21 maart 2018
“Moeten we eigenlijk nog iets met onze nieuwsbrief doen, nu met die AVG?”
AVG betekent Algemene Verordening Gegevensbescherming, ook wel GDPR – General Data Protection Regulation. Kortom: De Europese privacy wetgeving.
Deze gedachte – of eentje van vergelijkbare strekking – galmt mogelijk al een tijdje na in je hoofd als database marketeer. Wat mag nog wel, wat niet meer en welke stappen zijn nodig vóór 25 mei 2018?
In dit artikel helpen we je hoe je ervoor kan zorgen dat je nieuwsbrieven AVG-proof zijn. Aan de hand van een voorbeeld uit de praktijk zullen we stap voor stap vertellen wat belangrijk is en waar je aan moet denken. Uiteraard bevat de AVG nog veel meer elementen, maar die zullen wij in dit artikel niet bespreken.
Onze database marketeer Ilse is verantwoordelijk voor de selectie en verzending van de maandelijkse nieuwsbrief voor klanten. Al jaren wordt vanuit het marketing team met zorg een nieuwsbrief samengesteld en per e-mail verzonden aan een breed publiek. De nieuwsbrief bevat informatie over nieuwe producten en diensten en voordelen voor de lezers. Alles om ze te enthousiasmeren voor het productaanbod. Het brede publiek bestaat uit huidige en voormalige klanten, prospects en relaties waar een e-mailadres van is verzameld en geen actieve uitschrijving van is ontvangen.
Ilse is dringend op zoek naar antwoorden op de vele vragen die ze heeft over de nieuwe privacy regelgeving.
Ilse gaat eerst vaststellen of er persoonsgegevens verwerkt gaan worden. In de nieuwsbrief worden de nodige klantkenmerken verwerkt om tot de juiste inhoud van de nieuwsbrief te komen en om deze naar de juiste klant te versturen. Het antwoord is dan ook “ja”.
Hieronder vind je een overzicht van de belangrijkste stappen voor een AVG-proof nieuwsbrief.
Voor het versturen van de e-mail is toestemming nodig van de ontvanger. Er is echter wel een verschil in het verkrijgen van deze toestemming van klanten en prospects.
Voor bestaande klanten geldt voor commerciële e-mails dat de klant heeft aangegeven dat hij een e-mail wil ontvangen. Bij aanvang van een klantrelatie moet jouw organisatie duidelijk aangegeven voor welke doeleinden de persoonlijke gegevens (e-mailadres) worden gebruikt. Het verzenden van de nieuwsbrief moet vermeld worden. In de nieuwsbrief moet altijd de mogelijkheid om af te melden aanwezig zijn (opt-out).
Ilse heeft de aanmeldprocedure van klanten gecheckt en er wordt ondubbelzinnig, niet vooraf aangevinkt toestemming gevraagd voor de nieuwsbrief. En de nieuwsbrief bevat een opt-out link. Gelukkig is de aanmeldprocedure al jaren ongewijzigd, anders had Ilse hier nog moeten onderzoeken hoe de aanmeldprocedure voor langer geleden geworven klanten er uit zag.
De nieuwsbrief gaat ook naar prospects, die zijn aangekocht bij een externe leverancier. Voor dergelijke prospects moet je checken of er door de leverancier van de prospectdata toestemming is gevraagd voor gebruik van de persoonlijke gegevens, waaronder het verstrekken aan derde partijen. Als dat het geval is dan moet je zelf ook nog bij de eerste mailwisseling expliciet toestemming vragen (opt-in).
Ilse weet dat de prospects geselecteerd worden uit een aangekocht adressenbestand op basis van specifieke woningkenmerken. Er wordt dus niet expliciet om toestemming gevraagd en Ilse beseft dat deze prospects niet meer benaderd mogen worden. Ze heeft de prospects verwijderd uit de selectie en een project opgezet om op de juiste wijze opt-ins van prospects te vergaren. Zodat ze op korte termijn alsnog deze doelgroep weer mogen gebruiken.
Naast het verkrijgen van de toestemming zelf, zijn de volgende zaken ook nog van belang:
Antwoorden op deze vragen dienen vastgelegd te worden in het verwerkingsregister.
