Wat moet jij als ondernemer met de nieuwe GDPR (AVG)

Op 25 mei 2018 treedt de General Data Protection Regulation (GDPR, of in het Nederlands de AVG) in werking. Deze wet heeft invloed op elk bedrijf dat persoonlijke data gebruikt van Europese burgers. Als je binnen de Europese Unie e-mailadressen verzamelt en e-mails verzendt, dan moet je vanaf volgend jaar voldoen aan de GDPR-wet. In dit artikel lees je wat dit voor jou als ondernemer gaat betekenen.

Toestemming gevraagd om te mailen? Dit zijn de nieuwe eisen aan opt-in:

  • De opt-in moet een duidelijke en bevestigende actie zijn
  • De opt-in moet gescheiden zijn van andere algemene voorwaarden en het mag geen voorwaarde zijn
  • Het is verboden om de opt-in checkbox automatisch aan te vinken
  • Je hebt gescheiden opt-in’s nodig als je de data op verschillende manieren verwerkt. Bijvoorbeeld als er na het inschrijven voor een nieuwsbrief de data wordt doorgestuurd naar een derde partij
  • In je database moet je de opt-in duidelijk bijhouden om de gegeven toestemming te kunnen aantonen als dit nodig is
  • De burger heeft het recht om de opt-in te kunnen intrekken. Je moet je contacten duidelijk laten weten hoe ze zich kunnen uitschrijven

Mag je bestaande klanten en relaties nog mailen zonder nieuwe toestemming?

Dat mag, onder bepaalde voorwaarden. De GDPR vervangt de Wet Bescherming Persoonsgegevens. Het ongevraagd mailen van bestaande klanten en relaties is geregeld in de Telecom wet. Je moet wel goed aan kunnen tonen dat je een relatie hebt met de ontvanger, en de informatie die je stuurt moet in het kader van deze relatie passen. Je moet ook altijd een duidelijke link meesturen waarmee jouw klant of relatie zich kan uitschrijven voor de mails. Let op dat je vanaf nu wel iedere nieuwe klant of relatie wel expliciet om toestemming vraagt.

Aan wie moet je opnieuw om toestemming vragen?

Iedereen die jij ooit op de mailinglist hebt gezet zonder dat je een aantoonbare relatie hebt, en zonder dat je daarvoor expliciete toestemming hebt gekregen, moet je opnieuw om toestemming vragen om een commerciële mailing te sturen. Denk aan aangekochte bestanden, bestanden van partners, adressen die je online hebt gevonden, LinkedIn relaties, losse visitekaartjes, etc. Van deze mensen kun je niet aantonen waarvoor men toestemming heeft gegeven, en het wordt ook niet duidelijk uit de aard van de relatie die je met ze hebt. Stuur deze mensen opnieuw een mail, en vraag ze daarin expliciet of je ze mag blijven informeren, en met welke informatie je dat gaat doen. Iedereen die zich hierop inschrijft neem je op in een nieuwe lijst. Die is dan meteen GDPR Proof.

Heb ik een nieuwe privacy policy nodig?

Ja. Iedere website die persoonsgegevens vraagt en opslaat moet een privacy policy opnemen. En ook al heb je een bestaande privacy policy, deze zul je aan moeten passen aan de nieuwe regels. Hier als voorbeeld de nieuwe privacy policy van de Blockchain Realisten.

Business to business ondernemer blockchain realisten email marketing gdpr avr privacy policy

Heb ik nieuwe software nodig voor het beheer van mijn mailinglijst?

Dat hangt er vanaf. Als je nu je klantgegevens op meerdere plaatsen opslaat, denk aan de website, je mailsoftware, een CRM, losse excelbestanden, dan wordt het moeilijk om aan de regels te voldoen. Het is dan slim om alles in één pakket te stroomlijnen, en ervoor te zorgen dat jouw relaties zichzelf met één klik uit kunnen schrijven, zonder dat jij er dan nog veel werk van hebt. Als je nu al een e-mailmarketing pakket gebruikt, of een CRM met e-mail functionaliteit, dan heb je waarschijnlijk al de juiste software in huis om met een paar aanpassingen GDPR Proof te zijn.

Mag ik informatie uit mailbestanden delen met derden?

Nee, je mag de persoonsgegevens van jouw relaties niet zo maar delen met andere partijen. Dat mag alleen als je dit heel goed regelt met een ‘verwerkersovereenkomst’. Jij blijft dan juridisch gezien verantwoordelijk, en legt vast op welke manier een andere partij jouw gegevens mag verwerken. Op vraaghugo.nl kun je zelf in een paar kliks een verwerkersovereenkomst opstellen. Alternatief is dat je degene die zich inschrijft expliciet toestemming vraagt om zijn of haar gegevens te delen met een andere partij.

Tip: neem in toekomstige mails ALTIJD een uitschrijflink op

Welke informatie je ook stuurt: neem altijd een uitschrijflink op, waarmee jouw relatie zich met één klik zelf kan uitschrijven. Hieronder een voorbeeld:

br-footer-gdpr-mail

Meer informatie

Wil je meer weten over de GDPR, of verder kijken welke stappen jij moet nemen? Neem dan contact op. Hieronder nog een aantal handige links naar meer informatie:

https://www.frankwatching.com/archive/2017/07/13/e-mailmarketing-zo-stoom-je-jouw-opt-in-klaar-voor-de-gdpr-wet/

https://www.frankwatching.com/archive/2018/02/01/avg-e-mailmarketing-de-10-meest-gestelde-vragen/

https://www.vraaghugo.nl/gdpr-digitaal