Mailadressen voor een mailing van Google plukken, mag dat? De regels voor direct mailings.

Voor het versturen van een nieuwsbrief aan klanten heeft u een e-mailadres nodig.  Een e-mailadres is persoonlijk en dus een persoonsgegeven. Als u e-mailadressen verzamelt dan is daar wet- en regelgeving op van toepassing. In dit artikel leggen we u uit waar u rekening mee moet houden bij het verzamelen van e-mailadressen. Ook leggen we uit hoe u uw bezoekers kunt informeren en hoe u persoonsgegevens kunt beveiligen.

Let op: Onze samenleving digitaliseert en de wetgeving groeit mee. Wilt u ontevreden relaties of boetes van toezichthouders voorkomen? Dan is het verstandig om regelmatig even stil te staan bij de wettelijke kaders rond e-mailmarketing.

Ook als u liever via Whatsapp communiceert met uw doelgroep heeft u een persoonsgegeven nodig, namelijk het telefoonnummer. Hiervoor geldt dezelfde wetgeving als voor het gebruik van e-mailadressen.

Beveiligen van gegevens

Eén van de meest gehoorde argumenten om gegevens niet achter te laten is omdat bezoekers zich zorgen maken over de veiligheid van hun gegevens. Sinds 1 januari is de wet ‘Meldplicht Datalekken’ in werking getreden en die moet er voor zorgen dat u er alles aan gedaan moet hebben om de gegevens juist te beveiligen. Wat precies? Dat is per situatie anders en heeft vooral te maken met de impact die het heeft als de gegevens op straat komen te liggen. Inloggegevens van een bank zijn in potentie schadelijker voor u als persoon dan de inloggegevens van een forum.

Voor de inschrijving van nieuwsbrieven geldt dat het opstellen van een beveiligde verbinding door middel van een SSL certificaat vaak voldoende is.

Vertel waarom u gegevens opslaat

Onlangs publiceerde RTL Nieuws een item waarin ze aangeven dat steeds minder Nederlanders hun persoonlijke gegevens achter willen laten bij bedrijven. Tenzij ze goed geïnformeerd worden over wat er met hun gegevens gebeurt. Voor professionals in de marketing en communicatie is deze trend lastig, maar biedt het ook kansen.
Zolang je mensen goed informeert over het hoe en waarom ze hun gegevens achter laten zijn ze bereid om dat te doen, mits u ze daarvoor iets teruggeeft. Bijvoorbeeld in de vorm van onderscheidende content.
Informeren kan op verschillende manieren. Coolblue staat bekend om z’n uitgebreide voorlichting, met een knipoog.

Direct aan de slag.

  • Schrijf op welke gegevens u nu van bezoekers vraagt.
    Ga ook na of u die gegevens echt nodig heeft, hoe meer u vraagt hoe hoger de drempel voor bezoekers is om die gegevens ook achter te laten.
  • Schrijf op waarom u die gegevens nodig heeft.
  • Schrijf op wat u vervolgens met die gegevens doet.
    Het delen van gegevens met andere partijen of het ontbreken van transparantie daarin, vormt een belangrijke drempel voor de bezoeker. Verzorgt een reclamebureau uw mailings? Laat dit uw bezoeker dan weten.
  • Laat zien wat de bezoeker kan verwachten als deze zich inschrijft.
    Vertel hoe vaak u een nieuwsbrief verstuurt en laat bijvoorbeeld voorbeelden zien van eerder verzonden nieuwsbrieven, zodat bezoekers zich een duidelijk beeld kunnen vormen.
  • Leg ook uit hoe de bezoeker zich kan uitschrijven van een nieuwsbrief.
    Geef de bezoeker ook direct een link naar de mogelijkheid om zich uit te schrijven.

Recht ter zijde: PlasBossinade

Door Vivienne Verlinden, advocaat IE, ICT en media

De regels

De Wet Bescherming Persoonsgegevens (Wbp) vormt het belangrijkste wettelijk kader voor onder meer direct marketing (DM). We zullen de hoofdlijnen die voor DM van belang zijn schetsen aan de hand van een aantal vragen.

U wilt een mailing versturen aan uw eigen klanten, mag dat zo maar?

Ja, mits u aan een paar voorwaarden voldoet. U maakt gebruik van de contactgegevens die u van uw klanten heeft gekregen. Bijvoorbeeld doordat zij hun contactgegevens aan u hebben doorgegeven in het kader van een aankoop bij u. U mag dergelijke klanten via DM in beginsel benaderen voor uw eigen vergelijkbare aanbiedingen. U heeft hierbij meestal een gerechtvaardigd belang omdat een dergelijke handelwijze hoort bij een normale bedrijfsvoering. U moet wel steeds uw belang afwegen tegen het belang op privacy van de betrokkenen.