Schematisch overzicht toestemming:
Voor het verwerken van persoonsgegeven is er een juridische grondslag nodig. Voor Marketing & Sales zou de grondslag voor gegevensverwerking mede kunnen zijn dat je de continuïteit van de organisatie waarborgt. Voor een rechtmatige grondslag moet je marketingbelang afwegen tegen het privacybelang. Dit betekent dat wanneer er een belang van het bedrijf is om contact op te nemen met zijn klant om de commerciële relatie voort te zetten, er ook een evenredig belang voor de klant moet zijn om gecontacteerd te worden (denk aan voordelen voor de klant). En natuurlijk geldt dat de ontvanger zich te allen tijde kosteloos dient te kunnen afmelden.
Ilse is ervan overtuigd dat er met de nieuwsbrief sprake is van een gerechtvaardigd belang en dat deze gewoon verstuurd mag worden. Er worden belangrijke productontwikkelingen in bekend gemaakt en exclusieve aanbiedingen geboden aan de lezers.
Nu is het zaak om te kijken naar de data en het proces voor de e-mail. De data bestaat uit contactgegevens en personalisatiegegevens om de inhoud van de nieuwsbrief en selectie af te stemmen op het klantprofiel. Op basis van kenmerken van de prospect worden aanbiedingen voor bepaalde productgroepen niet opgenomen in de nieuwsbrief en anderen juist wel. Belangrijke updates over producten die de klant eerder heeft gekocht, worden altijd opgenomen.
De contactgegevens had Ilse getoetst, nu nog de data voor de segmentering en personalisering. Zijn deze data vastgelegd in het gegevensverwerkingsregister? De DPO (Data Protection Officer) geeft aan dat alle gebruikte persoonlijke data voor de nieuwsbrief opgenomen zijn in het verwerkingsregister.
So far so good, denkt Ilse! Echter, in haar zoektocht naar de AVG-wetgeving ziet ze ook vaak de term DPIA (Data Protection Impact Assessment) terugkomen. Dit is een manier om vooraf privacy risico’s van de gegevensverwerking in kaart te brengen. De resultaten zijn input voor maatregelen om risico’s te verlagen. Wat betekent dat nu voor de verzending van de nieuwsbrief? Bij Ilse gaat het om een gedifferentieerde nieuwsbrief met profilering en dan is een DPIA nodig. Gelukkig weet de DPO Ilse ook te vertellen dat deze reeds is uitgevoerd en vastgelegd in het verwerkingsregister. Dus aan de datakant lijkt ook alles in orde.
Om helemaal zeker te zijn van of een nieuwsbrief volledig aan de AVG-richtlijnen voldoet, doet Ilse bij haar DPO een laatste check op:
Ilse en haar collega’s zijn nu goed voorbereid op de AVG en er wordt voldaan aan de eisen.
Ilse is blij dat de meeste zaken al goed zijn in geregeld. Ze moet alleen nog even aan de slag met de opt-in procedure voor de aangekochte prospects. Ze heeft er alle vertrouwen in dat ook deze doelgroep snel op de juiste wijze meegenomen kan worden in de selectie.
Mocht jouw interesse gewekt zijn door dit artikel en je meer willen weten, lees dan alle informatie over de AVG op de website van de Autoriteit Persoonsgegevens. Of bekijk een voorbeeld van een (D)PIA op Privacychecker.nl. Ben je op zoek naar meer voorbeelden en richtlijnen, kijk dan vooral eens bij Werkgroep 29.
De AVG/GDPR is een nieuwe wetgeving en zoals vaak met juridische zaken is de nuance van groot belang. Wil je er zeker van zijn dat jouw model of verwerkingen voldoen aan de AVG richtlijnen en voorwaarden, stem dit dan af met de verantwoordelijke binnen jouw organisatie.
Lees ook ons artikel over hoe je ervoor kunt zorgen dat jij (met jouw modellen) kunt streven naar GDPR-proof zijn.
Wil je meer weten over dit onderwerp? Neem dan contact op met Anja Meerding via onderstaande contactgegevens.
2 november 2022
Een inleiding in Emotie Detectie Als je geïnteresseerd bent in NLP (natural language processing), dan ben... lees meer
2 november 2022
Regelmatig krijgen wij van opdrachtgevers de vraag wat het verschil of de verhouding is tussen Customer... lees meer
1 juni 2022
Stel je voor: boer Jochem die met een VR bril bekijkt hoe het met zijn koeien... lees meer