Misschien heb je er al over gelezen en misschien ook niet; op 25 mei 2018 treedt er nieuwe wetgeving in werking. Het gaat hier over wetgeving met de naam ‘General Data Procection Regulation’, of kortaf GDPR.
GDPR is een Europese verordening, een nieuwe Europese wet voor databescherming. De wetgeving heeft gevolgen voor iedereen die zich bezig houdt met de verzamelde consumentendata van een organisatie.
De wet vloeit voort uit de huidige wet van bescherming persoonsgegevens (Wbp), maar is verscherpt en strenger. Nu blijkt dat de GDPR-verordening verder gaat dan de Wbp, lijkt de rol voor de nationale wet bescherming persoonsgegevens uitgespeeld.
Vandaag het eerste blog van ons over de nieuwe regels. We leggen hier allereerst de basis van de wet uit en gaan vervolgens dieper in op e-mailmarketing.
Belangrijkste onderdelen van de GDPR-wetgeving
Het doel van de GDPR-wetgeving is om binnen de EU nieuwe regels te introduceren waar elk land binnen de Europese Unie gehoor aan dient te geven. De wetgeving gaat over de beveiliging en het beheer van persoonsgegevens. Reeds in januari 2016 is een onderdeel van deze wetgeving binnen Nederland geïntroduceerd, namelijk het meldpunt van datalekken. Ook in andere landen binnen de EU zijn bedrijven al voltallig bezig met de nieuwe wetgeving. Maar wat zijn nou de belangrijkste onderdelen van de wetgeving?
Volgend jaar – 2018 – wanneer de wetgeving van kracht gaat dan moeten organisaties onder andere kunnen aantonen dat de data welke opgeslagen wordt voldoet aan de nieuwe wetgeving, ook wanneer deze data opgeslagen wordt in landen buiten de EU. Bovendien moeten organisaties datalekken melden binnen 72 uur en hetgeen waar elke webwinkelier mee te maken heeft; de e-mail opt-in moet aan strenge eisen voldoen. Voldoe je niet aan de wetgeving? Dan kun je een boete ontvangen van maximaal 20 miljoen euro of 4 procent van je totale wereldwijde omzet. Het onzorgvuldig omspringen met persoonsgegevens is daarnaast een onrechtmatige daad.
In deze blog gaan we allereerst in op e-mailmarketing. De nieuwe regels gaan echter verder, we zullen hier de komende maanden dan ook meer aandacht aan besteden.
Wat er in de GDPR staat over de e-mail opt-in
De GDPR omschrijft nauwkeurig hoe een e-mail opt-in vormgegeven dient te worden. De regels welke zijn opgesteld luiden als volgt:
- De e-mail opt-in moet een duidelijke en bevestigende actie zijn.
- De e-mail opt-in moet gescheiden zijn van de algemene voorwaarden en mag geen onderdeel van de voorwaarden zijn.
- Automatische vinkje voor de nieuwsbrief tijdens de afrondingsfase van de bestelling? Vergeet het maar. Het is verboden. De klant moet zelf het vinkje geven.
„toestemming” van de betrokkene: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt;
Toestemming in bredere zin: Van belang is dat de webwinkelier niet méér persoonsgegevens vraagt dan voor de uitvoering van de overeenkomst noodzakelijk is. Het is bijvoorbeeld de vraag of, indien iemand een bestelling afhaalt, het noodzakelijk is een postadres op te geven. Als dit wel gebeurt zal de webwinkelier duidelijk moeten maken waarom hij deze gegevens toch nodig heeft: bijvoorbeeld om een rechtsgeldige factuur op te maken (dit is lang niet altijd het geval), of om indien is gekozen voor betaling achteraf de identiteit van de consument voldoende vast te stellen. Een consument die een artikel vooraf betaalt én het artikel afhaalt zou bezwaar kunnen maken tegen de vereiste om zijn adresgegevens achter te laten.
- Wanneer na het inschrijven van een nieuwsbrief de data doorgestuurd wordt naar een derde partij, zoals bijvoorbeeld MailChimp, dan moet dit duidelijk en transparant naar de consument gecommuniceerd worden. Hierbij moet er verwezen worden naar de betreffende voorwaarden van de derde partij.
