Hoe laat u uw adressenlijst voldoen aan GDPR?

Op 25 mei 2018 gaat de GDPR - de General Data Protection Regulation - van kracht, een wet die de persoonsgegevens en de privacy van Europese burgers nog meer wil beschermen. En dat heeft een aantal gevolgen voor de manier waarop je aan e-mail marketing doet en e-mailadressen verzamelt. Om het risico op een boete te vermijden, zorg je er dan ook best voor dat je adressenlijst voldoet aan de regeltjes van de GDPR-wetgeving.

GDPR en persoonsgegevens

De GDPR-wet is van toepassing op iedereen die persoonsgegevens van Europese burgers verzamelt. Onder persoonsgegevens wordt alle informatie verstaan die je hebt over een identificeerbare natuurlijke persoon.

Wanneer je aan e-mailmarketing doet, dan verzamel je vaak heel wat verschillende data zoals e-mailadressen, namen, geboortedata, IP-adressen, klantnummers enzovoort. Die data vallen duidelijk onder de noemer van persoonsgegevens, waardoor je er dus voor moet zorgen dat je adressenlijst aan de GDPR-wetgeving voldoet.

Opt-in

Wil die GDPR nu zeggen dat ik geen e-mailadressen meer mag verzamelen en geen commerciële mails meer mag sturen? Helemaal niet. Je mag nog steeds aan e-mailmarketing doen, maar wel op één voorwaarde: mensen toestemming vragen om hen te mailen. Dat is de zogenaamde ‘opt-in’, wat wil zeggen dat je enkel personen mag mailen die expliciet hebben toegestemd. Het voordeel hiervan is dat je zo ook een waardevollere lijst krijgt met mensen die echt jouw mails willen ontvangen. 
Maar hoe moet die opt-in eruit zien? We bespreken de voorwaarden:

Toestemming

• Om toestemming te geven, moet de gebruiker een duidelijke, vrijwillige en bevestigende actie ondernemen. Denk hierbij aan iets aanvinken zoals “ja, ik wil e-mails ontvangen”.

• Vooraf aangevinkte checkboxen worden niet als toestemming gezien, omdat de gebruiker hier geen actie onderneemt.
• De opt-in mag geen onderdeel zijn van de algemene voorwaarden.
• De opt-in mag geen voorwaarde zijn om verder te gaan met iets.
• Als je bepaalde data op een verschillende manier gaat verwerken, bijvoorbeeld door ze naar een derde partij door te sturen, dan heb je een gescheiden opt-in nodig.

Weergave van de opt-in

• De e-mail opt-in moet duidelijk zichtbaar zijn.
• Bij de opt-in moet ook telkens duidelijk uitgelegd worden waarvoor de gegevens gebruikt gaan worden en hoelang ze bewaard worden. Dat kan je bijvoorbeeld doen door naar het privacy statement op je website te linken.

Rechten van de gebruiker

• De ontvanger heeft het recht om te weten waarvoor de data gebruikt gaan worden.
• Elke mail moet de ontvanger de mogelijkheid bieden om zich uit te schrijven, de zogenaamde ‘opt-out’. Dat doe je door een eenvoudige uitschrijflink in je e-mail op te nemen die je contacten duidelijk maakt hoe ze zich kunnen afmelden voor je mails.

• Het moet duidelijk zijn van wie de mail afkomstig is en op welke manier de ontvanger kan reageren. Je gebruikt dus best geen no-reply e-mailadres.

Wat met bestaande e-mailadressen?

Wanneer je al een bestaande adressenlijst hebt, dan moet je in principe kunnen aantonen dat je ontvangers toestemming hebben gegegeven via een opt-in.

Kan je dat niet? Dan zou je die gebruikers opnieuw om toestemming moeten vragen ofwel zou je ze uit je lijst moeten verwijderen. Zonder expliciete toestemming mag je hen in principe geen commerciële mails meer sturen.

Het is dus erg belangrijk dat je in je administratie bijhoudt dat gebruikers toestemming hebben gegeven, zodat je dit kan aantonen als het nodig is. Houd in je database dus duidelijke de e-mail opt-in bij, waarbij er duidelijk vermeld wordt waar, wanneer en hoe de toestemming werd verkregen en eventueel ook welk type toestemming (bijvoorbeeld enkel voor de nieuwsbrief, blog updates enzovoort).

Hierbij is het wel nuttig om te weten dat de regeltjes in verband met de opt-in hoofdzakelijk dienen voor commerciële mails. Wanneer je je klanten bijvoorbeeld mailt naar aanleiding van een aankoop - om hen zo een orderbevestiging of factuur te bezorgen - heb je hier geen expliciete toestemming voor nodig.