20 dec AVG wetgeving 2018: Voorkom boetes tot 20 miljoen Euro!
Het lijkt nog zo ver weg; 25 mei 2018. Dat is namelijk de datum waarop de nieuwe wetgeving (AVG wetgeving 2018 – Algemene Verordering Gegevensbescherming) van kracht gaat.
Verandert er enorm veel? Nee. Wordt er strenger toezicht gehouden? JA! Hoewel je officieel nu al in overtreding bent wanneer je bepaalde richtlijnen niet opvolgt, na mei 2018 is het écht van belang dat jij je zaakjes op orde hebt. Het kost namelijk veel tijd. Dus als je wil wachten met actie ondernemen t/m 24 mei 2018 dan heb ik slecht nieuws voor je: Dan ben je te laat! Zorg daarom dat je vandaag nog start met nadenken over een stappenplan. Gelukkig help ik je daarbij; lees verder hoe je ervoor zorgt dat jij geen boef op het internet wordt!
Wat houdt de AVG wetgeving 2018 precies in?*
In een eerder artikel over de gewijzigde wetgeving (deze ging in op het stuk e-mail) heb ik uitgelegd welke wijzigingen er komen en waarop de toezichthouders strenger op gaan controleren. Samengevat zijn in ieder geval de volgende punten van belang:
- Expliciete opt-ins mogen gebruikt worden voor “gespecificeerde, expliciete en rechtmatige doeleinden”
- Geef aan wat er met gegevens gebeurt + mogelijkheid tot opt-out
- Persoonsgegevens moeten door de gebruiker verwijderd of opgevraagd worden
Kan je niet op alle vragen “JA” antwoorden? Dan moet je zéker snel aan de slag gaan om ervoor te zorgen dat je alle vragen wel juist kan beantwoorden. Hoewel de aanpassingen voor grote bedrijven waarschijnlijk ingrijpender zijn dan voor kleine bedrijven, blijven de stappen hetzelfde. Hieronder omschrijf ik zodoende de punten die je op meerdere plekken online zult terugvinden rondom de AVG.
Laat duidelijk zijn dat de AVG geen wetgeving is die direct van invloed is op je e-mail marketing activiteiten. Hier gaat de wetgeving ePrivacy Regulation over en deze gaat op 25 mei 2018 nog niet van kracht. Op dit moment geldt hier nog altijd de telecommunicatiewet (de spamwet) voor.
Voldoe je vanaf 25 mei 2018 niet aan de GDPR wet, dan kun je een boete ontvangen van maximaal 20 miljoen euro of 4 procent van je totale wereldwijde omzet.
Algemene Verordening Gegevensbescherming informatie
De principes van de AVG wet- en regelgeving
- Transparantie: de persoon van wie de gegevens verwerkt worden, is hier van op de hoogte en heeft hier toestemming voor gegeven én kent zijn rechten.
- Doelbeperking: de persoonsgegevens worden voor een welbepaald gewettigd doel verzameld en mogen niet voor andere zaken gebruik worden.
- Gegevensbeperking: enkel de noodzakelijke gegevens die voor het beoogde doel noodzakelijk zijn, mogen worden verzameld.
- Juistheid: de persoonsgegevens moeten correct zijn en blijven.
- Bewaarbeperking: de persoonsgegevens mogen niet langer bewaard worden dan nodig voor het beoogde doel.
- Integriteit en vertrouwelijkheid: de persoonsgegevens moeten beschermd worden tegen toegang door onbevoegden, verlies of vernietiging.
- Verantwoording: de verantwoordelijke moet kunnen aantonen aan deze regels te voldoen.
Ondanks de indirecte invloed die deze wetgeving heeft op je e-mail marketing inspanningen zijn er wel zaken die je kan en zal moeten verbeteren als het gaat om je data. Hieronder staat in stappen omschreven wat je kan doen.
Stap 1: in kaart brengen van e-maillijsten
Voordat je start met het opschonen van je database, breng je eerst een aantal zaken in kaart. Welke e-maillijsten zijn er? Maak je überhaupt gebruik van e-maillijsten of gooi je alles op één hoop? In de nieuwe AVG wetgeving is het belangrijk dat de bezoeker per e-maillijst toestemming geeft om gemaild te worden. Heb je bijvoorbeeld een opt-in ontvangen om een servicemail te sturen naar aanleiding van een download, maar is de ontvanger nu ook automatisch toegevoegd aan je nieuwsbrief database? Dat mag dus niet! Breng daarom in kaart wie in welke database zit en of de ontvanger daadwerkelijk daarvoor toestemming heeft gegeven.
Stap 2: Opt-in = toestemming
Een opt-in ontvang je doordat een bezoeker zich vrijwillig inschrijft voor een nieuwsbrief (bijvoorbeeld een formuliertje op jouw website dat enkel en alleen voor dat doel dient) of wanneer een bezoeker zélf aanvinkt in het bestelproces dat deze op de hoogte gehouden wil worden met nieuwsbrief updates, met de nadruk op zelf. Vooraf ingevulde velden waarin men ‘toestemming’ geeft tellen dus niet!
Wil je helemaal safe zitten? Gebruik dan een dubbele opt-in. Het zorgt voor wat extra moeite vanuit de bezoeker, maar je database wordt nóg relevanter en dus kwalitatief beter! Hierbij weet je namelijk dat diegene die deze moeite nemen, ook écht interesse hebben in jouw product of dienst.
