GDPR en e-mailmarketing: mag ik nog nieuwsbrieven sturen?

E-mailmarketing is een bijzonder effectieve communicatiemethode om potentiële leads warm te maken voor je producten en diensten, of om bestaande klanten te heractiveren. In je website heb je mogelijk whitepapers aangeboden die gratis verkrijgbaar zijn in ruil voor het e-mailadres van de bezoeker. Misschien heb je in de loop van de jaren ook handmatig contacten toegevoegd aan de adreslijsten voor je nieuwsbrief en kan je niet meer exact thuisbrengen van waar ze precies komen. Mag je deze lijsten nog wel gebruiken of loop je het risico om beboet te worden onder de nieuwe Europese privacyregelgeving GDPR? Ik leg je graag uit wat de nieuwe wetgeving betekent voor je e-mailmarketing campagnes.

Heb je een specifieke vraag? Klik gerust door op de inhoudstabel:

  1. Wat is de Europese GDPR-wetgeving?
  2. Wat zegt de GDPR over nieuwsbrieven en e-mailmarketingcampagnes?
  3. Heb ik toestemming nodig om betrokkenen te mogen mailen?
  4. Moet ik de betrokkenen informeren over hun rechten?
  5. Wat moet ik doen met mijn bestaande e-maillijst?
  6. Welke invloed heeft de GDPR op mailings naar mijn klanten?
  7. Wat doe ik volgens de GDPR met naamkaartjes die ik ontvang op netwerkevenementen?
  8. Welke gegevens moet ik van een opt-in bewaren in mijn e-maildatabase?
  9. Wat zegt de GDPR over e-mailverkeer m.b.t. offertes, transacties of facturen?
  10. E-mailmarketing voor mijn kmo: ja of nee?

Wat is de Europese GDPR-wetgeving?

GDPR staat voor General Data Protection Regulation, oftewel Algemene Verordening Gegevensbescherming (AVG). Het betreft een Europese verordening die automatisch ook geldt als wet in alle Europese lidstaten en de bescherming. Ze staat in voor de bescherming van de privacy en persoonsgegevens van Europese betrokkenen. In dit artikel bespreken we het effect van de GDPR op e-mailmarketing. Maar de verordening sijpelt door tot in alle afdelingen van je kmo. Wil je meer weten over het effect van de GDPR op je organisatie? Je leest het in mijn eerdere blog. Ben je op zoek naar informatie over hoe je je bedrijfswebsite GDPR-proof kan maken? Ook daar schreef ik eerder deze blog over.

Wat zegt de GDPR over nieuwsbrieven en e-mailmarketing?

  • Je mag pas persoonsgegevens verwerken als je daar een geldige rechtsgrond voor hebt.
  • Deze rechtsgrond kan toestemming zijn, maar in geval van e-mailmarketing ook gerechtvaardigd belang.
  • Je bent verplicht om contacten transparant te informeren over de verwerkingsactiviteiten van hun persoonsgegevens.
  • E-mail opt-ins moeten steeds een duidelijke en bevestigende actie zijn die van de gebruiker zelf uit gaat. Opt-in checkboxen mogen nooit automatisch aangevinkt staan!
  • Gegeven toestemmingen moeten aantoonbaar zijn via bijvoorbeeld een beveiligde online databank.
  • Betrokkenen kunnen altijd weigeren om hun persoonsgegevens te laten gebruiken voor Direct Marketingdoeleinden.
  • Je moet contacten duidelijk laten weten hoe ze zich kunnen uitschrijven voor je nieuwsbrief. De GDPR geeft Europese burgers het recht om vergeten te worden alsook het recht om een gegeven toestemming terug in te trekken.
  • Wens je de verkregen persoonsgegevens te verwerken voor verschillende doeleinden? Dan moet je voor ieder doel een aparte opt-in of andere rechtsgrond voorzien. Dit is bijvoorbeeld zo wanneer je na het inschrijven op je nieuwsbrief de persoonsgegevens ook nog eens gaat delen met een derde partij voor marketingdoeleinden.

