ePrivacy Verordening zorgt straks naast AVG voor nog meer regeldruk en kosten voor mkb

MKB Nederland, Nederland ICT, DDMA en de Mediafederatie vrezen dat de Europese ePrivacy Verordening straks negatief gaat uitpakken voor het mkb.

Kort na de invoering van de Algemene Verordening Gegevensbescherming (AVG) zorgt de ePrivacy verordening straks voor nog meer soortgelijke regeldruk en omzetverlies.

De ePrivacy verordening bevat regels voor het gebruik van e-mail, telemarketing, cookies en vormen van elektronische communicatie als Skype en WhatsApp.

De ePrivacy verordening moet net als de AVG de vertrouwelijkheid van digitale communicatie beter beschermen.

De ondernemersclubs stellen dat Nederland als een van de EU-lidstaten pleit voor een bepaling dat een gebruiker niet de toegang tot een website of dienst mag worden ontzegd als er geen toestemming wordt gegeven om persoonsgegevens te verwerken.

“Dit brengt niet alleen digitale verdienmodellen, innovatie en aanbod van gratis content verder in gevaar, maar schaadt ook het grondrecht van de vrijheid van ondernemerschap.”

Na AVG nog meer privacyregeldruk

“Het kabinet ziet over het hoofd dat de ePrivacy-verordening aan alle sectoren van de digitale economie raakt”, zeggen de ondernemersorganisaties. “Van digitale media tot zelfrijdende auto’s en van medische apparatuur tot smart industry, waar bijvoorbeeld logistieke- en productieprocessen worden geoptimaliseerd door data. In het beste geval leidt de verordening in al deze sectoren tot extra regeldruk.”

Net als bij de AVG mogen volgens het ePrivacy-voorstel straks persoonsdata alleen worden verwerkt met toestemming van de gebruiker.

De ePrivacyvoorstellen sluiten volgens deskundigen totaal niet aan op de alledaagse praktijk. Er zouden onwerkbare situaties kunnen ontstaan.

 

“Veel nieuwe technologieën maken gebruik van geaggregeerde data die niets meer te maken heeft met individuele bronnen. Denk aan kunstmatige intelligentie in de zorg of toepassingen voor crowd control. Hoe zorg je dat iedere gebruiker op dagelijkse basis een geïnformeerde en weloverwogen beslissing neemt over uitermate complexe materie?”

Mag je van de GDPR nog nieuwsbrieven versturen naar zakenrelaties waar je geen opt-in van hebt?

Mogen wij nog wel nieuwsbrieven versturen op basis van de mailadressen die we al jarenlang gebruiken? Wij hebben geen opt-in gegevens. Een dilemma waar veel bedrijven voor staan bij het inrichten van de organisatie voor de privacywet AVG / GDPR.

Moeten zulke organisaties hun hele mailinglijst vernietigen?

Zo’n drastische maatregel is soms, maar gelukkig niet altijd nodig.

Er zijn een aantal oplossingen. En soms heel eenvoudig.

Maar laten we eerst beginnen bij het begin.

Goed dat u zich verdiept in het zorgvuldig en rechtmatig inrichten van uw emailmarketing.

U weet waarschijnlijk al dat emailmarketing binnen de GDPR aan strenge regels gebonden is.

Niet zonder reden.

Veel mensen ergeren zich iedere dag aan de vele spam-mail die ze in hun mailbox aantreffen.

Daarbij veel nieuwsbrieven waar ze zich nooit op hebben geabonneerd.

Eenvoudig afmelden onvindbaar

Of nieuwsbrieven waar ze zich ooit impulsief wel op hebben geabonneerd, maar waar ze maar niet vanaf komen omdat er geen duidelijke en eenvoudige afmeldfunctie te vinden is.

Dan hebben we natuurlijk ook nog de reclamemail die je krijgt omdat je ooit in een winkel of op een beurs je mailadres hebt ingevuld voor een of andere vage winactie die je je al niet meer kunt herinneren.

