organisatie de opt-in registratie aan deze eisen voldoet. Als de oude opt-ins volgens de eisen van de AVG te bewijzen zijn, hoef je niet opnieuw om toestemming te vragen. Heb je onvoldoende vastgelegd en kun je niet alle hierboven genoemde vier elementen bewijzen dan is opnieuw vragen om toestemming vereist.

Gedetailleerde richtlijnen volgen nog

Zoals bij alle wetten is ook de AVG algemeen geformuleerd. Hoe de wet in de praktijk zal worden uitgelegd moet nog blijken. Met name het principe van gerechtvaardigd belang, waarbij je zonder toestemming persoonsgegevens voor marketingdoeleinden mag verwerken behoeft nadere uitwerking. Hoever mag je gaan met bijvoorbeeld profiling? De Europese toezichthouder zal komend najaar met een toelichting komen, waarna de Nederlandse toezichthouder volgt. Het is dus nog even afwachten wat de AVG voor de praktijk van marketing zal betekenen.

---

Wil je meer weten over de opt-in wetgeving en gedragscode en hoe die in de praktijk uitwerken? Download onze whitepaper en leer wanneer er sprake is van toestemming, welke uitzonderingen er zijn en welke gegevens je moet opnemen in je e-mailings.

Wil je op de hoogte blijven van alle ontwikkelingen rondom de wet- en regelgeving? Meld je dan aan voor onze nieuwsbrief ‘Qamel Quotes’.