Klinkt overweldigend? Ik doe de belangrijkste GDPR-vereisten voor je e-mailmarketingcampagnes hieronder voor je uit de doeken én ik beantwoord een aantal vragen waar veel ondernemers mee zitten. Rustig adem halen en verder lezen dus 🙂

Heb ik toestemming nodig om betrokkenen te mogen mailen?

Het antwoord is eenvoudig : om commerciële e-mails en nieuwsbrieven te mogen versturen, heb je de actieve toestemming nodig van de ontvanger. Dit wordt een opt-in genoemd. Met actieve toestemming bedoel ik dat de ontvanger door middel van een eigen actie zijn of haar goedkeuring moet geven (bijvoorbeeld het aanklikken van een aankruisvakje). De toestemming moet bovendien voorafgaand, specifiek en vrij zijn. Dit betekent dat weigering mogelijk moet blijven en geen nadelige gevolgen mag hebben. Bvendien mag het ook niet zo zijn dat een toestemming automatisch wordt geplaatst. Het blijft steeds de keuze van de surfer of hij/zij toestemming wil geven, en wanneer hij/zij deze terug wil intrekken.

Moet ik de betrokkenen informeren over hun rechten?

Ja! Belangrijk is dat je de betrokkenen duidelijk informeert over het doel van de verwerking van hun gegevens. Dit valt onder de transparantieplicht die de GDPR aan organisaties oplegt. Je informeert -bijvoorbeeld via een privacybeleid dat je opneemt aan het aankruisvakje- welke e-mails hij of zij mag verwachten en op welke rechten de betrokkene zich kan beroepen. Belangrijk om te weten is dat je voor ieder apart verwerkingsdoeleinde een aparte toestemming nodig hebt.

Wat moet ik doen met mijn bestaande e-maillijst?

Je hebt op dit moment waarschijnlijk al verschillende lijsten aan abonnees verzameld die geregeld een nieuwsbrief van je in hun mailbox ontvangen. Hoewel je deze contacten al eerder verzameld hebt, zullen ook deze aan de GDPR moeten voldoen. Helaas is het vaak moeilijk te achterhalen of de huidige abonnees in je e-maillijst in het verleden wel een actieve toestemming hebben verleend. Je raadt het misschien al… maar in dat geval zit er niets anders op dan de contacten om een nieuwe toestemming te verzoeken. Zonder deze opt-in mag je hen namelijk geen e-mails meer versturen. Je hebt bovendien ook werkelijk een bewijsplicht onder de GDPR. Kan je niet bewijzen dat er toestemming is gegeven? Dan heb je er geen!

TIP: Om je bestaande e-maillijst te behouden, kan je tot 25 mei een aparte mailing uitsturen naar deze subscribers met de vraag of ze nog geabonneerd willen blijven op jouw nieuwsbrief. Voorzie een knop waar ze op “Ja” of “Nee” kunnen klikken. Je kan deze klikken registreren en de nodige acties uitvoeren; klikken ze “Ja”, dan blijven ze je nieuwsbrief ontvangen. Klikken ze “Nee”, dan schrijf je ze uit. Krijg je geen antwoord? Dan moet je deze subscribers helaas ook uitschrijven. Het volstaat immers niet om een e-mail te sturen met de ‘mededeling’ dat je hem of haar op de e-maillijst zal laten staan.

Welke invloed heeft de GDPR op mailings naar mijn klanten?

