Road to the GDPR: aanmeldproces

Geschatte leestijd: 6 minuten (Geen tijd? Stuur dit artikel per e-mail)

Deel dit artikel

#Webpower

Deze blog is onderdeel van onze GDPR-healthcheck “Road to the GDPR”. In deel 1 van de test behandelen we het aanmeldproces. Heb je de test nog niet gedaan? Doe deze dan eerst en lees daarna pas de achtergrondinformatie in deze blog. Dat is wél zo leuk!

Het aanmeldproces is, zoals het woord al zegt, een mini-proces dat iedere aanmelder op je website doorloopt. Tijdens het aanmeldproces voor bijvoorbeeld een nieuwsbrief of evenement laten je aanmelders hun e-mailadres, naam en/of andere persoonsgegevens achter. Het is in het kader van de GDPR allereerst belangrijk om uit te leggen wat persoonsgegevens zijn, wat “verwerken van persoonsgegevens” betekent en welke rol jij als e-mailmarketeer hebt onder de GDPR (in het kader van het aanmeldproces). Daarna leggen we je uit wanneer je persoonsgegevens mag verzamelen voor het toesturen commerciële berichten, hoe het zit met bestaande klantrelaties en ook geven we je advies over hoe je het aanmeldproces op je website kunt inrichten.

Wat zijn persoonsgegevens onder de GDPR?

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Denk hierbij aan een naam of foto, maar ook aan bijvoorbeeld een e-mailadres, IP-adres of cookie-ID. Ook gepseudonimiseerde gegevens zijn nog steeds persoonsgegevens, omdat het nog steeds mogelijk is die persoon te identificeren (ook al moet je er bijvoorbeeld meerdere databases van verschillende partijen voor combineren). Bij gepseudonimiseerde persoonsgegevens kun je denken aan een gehasht IP-adres. Naast gewone persoonsgegevens bestaan er ook nog bijzondere persoonsgegevens. Dit zijn gegevens die iets zeggen over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging of strafrechtelijke of hinderlijke activiteiten. De verwerking van deze gegevens is aan extra regels gebonden.

Wat is verwerken onder de GDPR?

Verwerken is een breed begrip. Het omvat eigenlijk alle handelingen die je met persoonsgegevens kunt verrichten. Denk aan bijvoorbeeld het opslaan van gegevens, maar ook het enkel doorgeven of mogelijk toegang tot persoonsgegevens hebben valt hieronder. In (direct) e-mailmarketing ben je dan ook al meteen persoonsgegevens aan het ‘verwerken’ als je er ook maar iets mee doet.

Wat is je rol als marketeer onder de GDPR?

De privacywetgeving maakt onderscheid in rollen. Afhankelijk van je rol heb je onder de GDPR verschillende verplichtingen waaraan je moet voldoen. Zo is er de verantwoordelijke (de partij die besluit om voor een bepaald doel persoonsgegevens te gaan verwerken en die hiervoor het doel en de middelen aanwijst), de betrokkene (de natuurlijke persoon van wie de persoonsgegevens zijn) en de verwerker (de partij die door de verantwoordelijke wordt ingeschakeld om te ‘ondersteunen’ bij de verwerking of de verwerking uit te voeren).

Als je als marketeer besluit Webpower (of een andere ESP) te gebruiken om jouw klanten te mailen voor een door jou vastgesteld doel (bijv. de wekelijkse nieuwsbrief) dan ben jij de verantwoordelijke, is Webpower de verwerker (die in jouw opdracht de persoonsgegevens gaat verwerken) en is de persoon wiens e-mailadres je aan Webpower geeft om de mail toe te sturen de betrokkene. Het is wettelijk verplicht om tussen de verantwoordelijke en de verwerker schriftelijke afspraken te maken, onder andere over wat de verwerker met de gegevens mag doen, hoe de verwerker de gegevens zal beveiligen en hoe onderling omgegaan wordt met datalekken en de rechten van betrokkenen. Deze afspraken dienen te worden vastgelegd in een zogenoemde verwerkersovereenkomst.

Wanneer mag je persoonsgegevens van betrokkenen verzamelen?