U moet uw klanten verder altijd de mogelijkheid van een opt-out geven, oftewel, u moet in elke mailing een makkelijke en effectieve mogelijkheid bieden tot ‘uitschrijven’. Dit ziet u meestal onderaan de mailing staan.

U wilt uw klantenbestand ‘uitlenen’ aan een derde zodat die uw klanten een mailing kan sturen, mag dat zo maar?

Nee, daarvoor heeft u in beginsel toestemming nodig van uw klanten. Deze toestemming kan bijvoorbeeld worden verkregen doordat u bij het invulscherm waarop uw klanten hun gegevens kunnen invullen de mogelijkheid biedt, middels bijvoorbeeld een vinkje, akkoord te gaan met gebruik van de contactgegevens voor marketingdoeleinden, mede door of ten behoeve van derden.

U mag niet méér gegevens verstrekken aan de derde dan voor het doel, in dit geval DM, nodig is.

De klant moet een gegeven toestemming elk moment weer kunnen intrekken en gegevens kunnen wijzigen e.d.. U moet dus ook bijhouden aan wie u de gegevens verstrekt om deze rechten te kunnen eerbiedigen.

U wilt een klanten-bestand ‘lenen’ van een derde zodat u deze potentiële nieuwe klanten een mailing kan sturen, mag dat zo maar?

Alleen als die klanten bij het verstrekken van hun gegevens aan die derde met een dergelijk gebruik akkoord zijn gegaan of u een gerechtvaardigd belang heeft dat opweegt tegen het privacybelang van de betrokkenen. Het is uw eigen verantwoordelijkheid zich hiervan te vergewissen.

Als ontvanger en gebruiker van een nieuw (potentiële) klantenbestand moet ook u voldoen aan de informatieplicht, in ieder geval uiterlijk gelijktijdig met het toezenden van de mailing. 

De klanten moeten ook een opt-out mogelijkheid geboden worden

In welke gevallen geldt er een extra zware toestemmingseis?

Hiervan is sprake als de contactgegevens die u verzamelt bijzondere of gevoelige persoonsgegevens zijn of dat worden door de context waarbinnen ze verzameld worden. Denk bijvoorbeeld aan het abonneebestand van het Reformatorisch Dagblad, een Turkstalige krant of van een homo-vereniging. Gegevens uit dat bestand zeggen iets over iemands geloof, afkomst of geaardheid. Dat soort gegevens genieten onder de Wbp extra bescherming. Dit betekent in de praktijk dat er uitdrukkelijke toestemming van de betrokkene nodig is voor het beoogde gebruik van hun gevoelige gegevens.

Moet u uw klanten van te voren informeren over het feit dat u hun gegevens voor DM wilt (laten) gebruiken?

Ja, u moet altijd voorafgaand aan het verzamelen c.q. gebruiken van persoonsgegevens de betrokkenen helder en voldoende informeren over wie, waarvoor, met welke middelen en voor hoe lang u gegevens verzamelt. Als u het doel heeft persoonsgegevens ook voor DM te (laten) gebruiken moet u dat dus ook expliciet vermelden in de te verstrekken informatie. Verder moeten de klanten ook altijd gewezen worden op hun recht op inzage, correctie en bezwaar. Aan deze informatieplicht kan bijvoorbeeld worden voldaan middels een link naar de privacypolicy op de website, op de plaats waar de gegevens moeten worden ingevoerd.

Moet u uw bestanden up-to-date houden?

Ja, iedere bestandeigenaar moet zijn bestand up-to-date houden en dus regelmatig opschonen.

Moet u bij de Autoriteit Persoonsgegevens melden dat u uw klantenbestand uitleent?

In beginsel wel maar voor bepaalde situaties gelden vrijstellingen. Het voert te ver om op deze plek daar nader op in te gaan.

Moet u uw bestanden beveiligen en eventuele datalekken melden bij de Autoriteit Persoonsgegevens?

Ja, op iedere bestandseigenaar rust de plicht te zorgen voor een passend technisch en organisatorisch beschermingsniveau. Mocht er toch een datalek zijn met een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens dan moet u dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Als het waarschijnlijk is dat het voorval ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene dan moet ook een melding aan de betrokkene worden gedaan. 

Bij een datalek moet u denken aan het verliezen van een USB-stick met gegevensbestanden, een hackerinbraak, malware, etcetera.

Geldt de nieuwe boete alleen voor het niet melden van datalekken?

Nee. Bij de invoering van art. 34a Wbp (ook wel genoemd de Wet Datalekken) is ook een boetebevoegdheid voor de Autoriteit Persoonsgegevens geïntroduceerd. Deze boete kan echter ook worden opgelegd bij niet naleving van andere belangrijke verplichtingen uit de Wbp. De boete kan oplopen tot ruim € 800.000,-.

Beveilig uw account met meer dan uw wachtwoord Waar moet ik op letten bij het aanschaffen van een SSL-certificaat?