En er zijn bedrijven die voor weinig geld een bestand met mailadressen hebben gekocht voor een reclamecampagne. Ze hebben geen idee hoe de verkopende partij aan de adressen is gekomen.

De nieuwe privacywet AVG / GDPR moet een einde maken aan schimmige emailmarketingpraktijken. Om dat te bewerkstelligen zijn er een paar duidelijke voorwaarden waaraan een emailmarketingcampagne voortaan moet voldoen.

Ondubbelzinnige toestemming

De belangrijkste is dat de persoonsgegevens die gebruikt worden voor emailmarketing op basis van de grondslag ‘ondubbelzinnige toestemming’ moet zijn verkregen. Dat betekent dat personen bewust toestemming moeten geven voor het gebruik van zijn/haar gegevens en dat ook duidelijk moet zijn waar deze toestemming voor is.

Deze toestemming moet gegeven worden aan de hand van actie die de ander moet doen en waarvan het effect dan ook volledig duidelijk is, zoals een schriftelijke verklaring of mondelinge verklaring.

Uit deze verklaring blijkt dat ‘de persoon specifiek, vrijelijk, geïnformeerd en ondubbelzinnig instemt met de verwerking van zijn persoonsgegevens’.

Organisaties moeten kunnen bewijzen dat ze toestemming hebben gevraagd (wanneer, hoe, waarvoor) en gekregen (wanneer, hoe).

De toestemming moet voldoen aan de volgende punten:

  • De e-mail opt-in moet een duidelijk en een bevestigende actie zijn. Het akkoord mag dus niet al vooraf aangevinkt zijn.
  • Het mag geen onderdeel zijn van de algemene voorwaarden.
  • Er moet sprake zijn van een actieve handeling. De persoon moet deze handeling altijd zelf doen om toestemming te geven op de verwerking van de persoonsgegevens. Dit kan een schriftelijke of een mondeling verklaring zijn. Niets aanvinken is dus geen toestemming.
  • De toestemming moet in vrijheid zijn gegeven, dus er mag geen verplichting achter zitten. Er mag geen combinatie worden gemaakt dat als iemand iets wil ontvangen, er een verplichting ontstaat om toestemming te geven.
  • Er moet sprake zijn van een specifieke verwerking en een specifiek doel. Dit houdt in dat het duidelijk moet zijn waarom de gegevens verwerkt worden, wat het doel hiervan is. Als je een telefoonnummer ter verificatie van een levering vraagt, mag dit telefoonnummer niet gebruikt worden voor marketing doeleinden, tenzij de klant hier expliciet toestemming voor heeft gegeven. Ook het verzamelen van specifieke persoonsgerelateerde data zonder direct doel, of om er in te toekomst nog iets mee te doen, is niet meer toegestaan.
  • De persoon die instemt, moet gericht worden geïnformeerd. Een moeilijke juridische tekst voorleggen aan bijvoorbeeld jongeren wil dus niet zeggen dat ze geïnformeerd zijn. Voor hen is het namelijk moeilijk om zo’n tekst te begrijpen.
  • Er moet sprake zijn van ondubbelzinnigheid. Hiermee wordt bedoeld dat de toestemming niet dubbelzinnig gegeven mag worden en dat het duidelijk is dat er geen twijfel ontstaat over de vraag of de toestemming bewust is gegeven. Deze toestemming moet ook op elk moment weer ingetrokken kunnen worden.

Bovenstaande eisen gelden vanaf 25 mei niet alleen voor nieuwe abonnees op uw nieuwsbrief, maar ook voor bestaande abonnees.

Stel dat u niet kunt aantonen hoe u aan de mailadressen bent gekomen?

Wat dan?

Allereerst contact opnemen met een gediplomeerde privacymanager of functionaris gegevensbescherming. Bijvoorbeeld met PrivacyZone. Bespreek uw situatie. Soms is er een maatoplossing nodig.