Voor klanten die een actieve contractuele relatie genieten met je bedrijf bestaat er gelukkig een alternatieve oplossing: het gerechtvaardigd belang. Het is immers goed mogelijk dat zij baat hebben bij het ontvangen van de mails die jouw kmo uitstuurt omdat die hen helpen om meer uit hun aangekochte product of dienst te halen, of omdat het waardevol kan zijn om jouw soortgelijke aanbod te bekijken. Wanneer we als rechtsgrond het ‘gerechtvaardigd belang’ verdedigen, wegen we de belangen van de betrokkene af tegenover het commerciële belang van jouw bedrijf. Actieve klanten mogen dan rustig in je e-maillijst blijven zitten, zolang zij transparant en duidelijk geïnformeerd worden over hun rechten, én je verzonden e-mails tot een gelijkaardig aanbod behoren als datgene waar ze klant voor zijn. Maak het wel mogelijk om op een eenvoudige manier uit te schrijven van de mailing (opt-out). Voor wie er graag de officiële wettekst op naleest, dit staat er in vermeld:

De gerechtvaardigde belangen van een verwerkingsverantwoordelijke, waaronder die van een verwerkingsverantwoordelijke aan wie de persoonsgegevens kunnen worden verstrekt, of van een derde, kan een rechtsgrond bieden voor verwerking, mits de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen, rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke. Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. In elk geval is een zorgvuldige beoordeling geboden om te bepalen of sprake is van een gerechtvaardigd belang, alsook om te bepalen of een betrokkene op het tijdstip en in het kader van de verzameling van de persoonsgegevens redelijkerwijs mag verwachten dat verwerking met dat doel kan plaatsvinden. De belangen en de grondrechten van de betrokkene kunnen met name zwaarder wegen dan het belang van de verwerkingsverantwoordelijke wanneer persoonsgegevens worden verwerkt in omstandigheden waarin de betrokkenen redelijkerwijs geen verdere verwerking verwachten. Aangezien het aan de wetgever staat om de rechtsgrond voor persoonsgegevensverwerking door overheidsinstanties te creëren, mag die rechtsgrond niet van toepassing zijn op de verwerking door overheidsinstanties in het kader van de uitvoering van hun taken. De verwerking van persoonsgegevens die strikt noodzakelijk is voor fraudevoorkoming is ook een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.

Deze visie is eigenlijk niet nieuw. In 2013 publiceerde de Belgische gegevensbeschermingsautoriteit (toen nog de Commissie voor de bescherming van de persoonlijke levenssfeer) aanbeveling 02/2013 van 30 januari 2013 m.b.t. direct marketing en bescherming van persoonsgegevens (CO-AR-2012-007). We kunnen stellen dat deze visie doorgetrokken wordt in de GDPR. Het desbetreffende artikel nummer 48 quoteren we als volgt:

De Commissie aanvaardt dat artikel 5, f) WVP in beginsel een grondslag kan bieden voor customer relationship management ten aanzien van eigen klanten/prospecten. Het kan hier gaan om

  • een tevredenheidsonderzoek uit te voeren bij eigen klanten specifiek over producten en diensten die zij afnemen;
  • een uitnodiging aan eigen (voormalige) klanten te sturen om hun contract te verlengen of te hernieuwen, zogenaamde retentiemarketing;
  • eigen klanten op de hoogte te brengen van nieuwe promoties op producten en/of diensten die zij in het verleden hebben afgenomen;
  • prospecten op de hoogte te brengen van nieuwe promoties op producten en/of diensten indien zij hieromtrent in het recente verleden reeds contact hadden met de onderneming;
  • de aanleg en het gebruik van persoonsprofielen voor het eigen klantenbeheer door de verantwoordelijke die een directe contractuele relatie heeft met de betrokkene.”

Ons advies? Werk met verschillende mailinglists, groepen of segmenten zodat jouw nieuwsbriefcontacten overzichtelijk ingedeeld worden.

Wat doe ik met naamkaartjes die ik krijg op een netwerkevent?

Je kent het wel; je gaat naar een netwerkevent waar je kennis maakt met andere interessante ondernemers of contacten. Er wordt gepraat, gelachen én er worden visitekaartjes uitgewisseld. Allemaal goed en wel maar hou er rekening mee dat je deze personen volgens de GDPR niet zomaar mag toevoegen aan je e-maillijst. Actieve toestemming is hier dus -helaas ;-)- opnieuw vereist.

