Nieuwsbrief en AVG: hoe je AVG-proof kan worden

21 maart 2018

Artikel geschreven door Anja Meerding, Senior Consultant

“Moeten we eigenlijk nog iets met onze nieuwsbrief doen, nu met die AVG?”

AVG betekent Algemene Verordening Gegevensbescherming, ook wel GDPR – General Data Protection Regulation. Kortom: De Europese privacy wetgeving.

Deze gedachte – of eentje van vergelijkbare strekking – galmt mogelijk al een tijdje na in je hoofd als database marketeer. Wat mag nog wel, wat niet meer en welke stappen zijn nodig vóór 25 mei 2018?

In dit artikel helpen we je hoe je ervoor kan zorgen dat je nieuwsbrieven AVG-proof zijn. Aan de hand van een voorbeeld uit de praktijk zullen we stap voor stap vertellen wat belangrijk is en waar je aan moet denken. Uiteraard bevat de AVG nog veel meer elementen, maar die zullen wij in dit artikel niet bespreken.

 

Voorbeeldcase

Onze database marketeer Ilse is verantwoordelijk voor de selectie en verzending van de maandelijkse nieuwsbrief voor klanten. Al jaren wordt vanuit het marketing team met zorg een nieuwsbrief samengesteld en per e-mail verzonden aan een breed publiek. De nieuwsbrief bevat informatie over nieuwe producten en diensten en voordelen voor de lezers. Alles om ze te enthousiasmeren voor het productaanbod. Het brede publiek bestaat uit huidige en voormalige klanten, prospects en relaties waar een e-mailadres van is verzameld en geen actieve uitschrijving van is ontvangen.
Ilse is dringend op zoek naar antwoorden op de vele vragen die ze heeft over de nieuwe privacy regelgeving.

 

Basisvraag: worden er persoonsgegevens verwerkt?

Ilse gaat eerst vaststellen of er persoonsgegevens verwerkt gaan worden. In de nieuwsbrief worden de nodige klantkenmerken verwerkt om tot de juiste inhoud van de nieuwsbrief te komen en om deze naar de juiste klant te versturen. Het antwoord is dan ook “ja”.

 

Stappenplan voor AVG-proof nieuwsbrief

Hieronder vind je een overzicht van de belangrijkste stappen voor een AVG-proof nieuwsbrief.Stappenplan-AVGproof-nieuwsbrief

1. Toestemming

Voor het versturen van de e-mail is toestemming nodig van de ontvanger. Er is echter wel een verschil in het verkrijgen van deze toestemming van klanten en prospects.

Voor bestaande klanten geldt voor commerciële e-mails dat de klant heeft aangegeven dat hij een e-mail wil ontvangen. Bij aanvang van een klantrelatie moet jouw organisatie duidelijk aangegeven voor welke doeleinden de persoonlijke gegevens (e-mailadres) worden gebruikt. Het verzenden van de nieuwsbrief moet vermeld worden. In de nieuwsbrief moet altijd de mogelijkheid om af te melden aanwezig zijn (opt-out).

Ilse heeft de aanmeldprocedure van klanten gecheckt en er wordt ondubbelzinnig, niet vooraf aangevinkt toestemming gevraagd voor de nieuwsbrief. En de nieuwsbrief bevat een opt-out link. Gelukkig is de aanmeldprocedure al jaren ongewijzigd, anders had Ilse hier nog moeten onderzoeken hoe de aanmeldprocedure voor langer geleden geworven klanten er uit zag.

De nieuwsbrief gaat ook naar prospects, die zijn aangekocht bij een externe leverancier. Voor dergelijke prospects moet je checken of er door de leverancier van de prospectdata toestemming is gevraagd voor gebruik van de persoonlijke gegevens, waaronder het verstrekken aan derde partijen. Als dat het geval is dan moet je zelf ook nog bij de eerste mailwisseling expliciet toestemming vragen (opt-in).

Ilse weet dat de prospects geselecteerd worden uit een aangekocht adressenbestand op basis van specifieke woningkenmerken. Er wordt dus niet expliciet om toestemming gevraagd en Ilse beseft dat deze prospects niet meer benaderd mogen worden. Ze heeft de prospects verwijderd uit de selectie en een project opgezet om op de juiste wijze opt-ins van prospects te vergaren. Zodat ze op korte termijn alsnog deze doelgroep weer mogen gebruiken.

Naast het verkrijgen van de toestemming zelf, zijn de volgende zaken ook nog van belang:

  • Waarvoor is toestemming gegeven?
  • Aan wie is toestemming gegeven?
  • Wanneer is toestemming gegeven?
  • Op welke manier is toestemming gegeven?
  • Waar worden de gegevens opgeslagen?
  • Met wie worden de gegevens gedeeld?

Antwoorden op deze vragen dienen vastgelegd te worden in het verwerkingsregister.

Schematisch overzicht toestemming:

Schematisch-overzicht-toestemming-email-versturen

 

2. Gerechtvaardigd belang

Voor het verwerken van persoonsgegeven is er een juridische grondslag nodig. Voor Marketing & Sales zou de grondslag voor gegevensverwerking mede kunnen zijn dat je de continuïteit van de organisatie waarborgt. Voor een rechtmatige grondslag moet je marketingbelang afwegen tegen het privacybelang. Dit betekent dat wanneer er een belang van het bedrijf is om contact op te nemen met zijn klant om de commerciële relatie voort te zetten, er ook een evenredig belang voor de klant moet zijn om gecontacteerd te worden (denk aan voordelen voor de klant). En natuurlijk geldt dat de ontvanger zich te allen tijde kosteloos dient te kunnen afmelden.

