Road to the GDPR: de aanmelderstekst

Geschatte leestijd: 8 minuten (Geen tijd? Stuur dit artikel per e-mail)
6 december 2017

Deze checklist + blog zijn onderdeel van onze GDPR-healthcheck “Road to the GDPR”. In deel 2 van de test behandelen we de aanmelderstekst met toestemmingsvraag. Heb je de test nog niet gedaan? Doe deze dan eerst en lees daarna pas de achtergrondinformatie in deze blog. Dat is wél zo leuk!

Wat is de aanmelderstekst?

De aanmelderstekst is de tekst waarop mensen toestemming (consent) geven als zij hun gegevens achterlaten. Die tekst ga jij vervolgens verwerken op basis van toestemming. Deze tekst en toestemmingsvraag geef je weer op de pagina waarop mensen hun gegevens achterlaten: dat is onderdeel van jouw informatieplicht en het is nodig voor het verkrijgen van rechtsgeldige toestemming. Belangrijk te vermelden is dat toestemming van aanmelders onder de GDPR, naast geïnformeerd, ook een “vrije, specifieke en ondubbelzinnige wilsuiting” moet zijn die via een actieve handeling is gegeven. Dit betekent onder andere dat je een duidelijke, begrijpelijke tekst moet schrijven in eenvoudige taal, die voor iedere aanmelder begrijpelijk is. Daarbij moeten aanmelders vrij zijn in hun besluit wel of geen toestemming te geven, moeten ze precies weten waarvoor ze toestemming geven en dus welke gegevens jij waarvoor gaat gebruiken, waar ze meer informatie kunnen vinden en ook moet het toestemming geven een actieve handeling zijn.

Bewijslast koppelen aan aanmelderstekst

Wanneer je persoonsgegevens verwerkt op basis van toestemming moet je kunnen bewijzen dat je deze toestemming hebt gekregen. Het is ons advies om de bewijslast onder de GDPR te koppelen aan de aanmelderstekst, via de bevestigingsmail (ofwel een confirmed/double opt-in-proces). In de GDPR staat niet beschreven dat het verplicht is om aan je bewijslast te voldoen via double opt-in, maar het maakt jouw werk als marketeer wel makkelijker ten aanzien van je bewijslast en ter verificatie of je het juiste e-mailadres hebt. Immers kun je dan via jouw e-mailplatform – zoals Webpower – via de GDPR Version Manager aantonen wanneer en waarvoor iemand toestemming heeft gegeven en dit dus eenvoudig bewijzen. Bovendien is het advies van juridische experts: bij twijfel, over bijvoorbeeld of je het juiste e-mailadres hebt, liever op safe spelen.  

Zaken waar je rekening mee moet houden

Let op: buiten je aanmelderstekst met toestemmingsvraag kent de GDPR natuurlijk meer facetten die mogelijk relevant voor je zijn. Zo mag je gegevens die je hebt ontvangen via je aanmelderstekst en toestemmingsvraag alleen gebruiken voor het doel waarvoor je deze hebt verkregen, niet meer informatie opvragen dan je nodig hebt, de gegevens niet oneindig bewaren en gelden er extra waarborgen rondom het verwerken van bijzondere persoonsgegevens. Ook mag je de gegevens niet zomaar delen en je moet ervoor zorgen dat je Privacybeleid GDPR-proof is. Je toestemmingsvraag is pas rechtsgeldig onder de GDPR als je ook aan je (uitgebreide) informatieplicht hebt voldaan via je Privacybeleid.

Aanmelderstekst en ontvangen toestemming bewaren

Bewaar de aanmelderstekst en de ontvangen toestemming voor bewijsvoering. Daarvoor is het allereerst belangrijk dat je een GDPR-proof aanmelderstekst opgesteld hebt. Vink de checklist hieronder af en zorg dat alle elementen terugkomen in je aanmelderstekst en toestemmingsvraag.

Bekijk de checklist:

Checklist-GDPR

Toelichting checklist GDPR-proof aanmelderstekst

En, heb je de checklist afgevinkt of heb je nog wat hulp nodig? We lichten hieronder elk punt in de checklist nog eens toe met een voorbeeld:

  • Je geeft aan vanuit wie de communicatie wordt verstuurd (jij, een derde partij/andere B.V./holding);

Bijv. “Webpower.”

  • Je geeft aan welke gegevens je gebruikt, waarvoor en waarover;

Bijv. “Wij gebruiken je naam en e-mailadres alleen om je de nieuwsbrief over nieuwe producten, diensten en aanbiedingen van Webpower toe te sturen. We personaliseren onze communicatie om deze zo relevant mogelijk voor je te maken.”

