Road to the GDPR: de aanmelderstekst

Geschatte leestijd: 8 minuten (Geen tijd? Stuur dit artikel per e-mail)

Deel dit artikel

#Webpower

Deze checklist + blog zijn onderdeel van onze GDPR-healthcheck “Road to the GDPR”. In deel 2 van de test behandelen we de aanmelderstekst met toestemmingsvraag. Heb je de test nog niet gedaan? Doe deze dan eerst en lees daarna pas de achtergrondinformatie in deze blog. Dat is wél zo leuk!

Wat is de aanmelders-tekst en waar toon je de tekst?

De aanmelderstekst is de tekst waarop mensen toestemming (consent) geven als zij hun gegevens achterlaten. Die tekst ga jij vervolgens verwerken op basis van toestemming. Deze tekst en toestemmingsvraag geef je weer op de pagina waarop mensen hun gegevens achterlaten: dat is onderdeel van jouw informatieplicht en het is nodig voor het verkrijgen van rechtsgeldige toestemming. Belangrijk te vermelden is dat toestemming van aanmelders onder de GDPR, naast geïnformeerd, ook een “vrije, specifieke en ondubbelzinnige wilsuiting” moet zijn die via een actieve handeling is gegeven. Dit betekent onder andere dat je een duidelijke, begrijpelijke tekst moet schrijven in eenvoudige taal, die voor iedere aanmelder begrijpelijk is. Daarbij moeten aanmelders vrij zijn in hun besluit wel of geen toestemming te geven, moeten ze precies weten waarvoor ze toestemming geven en dus welke gegevens jij waarvoor gaat gebruiken, waar ze meer informatie kunnen vinden en ook moet het toestemming geven een actieve handeling zijn.

Bewijslast koppelen aan aanmelderstekst

Wanneer je persoonsgegevens verwerkt op basis van toestemming moet je kunnen bewijzen dat je deze toestemming hebt gekregen. Het is ons advies om de bewijslast onder de GDPR te koppelen aan de aanmelderstekst, via de bevestigingsmail (ofwel een confirmed/double opt-in-proces). In de GDPR staat niet beschreven dat het verplicht is om aan je bewijslast te voldoen via double opt-in, maar het maakt jouw werk als marketeer wel makkelijker ten aanzien van je bewijslast en ter verificatie of je het juiste e-mailadres hebt. Immers kun je dan via jouw e-mailplatform – zoals Webpower – via de GDPR Version Manager aantonen wanneer en waarvoor iemand toestemming heeft gegeven en dit dus eenvoudig bewijzen. Bovendien is het advies van juridische experts: bij twijfel, over bijvoorbeeld of je het juiste e-mailadres hebt, liever op safe spelen.  

Zaken waar je rekening mee moet houden

Let op: buiten je aanmelderstekst met toestemmingsvraag kent de GDPR natuurlijk meer facetten die mogelijk relevant voor je zijn. Zo mag je gegevens die je hebt ontvangen via je aanmelderstekst en toestemmingsvraag alleen gebruiken voor het doel waarvoor je deze hebt verkregen, niet meer informatie opvragen dan je nodig hebt, de gegevens niet oneindig bewaren en gelden er extra waarborgen rondom het verwerken van bijzondere persoonsgegevens. Ook mag je de gegevens niet zomaar delen en je moet ervoor zorgen dat je Privacybeleid GDPR-proof is. Je toestemmingsvraag is pas rechtsgeldig onder de GDPR als je ook aan je (uitgebreide) informatieplicht hebt voldaan via je Privacybeleid.

Aanmelderstekst en ontvangen toestemming bewaren

Bewaar de aanmelderstekst en de ontvangen toestemming voor bewijsvoering. Daarvoor is het allereerst belangrijk dat je een GDPR-proof aanmelderstekst opgesteld hebt. Vink de checklist hieronder af en zorg dat alle elementen terugkomen in je aanmelderstekst en toestemmingsvraag.

Bekijk de checklist:

Checklist-GDPR

Toelichting checklist GDPR-proof aanmelderstekst

En, heb je de checklist afgevinkt of heb je nog wat hulp nodig? We lichten hieronder elk punt in de checklist nog eens toe met een voorbeeld:

  • Je geeft aan vanuit wie de communicatie wordt verstuurd (jij, een derde partij/andere B.V./holding);

Bijv. “Webpower.”

