Road to the GDPR: de aanmelderstekst

Geschatte leestijd: 8 minuten (Geen tijd? Stuur dit artikel per e-mail)

Deel dit artikel

#Webpower

Deze checklist + blog zijn onderdeel van onze GDPR-healthcheck “Road to the GDPR”. In deel 2 van de test behandelen we de aanmelderstekst met toestemmingsvraag. Heb je de test nog niet gedaan? Doe deze dan eerst en lees daarna pas de achtergrondinformatie in deze blog. Dat is wél zo leuk!

Wat is de aanmelders-tekst en waar toon je de tekst?

De aanmelderstekst is de tekst waarop mensen toestemming (consent) geven als zij hun gegevens achterlaten. Die tekst ga jij vervolgens verwerken op basis van toestemming. Deze tekst en toestemmingsvraag geef je weer op de pagina waarop mensen hun gegevens achterlaten: dat is onderdeel van jouw informatieplicht en het is nodig voor het verkrijgen van rechtsgeldige toestemming. Belangrijk te vermelden is dat toestemming van aanmelders onder de GDPR, naast geïnformeerd, ook een “vrije, specifieke en ondubbelzinnige wilsuiting” moet zijn die via een actieve handeling is gegeven. Dit betekent onder andere dat je een duidelijke, begrijpelijke tekst moet schrijven in eenvoudige taal, die voor iedere aanmelder begrijpelijk is. Daarbij moeten aanmelders vrij zijn in hun besluit wel of geen toestemming te geven, moeten ze precies weten waarvoor ze toestemming geven en dus welke gegevens jij waarvoor gaat gebruiken, waar ze meer informatie kunnen vinden en ook moet het toestemming geven een actieve handeling zijn.

Bewijslast koppelen aan aanmelderstekst

Wanneer je persoonsgegevens verwerkt op basis van toestemming moet je kunnen bewijzen dat je deze toestemming hebt gekregen. Het is ons advies om de bewijslast onder de GDPR te koppelen aan de aanmelderstekst, via de bevestigingsmail (ofwel een confirmed/double opt-in-proces). In de GDPR staat niet beschreven dat het verplicht is om aan je bewijslast te voldoen via double opt-in, maar het maakt jouw werk als marketeer wel makkelijker ten aanzien van je bewijslast en ter verificatie of je het juiste e-mailadres hebt. Immers kun je dan via jouw e-mailplatform – zoals Webpower – via de GDPR Version Manager aantonen wanneer en waarvoor iemand toestemming heeft gegeven en dit dus eenvoudig bewijzen. Bovendien is het advies van juridische experts: bij twijfel, over bijvoorbeeld of je het juiste e-mailadres hebt, liever op safe spelen.  

Zaken waar je rekening mee moet houden

Let op: buiten je aanmelderstekst met toestemmingsvraag kent de GDPR natuurlijk meer facetten die mogelijk relevant voor je zijn. Zo mag je gegevens die je hebt ontvangen via je aanmelderstekst en toestemmingsvraag alleen gebruiken voor het doel waarvoor je deze hebt verkregen, niet meer informatie opvragen dan je nodig hebt, de gegevens niet oneindig bewaren en gelden er extra waarborgen rondom het verwerken van bijzondere persoonsgegevens. Ook mag je de gegevens niet zomaar delen en je moet ervoor zorgen dat je Privacybeleid GDPR-proof is. Je toestemmingsvraag is pas rechtsgeldig onder de GDPR als je ook aan je (uitgebreide) informatieplicht hebt voldaan via je Privacybeleid.

Aanmelderstekst en ontvangen toestemming bewaren

Bewaar de aanmelderstekst en de ontvangen toestemming voor bewijsvoering. Daarvoor is het allereerst belangrijk dat je een GDPR-proof aanmelderstekst opgesteld hebt. Vink de checklist hieronder af en zorg dat alle elementen terugkomen in je aanmelderstekst en toestemmingsvraag.

Bekijk de checklist:

Toelichting checklist GDPR-proof aanmelderstekst

En, heb je de checklist afgevinkt of heb je nog wat hulp nodig? We lichten hieronder elk punt in de checklist nog eens toe met een voorbeeld:

  • Je geeft aan vanuit wie de communicatie wordt verstuurd (jij, een derde partij/andere B.V./holding);

Bijv. “Webpower in samenwerking met onze partner X”

  • Je geeft aan welke gegevens je gebruikt en waarvoor;

Bijv. “Wij gebruiken je naam en e-mailadres alleen om je vier e-mails met relevante info over de GDPR toe te sturen.”

  • Je geeft aan via welke weg je de communicatie toestuurt;

Bijv. “We sturen je informatie over onderwerp X per e-mail en/of sms.”

