Veelgestelde vragen over de GDPR
door Julie van Meeteren
Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR) in werking. Deze Europese verordening heeft nogal ingrijpende gevolgen voor bedrijven die e-mail versturen. We hebben een paar van de belangrijkste dingen die je moet weten en/of doen op een rij gezet.
1. Hoe kun je de verwerkersovereenkomst van Copernica ondertekenen?
De GDPR schrijft voor dat er een overeenkomst moet zijn opgesteld tussen de verwerkingsverantwoordelijke (onze klant) en de verwerker (Copernica). In deze verwerkersovereenkomst moeten afspraken en verplichtingen tussen de verwerkingsverantwoordelijke en de verwerker zijn vastgelegd. Wij hebben een overeenkomst opgesteld die door onze klanten digitaal ondertekend kan worden via het dashboard van Copernica.com. Als je deze verwerkersovereenkomst nog niet hebt ondertekend, verzoeken wij je om dit alsnog spoedig te doen. Ook zal er op korte termijn een e-mail naar onze klanten worden verzonden met daarin een link om de verwerkersovereenkomst op een eenvoudige wijze door de tekenbevoegde persoon te (laten) ondertekenen.
2. Moet je opnieuw om toestemming vragen om klanten in je database te mailen na 25 mei 2018?
De GDPR is nogal streng wat betreft toestemming, en het is daarom misschien wel nodig dat je opnieuw toestemming aan je nieuwsbriefabonnees vraagt om mailings te versturen. Volgens de GDPR moet je zeer expliciete toestemming hebben om mailings te versturen, en moet je ook kunnen bewijzen dat mensen zich op je nieuwsbrief hebben geabonneerd. Als je in het verleden adressen hebt verzameld waarbij je niet zo streng was, of als je niet meer kunt bewijzen dat iemand zich echt heeft aangemeld, dan moet je dus opnieuw toestemming vragen.
Op grond van de GDPR moet de toestemming op informatie berusten. Dit betekent dat de betrokkene (de ontvanger van de e-mail) op de hoogte moet worden gesteld van alle, voor het geven van toestemming, relevante informatie. Het is dus niet voldoende om gebruik te maken van de zin: "Wilt u mails ontvangen?". Hieruit blijkt namelijk niet wat er precies wordt toegezonden (nieuwsbrief, acties etc.), niet hoe vaak er 'iets' wordt toegezonden en ook niet wie de verzender is. Als je deze informatie niet geeft, kan dit ertoe leiden dat toestemming een ongeldige grond is voor het verzenden van e-mail. Daarnaast moet de toestemming worden gegeven door middel van een verklaring of een actieve handeling, dit laatste kan bijvoorbeeld door het aanklikken van een vakje. Het is dus niet voldoende dat het vakje al aangevinkt is of dat de toestemming wordt opgenomen in de algemene voorwaarden.
Verder moet de verwerkingsverantwoordelijke kunnen bewijzen dat er rechtsgeldig toestemming is verkregen. Je moet dus nagaan of de manier waarop de huidige opt-ins zijn verkregen in overeenstemming is (geweest) met de eisen uit de GDPR. Als je dit niet kan bewijzen, zal je opnieuw toestemming moeten vragen. Ten slotte raadt Copernica - ondanks dat het geen wettelijk vereiste is - sterk aan om gebruik te maken van een dubbele opt-in.
Wil je je database opnieuw om toestemming vragen en zal dit voor een extra hoog volume zorgen? Neem dan contact op met onze afdeling Support in verband met de verzendreputatie.
3. Mag je bestaande klanten zonder opt-in blijven mailen na de inwerkingtreding van de GDPR?
Veel klanten van ons vragen zich af of bestaande klanten die geen opt-in hebben gegeven nog gemaild mogen worden na 25 mei 2018. Hierbij is het belangrijk dat iemand alleen aangemerkt kan worden als een bestaande klant als diegene daadwerkelijk iets heeft gekocht, dus niet bij het meedoen aan een prijsvraag of bij het invullen van een enquête.
In de Telecommunicatiewet is hierover opgenomen dat je bestaande klanten mag mailen over vergelijkbare producten of diensten, mits je bij de verkrijging van de klantgegevens hebt aangegeven dat de klant eenvoudig bezwaar kan maken tegen het gebruik van deze gegevens. Ook moet je bij elk bericht dat je stuurt een makkelijke en gratis afmeldmogelijkheid bieden. Dit wordt ook wel de soft opt-in genoemd. Dit is bepaald in de Telecommunicatiewet en aan deze wet verandert niets, dus je mag bestaande klanten blijven mailen op basis van deze soft opt-in.
4. Is er nog een andere mogelijkheid om mails te mogen versturen?
Als je iemand wilt mailen die geen toestemming heeft gegeven en die ook geen bestaande klant is, zal je moeten bekijken of er een andere mogelijkheid is waardoor je toch e-mails mag sturen. Naast de toestemming, zijn er nog andere rechtsgronden op basis waarvan je persoonsgegevens mag verwerken. Bijvoorbeeld wanneer je een gerechtvaardigd belang hebt dat zwaarder weegt dan de belangen van de betrokkene. Wanneer je e-mails verzendt in het kader van direct marketing, kan dit volgens de GDPR zo’n gerechtvaardigd belang opleveren. In die gevallen moet je wel altijd een belangenafweging maken, dus: weegt jouw (marketing)belang zwaarder dan bijvoorbeeld het recht op privacy van de ontvanger van de e-mail?
Daarnaast is het ook belangrijk dat de ontvanger van de e-mail mocht verwachten dat er e-mails zouden worden gestuurd. Dit hangt samen met het zogenoemde ‘recht van bezwaar’. Volgens de GDPR moet de betrokkene bij het eerste contact op de hoogte zijn gebracht dat zijn of haar e-mailadres gebruikt zou worden om e-mails aan te verzenden én daarbij moet de mogelijkheid zijn geboden om hiertegen bezwaar te maken. Ook moet je in iedere e-mail opnieuw de mogelijkheid bieden om op een eenvoudige wijze uit te schrijven. Als aan deze eisen is voldaan, lijkt het er op dat je zonder (soft) opt-in e-mails mag sturen in het kader van direct marketing.
Een kanttekening hierbij is dat het wel veiliger is om een (soft) opt-in te hebben van alle personen in je database. In die gevallen hoef je namelijk niet eerst nog een belangenafweging te maken.