DataSecurity

Met bloed, zweet en tranen heb je een behoorlijke e-maillijst verzameld om je maandelijkse nieuwsbrief naartoe te sturen. En toen werd het 25 mei 2018 en trad de Algemene Verordening Gegevensbescherming in werking. Je kent ‘m vast ook wel onder de afkorting AVG. Wat nu? Mag je je e-maillijst gewoon blijven gebruiken voor het verzenden van je nieuwsbrieven?

Zoals dat zo vaak is met antwoorden, is dat ook bij dit antwoord zo: dat hangt er van af. Laten we daarvoor eerst eens in de juridische wereld van de direct marketing duiken.

Wat is direct marketing?

De AVG geeft geen omschrijving van de term ‘direct marketing’.

Europese wetgeving geeft die wel en deze luidt (niet schrikken, het is een ingewikkelde omschrijving): “alle activiteiten die het mogelijk maken om goederen en diensten aan te bieden of andere boodschappen te verzenden aan een deel van de bevolking via de post, de telefoon of andere middelen, gericht op het informeren van of het uitlokken van een reactie van de betrokkene alsmede enig daarmee verband houdende dienst.

Waarschijnlijk maakt een beschrijving van de drie soorten direct marketing duidelijker wat ermee bedoeld wordt. Elke soort kent zijn eigen regels!

  1. Digitale direct marketing
    Hier vallen alle directe commerciële elektronische berichten onder. Denk aan: e-mails, maar ook sms’jes, mms’jes, appjes, directe berichten op sociale netwerk- en mediasites en faxen. Maar denk ook aan voor ingesproken berichten waarmee een computer automatisch mensen belt. Dit wordt ook wel e-marketing genoemd. De Telecommunicatiewet bevat specifieke regels over dit type direct marketing.

  2. Telemarketing
    Dit is het verkopen of aanprijzen van goederen, diensten of denkbeelden door direct contact te maken via een telefoongesprek. Het is ook in dit geval de Telecommunicatiewet die hierover specifieke regels bevat.

  3. Reclamepost
    Dit is marketing via briefpost. De Telecommunicatiewet is op het verspreiden van reclame via de post niet van toepassing.

De AVG is op alle vormen van direct marketing van toepassing zodra het gaat om het verwerken van persoonsgegevens. Dat een e-mailadres ook een persoonsgegeven kan zijn, komt zo aan bod.

Nieuwsbrieven via e-mails is e-marketing

Yep, verstuur je nieuwsbrieven via e-mails dan valt dat onder de categorie ‘e-marketing’ (oftewel: digitale direct marketing). E-marketing mag niet zomaar. Dat komt door het zogenoemd ‘spamverbod’ dat in de Telecommunicatiewet is beschreven. Spam is overlast veroorzaken met ongevraagde commerciële elektronische (= e-marketing) berichten. En dat is verboden volgens de Telecommunicatiewet. Tenzij…..

Wanneer mag je wel rechtsgeldig nieuwsbrieven versturen?

Stuur je ongevraagd e-marketing aan mensen, dan heet dat ‘spam’ en dat is dus verboden volgens de Telecommunicatiewet. Maar heb je er toestemming voor gekregen van de ontvanger dan mag het wel. En ook als iemand een bestaande klant van je is, mag het in specifieke gevallen wel.

We kijken eerst naar de toestemming: hoe krijg je een rechtsgeldige toestemming?

Wanneer is toestemming rechtsgeldig?

Voor het versturen van een digitale nieuwsbrief moet je in principe uitdrukkelijke toestemming van de ontvanger hebben. Voor wat de Telecommunicatiewet verstaat onder ‘uitdrukkelijke toestemming’ verwijst die wet naar de AVG.