Daar heb je een rechtmatige grondslag voor nodig. Er zijn verschillende grondslagen waarop je persoonsgegevens mag verwerken, zoals de noodzaak voor de uitvoering van een overeenkomst, een wettelijke plicht, toestemming en gerechtvaardigd belang. Met name toestemming is een belangrijke grondslag voor (direct) marketing onder de GDPR:  

  • Toestemming: rechtsgeldige toestemming onder de GDPR moet zijn: een ‘vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting’. Dit betekent dat toestemming een duidelijke actieve handeling moet zijn (bijvoorbeeld het aanvinken van een checkbox), dat er geen sprake mag zijn van dwang (bijvoorbeeld het accepteren van een nieuwsbrief mag geen voorwaarde zijn voor het plaatsen van een bestelling) en ook dat je toestemmingsvraag voldoende specifiek moet zijn zodat mensen precies weten waarvoor ze toestemming geven en wat ze dus van je kunnen verwachten (bijvoorbeeld het toesturen van één keer per week een nieuwsbrief per e-mail over nieuwe aanbiedingen). Daarnaast moet je voldoende informatie geven over wat je met de door jou verzamelde persoonsgegevens doet (om deze reden verwijs je bij een toestemmingsvraag altijd naar het Privacybeleid).

Buiten deze vereisten, geldt ten aanzien van de grondslag “toestemming” nog dat een betrokkene de eenmaal gegeven toestemming altijd mag intrekken en dat dit intrekken net zo makkelijk moet zijn als het geven ervan. Hiervoor moet je dus een afmeldmogelijkheid in elk commercieel bericht aanbieden. Daarnaast moet je als verantwoordelijke achteraf kunnen bewijzen dat je de toestemming hebt ontvangen.

Hoe richt ik het aanmeldproces makkelijk in?

Ons advies is om een aanmeldproces te laten bestaan uit meerdere stappen. Door stappen als aanmelden – toestemming – bevestiging toestemming en e-mailadres op te nemen in je aanmeldproces, weet je bijvoorbeeld zeker dat het e-mailadres dat is ingevuld klopt. Je kunt zo ook makkelijk bewijzen dat je rechtsgeldige toestemming het verkregen. In dit blogitem (etappe 2 van de Road to the GDPR), lees je hoe je je aanmelderstekst het beste op kunt stellen. Hoe het zit met de bewijslast onder de GDPR en hoe je hieraan bijvoorbeeld kunt voldoen lees je in dit blogitem (etappe 3 van de Road to the GDPR).

Hoe zit het met bestaande klantrelaties?

Op dit moment kennen wij in Nederland – vanwege de Telecommunicatiewet – een uitzondering voor het toesturen van commerciële berichten aan reeds bestaande klanten. Het is namelijk toegestaan om bestaande klanten per e-mail te benaderen voor gelijksoortige producten en diensten als die ze reeds hebben afgenomen, ook als ze hiervoor geen expliciete toestemming hebben gegeven. Voorwaarde hiervoor is wel dat je je klanten eerst informeert dat je van plan bent dit te gaan doen, hoe vaak je dit gaat doen, via welke weg en waarover en dat je ze voorafgaand aan het sturen van commerciële berichten eerst een afmeldmogelijkheid aanbiedt (recht van verzet). Maar, ook op dit gebied is er een nieuwe privacywetgeving op komst: de e-Privacy Verordening. Dit is Europese wetgeving die naast de GDPR zal gaan bestaan en waarin specifieke regels beschreven staan voor onder andere het gebruik van cookies en toesturen van commerciële berichten. De e-Privacy Verordening is echter nog niet definitief. Wat er precies gaat veranderen zal dus  nog moeten blijken.

Mythe:

  • De uitzondering voor het toesturen van commerciële e-mails aan bestaande klanten komt sowieso te vervallen. Dit lijkt op dit moment niet zo, zolang je je voor nu maar aan de spelregels uit de Telecommunicatiewet houdt. Houd hiervoor wel de ontwikkelingen ten aanzien van de e-Privacy Verordening in de gaten.

Nog meer vragen over de GDPR?

We kunnen ons voorstellen dat je nog meer vragen hebt over de GDPR. Kom naar onze ontbijtsessie op kantoor, waarin we je alles vertellen over bijvoorbeeld de nieuwe rechten van de betrokkene en de overige elementen van de GDPR. Denk aan de (mogelijke) verplichting tot het aanstellen van een Data Protection Officer (DPO), een Privacy Impact Assessment (PIA), de verwerkersovereenkomst, bewaartermijnen etc. Begrippen waar je vast al wel eens over gelezen hebt, maar die nog niet zo concreet zijn geworden. We zien je graag! 

Meld je aan voor de ontbijtsessie

 

Deel dit artikel

6 december 2017

Categorieën

E-mailmarketing, Marketing automation