AVG boetes, Privacy Nieuws
De Britse Autoriteit Persoonsgegevens (Information Commissioner’s Office – ICO) pakt de telemarketingbranche aan. ICO heeft een AVG boete van bijna 250.000 Euro opgelegd aan twee telemarketingbedrijven die regels voor elektronische marketing, privacy en elektronische communicatie hebben overtreden.
De Britse toezichthouder zegt al geruime tijd te worden overstroomd met klachten over irritante telefoontjes en spam van telemarketingbedrijven. ICO is daarom in augustus begonnen met gericht onderzoek naar overtredingen in de telemarketingbranche.
Ruim honderd Britse telemarketingbedrijven hebben naar aanleiding van deze onderzoeken waarschuwingen ontvangen. En twee bedrijven hebben nu forse boetes opgelegd gekregen.
ACT Response Ltd uit Middlesborough en Secure Home Systems in de West Midlands waren samen verantwoordelijk voor 580.802 onrechtmatige telefoongesprekken. De bedrijven moeten van de ICO nu voor de Kerstdagen 220.000 Britse pond (bijna 250.000 Euro) boete betalen.
De boetes zijn volgens de ICO een duidelijke waarschuwing voor de hele directmarketingbranche. “Deze boetes moeten alarmbellen laten rinkelen en marketingbedrijven in alle sectoren afschrikken die contact opnemen met mensen zonder hun toestemming”, zegt manager Andy Curry die verantwoordelijk is voor handhavingsbeleid van de ICO.
“De wet is er niet voor niets. Die is er om de privacy van mensen te beschermen en ervoor te zorgen dat marketingbedrijven zich aan de wet houden. Marketingbedrijven die zich niet aan de regels houden, kunnen een robuuste handhaving verwachten.”
Beide bedrijven kunnen een korting van 20 procent krijgen als ze voor 28 november betalen.
Toezichthouders in Duitsland geven eveneens aan veel klachten over telemarketingbureaus te krijgen.
Privacy Nieuws
“Voor de lunch de nieuwsbrief verstuurd. Vervolgens belt er iemand boos en gefrustreerd op. Ze wil die nieuwsbrief niet.”
Je denkt dat je je zorgvuldig aan de AVG houdt, maar toch klopt er iets niet. Heel herkenbaar en frustrerend. Wie heeft er een fout gemaakt? Of laat de techniek je in de steek?
Het citaat in de inleiding is afkomstig uit een tweet van juriste Charlotte Meindersma. Zij blogt, vlogt en tweet onder de titel Charlottes Law regelmatig over dillemmas en vraagstukken die te maken hebben met de Algemene Verordening Gegevensbescherming.
Meindersma noemt zich ‘de social media jurist van Nederland’. Terecht. Haar online bijdragen zijn interessant, helder en professioneel. Een aanrader voor iedereen die meer wil weten over de AVG.
De tweet van Charlotte over de woedende vrouw die belt omdat ze zegt zich nooit te hebben ingeschreven voor de nieuwsbrief van Charlottes Law is herkenbaar voor beide partijen in soortgelijke situaties.
De AVG is heel duidelijk wat betreft de adressenlijst van nieuwsbrieven. De eigenaar van de site moet kunnen aantonen dat de ontvanger ooit expliciet heeft aangegeven de nieuwsbrief te willen ontvangen. Dat kan via een dubbele optin.
Na de aanmelding krijgt de aanmelder een mail waarin om bevestiging van de aanmelding wordt gevraagd. Als de aanmelder op de link in deze bevestigingsmail klikt wordt dat vastgelegd in de database van het systeem dat gebruikt wordt om de nieuwsbrieven te versturen.
Als iemand een klacht indient en zegt zich niet te hebben aangemeld kun je in deze database controleren of de klacht terecht is.
Charlotte liet naar aanleiding van de klacht van de vrouw meteen uitzoeken wat er aan de hand kon zijn.
