Wetgeving opslag persoonsgegevens AVG; een ver van je bed show, of dichterbij dan je denkt?

blog-vga-sfeerbeeld

Wellicht weet je het al, wellicht nog niet, maar per 28 mei 2018 verandert de wet op het gebied van gegevens verwerking. De zogenaamde AVG; Algemene Verordening Gegevens bescherming. Maar wat houdt nu precies in en waarom heb jij daar, als willekeurige website eigenaar, mee te maken?

 

Zo heb je er al mee te maken als je;

• een mailinglijst hanteert voor je nieuwsbrief
• een gratis weggever aanbiedt via je website
• er een contactformulier op je website staat
• je géén SSL certificaat (HTTPS)  op je website hebt

 

Voldoe jij aan één van deze punten? Neem even de tijd, haal koffie en lees deze blog...

 

Wat is het doel van deze wet?

De nieuwe wet is in het leven geroepen omdat we in Europa alle persoonsgegevens an burger standaardiseren.

Het idee achter de AVG is om te zorgen dat consumenten op den duur minder worden overspoeld met reclame en spam. En dat is natuurlijk een heel goede ontwikkeling. Want ongevraagde reclame (in je mailbox of op de deurmat) is gewoon bloed irritant.

 

Maar wat betekent de AVG nu concreet voor jou?

Dit klinkt allemaal als een enorme “ver van jouw bed” show. Dit blog is een nog relatief beknopte uitwerking van de punten die betrekking hebben op je website en e-mailmarketing.

 

Wanneer een e-mailadres te herleiden is tot een specifiek persoon, is het een persoonsgegeven. Dat wil zeggen dat veel algemene e-mailadressen van bedrijven geen persoonsgegevens zijn, maar e-mailadressen van een bepaalde medewerker wel. Dit geldt uiteraard ook voor bijvoorbeeld persoonlijke telefoonnummers of andere gegevens die te herleiden zijn tot een persoon. Die persoonsgegevens mag je niet zonder toestemming opslaan en gebruiken.

 

Geldt de nieuwe AVG dan ook voor kleine mkb'ers en zzp'ers?

Ja, de nieuwe AVG geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Denk aan het bijhouden van afspraken met klanten, telefoonnummers en e-mailadressen van klanten of personeelsinformatie.

Elk contactformulier op je website, of het bijhouden van je klantgegevens in een CRM pakket, is een vorm van verwerking van persoonsgegevems.

Dit is wat jij kan doen om te zorgen dat jij legaal bezig blijft;

 

1. Controleer je opt-in formulieren (inschrijf of aanvraag formulieren)

Het verzenden van commerciële e-mails (nieuwsbrieven) mag alleen naar contactpersonen waar je óf expliciet toestemming van krijgt óf waar je een betaalrelatie mee hebt. En in het geval van die laatste; Je mag alleen commerciële e-mails sturen die betrekking hebben op de dienst die bij je afgenomen zijn.

 

Wat betekent dit concreet?

Kort door de bocht; Het is niet toegestaan om in je contactformulier standaard het vinkje aan te zetten bij de vraag of de inzender ook een nieuwsbrief wil ontvangen. Dat is geen expliciete toestemming. Dat heb je dus heel simpel opgelost door op je website overal het standaard vinkje uit te zetten. Nadeel is natuurlijk wel dat je dan een stuk minder inschrijving voor je nieuwsbrief kunt verwachten.

Je mag die vraag dus wel stellen, als de invuller van je formulier maar zelf fysiek dat hokje aanvinkt. Alleen dan geven ze expliciet (bewust) toestemming.

Nieuw in de regelgeving is ook dat je bij een weggever zoals een gratis e-book of whitepaper de aanvrager daarvan niet meer zomaar op je lijst voor nieuwsbrieven mag zetten. Ze vragen immers alleen jouw weggever aan, maar geven daarbij geen expliciete (bewuste) toestemming om op de mailinglijst te komen. Dus wanneer je iets gratis weggeeft moet wel om extra toestemming vragen voor de inschrijving op je nieuwsbrief met een nog niet aangevinkt hokje. De keus om niet in te schrijven moet er dus altijd zijn.