  • Je geeft aan welke gegevens je gebruikt, waarvoor en waarover;

Bijv. “Wij gebruiken je naam en e-mailadres alleen om je de nieuwsbrief over nieuwe producten, diensten en aanbiedingen van Webpower toe te sturen.”

  • Je geeft aan via welke weg je de communicatie toestuurt;

Bijv. “Per e-mail”.

  • Je geeft aan hoe vaak je deze communicatie toestuurt;

Bijv. “1 x per week.”

  • Je linkt naar het Privacybeleid op je website zodat het duidelijk is waar meer informatie te vinden is. Zorg dat je Privacybeleid GDPR-proof is;

Bijv. “In ons Privacybeleid (hyperlink naar Privacybeleid) kun je meer informatie vinden.”

  • Je vraagt aparte toestemming per apart doel waarvoor je de gegevens wilt gaan gebruiken;

Als je aanmelders niet alleen informatieve mailings wilt toesturen, maar ook je commerciële nieuwsbrieven, dan moet je hiervoor apart toestemming vragen.

  • Je zorgt dat je bewijs hebt van de toestemming die aanmelders je hebben gegeven. Sla óók de aanmelderstekst waarop men toestemming heeft gegeven op;

Dit zou je kunnen doen met behulp van onze GDPR version manager.

  • Je zorgt dat aanmelders de gegeven toestemming net zo makkelijk kunnen intrekken als dat ze die hebben gegeven. Je neemt dus in iedere communicatie een afmeldmogelijkheid op;

Neem onderin elke commerciële e-mail een afmeldlink (hyperlink) op.

  • Let op: als je doelgroep bestaat uit jongeren onder de 16 jaar of wanneer je bijzondere persoonsgegevens verwerkt moet je aan extra regels voldoen!

Zo heb je voor het verwerken van bijzondere persoonsgegevens ‘uitdrukkelijke’ toestemming nodig, wat inhoudt dat er sprake moet zijn van een expliciete wilsuiting, gericht op het geven van toestemming. Dat iemand met een handeling zijn toestemming heeft willen geven, moet volledig duidelijk zijn. Bij toestemming van minderjarigen heb je de toestemming van de ouders nodig in plaats van de toestemming van de minderjarige zelf. Dat je daadwerkelijk toestemming hebt gekregen van de ouders (en niet van de minderjarige zelf), zul je als verantwoordelijke moeten controleren.

Nice to have:

Double-opt-in, waardoor je eenvoudiger aan je bewijslast voor de ontvangen toestemming kunt voldoen (let op dat je in deze bevestigingse-mail wederom je aanmelderstekst, toestemmingsvraag en link naar je Privacybeleid opneemt).

Het is ons advies om de bewijslast onder de GDPR te koppelen aan de aanmelderstekst, via de bevestigingsmail (ofwel een confirmed/double opt-in-proces). In de GDPR staat niet beschreven dat het verplicht is om aan je bewijslast te voldoen via double opt-in, maar het maakt jouw werk als marketeer wel makkelijker ten aanzien van je bewijslast en ter verificatie of je het juiste e-mailadres hebt. Maak hiervoor gebruik van onze GDPR Version Manager.

Historische aanmelderstekst

Bovenstaande is ook van toepassing op de database die je in het verleden hebt opgebouwd. Heb jij je bewijslast al op orde voor iedereen die zich in het verleden bij jou heeft aangemeld? Zo niet, dan doe je er verstandig aan vernieuwde toestemming aan te vragen bij je ontvangers. Hoe je dit doet? Bijvoorbeeld middels een heractivatiecampagne. Webpower ontwikkelde daarvoor de GDPR Easy Consent Manager. Daar lees je hier meer over.

Nog meer vragen over de GDPR?

We kunnen ons voorstellen dat je nog meer vragen hebt over de GDPR. Kom naar onze ontbijtsessie op kantoor, waarin we je alles vertellen over bijvoorbeeld de nieuwe rechten van de betrokkene en de overige elementen van de GDPR. Denk aan de (mogelijke) verplichting tot het aanstellen van een Data Protection Officer (DPO), een Privacy Impact Assessment (PIA), de verwerkersovereenkomst, bewaartermijnen etc. Begrippen waar je vast al wel eens over gelezen hebt, maar die nog niet zo concreet zijn geworden. We zien je graag! Meld je via deze link aan.

Deel dit artikel

6 december 2017

Categorieën

E-mailmarketing, Marketing automation