GDPR en Marketing: wat zijn de gevolgen voor marketeers?
Vanaf 25 mei 2018 wordt de GDPR (General Data Protection Regulation) gehandhaafd. Dit is nieuwe Europese regelgeving omtrent het gebruik van persoonsgegevens, die de privacy van burgers beter moet gaan beschermen dan nu het geval is. De verordening wordt in het Nederlands ook wel de AVG (Algemene Verordening Gegevensbescherming) genoemd en heeft invloed op iedereen die persoonsdata verwerkt van Europese burgers en daardoor ook gevolgen voor alle marketeers die persoonsgegevens verwerken van deze individuen. Daarnaast is er nog meer relevante Europese wetgeving op komst, namelijk de ePrivacy verordening. Deze regelgeving ziet toe op zaken als cookies en e-mail marketing. Hoewel het de bedoeling was laatstgenoemde bepaling ook vanaf komende mei te handhaven, ziet het er naar uit dat dit pas ergens in 2019 gaat gebeuren. In deze privacy blog zal ik me daarom richten op de GDPR en Marketing en de gevolgen voor marketeers. Dit is het eerste deel. Hierna zullen nog een aantal delen volgen waarin de GDPR naar de praktijk wordt vertaald.
Juridische gronden
Net als onder de huidige wetgeving heeft u een juridische grond nodig om persoonsgegevens (waaronder e-mail adressen en IP-adressen) te mogen gebruiken. Ook in de GDPR worden zes juridische gronden genoemd. Waaronder toestemming van betrokkenen en een gerechtvaardigd (commercieel) belang van de betreffende organisatie (of een derde partij). Aangezien deze twee gronden het meest van belang zullen zijn voor marketeers, worden deze hieronder verder toegelicht met praktijkvoorbeelden.
E-mail marketing en toestemming
Om marketing mails te mogen versturen is vaak toestemming van de ontvanger nodig. Toestemming moet bijvoorbeeld worden gevraagd aan leads, suspects, en prospects. Volgens de GDPR moet deze toestemming aan bepaalde voorwaarden voldoen. Deze moet geïnformeerd zijn; de persoon moet juiste en voldoende informatie zijn verstrekt over de identiteit van de zender en het gebruik van de persoonsgegevens. De toestemming moet specifiek gericht zijn op gebruik van de persoonsgegevens voor bepaalde doeleinden. Één opt-in voor de nieuwsbrief, enquêtes, en andere acties is dus niet de bedoeling. De toestemming moet vrij zijn, de gever mag bijvoorbeeld niet onder druk zijn gezet. Het moet een actieve handeling betreffen. Het welbekende vinkje moet door de ontvanger zelf worden aangeklikt en dus niet standaard aangevinkt zijn. Ten laatste is ondubbelzinnigheid een voorwaarde voor correcte toestemming. Oftewel, er mag geen twijfel bestaan over de goedkeuring.
Zijn er uitzonderingen?
Echter, er bestaat een uitzondering waarbij e-mail marketing verstuurd mag worden zonder hiervoor toestemming te hebben gevraagd. Dit is het geval bij bestaande klanten. U kunt zich dan beroepen op het gerechtvaardigd commercieel belang van het bedrijf waarmee die klanten een bestaande relatie hebben. Belangrijk is dat deze uitzondering alleen geldt voor marketing mails omtrent het bedrijf zelf én soortgelijke producten of diensten moet betreffen. Een voorbeeld; een energieleverancier mag zonder toestemming mailing (laten) versturen aan bestaande elektriciteitsklanten om een aanbieding te doen omtrent de levering van gas. Wil de energieleverancier marketing mails sturen om koelkasten te verkopen of een partnerbedrijf mails te laten versturen over haar producten of diensten, dan is wel toestemming vereist.
Opt-out
Om u te kunnen beroepen op een commercieel belang moet u wel kunnen aantonen dat een belangenafweging is gemaakt tussen de belangen van het bedrijf en die van de ontvanger. Dit principe van accountability is nieuw in de GDPR. Daarnaast moet de ontvanger de mogelijkheid worden gegeven op eenvoudige wijze uit te schrijven voor dergelijke mails, een ‘opt-out’. Dit wordt vaak gedaan middels een ‘unsubscribe link’ in de mail. Aan ontvangers die wél toestemming hebben verleend voor e-mail marketing moet trouwens ook de mogelijkheid worden gegeven deze op eenvoudige wijze in te trekken. De unsubscribe link biedt daar ook een oplossing voor.
Mocht je meer informatie over dit onderwerp willen, opmerkingen hebben of kun je wel wat hulp gebruiken bij het juist gebruiken van de nieuwe regelgeving: laat het onze specialisten dan gerust weten!
Over de auteur: Sonja Pijnenburg
Sonja Pijnenburg is Interim Privacy Counsel bij DPA Privacy. Ze heeft in september 2016 haar master Law&Technology afgerond aan Tilburg University. Daarna heeft ze in Argentinië vrijwilligerswerk gedaan en aansluitend een reis gemaakt. Ze heeft voor haar huidige baan gekozen omdat ze al tijdens haar master interesse kreeg in het privacyrecht, vooral de toepassing van relevante wetgeving in de praktijk. Als Privacy Counsel met CIPP/e certificering geeft ze advies aan een breed segment bedrijven en organisaties. Naast reizen, kookt ze graag, is ze fanatiek sporter en is ze regelmatig bezoeker van concerten.
Wil jij maandelijks marketingtips ontvangen? Schrijf je dan hieronder in voor de nieuwsbrief van Klikss. We sturen je dan via de nieuwsbrief de laatste marketingtrends en tips.