Ga niet zelf experimenteren met voorbeelden zoals in dit artikel zo gegeven worden. Voorkom dat u een belangrijk specifiek detail dat in uw geval van toepassing is over het hoofd ziet.

Welk emailmarketingsysteem gebruikt u bijvoorbeeld? Voldoet dat aan de eisen? Hebt u het systeem goed ingericht?

Een fout kan u duur komen te staan. Een hoge boete van de Autoriteit Gegevensbescherming, imagoschade. Neem geen risico.

Als u contact opneemt met een privacymanager of functionaris gegevensbescherming kunt u vragen om te assisteren bij het opzetten van twee eenvoudige oplossingen om met uw bestaande adressenbestand nieuwsbrieven te kunnen blijven sturen.

De eenvoudigste oplossing is de soft-optin. E-mailberichten aantoonbaar bestaande klanten met reclame voor eigen en/of soortgelijke producten en/of diensten mogen zonder opt-in worden verstuurd

Wat is soft opt-in?

Soft opt-in is geregeld in de Telecomwet en betreft een specifieke voorziening voor het gebruik van elektronische contactgegevens (zoals e-mailadressen) die zijn verkregen in het kader van een bestaande klantrelatie, ofwel bij de verkoop van een eigen product of dienst.

Voor het gebruik van deze elektronische contactgegevens geldt een opt-out regime voor zover het gaat om het overbrengen van communicatie over eigen en/of soortgelijke producten en/of diensten.

Kortom, e-mailberichten aan klanten met reclame voor eigen en/of soortgelijke producten en/of diensten kunnen zonder opt-in worden verstuurd, maar dienen wel altijd een opt-out te bevatten.

Aangezien deze regeling wordt gezien als een beperkte verzachting of versoepeling van de harde opt-in regel, wordt er gesproken van soft opt-in.

De nette manier

Veel mensen zullen zich na 25 mei afvragen hoe bedrijven aan hun mailadresgekomen zijn. Ze weten niet meer of ze zichzelf ooit hebben aangemeld. Door alle media-aandacht over de GDPR gaan mensen bedrijven op de proef stellen. Ze gaan vragen of u kunt aantonen hoe u aan hun adres bent gekomen of waarom u hen mail stuurt.

Als de soft opt-in methode op u van toepassing is hebt u wettelijk dan wel de boel op orde, maar door alle commotie en onduidelijkheid rond de GDPR hebt u toch de schijn tegen. U handelt dan nog steeds schimmig in de ogen van sommige klanten. Dat is jammer en onnodig.

Advies: plaats in iedere nieuwsbrief die u uitstuurt eenvoudig een kleine GDPR-melding mee. Leg in een paar zinnen uit waarom uw klant de nieuwsbrief ontvangt en hoe u op basis van de GDPR met persoonsgegevens van uw klanten omgaat. Vraag vervolgens om een herbevestiging van de aanmelding voor de nieuwsbrief. (“Bevestig je inschrijving op deze nieuwsbrief”) en link door naar een landingspagina waar je expliciet om een toestemming vraagt.

Deze nette methode heeft een nadeel. Er zullen zich onherroepelijk mensen afmelden voor de nieuwsbrief. Is dat erg? Het zou omzet kunnen schelen. Maar waarschijnlijk valt dat wel mee. Deze klanten melden zich niet voor niets af. Zijn het dan nog wel klanten?

Nog een laatste tip.

Zorg er voor dat u uw administratie voor de emailmarketing op orde heeft. Splits uw database met nieuwsbriefcontacten op in twee segmenten. Mail bovenstaande boodschap alleen naar de contacten waarvan u een re-opt-in nodig hebt.

P.S. 1: Is dit allemaal mogelijk met het nieuwsbriefsysteem dat u gebruikt? Schroom niet om professionele ondersteuning in te schakelen. Uw eigen uren kosten toch ook geld? En misschien bent u veel meer tijd kwijt dan een deskundige.

P.S. 2: Hebt u zich al aangemeld voor de nieuwsbrief van PrivacyZone? Stel ons gerust op de proef.