Ilse is ervan overtuigd dat er met de nieuwsbrief sprake is van een gerechtvaardigd belang en dat deze gewoon verstuurd mag worden. Er worden belangrijke productontwikkelingen in bekend gemaakt en exclusieve aanbiedingen geboden aan de lezers.

 

3. Data en proces

Nu is het zaak om te kijken naar de data en het proces voor de e-mail. De data bestaat uit contactgegevens en personalisatiegegevens om de inhoud van de nieuwsbrief en selectie af te stemmen op het klantprofiel. Op basis van kenmerken van de prospect worden aanbiedingen voor bepaalde productgroepen niet opgenomen in de nieuwsbrief en anderen juist wel. Belangrijke updates over producten die de klant eerder heeft gekocht, worden altijd opgenomen.

De contactgegevens had Ilse getoetst, nu nog de data voor de segmentering en personalisering. Zijn deze data vastgelegd in het gegevensverwerkingsregister? De DPO (Data Protection Officer) geeft aan dat alle gebruikte persoonlijke data voor de nieuwsbrief opgenomen zijn in het verwerkingsregister.

So far so good, denkt Ilse! Echter, in haar zoektocht naar de AVG-wetgeving ziet ze ook vaak de term DPIA (Data Protection Impact Assessment) terugkomen. Dit is een manier om vooraf privacy risico’s van de gegevensverwerking in kaart te brengen. De resultaten zijn input voor maatregelen om risico’s te verlagen. Wat betekent dat nu voor de verzending van de nieuwsbrief? Bij Ilse gaat het om een gedifferentieerde nieuwsbrief met profilering en dan is een DPIA nodig. Gelukkig weet de DPO Ilse ook te vertellen dat deze reeds is uitgevoerd en vastgelegd in het verwerkingsregister. Dus aan de datakant lijkt ook alles in orde.

Om helemaal zeker te zijn van of een nieuwsbrief volledig aan de AVG-richtlijnen voldoet, doet Ilse bij haar DPO een laatste check op:

  • Is er een link naar de AVG compliant privacy statement?
  • Is er een werkende unsubscribe?
  • Staat in het Privacy statement:
    • het soort gebruik van persoonlijke gegevens vermeld (segmentatie, profilering, sturen van commerciële uitingen,…);
    • benoemd wie de derde partijen zijn en wat zij met de data doen;
    • of de betrokken partijen voldoen aan de Europese wetgeving als de persoonlijke gegevens buiten Europa staan.
  • Voldoen de marketing-/campagne tools aan de AVG eisen (licenties, opslag, gebruik, contract, logging….)?
  • Is er voor de de opt-in en opt-out registratie een beleid opgesteld en vindt er een goede verwerking plaats?
  • Is het recht op inzage, correctie en verwijdering van persoonlijke gegevens procesmatig ingericht?

Ilse en haar collega’s zijn nu goed voorbereid op de AVG en er wordt voldaan aan de eisen.

 

Samenvatting

Ilse is blij dat de meeste zaken al goed zijn in geregeld. Ze moet alleen nog even aan de slag met de opt-in procedure voor de aangekochte prospects. Ze heeft er alle vertrouwen in dat ook deze doelgroep snel op de juiste wijze meegenomen kan worden in de selectie.

 

Verder lezen

Mocht jouw interesse gewekt zijn door dit artikel en je meer willen weten, lees dan alle informatie over de AVG op de website van de Autoriteit Persoonsgegevens. Of bekijk een voorbeeld van een (D)PIA op Privacychecker.nl. Ben je op zoek naar meer voorbeelden en richtlijnen, kijk dan vooral eens bij Werkgroep 29.

 

Disclaimer

De AVG/GDPR is een nieuwe wetgeving en zoals vaak met juridische zaken is de nuance van groot belang. Wil je er zeker van zijn dat jouw model of verwerkingen voldoen aan de AVG richtlijnen en voorwaarden, stem dit dan af met de verantwoordelijke binnen jouw organisatie.

Lees ook ons artikel over hoe je ervoor kunt zorgen dat jij (met jouw modellen) kunt streven naar GDPR-proof zijn.

Contact

Wil je meer weten over dit onderwerp? Neem dan contact op met Anja Meerding via onderstaande contactgegevens.

Anja Meerding, Senior Consultant

+31 6 54 78 04 24

anja.meerding@cmotions.nl

Laatste nieuws

Succesvolle eerste match uit de matchbeurs! “Who cares?” helpt de Eemstadboerderij

19 november 2018

Met het “Who cares?” programma streeft Cmotions ernaar om een positieve bijdrage te leveren aan een... lees meer

Cmotions Clinic over Data Science @Beeckestijn Business School

10 oktober 2018

Wanneer is iemand nou een data scientist? En hoe zet je data binnen jouw (marketing)organisatie in... lees meer

Wie wordt er blij van programmatic marketing?

5 juli 2018

Programmatic marketing lijkt de zelfrijdende auto voor een marketingafdeling. Wat is programmatic marketing? Is het hetzelfde... lees meer

Schrijf je in voor onze nieuwsbrief

Mis nooit meer iets op het gebied van advanced analytics, data science en de toepassing daarvan binnen organisaties!