E-mail- en privacywetgeving: wat mag wel en wat niet?

Mede mogelijk gemaakt door

E-mail, marketing, mobiel

Een mailing stuur je uiteraard het liefst naar een zo groot mogelijk adressenbestand. Maar het gebruik van persoonsgegevens is aan scherpe regels gebonden, die geregeld veranderen. Hieronder de laatste stand van zaken.

Vorig jaar werd een nieuwe Europese privacywet aangenomen, de zogenaamde General Data Protection Regulation. In Nederland wordt deze wet de Algemene Verordening Gegevensbescherming (AVG) genoemd en vervangt de huidige Wet bescherming persoonsgegevens.

De nieuwe wet heeft 2 doelen. Ten eerste het standaardiseren van persoonsgegevens in alle Europese lidstaten. Daarnaast zorgt de wet ervoor dat burgers en hun gegevens beter worden beschermd tegen ongevraagde reclameboodschappen en spamberichten.

De nieuwe wet houdt ook in dat:
- personen aan bedrijven kunnen verzoeken hun persoonlijke data te verwijderen (het zogenaamde recht om vergeten te worden);
- mensen meer inzicht moeten krijgen in hoe hun persoonsgegevens worden gebruikt;
- de uitwisseling van data tussen politie en veiligheidsdiensten makkelijker wordt;
- afspraken tussen bedrijven en toezichthouders in één land gelden voor de hele Europese Unie. 

Mag je zomaar iemand toevoegen aan je mailinglist?

Nee, dat is zelfs strafbaar. Je riskeert er een boete mee die hoog kan oplopen. Je mag alleen een commerciële boodschap versturen aan bedrijven en particulieren als zij daar expliciet ofwel actief toestemming voor hebben gegeven.

Je LinkedIn-bestand kun je bijvoorbeeld niet zomaar gebruiken. Een standaardvinkje aanzetten in een formulier voor het inschrijven op je nieuwsbrief, of de toestemming opnemen in je algemene voorwaarden, geldt niet als expliciete toestemming en is dus onvoldoende.

Is er inmiddels een factuurrelatie, dan is het mailen van deze bestaande klant wel toegestaan, mits het gaat om e-mails met commerciële boodschappen over vergelijkbare diensten en producten. Is er toestemming of een relevante factuurrelatie dan spreek je van een opt-in.

Maar let op: per type nieuwsbrief of ander soort mailing moet er een opt-in zijn, je mag niet op één specifieke opt-in meerdere mailings versturen. Actief nieuwe mailadressen werven is dus een aanrader, bijvoorbeeld op je website, bij een verkoopmoment, op beurzen en op sociale media.

Lees ook:
Meldplicht datalekken: Zo voorkom je een boete van 8 ton
Hoe groot is je kans op een torenhoge privacyboete?

Mag je de persoonsgegevens van iemand die toestemming heeft gegeven onbegrensd gebruiken?

Ook dat kan niet zonder meer. Het moet bij het geven van toestemming voor de ontvanger duidelijk zijn waarvoor precies zijn gegevens worden gebruikt. Dat betekent ook dat hij weet wat en hoe vaak iets toegestuurd gaat worden. Ook moet een ontvanger voor het verstrekken van zijn gegevens aan derden expliciet toestemming geven. Ten slotte moet hij zich te allen tijde ook weer kunnen afmelden, en het moet duidelijk zijn waar en hoe dat kan.

Aangeraden wordt om dit mogelijk te maken via een afmeldlink waarin de persoon zich voor een of meerdere campagnes kan afmelden (een zogenaamde opt-out). Alleen bij niet-commerciële boodschappen zoals service e-mails, dienstmededelingen en interne e-mails geldt dit niet. Ook belangrijk: voor de ontvanger moet het duidelijk zijn wie de afzender van de e-mail is en hij moet op de e-mail kunnen reageren. Een no-reply adres mag niet.

Wordt die wet ook gecontroleerd?

Jazeker. Onafhankelijke toezichthouder Autoriteit Consument & Markt (ACM) houdt actief toezicht op wetten en regels op het gebied van telecommunicatie en daar valt ook commerciële e-mail onder. Om dat goed te kunnen doen, is ook in de nieuwe wet opgenomen dat binnen een organisatie een persoon moet worden aangesteld voor vragen over privacy. Verder moet je kunnen aantonen hoe een opt-in is vergaard. Bedrijven en particulieren kunnen bij ACM aangifte doen als ze ongewenste of ongevraagde e-mails ontvangen.

Wat lang niet iedereen weet is dat je als bedrijf verantwoordelijk bent voor de persoonsgegevens die je in bezit hebt. Datalekken en hacks van je systeem ben je verplicht te melden bij de Autoriteit Persoonsgegevens. De ACM onderzoekt hacks, alsook aangiften, geeft waarschuwingen en soms hoge boetes. In de nieuwe Europese wet is opgenomen dat de toezichthouder bedrijven een boete van maximaal 4 procent van de wereldwijde omzet mag opleggen als zij in overtreding zijn.

Denk je nu ‘Help! Dit gaat ons waarschijnlijk bakken met geld kosten!’? Geen paniek. De wet treedt officieel per 25 mei 2018 in werking. De Autoriteit Persoonsgegevens biedt een 10-stappenplan om je voor te bereiden op de nieuwe privacywet.

Bookazine Hack

 

 

 

Versnel je business
met data en
bestel HACK,
het bookazine van Sprout!

Deirdre Enthoven is freelance journalist, schrijver en storyteller bij WWYS – We Write Your Story.