De AVG gaat over de bescherming van persoonsgegevens. En een e-mailadres kán een persoonsgegevens zijn. Een e-mailadres is een persoonsgegeven, als deze bij een specifiek persoon hoort of tot een specifiek persoon herleidbaar is. Bijvoorbeeld omdat de naam van de persoon erin verwerkt is, maar ook het info@bedrijfsnaam.nl adres kan een persoonsgegevens zijn als het een e-mailadres van een zzp’er is, die zelf dat e-mailadres beheert. Het zijn dus niet meer alleen de e-mailadressen van natuurlijke personen of consumenten die onder de definitie persoonsgegevens vallen. Ook zakelijke e-mailadressen kunnen persoonsgegevens zijn!

Verzamel je dus e-mailadressen die persoonsgegevens zijn voor het verzenden van je nieuwsbrief, dan zul je daarvoor op grond van de AVG rechtsgeldig toestemming voor moeten hebben.

Deze rechtsgeldige toestemming moet volgens de AVG aan vier eisen voldoen:

  1. Iemand moet vrij zijn om toestemming te geven, maar ook om deze te weigeren of in te trekken. Dat intrekken moet gemakkelijk kunnen.
  2. Je moet specifiek en duidelijk hebben uitgelegd wat er gaat gebeuren na het geven van die toestemming. ​​​​​​​Enkel om een e-mailadres vragen is dus niet genoeg; je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op je nieuwsbrief. Die bekende formulieren “vul uw e-mailadres in en download het e-book” is dus geen rechtsgeldige toestemming, omdat er niet bij staat dat de ontvanger ook de nieuwsbrief(-ven) gaat ontvangen.
  3. Je moet mensen, voordat zij toestemming geven, duidelijk informeren over de verwerking van hun persoonsgegevens. Welke persoonsgegevens ga je verwerken, voor welk doel en hoelang bewaar je de persoonsgegevens? Dit moet je in begrijpelijke taal doen, zodat mensen ook echt weten waarvoor zij toestemming geven. Vraag je de toestemming tegelijk met het ondertekenen van een overeenkomst? Dan moet je daarover transparant zijn en het vragen van toestemming voor bijvoorbeeld je nieuwsbrief niet verstoppen!
  4. Er moet sprake zijn van een duidelijke actieve handeling. Dat is bijvoorbeeld een (digitale) schriftelijke of een mondelinge verklaring. Het moet in elk geval helemaal duidelijk zijn dát er toestemming is verleend. Je mag dus geen gebruik maken van voor-aangevinkte vakjes.

Hoe vraag je die rechtsgeldige toestemming?

Een voorbeeld van hoe je rechtsgeldig toestemming vraagt om een nieuwsbrief per e-mail aan mensen te sturen is: “ik wil graag eens per maand de nieuwsbrief van Bedrijf X ontvangen met daarin reclame en aanbiedingen“. Vóór deze zin plaats je een nog niet aangevinkt vakje.

Bewaar deze toestemming! Voor de Autoriteit Consument & Markt – die de Telecommunicatiewet handhaaft – en de Autoriteit Persoonsgegevens – die de AVG handhaaft – moet je deze toestemming kunnen bewijzen tot 5 jaar na de verkregen toestemming. Bewaar de toestemming dus goed. De manier waarop mag je zelf bepalen. Wat bijvoorbeeld niet mag is een vaag zinnetje in je algemene voorwaarden zoals ‘u geeft toestemming voor de ontvangst van mails van dit bedrijf en (geselecteerde) partners’.​​​​​​​

Wanneer is toestemming voor je nieuwsbrief niet vereist?

Soms mag je je digitale nieuwsbrieven verzenden zonder uitdrukkelijke toestemming. Dat mag bij bestaande klanten, die je benadert met aanbiedingen voor je eigen, soortgelijke producten en/of diensten. En alleen daarvoor. Niet voor andere soorten e-marketing en dus ook niet voor nieuwsbrieven met daarin reclame en aanbiedingen voor heel andere producten en diensten.