  • Je geeft aan via welke weg je de communicatie toestuurt;

Bijv. “Per e-mail”.

  • Je geeft aan hoe vaak je deze communicatie toestuurt;

Bijv. “1 x per week.”

  • Je linkt naar het Privacybeleid op je website zodat het duidelijk is waar meer informatie te vinden is. Zorg dat je Privacybeleid GDPR-proof is;

Bijv. “In ons Privacybeleid (hyperlink naar Privacybeleid) kun je meer informatie vinden.”

  • Je vraagt aparte toestemming per apart doel waarvoor je de gegevens wilt gaan gebruiken;

Als je aanmelders niet alleen informatieve mailings wilt toesturen, maar ook je commerciële nieuwsbrieven, dan moet je hiervoor apart toestemming vragen.

  • Je zorgt dat je bewijs hebt van de toestemming die aanmelders je hebben gegeven. Sla óók de aanmelderstekst waarop men toestemming heeft gegeven op;

Dit zou je kunnen doen met behulp van onze GDPR version manager.

  • Je zorgt dat aanmelders de gegeven toestemming net zo makkelijk kunnen intrekken als dat ze die hebben gegeven. Je neemt dus in iedere communicatie een afmeldmogelijkheid op;

Neem onderin elke commerciële e-mail een afmeldlink (hyperlink) op.

  • Let op: als je doelgroep bestaat uit jongeren onder de 16 jaar of wanneer je bijzondere persoonsgegevens verwerkt moet je aan extra regels voldoen!

Zo heb je voor het verwerken van bijzondere persoonsgegevens ‘uitdrukkelijke’ toestemming nodig, wat inhoudt dat er sprake moet zijn van een expliciete wilsuiting, gericht op het geven van toestemming. Dat iemand met een handeling zijn toestemming heeft willen geven, moet volledig duidelijk zijn. Bij toestemming van minderjarigen heb je de toestemming van de ouders nodig in plaats van de toestemming van de minderjarige zelf. Dat je daadwerkelijk toestemming hebt gekregen van de ouders (en niet van de minderjarige zelf), zul je als verantwoordelijke moeten controleren.

Nice to have:

Double-opt-in, waardoor je eenvoudiger aan je bewijslast voor de ontvangen toestemming kunt voldoen (let op dat je in deze bevestigingse-mail wederom je aanmelderstekst, toestemmingsvraag en link naar je Privacybeleid opneemt).

Het is ons advies om de bewijslast onder de GDPR te koppelen aan de aanmelderstekst, via de bevestigingsmail (ofwel een confirmed/double opt-in-proces). In de GDPR staat niet beschreven dat het verplicht is om aan je bewijslast te voldoen via double opt-in, maar het maakt jouw werk als marketeer wel makkelijker ten aanzien van je bewijslast en ter verificatie of je het juiste e-mailadres hebt. Maak hiervoor gebruik van onze GDPR Version Manager.

Historische aanmelderstekst

Bovenstaande is ook van toepassing op de database die je in het verleden hebt opgebouwd. Heb jij je bewijslast al op orde voor iedereen die zich in het verleden bij jou heeft aangemeld? Zo niet, dan doe je er verstandig aan vernieuwde toestemming aan te vragen bij je ontvangers. Hoe je dit doet? Bijvoorbeeld middels een heractivatiecampagne. Webpower ontwikkelde daarvoor de GDPR Easy Consent Manager. Daar lees je hier meer over.

Nog meer vragen over de GDPR?

Wil je weten welke software-oplossingen Webpower heeft om jouw e-mailmarketing volledig GDPR-proof in te richten of heb je nog GDPR-vragen? Stel ze gerust – we helpen je graag!

Neem contact op  Lees meer over onze software

Wij hechten waarde aan een correcte omgang met de nieuwe privacywetgeving. De inhoud van dit blog is daarom geverifieerd door ICTRecht. We voorzien je van deze informatie, zodat je beter begrijpt wat de GDPR voor marketeers kan betekenen. Dit blogartikel is bedoeld voor kennisdeling en kan niet beschouwd worden als officieel juridisch advies. Bij het lezen van dit artikel vrijwaar je Webpower, ICTRecht en de auteur voor mogelijke juridische implicaties. Wij adviseren je GDPR-gerelateerde acties binnen jouw organisatie voor implementatie altijd te laten checken door een juridisch adviseur.

Deel dit artikel