“Wij uitzoeken”, tweet ze. “Heeft zich inmiddels zelf uitgeschreven. Afton spreekt voicemail in om uitleg te geven excuses aan te bieden. Mevrouw belt terug >”
Netjes afgehandeld, denk je dan. Maar er blijft een dilemma. Hoe kwam het mailadres van mevrouw in de database voor de nieuwsbrief van Charlottes Law terecht? Als er gebruik is gemaakt van dubbele optin kan het niet anders dan dat er ooit een aanmelding is gedaan via het mailadres van mevrouw. Immers, de aanmelding moet altijd worden bevestigd via datzelfde mailadres.
Kan het zijn dat de site van Charlotte is gehackt?
Zit er een fout in het systeem?
Frustrerende vragen waar je in het kader van de AVG onderzoek naar zult moeten doen. Je moet in je verwerkingsregister melding maken van het incident. Je moet aangeven welke maatregelen je hebt genomen.
Maar stel nou dat de fout gemaakt is door degene die klaagt? Hoe bewijs je dat dan? Het is jouw woord tegen het woord van de klager.
Charlotte had inmiddels gecontroleerd dat het mailadres inderdaad in haar database stond. Ze vermeldt het niet in haar tweet, maar waarschijnlijk was er een dubbele optin bevestiging.
Maar daarmee is ze nog geen stap verder. Zoeken naar een speld in een hooiberg. Een speld die er misschien helemaal niet is.
Charlotte had dit keer geluk. Mevrouw reageerde op de excuses die waren aangeboden via haar voicemail. Ze erkende heel netjes dat ze zelf fout zat.
“Het was haar man die zich had ingeschreven ‘omdat (ik) zo leuk schrijf(t)’. Dus hij heeft zich weer ingeschreven, meteen voor alle lijsten 🙂 Ze wenst ons een zonnige dag. 🙂 Een vrolijke is het in elk geval.”
Maar stel nu dat de klager niet ruiterlijk aangeeft dat ze fout zit? Wat dan?
Waarschijnlijk zal de Autoriteit Persoonsgegevens er geen halszaak van maken als het een enkel incident is.
Maar het ligt natuurlijk anders als er regelmatig soortgelijke klachten binnenkomen over dezelfde website.
En stel dat dan blijkt dat je site is geinfecteerd, gehackt? Dan moet je uitleggen waarom je na de eerste klacht geen maatregelen hebt genomen. Het is dus zaak om iedere klacht serieus te nemen. En vooral ook beleefd te communiceren met de klager. Hoe gefrustreerd die ook reageert.
En de verklaring van de klaagster legt ook een ander praktisch probleem bloot bij de omgekeerde bewijslast voor ondernemers die een AVG-klacht aan hun broek krijgen. Hoe bewijs je dat sommige privépersonen computers of mailadressen delen? Dat dergelijke online partners tegenstrijdige interesses hebben? Zoals in dit geval.
Charlottes Law:
Blog: https://www.charlotteslaw.nl
Twitter: @charlotteslaw
YouTube: https://www.youtube.nl/charlotteslawnl
Privacy Nieuws
Mogen wij nog wel nieuwsbrieven versturen op basis van de mailadressen die we al jarenlang gebruiken? Wij hebben geen opt-in gegevens. Een dilemma waar veel bedrijven voor staan bij het inrichten van de organisatie voor de privacywet AVG / GDPR.
Moeten zulke organisaties hun hele mailinglijst vernietigen?
Zo’n drastische maatregel is soms, maar gelukkig niet altijd nodig.
Er zijn een aantal oplossingen. En soms heel eenvoudig.
Maar laten we eerst beginnen bij het begin.
Goed dat u zich verdiept in het zorgvuldig en rechtmatig inrichten van uw emailmarketing.
U weet waarschijnlijk al dat emailmarketing binnen de GDPR aan strenge regels gebonden is.
Niet zonder reden.
Veel mensen ergeren zich iedere dag aan de vele spam-mail die ze in hun mailbox aantreffen.
Daarbij veel nieuwsbrieven waar ze zich nooit op hebben geabonneerd.
Eenvoudig afmelden onvindbaar
Of nieuwsbrieven waar ze zich ooit impulsief wel op hebben geabonneerd, maar waar ze maar niet vanaf komen omdat er geen duidelijke en eenvoudige afmeldfunctie te vinden is.