Maar wanneer is iemand een bestaande klant?

De Autoriteit Persoonsgegevens omschrijft het als volgt: “Iemand is een bestaande klant als deze persoon een product of dienst van je heeft gekocht. Er moet sprake zijn van een koopovereenkomst of dienstverleningsovereenkomst waarin je verplicht bent of was om iets te leveren en de klant om daarvoor te betalen. Iemand is géén klant als diegene (nog) niets heeft gekocht of (nog) geen dienst heeft afgenomen, maar zich alleen maar heeft aangemeld voor je nieuwsbrief, een enquête heeft ingevuld, meegedaan heeft aan een prijsvraag of spel of een gebruikersaccount heeft aangemaakt.

Maar let op het volgende: je hebt de persoonsgegevens van je klanten waarschijnlijk verzameld met het doel om hun aankoop of bestelling te kunnen afhandelen. En dus niet om ze met jouw nieuwsbrief (met eventueel aanbiedingen, reclame, etc.) te benaderen. Wil je het e-mailadres van je klanten daarvoor wel gebruiken? Dan mag je dat alleen doen als de doelen verenigbaar zijn met elkaar.

En daarvoor zijn de volgende vereisten belangrijk:

  • naast dat sprake moet zijn van een bestaande klant
  • mag je digitale nieuwsbrief alleen producten en/of diensten bevatten die soortgelijk zijn aan wat je klant bij je heeft gekocht; en
  • moet je je bestaande klant duidelijk op de hoogte hebben gebracht, dat hij of zij na aankoop een nieuwsbrief gaat ontvangen; en
  • waarbij je je bestaande klant nog vóór het moment van aankoop de mogelijkheid hebt geboden om zich te verzetten tegen het ontvangen van die nieuwsbrief.

Hoe zit het nou met je bestaande e-maillijst voor nieuwsbrieven?

Nou zul je misschien denken: wat hierboven staat geldt voor de e-mails die je verzameld hebt voor je nieuwsbrieven vanaf 25 mei 2018.

Mispoes!

Het spamverbod in de Telecommunicatiewet bestond ook al vóór 25 mei 2018 toen de AVG in werking trad. Dus dat toestemmingsvereiste óf het vereiste van een bestaande klant zijn: die zijn niet nieuw.

En de AVG geldt ook voor alle persoonsgegevens die je al vóór 25 mei 2018 had verzameld. Je zult dus moeten bewijzen dat je de e-mailadressen die je al op je maillijst had voor je nieuwsbrief vóór 25 mei 2018, rechtsgeldig hebt verkregen. Meestal zal dat een rechtsgeldige toestemming moeten zijn. En die toestemming is alleen rechtsgeldig als die voldoet aan de AVG. De AVG is daarin strenger dan haar voorganger: de Wet bescherming persoonsgegevens. Of de toestemming die je hebt aan de AVG voldoet, moet je kunnen aantonen.

Twijfel je of je destijds op de juiste manier om toestemming hebt gevraagd voor het versturen van je nieuwsbrieven? Overweeg dan om de verzending van je nieuwsbrieven aan die personen te stoppen. Opnieuw toestemming vragen aan personen die geen klant bij je zijn is namelijk eigenlijk al in strijd met het spamverbod van de Telecommunicatiewet. Dus even een mailtje aan alle twijfelgevallen sturen waarin je toestemming vraagt voor het (blijven) versturen van je nieuwsbrieven, is niet aan te raden.

Er zit in dat geval niets anders op, dan op de rechtsgeldige manier je mailinglijst opnieuw te gaan vullen.

Wil je meer weten over de AVG of een Privacyverklaring op maat laten maken Mr Anita van den Bosch – Regelrecht Advies is je hierbij graag van dienst.

Meer handige juridische tips? Volg Mr Anita van den Bosch – de Gier op Linkedin https://www.linkedin.com/in/anita-van-den-bosch-de-gier/