- In de database voor e-mailmarketing moet je nauwkeurig de gegeven toestemming bewaren. Wanneer er om gevraagd wordt dan moet je kunnen aantonen dat er toestemming door de ontvanger van de e-mail is gegeven voor het versturen er van.
- Je moet duidelijk je contacten laten weten hoe ze zich kunnen uitschrijven voor de nieuwsbrief.
Wij hebben zelf reeds in onze keuringscriteria een verplicht punt omtrent de aangevinkte vinkjes zitten. Een vooraf aangevinkte checkbox is een reden om de webwinkel af te keuren. Dit is geheel conform de GDPR-wetgeving. De consument moet er zelf actief voor kiezen dat deze een nieuwsbrief wil ontvangen. Het is mogelijk dat de keuring in de toekomst breder wordt getrokken, daar webwinkeliers vaak meer informatie vragen dan noodzakelijk. Bijvoorbeeld ‘schrijf je nu in voor onze nieuwsbrief en ontvang €5,00 korting op je eerste bestelling, is de toestemming dan in vrijheid gegeven?
De registratie van een mail opt-in
Naast een duidelijk protocol met betrekking tot hoe een opt-in verkregen moet worden schrijft de GDPR-wetgeving ook goed voor hoe de opt-in geregistreerd moet worden. Van iedere opt-in die een organisatie heeft verkregen voor bijvoorbeeld zijn nieuwsbrief moeten de volgende vragen eenvoudig beantwoord kunnen worden:
- Hoe en wanneer is de e-mail opt-in verkregen?
- Wie heeft de e-mail opt-in verkregen en in welke context?
- Welke methode werd gebruikt? Was het een opt-in of opt-out?
- Was de informatie helder en begrijpelijk?
- Hoe is de e-mail opt-in verstrekt? In een duidelijke verklaring naast een opt-in checkbox? Het vinkje en de toestemmingstekst moeten in één oogopslag te zien zijn.
Een e-mail opt-in welke voldoet aan de GDPR eisen begint met een duidelijke bevestigende actie, zoals bijvoorbeeld:
“Ik wil de nieuwsbrief van [ondernemer] ontvangen zodat ik op de hoogte kan blijven van aanbiedingen. Ik geef daarom toestemming voor het gebruik van de persoonsgegevens die ik hierboven heb ingevuld. Ik geef [ondernemer] eveneens toestemming deze persoonsgegevens te delen met [derden] die het verzenden van de nieuwsbrief mogelijk maken.”
Als een individu hier het vakje bij aanvinkt dan is het duidelijk dat er e-mails vanuit de organisatie verstuurd kunnen worden naar hem of haar. Vervolgens is het verstandig om aan te geven dat de organisatie de privacy van het individu respecteert, bijvoorbeeld door middel van een tekst zoals ‘[Bedrijfsnaam] respecteert uw privacy onder het recht van de GDPR-wetgeving‘. Wanneer er vervolgens gelinkt wordt vanuit het woord ‘privacy’ naar de privacy statement dan kan het individu hier meer over lezen. Als laatste moet het duidelijk zijn dat dit een opt-in is welke goed geregistreerd wordt binnen de database.
Wil je meer weten over de belangrijkste veranderingen voor organisaties en marketeers met betrekking tot de GDPR-wetgeving? Dan kun je op de website van DDMA hier meer informatie over vinden. Hou er rekening mee dat sommige informatie nog niet beschikbaar is omdat er op dit moment nog vergaderd wordt over (de uitleg van) bepaalde begrippen.
Conclusie
Met nog maar acht maanden te gaan, komt de invoering van de GDPR-wet steeds dichterbij. Het is dan ook zaak om voortijdig de zaken op orde gesteld te hebben.
Wij bij Stichting WebwinkelKeur zullen in de toekomst gaan controleren of de e-mail opt-in GDPR-proof is. Daarnaast zullen wij in de toekomst ook de overige GDPR-richtlijnen onder de loep nemen en waar nodig in de keuring meenemen.
In vervolgblogs zullen we verder in gaan op verdere gevolgen van de nieuwe wetgeving.
Mocht je nog vragen hebben dan kun je deze natuurlijk stellen door middel van het plaatsen van een reactie op het blog.
Het blog is in samenwerking geschreven met Geoffrey Bergman van Bergman Juridisch Adviesbureau.