TIP: Contacteer jouw nieuwe contacten naar aanleiding van jullie kennismaking op het netwerkevent en leg hen uit wat jouw kmo voor hen kan betekenen. Verzoek hen ook om zich in te schrijven voor de nieuwsbrief van jouw onderneming omdat je van mening bent dat hij of zij er een interessant voordeel uit kan halen, of vraag hun bevestiging via een mailtje terug.

Welke gegevens moet ik van een opt-in bewaren in mijn e-maildatabase?

Stel, je krijgt controleurs over de vloer en je moet kunnen bewijzen dat je verantwoordelijk en GDPR-compliant omgaat met de opt-ingegevens van je contacten. Dan is het wel handig als je deze informatie al netjes op orde hebt. Een database opstellen waarin de herkomst van de gegevens duidelijk staat aangegeven is dus zeker geen overbodige luxe. Zo sta je altijd sterk in je schoenen en voorkom je monsterboetes die kunnen oplopen tot 4 procent van de jaarlijkse wereldwijde omzet of 20 miljoen euro.

TIP:  je opt-in database bevat best de volgende informatie:

  • De persoonsgegevens van je contactpersoon die je verwerkt in het kader van e-mailings (e-mailadres en eventueel voornaam/naam)
  • De status van de opt-in (aangemeld/afgemeld)
  • De herkomst van de opt-in (bv. webformulier op contactpagina van de website)
  • Wanneer de opt-in werd verkregen (datum)

Wat zegt de GDPR over e-mailverkeer m.b.t. offertes, transacties of facturen?

Een potentiële klant contacteert je om gebruik te maken van jouw diensten of een nieuwe bezoeker vraagt een offerte aan op je website. Wat doe je in zo’n situatie? Gewoon communiceren met je (potentiële) klant uiteraard! De opt-in regels zijn enkel van toepassing op commerciële e-mails. Correspondentie via mail over offertes, facturen of bestelbevestigingen zijn transactionele e-mails. Deze mag je gewoon verzenden.

Positief bekijken!

Eigenlijk biedt de regelgeving ook wel een mooie kans. Een e-maillijst die volledig beantwoordt aan de standaarden van de GDPR zal ongetwijfeld een zeer waardevolle lijst zijn met een lagere bounce rate en meer kans op conversies door relevante ontvangers 😉

Een tweede lichtpuntje is het feit dat de GDPR enkel betrekking heeft tot persoonsgegevens van Europese burgers. Onpersoonlijke e-mailadressen zoals info@ of contact@ vallen hier niet onder omdat ze niet leiden tot de mogelijke identificatie van een natuurlijke persoon. Oef, die mogen er dus zeker in blijven zitten!

E-mailmarketing voor mijn kmo: ja of nee?

Nu komen we aan bij de vraag waar velen mee zitten: kan ik maar beter stoppen met e-mailmarketing door deze verstrengde privacyregelgeving? Het antwoord is: nee, natuurlijk niet!

E-mailmarketing kan immers een bijzonder effectieve methode zijn om (potentiële) klanten te bereiken, een duurzame relatie met hen op te bouwen en zo meer conversies te bekomen.

Belangrijk is wel dat je de privacywetgeving correct toepast. Daarom adviseren we om je e-mailmarketingkanalen zeker niet te vergeten tijdens de privacy check-up of audit in je kmo. Als je hier vragen over hebt, mag je ons trouwens gerust contacteren. In het Datalink-team staan privacy experts én een gecertificeerde DPO (Data Protection Officer) voor je klaar met GDPR workshops en GDPR trajecten op maat van jouw kmo.

Laat je assisteren door Team Datalink

Interessant artikel? Deel deze pagina met je netwerk!