Road to the GDPR: het aanmeldproces

Geschatte leestijd: 6 minuten (Geen tijd? Stuur dit artikel per e-mail)
6 december 2017


Dit blog is onderdeel van onze GDPR-healthcheck “Road to the GDPR”. In deel 1 van de test behandelen we het aanmeldproces. Heb je de test nog niet gedaan? Doe deze dan eerst en lees daarna pas de achtergrondinformatie in deze blog. Dat is wél zo leuk!

 

Wat is het aanmeldproces?

Het aanmeldproces is, zoals het woord al zegt, een mini-proces dat iedere aanmelder op je website doorloopt. Tijdens het aanmeldproces voor bijvoorbeeld een nieuwsbrief of evenement laten je aanmelders hun e-mailadres, naam en/of andere persoonsgegevens achter. Het is in het kader van de GDPR allereerst belangrijk om uit te leggen wat persoonsgegevens zijn, wat “verwerken van persoonsgegevens” betekent en welke rol jij als e-mailmarketeer hebt onder de GDPR (in het kader van het aanmeldproces). Daarna leggen we je uit wanneer je persoonsgegevens mag verzamelen voor het toesturen commerciële berichten, hoe het zit met bestaande klantrelaties en ook geven we je advies over hoe je het aanmeldproces op je website kunt inrichten.

Wat zijn persoonsgegevens onder de GDPR?

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Denk hierbij aan een naam of foto, maar ook aan bijvoorbeeld een e-mailadres, IP-adres of cookie-ID. Ook gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens, omdat het nog steeds mogelijk is die persoon te identificeren (ook al moet je er bijvoorbeeld meerdere databases van verschillende partijen voor combineren). Bij gepseudonimiseerde persoonsgegevens kun je denken aan een gehasht IP-adres. Naast gewone persoonsgegevens bestaan er ook nog bijzondere persoonsgegevens. Dit zijn gegevens die iets zeggen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of strafrechtelijke of hinderlijke activiteiten. De verwerking van deze gegevens is aan extra regels gebonden.

Wat is verwerken onder de GDPR?

Verwerken is een breed begrip. Het omvat eigenlijk alle handelingen die je met persoonsgegevens kunt verrichten. Denk aan bijvoorbeeld het opslaan van gegevens, maar ook het enkel doorgeven of mogelijk toegang tot persoonsgegevens hebben valt hieronder. In (direct) e-mailmarketing ben je dan ook al meteen persoonsgegevens aan het ‘verwerken’ als je er ook maar iets mee doet.

Wat is je rol als marketeer onder de GDPR?

De privacywetgeving maakt onderscheid in rollen. Afhankelijk van je rol heb je onder de GDPR verschillende verplichtingen waaraan je moet voldoen. Zo is er de verantwoordelijke (de partij die besluit om voor een bepaald doel persoonsgegevens te gaan verwerken en die hiervoor het doel en de middelen aanwijst), de betrokkene (de natuurlijke persoon van wie de persoonsgegevens zijn) en de verwerker (de partij die door de verantwoordelijke wordt ingeschakeld om te ‘ondersteunen’ bij de verwerking of de verwerking uit te voeren).

Als je als marketeer besluit Webpower (of een andere ESP) te gebruiken om jouw klanten te mailen voor een door jou vastgesteld doel (bijv. de wekelijkse nieuwsbrief) dan ben jij de verantwoordelijke, is Webpower de verwerker (die in jouw opdracht de persoonsgegevens gaat verwerken) en is de persoon wiens e-mailadres je aan Webpower geeft om de mail toe te sturen de betrokkene. Het is wettelijk verplicht om tussen de verantwoordelijke en de verwerker schriftelijke afspraken te maken, onder andere over wat de verwerker met de gegevens mag doen, hoe de verwerker de gegevens zal beveiligen en hoe onderling omgegaan wordt met datalekken en de rechten van betrokkenen. Deze afspraken dienen te worden vastgelegd in een zogenoemde verwerkersovereenkomst.

Wanneer mag je persoonsgegevens van betrokkenen verzamelen?