  • Je geeft aan waarover de communicatie gaat en of je bijvoorbeeld gebruik maakt van personalisatie op basis van gedrag;

Bijv. “Als je je inschrijft voor onze nieuwsbrieven, kunnen we je communicatie op maat toesturen.”

  • Je geeft aan hoe vaak je deze communicatie toestuurt;

Bijv. “We e-mailen je 1 x per week.”

  • Je linkt naar het Privacybeleid op je website zodat het duidelijk is waar meer informatie te vinden is. Zorg dat je Privacybeleid GDPR-proof is;

Bijv. “In ons Privacybeleid (directe link naar Privacybeleid) kun je meer informatie vinden.”

  • Je vraagt aparte toestemming per apart doel waarvoor je de gegevens wilt gaan gebruiken;

Bijv. “Het doorlopen van onze GDPR-healthcheck is gratis. Wij vragen je alleen of je je voor onze wekelijkse nieuwsbrief in wilt inschrijven waarmee we je per e-mail op de hoogte zullen houden over nieuwe producten, diensten en aanbiedingen van Webpower. Naast deze nieuwsbrief zullen we je per e-mail eenmalig gratis alle relevante informatie toesturen die je nodig hebt om GDPR-proof te worden. We zullen je naam en e-mailadres alleen gebruiken om deze GDPR-informatie en onze nieuwsbrief toe te sturen. Zie ons Privacybeleid voor meer informatie.”

  • Je zorgt dat je bewijs hebt van de toestemming die aanmelders je hebben gegeven. Sla óók de aanmelderstekst waarop men toestemming heeft gegeven op;

Dit kun je doen met behulp van onze GDPR Version Manager.

  • Je zorgt dat aanmelders de gegeven toestemming net zo makkelijk kunnen intrekken als dat ze die hebben gegeven. Je neemt dus in iedere communicatie een afmeldmogelijkheid op;

Neem onderin elke mail een afmeldlink (hyperlink) op, bijv.: “Meld je af (directe link) voor onze nieuwsbrief.”

  • Let op: als je doelgroep bestaat uit jongeren onder de 16 jaar of wanneer je bijzondere persoonsgegevens verwerkt moet je aan extra regels voldoen!

Nice to have:

Double-opt-in, waardoor je eenvoudiger aan je bewijslast voor de ontvangen toestemming kunt voldoen. Let op dat je in deze bevestigingse-mail wederom je aanmelderstekst, toestemmingsvraag en link naar je Privacybeleid opneemt.

Het is ons advies om de bewijslast onder de GDPR te koppelen aan de aanmelderstekst, via de bevestigingsmail (ofwel een confirmed/double opt-in-proces). In de GDPR staat niet beschreven dat het verplicht is om aan je bewijslast te voldoen via double opt-in, maar het maakt jouw werk als marketeer wel makkelijker ten aanzien van je bewijslast en ter verificatie of je het juiste e-mailadres hebt.

Recht van verzet

De checklist hierboven gaat over een GDPR-proof aanmelderstekst voor “losse aanmelders”. Mensen die “klant worden” mag je zonder opt-in e-mailen, zolang hen het recht van verzet geboden wordt. Bekijk in deze blog hoe dat precies zit.

Historische aanmelderstekst

Bovenstaande is ook van toepassing op de database die je in het verleden hebt opgebouwd. Als je toestemming hebt gekregen die ook voldoet aan de strengere eisen van de GDPR (en je kunt bewijzen dat je deze toestemming hebt gekregen), hoef je niet opnieuw toestemming te vragen. Ga dus na in hoeverre je organisatie op basis van toestemming persoonsgegevens verwerkt en kijk of je kunt bewijzen dat je deze toestemming hebt verkregen én of je toestemmingsvraag voldoet aan de GDPR. Als je dat niet het geval is (of je kunt dit niet bewijzen), moet je zorgen dat je alsnog rechtsgeldige toestemming verkrijgt middels bijvoorbeeld een heractivatiecampagne. Webpower ontwikkelde daarvoor de GDPR Easy Consent Manager. Daar lees je hier meer over.

Nog meer vragen over de GDPR?

We kunnen ons voorstellen dat je nog meer vragen hebt over de GDPR. Kom naar onze ontbijtsessie op kantoor, waarin we je alles vertellen over bijvoorbeeld de nieuwe rechten van de betrokkene en de overige elementen van de GDPR. Denk aan de (mogelijke) verplichting tot het aanstellen van een Data Protection Officer (DPO), een Privacy Impact Assessment (PIA), de verwerkersovereenkomst, bewaartermijnen etc. Begrippen waar je vast al wel eens over gelezen hebt, maar die nog niet zo concreet zijn geworden. We zien je graag! Meld je via deze link aan.

Deel dit artikel

6 december 2017

Categorieën

E-mailmarketing, Marketing automation