Ben jij klaar voor de nieuwe Europese privacywet?

Wat is de Algemene Verordening Gegevensbescherming?

De AVG (de internationale naam is GDPR – General Data Protection Regulation) is de nieuwe Europese privacywet die in alle landen van de EU van toepassing is vanaf 25 mei 2018. Deze wet vervangt de huidige Wet bescherming persoonsgegevens (Wpb). Gevolg is dat marketeers onder de nieuwe wet zorgvuldiger moeten omgaan met persoonsgegevens, zowel in de B2C als in de B2B sector.

Deze nieuwe wet versterkt privacy-rechten van burgers in de EU. Overtredingen van deze wet kunnen oplopen tot boetes van 20 miljoen euro of maximaal 4% van de (wereldwijde) jaaromzet!

Dit zijn de vijf uitgangspunten van de AVG:

1. Transparantie: voor betrokkene moet het duidelijk zijn dat zijn gegevens verwerkt worden, welke gegevens verwerkt worden, hoe en door wie de gegevens verwerkt worden, of er sprake is van profilering en wat de rechten van de betrokkene zijn.
2. Doelbinding: de gegevens mogen alleen verwerkt worden voor een welbepaald, van tevoren omschreven doel.
3. Dataminimalisatie: er mogen alleen gegevens verwerkt worden die nodig zijn voor dat doel.
4. Beveiliging en opslagbeperking: de gegevens moeten passend worden beveiligd, hoe gevoeliger de persoonsgegevens zijn, hoe hoger het beveiligingsniveau moet zijn.
5. Privacy by design & default: privacy by design houdt in dat je al bij de ontwikkeling van je producten en diensten vastlegt hoe er met persoonsgegevens binnen je organisatie wordt omgegaan. Privacy by default houdt in dat je standaard uit moet gaan van de meest privacy-vriendelijke settings.

Wanneer is het toegestaan persoonsgegevens te verwerken?

De AVG staat in drie situaties toe dat er door organisaties persoonsgegevens verwerkt worden:

1. Overeenkomst: de gegevens die nodig zijn om een overeenkomst uit te voeren mogen vastgelegd worden.
2. Gerechtvaardigd belang: het blijft toegestaan om voor marketingdoeleinden gegevens te verwerken, zolang het marketing belang opweegt tegen het privacybelang van betrokkenen (privacytoets). Het verwerken van gegevens voor marketingdoeleinden en de manier waarop dit gedaan wordt moet in je privacy statement opgenomen zijn.
3. Toestemming: in alle overige gevallen van het verwerken van persoonsgegevens is toestemming nodig. Die toestemming moet door middel van een vrije, specifieke en ondubbelzinnige wilsuiting gegeven zijn. Nieuw is het aspect ‘ondubbelzinnig’.

Welke gevolgen heeft de AVG voor e-mailmarketing?

Er bestaan veel misverstanden over de veranderingen die de AVG met zich meebrengt voor e-mail opt-in. De AVG regelt niet de gevallen waarin je toestemming (opt-in) moet vragen voor het versturen van e-mail. Het vragen om opt-in voor het versturen van commerciële of charitatieve e-mail is geregeld in de Telecommunicatiewet (met als toezichthouder de Autoriteit Consument en Markt). Die blijft gelden en verandert niet. Er moet nog steeds in dezelfde gevallen om toestemming gevraagd worden. De regel dat je geen toestemming nodig hebt om e-mail aan klanten te sturen blijft dus ook van kracht.

De AVG regelt wel de manier waarop de toestemming gegeven moet worden:

1. Specifiek: welke informatie mag gestuurd worden.
2. Vrij: geen vooraf aangevinkte vakjes, niet in de algemene voorwaarden.
3. Op informatie berustend: type en frequentie van de e-mail aangeven.
4. Ondubbelzinnig: je moet kunnen bewijzen dat de toestemming op een juiste manier is gegeven.

De bewijslast voor opt-in wordt wel aangescherpt.

De eerste drie elementen van toestemming geven gelden ook nu al. De eis van ondubbelzinnigheid is nieuw. Dat betekent een verzwaring van de bewijslast en daarmee van de manier waarop de opt-in vastgelegd wordt.

Je moet als organisatie kunnen bewijzen:

• dat de toestemming daadwerkelijk gegeven is
• dat de toestemming op een vrije manier gegeven is
• voor het toesturen van welk soort informatie de toestemming gegeven is
• dat de tekst bij het geven van de toestemming voldoende informatie bevat

Dit zijn dan ook de elementen die vastgelegd moeten worden als een prospect of andere geïnteresseerde een opt-in voor e-mail geeft. Belangrijk is dat je voor 25 mei 2018 nagaat of in jouw organisatie de opt-in registratie aan deze eisen voldoet. Als de oude opt-ins volgens de eisen van de AVG te bewijzen zijn, hoef je niet opnieuw om toestemming te vragen. Heb je onvoldoende vastgelegd en kun je niet alle hierboven genoemde vier elementen bewijzen dan is opnieuw vragen om toestemming vereist.

Pak die kans!

Als je niet aan deze eisen voldoet, zal dat waarschijnlijk niet direct consequenties hebben. Veel B2B bedrijven (tot 250 medewerkers) blijven buiten schot. De Autoriteit Persoonsgegevens (AP) houdt toezicht op naleving van de AVG en zal in het begin vooral de grote jongens in de gaten houden. Aan de andere kant kun je juist deze gelegenheid aangrijpen om je database op te schonen en goede opt-ins te verkrijgen. Je dwingt jezelf kritisch naar je e-mailmarketing activiteiten te kijken. Met de nieuwe opt-ins kun je relevanter voor je doelgroep zijn, beter personaliseren en scherper segmenteren.

Zorg dus dat je nu begint met voorbereidingen om klaar te zijn voor 25 mei 2018. De Autoriteit Persoonsgegevens heeft een handig 10-stappenplan ontwikkeld ter voorbereiding op de nieuwe privacywet:

1. Bewustwording
2. Rechten van betrokkenen
3. Overzicht verwerkingen
4. Data protection impact assessment (DPIA)
5. Privacy by design & privacy by default
6. Functionaris voor de gegevensbescherming
7. Meldplicht datalekken
8. Bewerkersovereenkomsten
9. Leidende toezichthouder
10. Toestemming

Vraag je je af of je al voldoet aan de GDPR richtlijnen? Doe dan deze GDPR quiz van Mailjet.

(Mailjet is een van de GDPR-compliant e-mail solution providers waar we mee werken. Andere providers zijn: Copernica, Campaign Monitor,  Salesforce, Mailchimp en Active Campaign.)

Meer weten?

Wil je meer weten over de AVG en ePrivacy verordening? Over wat de gevolgen zijn voor jouw organisatie en hoe je je hierop voorbereidt? En welke rol een B2B bureau hierbij kan spelen? Neem dan contact op met Sander Huisman.