Daar heb je een rechtmatige grondslag voor nodig. Er zijn verschillende grondslagen waarop je persoonsgegevens mag verwerken, zoals de noodzaak voor de uitvoering van een overeenkomst, een wettelijke plicht, toestemming en gerechtvaardigd belang. Met name toestemming is een belangrijke grondslag voor (direct) marketing onder de GDPR:  

  • Toestemming: rechtsgeldige toestemming onder de GDPR moet zijn: een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting’. Dit betekent dat toestemming een duidelijke actieve handeling moet zijn (bijvoorbeeld het aanvinken van een checkbox), dat er geen sprake mag zijn van dwang (bijvoorbeeld het accepteren van een nieuwsbrief mag geen voorwaarde zijn voor het plaatsen van een bestelling) en ook dat je toestemmingsvraag voldoende specifiek moet zijn zodat mensen precies weten waarvoor ze toestemming geven en wat ze dus van je kunnen verwachten (bijvoorbeeld het toesturen van één keer per week een nieuwsbrief per e-mail over nieuwe aanbiedingen). Daarnaast moet je voldoende informatie geven over wat je met de door jou verzamelde persoonsgegevens doet (om deze reden verwijs je bij een toestemmingsvraag altijd naar het Privacybeleid).

Buiten deze vereisten, geldt ten aanzien van de grondslag “toestemming” nog dat een betrokkene de eenmaal gegeven toestemming altijd mag intrekken en dat dit intrekken net zo makkelijk moet zijn als het geven ervan. Hiervoor moet je dus een afmeldmogelijkheid in elk commercieel bericht aanbieden. Daarnaast moet je als verantwoordelijke achteraf kunnen bewijzen dat je de toestemming hebt ontvangen.

Hoe richt ik het aanmeldproces makkelijk in?

Ons advies is om een aanmeldproces te laten bestaan uit meerdere stappen. Door stappen als aanmelden – toestemming – bevestiging toestemming en e-mailadres op te nemen in je aanmeldproces, weet je bijvoorbeeld zeker dat het e-mailadres dat is ingevuld klopt. Je kunt zo ook makkelijk bewijzen dat je rechtsgeldige toestemming het verkregen. In dit blogitem (etappe 2 van de Road to the GDPR), lees je hoe je je aanmelderstekst het beste op kunt stellen. Hoe het zit met de bewijslast onder de GDPR en hoe je hieraan bijvoorbeeld kunt voldoen lees je in dit blogitem (etappe 3 van de Road to the GDPR).

Hoe zit het met bestaande klantrelaties?

Op dit moment kennen wij in Nederland – vanwege de Telecommunicatiewet – een uitzondering voor het toesturen van commerciële berichten aan reeds bestaande klanten. Het is namelijk toegestaan om bestaande klanten per e-mail te benaderen voor gelijksoortige producten en diensten als die ze reeds hebben afgenomen, ook als ze hiervoor geen expliciete toestemming hebben gegeven. Voorwaarde hiervoor is wel dat je je klanten eerst informeert dat je van plan bent dit te gaan doen, hoe vaak je dit gaat doen, via welke weg en waarover en dat je ze voorafgaand aan het sturen van commerciële berichten eerst een afmeldmogelijkheid aanbiedt (recht van verzet). Maar, ook op dit gebied is er een nieuwe privacywetgeving op komst: de e-Privacy Verordening. Dit is Europese wetgeving die naast de GDPR zal gaan bestaan en waarin specifieke regels beschreven staan voor onder andere het gebruik van cookies en toesturen van commerciële berichten. De e-Privacy Verordening is echter nog niet definitief. Wat er precies gaat veranderen zal dus  nog moeten blijken.

Mythe:

  • De uitzondering voor het toesturen van commerciële e-mails aan bestaande klanten komt sowieso te vervallen. Dit lijkt op dit moment niet zo, zolang je je voor nu maar aan de spelregels uit de Telecommunicatiewet houdt. Houd hiervoor wel de ontwikkelingen ten aanzien van de e-Privacy Verordening in de gaten.

Nog meer vragen over de GDPR?

Wil je weten welke software-oplossingen Webpower heeft om jouw e-mailmarketing volledig GDPR-proof in te richten of heb je nog GDPR-vragen? Stel ze gerust – we helpen je graag!

Neem contact op  Lees meer over onze software

Wij hechten waarde aan een correcte omgang met de nieuwe privacywetgeving. De inhoud van dit blog is daarom geverifieerd door ICTRecht. We voorzien je van deze informatie, zodat je beter begrijpt wat de GDPR voor marketeers kan betekenen. Dit blogartikel is bedoeld voor kennisdeling en kan niet beschouwd worden als officieel juridisch advies. Bij het lezen van dit artikel vrijwaar je Webpower, ICTRecht en de auteur voor mogelijke juridische implicaties. Wij adviseren je GDPR-gerelateerde acties binnen jouw organisatie voor implementatie altijd te laten checken door een juridisch adviseur.

Deel dit artikel