Direct mail en privacywetgeving: wat mag wel en wat niet?

Brief

Een direct mail stuur je uiteraard het liefst naar een zo groot mogelijk adressenbestand. Maar het gebruik van persoonsgegevens is aan scherpe regels gebonden, die geregeld veranderen. Een overzicht van wat wel en niet mag rondom marketing via de post.

Vorig jaar werd een nieuwe Europese privacywet aangenomen, de zogenaamde General Data Protection Regulation (GDPR). In Nederland wordt deze wet de Algemene Verordening Gegevensbescherming (AVG) genoemd en vervangt de huidige Wet bescherming persoonsgegevens. Deze wet trad officieel per 25 mei 2018 in werking.

De nieuwe wet heeft 2 doelen. Ten eerste het standaardiseren van persoonsgegevens in alle Europese lidstaten. Daarnaast zorgt de wet ervoor dat burgers en hun gegevens beter worden beschermd tegen ongevraagde reclameboodschappen en spamberichten.

De nieuwe wet houdt ook in dat:

  • Personen aan bedrijven kunnen verzoeken hun persoonlijke data te verwijderen (het zogenaamde recht om vergeten te worden);
  • Mensen meer inzicht moeten krijgen in hoe hun persoonsgegevens worden gebruikt;
  • De uitwisseling van data tussen politie en veiligheidsdiensten makkelijker wordt;
  • Afspraken tussen bedrijven en toezichthouders in één land gelden voor de hele Europese Unie. 

Welke regels gelden er al rondom het versturen van direct mail?

Post is een opt-out kanaal. Dat wil zeggen dat je consumenten ongevraagd via de post mag benaderen, tenzij de consument aangeeft geen post te willen ontvangen. Dit zegt de wetgeving over het versturen van geadresseerde- en ongeadresseerde post:

  • De ontvanger moet weten dat jij zijn adresgegevens gebruikt;
  • Je moet de mogelijkheid bieden om af te melden voor post (Recht van Verzet);
  • De consument meldt zich bij Postfilter voor alle geadresseerde post af;
  • Jij als verzender bent zelf verantwoordelijk om het adresbestand bij te werken;
  • Jouw klanten mag je, ondanks Postfilter registratie, altijd geadresseerde post sturen. 

Welke gevolgen heeft de AVG voor direct mail?

De wetgever maakt onderscheid tussen gewone direct marketing (bellen of post sturen) en digitale direct marketing (via e-mail, social media of sms). De redenering is dat gewone direct marketing een organisatie geld kost en dus altijd beperkt zal blijven. Digitale marketing is nagenoeg gratis en kan daardoor heel veel toegepast worden. Om deze reden heb je bij gewone direct marketing vooraf geen toestemming nodig van degene die je benadert, bij digitale direct marketing heb je wel vooraf toestemming nodig.

Als je dus aan direct mail doet, dan lijkt de AVG redelijk soepel. Maar je hebt nog altijd een aantal verplichtingen. Bij het eerste direct marketing-contact moet je altijd duidelijk uitleggen:

  • Waarom er contact opgenomen is;
  • Met welke organisaties de vereniging de persoonsgegevens zal delen;
  • Wat de rechten zijn om bezwaar te maken tegen deze direct marketing.

Mag je zomaar iemand toevoegen aan je adressenlijst voor direct mail?

Ja. Zolang je de geadresseerde de optie geeft om zich af te melden van jouw adressenlijst. De nieuwe wetgeving schrijft voor dat ‘de betrokkene heeft te allen tijde het recht om bezwaar te maken tegen de verwerking van zijn gegevens voor direct-marketingdoeleinden. Als de betrokkene een dergelijk bezwaar indient, dan mogen zijn of haar gegevens niet meer voor marketingdoeleinden worden verwerkt.’

Mag je de persoonsgegevens van iemand die toestemming heeft gegeven onbegrensd gebruiken?

Ook dat kan niet zonder meer. Het moet bij het geven van toestemming voor de ontvanger duidelijk zijn waarvoor precies zijn gegevens worden gebruikt. Dat betekent ook dat hij weet wat en hoe vaak iets toegestuurd gaat worden. Ook moet een ontvanger voor het verstrekken van zijn gegevens aan derden expliciet toestemming geven. Ten slotte moet hij zich te allen tijde ook weer kunnen afmelden, en het moet duidelijk zijn waar en hoe dat kan.

Zijn er nog andere zaken waar je aan moet houden?

Wat lang niet iedereen weet is dat je als bedrijf verantwoordelijk bent voor de persoonsgegevens die je in bezit hebt. Datalekken en hacks van je systeem ben je verplicht te melden bij de Autoriteit Persoonsgegevens. De ACM onderzoekt hacks, alsook aangiften, geeft waarschuwingen en soms hoge boetes. In de nieuwe Europese wet is opgenomen dat de toezichthouder bedrijven een boete van maximaal vier procent van de wereldwijde omzet mag opleggen als zij in overtreding zijn.

 

Schrijf je in voor onze nieuwsbrief en mis geen enkel artikel van Sprout over direct mail.

Schrijft voor Sprout over startups, investeringsgeld en snelle groeiers.

Elke ochtend...

X
het belangrijkste ondernemernieuws in jouw mailbox? Gegarandeerd Sprout-stijl!