Dan hebben we natuurlijk ook nog de reclamemail die je krijgt omdat je ooit in een winkel of op een beurs je mailadres hebt ingevuld voor een of andere vage winactie die je je al niet meer kunt herinneren.
En er zijn bedrijven die voor weinig geld een bestand met mailadressen hebben gekocht voor een reclamecampagne. Ze hebben geen idee hoe de verkopende partij aan de adressen is gekomen.
De nieuwe privacywet AVG / GDPR moet een einde maken aan schimmige emailmarketingpraktijken. Om dat te bewerkstelligen zijn er een paar duidelijke voorwaarden waaraan een emailmarketingcampagne voortaan moet voldoen.
Ondubbelzinnige toestemming
De belangrijkste is dat de persoonsgegevens die gebruikt worden voor emailmarketing op basis van de grondslag ‘ondubbelzinnige toestemming’ moet zijn verkregen. Dat betekent dat personen bewust toestemming moeten geven voor het gebruik van zijn/haar gegevens en dat ook duidelijk moet zijn waar deze toestemming voor is.
Deze toestemming moet gegeven worden aan de hand van actie die de ander moet doen en waarvan het effect dan ook volledig duidelijk is, zoals een schriftelijke verklaring of mondelinge verklaring.
Uit deze verklaring blijkt dat ‘de persoon specifiek, vrijelijk, geïnformeerd en ondubbelzinnig instemt met de verwerking van zijn persoonsgegevens’.
Organisaties moeten kunnen bewijzen dat ze toestemming hebben gevraagd (wanneer, hoe, waarvoor) en gekregen (wanneer, hoe).
De toestemming moet voldoen aan de volgende punten:
- De e-mail opt-in moet een duidelijk en een bevestigende actie zijn. Het akkoord mag dus niet al vooraf aangevinkt zijn.
- Het mag geen onderdeel zijn van de algemene voorwaarden.
- Er moet sprake zijn van een actieve handeling. De persoon moet deze handeling altijd zelf doen om toestemming te geven op de verwerking van de persoonsgegevens. Dit kan een schriftelijke of een mondeling verklaring zijn. Niets aanvinken is dus geen toestemming.
- De toestemming moet in vrijheid zijn gegeven, dus er mag geen verplichting achter zitten. Er mag geen combinatie worden gemaakt dat als iemand iets wil ontvangen, er een verplichting ontstaat om toestemming te geven.
- Er moet sprake zijn van een specifieke verwerking en een specifiek doel. Dit houdt in dat het duidelijk moet zijn waarom de gegevens verwerkt worden, wat het doel hiervan is. Als je een telefoonnummer ter verificatie van een levering vraagt, mag dit telefoonnummer niet gebruikt worden voor marketing doeleinden, tenzij de klant hier expliciet toestemming voor heeft gegeven. Ook het verzamelen van specifieke persoonsgerelateerde data zonder direct doel, of om er in te toekomst nog iets mee te doen, is niet meer toegestaan.
- De persoon die instemt, moet gericht worden geïnformeerd. Een moeilijke juridische tekst voorleggen aan bijvoorbeeld jongeren wil dus niet zeggen dat ze geïnformeerd zijn. Voor hen is het namelijk moeilijk om zo’n tekst te begrijpen.
- Er moet sprake zijn van ondubbelzinnigheid. Hiermee wordt bedoeld dat de toestemming niet dubbelzinnig gegeven mag worden en dat het duidelijk is dat er geen twijfel ontstaat over de vraag of de toestemming bewust is gegeven. Deze toestemming moet ook op elk moment weer ingetrokken kunnen worden.
Bovenstaande eisen gelden vanaf 25 mei niet alleen voor nieuwe abonnees op uw nieuwsbrief, maar ook voor bestaande abonnees.
Stel dat u niet kunt aantonen hoe u aan de mailadressen bent gekomen?
Wat dan?
Allereerst contact opnemen met een gediplomeerde privacymanager of functionaris gegevensbescherming. Bijvoorbeeld met PrivacyZone. Bespreek uw situatie. Soms is er een maatoplossing nodig.