Stap 3: Lever bewijs!
Om te voldoen aan de eisen van de AVG wetgeving 2018 moet je daadwerkelijk aan kunnen tonen dat jouw database (in het verleden) een opt-in heeft afgegeven. Heb je dat niet? Dan is het jouw woord tegen de wet en in die situatie wil je je bedrijf niet brengen. Zorg daarom dat opt-ins worden vastgelegd in een centraal systeem voor álle mailinglijsten. Zorg dat je de volgende informatie kan ophalen uit je database:
- Op welk e-mailadres is de opt-in afgegeven?
- Waarvoor is toestemming gegeven?
- Wanneer is de opt-in afgegeven?
- Waar (bv. op welke pagina) en hoe verkregen?
Stap 4: Vraag toestemming
Wellicht ben je er nu al achter gekomen dat je 1) geen expliciete toestemming hebt per mailinglijst, 2) überhaupt nog nooit om toestemming hebt gevraagd of 3) je geen bewijs hebt dat de bezoeker een opt-in heeft afgegeven. In alle 3 de gevallen is het raadzaam om nu, op dit moment toestemming te gaan vragen aan je ontvanger. Dat kan je op de volgende manier doen:
- Stuur de ontvanger (evt. per e-maillijst) een mail en leg uit dat je de kwaliteit van je database aan het verbeteren bent en erachter wil komen of de bezoeker nog steeds geïnteresseerd is in jouw mails.
- Voeg in de e-mail een link toe naar een formulier / landingspagina waarbij de ontvangers toestemming kunnen geven. Zorg daarom dat er een formulier of landingspagina opgemaakt is en dat deze de toestemmingen daadwerkelijk registreert in jouw centrale programma.
- Geef ook aan wat er gebeurt met de gegevens van de ontvanger, dit kan je prima afvangen in de privacy policy van je website. Verwijs hier ook naar.
- Voeg ook een optie toe om de ontvanger te laten uitschrijven. Het liefste zelfs onder en bovenaan de mail. (maar dat wist je natuurlijk al, want dat is niks nieuws)
Alleen de bezoekers die toestemming geven mag je blijven mailen. De ontvangers die geen actie uitvoeren óf zich uitschrijven, zul je moeten uitschrijven voor je e-mail marketing activiteiten.
Stap 5: Verwerkersovereenkomst met partners
Binnen de AVG worden er eisen gesteld aan met name hoe om te gaan met de persoonsgegevens van je klanten. Mogelijk zijn er binnen jou bedrijf andere bedrijven betrokken bij het versturen van e-mails, het verzamelen van e-mailadressen, etc.. Indien dat het geval is ben jij als adverteerder verantwoordelijk voor de omgang van je partners met deze data. Om een beleid te voeren rondom de verwerking van deze data is een verwerkersovereenkomst van belang.
Een verwerkersovereenkomst, voorheen “bewerkersovereenkomst” (in de Wbp), neemt een belangrijke plek in binnen de AVG/GDPR. Wellicht heb je deze al met bepaalde partijen waarmee je persoonsgegevens uitwisselt. Dit was namelijk al nodig onder de huidige Wbp, maar er was amper handhaving op. De AVG/GDPR stelt nieuwe eisen. Je vindt bijvoorbeeld de bewerkersovereenkomst van Google Analytics die je kan accepteren onder accountinstellingen. Maar je dient er ook een af te sluiten met de (leverancier van) je e-mailmarketing, hostingpartij, of eventuele klanten waar je mee werkt, enzovoort.
In sommige situaties is het voldoende om persoonsgegevens niet te delen indien dat niet noodzakelijk is. Hoewel het uiteraard al verboden was om even snel een e-maildatabase op de mail te zetten zonder een overeenkomst, is dit in de nieuwe situatie helemaal uit den boze en goed voor de helft (tot 10 miljoen of 2% van de jaaromzet) van het maximale boetebedrag.
Andere Handige (uitgebreide) informatie over AVG:
- Wat je als digital marketeer over de AVG/GDPR moet weten
- Is jouw e-mailmarketing klaar voor de nieuwe wet voor bescherming persoonsgegevens (GDPR/AVG)?
- AVG/GDPR wet: Kennissessie met video
- Heb jij al een bewerkers overeenkomst?
- General Data Protection Regulation
Indien je hier nog vragen hebt rondom de AVG of je e-mail marketing activiteiten na 25 mei 2018 dan kan je mogelijk altijd nog een Kennis sessie bijwonen van Spotler.
Onze AVG sessie bij @NHHotelsNL in Zoetermeer is van start! #emailmarketing #avg pic.twitter.com/H0tMF6iEIv
— Spotler (@Spotler_NL) 23 november 2017
Ervoor zorgen dat jij vóór 25 mei niet onderuit gaat óf hulp nodig bij het optimaliseren van je database? Mijn collega’s en ik helpen je graag. Ook wanneer je wilt starten met e-mailmarketing, zorgen wij ervoor dat je goed van start gaat waarbij de regels van de AVG 2018 gehandhaafd worden.
*Wij zijn geen juristen. Wij kunnen zodoende niet verantwoordelijk gehouden worden voor eventuele onjuistheden of onduidelijkheden in dit artikel. Het is zodoende belangrijk zelf je onderzoek te doen en bij juridische vragen een jurist in te schakelen. Indien gewenst kunnen wij jou in contact brengen met de juiste mensen.


Geen reactie's