 

Elk onderwerp een eigen mailinglijst

Het is zelfs zo dat wanneer je nieuwsbrieven verstuurd over verschillende onderwerpen, je voor elk onderwerp toestemming nodig hebt van de ontvanger. Om onszelf als voorbeeld te nemen; Wanneer wij een nieuwsbrief sturen over tips voor WordPress, dan is dat een heel ander onderwerp dan drukwerkaanbiedingen. Wij mogen daar niet zonder meer dezelfde mailinglijst voor gebruiken. Wees je daarvan bewust.

 

2. Gebruik een e-mailingprogramma om je lijst te documenteren

De tijd van het verzenden van een nieuwsbrief via je normale email programma is voorbij. In apps als Outlook, Gmail en Hotmail kun je niet bijhouden wie zich wanneer en via welk kanaal heeft ingeschreven en (niet onbelangrijk) heeft uitgeschreven. Ga dus je mailinglijst bijhouden in een programma als Mailchimp,  Autorespond, La Posta of een andere specifiek mailing programma met opt-in en opt-out mogelijkheden.

Naast dat het dus gewoon volgens de wetgeving niet mag, is het ook niet slim. Wanneer je teveel mails verstuurd vanuit je emailaccount wordt je op de zwarte lijst gezet als spammer en kun je een tijdje helemaal niet meer mailen.

Ook heb je dan geen enkel inzicht op wie je mails heeft geopend en/of gelezen en wat de acties en reacties zijn op jouw zorgvuldig samengestelde nieuwsbrief.

 

3. Schrijf een (nieuwe) privacyverklaring

In de verklaring leg je uit welke gegevens je verzamelt en wat je daarmee gaat doen. Je privacyverklaring moet beknopt zijn en iedereen moet het kunnen begrijpen, maar hij moet natuurlijk wel juridisch helemaal kloppen, net als je algemene voorwaarden. Onze tip: schrijf je privacyverklaring zelf en laat hem daarna door een jurist of advocaat controleren. Meer weten? Lees het hier.

 

4. Optie tot uitschrijven

Wanneer je nieuwsbrieven schrijft, moet de lezer zich altijd kunnen uitschrijven van de lijst (opt-out). Daarnaast moet het altijd duidelijk zijn van wie de mailing afkomstig is, en er moet op geantwoord kunnen worden. Controleer dan ook het e-mailadres vanaf waar je mailings verzonden worden; een no-reply adres mag niet.

 

5. Bewijs van inschrijving verzamelen

Bij een controle op naleving voor de wetgeving moet je kunnen aantonen hoe je aan de e-mailadressen bent gekomen die op je lijst staan. Dat geldt niet alleen voor de e-mailadressen die je vanaf 25 mei 2018 verzamelt, maar ook voor álle e-mailadressen die je daarvoor al had.

Staat dit niet duidelijk in jouw e-mailmarketingsysteem? Dan zit er niks ander op dan een mailing te versturen naar die adressen om alsnog om expliciete toestemming te vragen om in de toekomst je e-mails te lijven ontvangen.

Grote kans dat je van veel van die mensen geen toestemming krijgt. Maar dat hoeft geen nadeel te zijn; Je lijst wordt er beter op. Je behoudt de mensen waarvan je zeker weet dat ze jouw mailings interessant vinden.
Uitzondering op de explicite toestemmingsregel zijn alle mensen waar je een betaal-relatie mee hebt. Je betalende klanten mag je gewoon op je lijst zetten. Of ze daar blij mee zijn is natuurlijk een tweede punt.

 

Veel voorkomend misverstand: wanneer je van iemand een visitekaartje krijgt, betekent dat niet dat je die gegevens mag gebruiken voor je mailinglijst. Die mensen hebben geen expliciet (bewijsbaar) toestemming gegeven om toegevoegd te worden.

 

6. Investeer in goed technisch onderhoud van je website

Wanneer jij de gegevens van je formulieren bewaart in de back-end van je website, dan wordt het des te belangrijker jezelf te beschermen tegen hackers. Datalekken wordt zeer streng en hoog beboet.