Ga niet zelf experimenteren met voorbeelden zoals in dit artikel zo gegeven worden. Voorkom dat u een belangrijk specifiek detail dat in uw geval van toepassing is over het hoofd ziet.
Welk emailmarketingsysteem gebruikt u bijvoorbeeld? Voldoet dat aan de eisen? Hebt u het systeem goed ingericht?
Een fout kan u duur komen te staan. Een hoge boete van de Autoriteit Gegevensbescherming, imagoschade. Neem geen risico.
Als u contact opneemt met een privacymanager of functionaris gegevensbescherming kunt u vragen om te assisteren bij het opzetten van twee eenvoudige oplossingen om met uw bestaande adressenbestand nieuwsbrieven te kunnen blijven sturen.
De eenvoudigste oplossing is de soft-optin. E-mailberichten aantoonbaar bestaande klanten met reclame voor eigen en/of soortgelijke producten en/of diensten mogen zonder opt-in worden verstuurd
Wat is soft opt-in?
Soft opt-in is geregeld in de Telecomwet en betreft een specifieke voorziening voor het gebruik van elektronische contactgegevens (zoals e-mailadressen) die zijn verkregen in het kader van een bestaande klantrelatie, ofwel bij de verkoop van een eigen product of dienst.
Voor het gebruik van deze elektronische contactgegevens geldt een opt-out regime voor zover het gaat om het overbrengen van communicatie over eigen en/of soortgelijke producten en/of diensten.
Kortom, e-mailberichten aan klanten met reclame voor eigen en/of soortgelijke producten en/of diensten kunnen zonder opt-in worden verstuurd, maar dienen wel altijd een opt-out te bevatten.
Aangezien deze regeling wordt gezien als een beperkte verzachting of versoepeling van de harde opt-in regel, wordt er gesproken van soft opt-in.
De nette manier
Veel mensen zullen zich na 25 mei afvragen hoe bedrijven aan hun mailadresgekomen zijn. Ze weten niet meer of ze zichzelf ooit hebben aangemeld. Door alle media-aandacht over de GDPR gaan mensen bedrijven op de proef stellen. Ze gaan vragen of u kunt aantonen hoe u aan hun adres bent gekomen of waarom u hen mail stuurt.
Als de soft opt-in methode op u van toepassing is hebt u wettelijk dan wel de boel op orde, maar door alle commotie en onduidelijkheid rond de GDPR hebt u toch de schijn tegen. U handelt dan nog steeds schimmig in de ogen van sommige klanten. Dat is jammer en onnodig.
Advies: plaats in iedere nieuwsbrief die u uitstuurt eenvoudig een kleine GDPR-melding mee. Leg in een paar zinnen uit waarom uw klant de nieuwsbrief ontvangt en hoe u op basis van de GDPR met persoonsgegevens van uw klanten omgaat. Vraag vervolgens om een herbevestiging van de aanmelding voor de nieuwsbrief. (“Bevestig je inschrijving op deze nieuwsbrief”) en link door naar een landingspagina waar je expliciet om een toestemming vraagt.
Deze nette methode heeft een nadeel. Er zullen zich onherroepelijk mensen afmelden voor de nieuwsbrief. Is dat erg? Het zou omzet kunnen schelen. Maar waarschijnlijk valt dat wel mee. Deze klanten melden zich niet voor niets af. Zijn het dan nog wel klanten?
Nog een laatste tip.
Zorg er voor dat u uw administratie voor de emailmarketing op orde heeft. Splits uw database met nieuwsbriefcontacten op in twee segmenten. Mail bovenstaande boodschap alleen naar de contacten waarvan u een re-opt-in nodig hebt.
P.S. 1: Is dit allemaal mogelijk met het nieuwsbriefsysteem dat u gebruikt? Schroom niet om professionele ondersteuning in te schakelen. Uw eigen uren kosten toch ook geld? En misschien bent u veel meer tijd kwijt dan een deskundige.
P.S. 2: Hebt u zich al aangemeld voor de nieuwsbrief van PrivacyZone? Stel ons gerust op de proef.