Een onderhoudsabonnement voor de technische kant van je website is in vergelijking een zeer kleine investering. Je zet immers toch ook sloten op de ramen en deuren van je huis?

Naast de juiste updates van je CMS pakket, is een SSL certificaat tegenwoordig ook een absolute must. BONUS: Website met een HTTPS-sleutel worden beter gevonden in Google! Voor de installatie van een SSL kun je terecht bij je hosting provider.

 

Tijd voor actie!

Al deze wet- en regelgeving is nogal droge kost. Het kostte mij de grootste moeite om het allemaal te snappen en uit te schrijven. Maar jij moet er wel mee aan de slag! Behandel je klanten zoals jij zelf ook behandeld wilt worden en zet dan ook niet lukraak iedereen die je tegenkomt op je mailinglijst. Bijt je er een keer in vast en zorg dat je alles voor 25 mei 2018 geregeld hebt.

 

(Not so) FUNFACT; De boetes worden gigantisch…
De maximale boete per overtreding van de huidige privacywet is 900.000 euro. Dit verandert met de komst van de AVG naar 20 miljoen euro of 4% van de wereldwijde jaaromzet. Bovendien komt er een Europees Comité dat toeziet op de juiste toepassing van de AVG.

NOTE: Deze blog is geschreven door een vormgever en de stellingen en interpretaties die hierin omschreven worden zijn niet juridisch onderbouwd. Deze blog bevat tips en handvatten. Als je echt 100% zeker wilt zijn dat je website en e-mailmarketing aan alle eisen voldoen, schakel dan een jurist of advocaat in.

Voor meer informatie verwijzen we je graag naar de website van de Autoriteit Persoonsgegevens.

6 reacties

  1. Mireille Ruitenburg op 9 november 2017 om 11:17

    Bedankt Kelly dat je de moeite hebt genomen om het te vertalen! Eindelijk een helder verhaal.

    • Kelly Eekhof op 9 november 2017 om 11:22

      Graag gedaan Mireille,

      Het was ook voor mij echt even doorbijten. Droge kost, drie keer in slaap gevallen. hihi
      Maar het is gewoon een enorm belangrijk punt. Dus daar maak ik dan graag tijd voor. 😀

  2. Rob Veltkamp op 14 november 2017 om 16:17

    Geldt dit ook voor mailing welke naar leden van een vereniging? Moeten deze ook toestemming geven voor het gebruik van hun e-mail adres voor het gebruik hiervoor? Voor de rest een zeer duidelijk artikel. Dank hiervoor

    • Kelly Eekhof op 14 november 2017 om 16:21

      Hi Rob,

      Goede vraag. Als de leden contributie betalen, dan mag je ze op de mailinglijst zetten. Want dan heb je daar een betaalrelatie mee. Maar die leden moeten zich wel kunnen uitschrijven als ze de mailing niet op prijs stellen. Ook moet dit wel in je privacyverklaring worden opgenomen.

      Ook moet je in je mailing een regel toevoegen dat men de mailing ontvangt omdat je een betaalrelatie het hen hebt. Is natuurlijk wel net zo netjes, en kan een kleine tekst zijn bijvoorbeeld boven de uitschrijf button.

  3. Britt op 15 mei 2018 om 12:19

    Hi Kelly,

    Wanneer heb je nog een betaalrelatie met een klant? Hoe ver gaat dat terug? Mag een dienst ook 5 jaar geleden zijn afgenomen?

    • Sterk in MEDIA op 15 mei 2018 om 13:10

      Ja, alle betaalrelaties vanuit het verleden zijn geldige betaalrelaties. Hoe lang terug dat ook was. Daarom mogen partijen als KPN of NUON je blijven stalken met aanbiedingen ook al sta je op het bel-me-niet-register, en ben je al jaren geen klant meer bij ze geweest. Een betaalrelaties blijft gelden. Het is echter wel zo, dat wanneer een oude betaalrelaties zichzelf afmeld voor je nieuwsbrief, je dit wel zou moeten respecteren. En ze dan van je mailinglijst af halen.

Laat een reactie achter