Nieuwsbrieven verboden vanaf 25 mei 2018? GDPR in de praktijk

GDPR is alomtegenwoordig. Van de vele workshops, presentaties en gratis infoavonden tot toelichtingen op nationale radio – overal staan experts klaar om u de basis en draagwijdte bij te brengen. Waar het – volgens ons – vaak aan ontbreekt, zijn wat concrete voorbeelden. Wat mag nu wel en wat straks niet meer? In deze reeks van artikelen maken we de impact concreet aan de hand van praktijkvoorbeelden.

Waarom sommige nieuwsbrieven niet meer toegelaten zijn vanaf 25 mei 2018

Traditioneel zijn nieuwsbrieven één van de marketingtools van organisaties. Het is een laagdrempelige manier om informatie op een directe manier naar een selecte doelgroep te versturen.

Vaak organiseren organisaties zich zo dat ze een contactendatabase beheren waarin opgezochte of aangekochte contactgegevens geregistreerd worden. De nieuwsbrieven versturen ze via gespecialiseerde software en de (al dan niet inhoudelijke) nieuwsbrief zelf is voorzien van een opt-out optie zodat geadresseerden zichzelf kunnen uitschrijven voor de nieuwsbrief.

Herkenbaar? Lees dan zeker verder!

Enkele belangrijke wijzigingen vanaf 25 mei 2018

Vanaf 25 mei 2018 wordt de nieuwe Europese GDPR regelgeving, na een overgangsperiode van 2 jaar, afdwingbaar. Met betrekking tot nieuwsbrieven brengt dit enkele wijzigingen met zich mee:

• U zal voor elke vorm van verwerking van persoonsgegevens separaat expliciete toestemming [1]  nodig hebben. Voorbeelden van dergelijke verwerkingen zijn: bijhouden van de naam en zakelijke e-mailadres van de geadresseerde, aanwenden van gegevens om een nieuwsbrief of uitnodiging voor een event te versturen, …;
• Een formele “opt-in” komt in de plaats van de gangbare “opt-out”. Deze laatste wordt niet langer als voldoende beschouwd;
• U zal de expliciete toestemming nodig hebben van zowel bestaande als nieuwe contacten die (nog) geen klanten zijn;
• U moet het tijdstip waarop u de expliciete toestemming ontving, bijhouden en beschikbaar houden (“timestamp”). Naar de letter van de GDPR, zal u voor elk commercieel contact moeten kunnen aantonen wanneer u de expliciete toestemming ontvangen heeft.

Praktisch voorbeeld? Graag ...

U heeft op een netwerkevent iemand leren kennen waarmee u visitekaartjes gewisseld heeft. De dag nadien registreert u deze gegevens in uw CRM database zodat deze persoon opgenomen wordt in de maandelijkse mailing van de nieuwsbrief.

Vanaf 25 mei 2018 bent u niet in regel met de GDPR als u op dit moment een nieuwsbrief zou uitsturen. U hebt namelijk geen expliciete toestemming met bijhorende timestamp hiervoor ontvangen.

Om in regel te zijn met de GDPR, zal u vooraf een bevestigingsmail moeten versturen naar deze contactpersoon om hiervoor expliciete toestemming te krijgen. Pas wanneer u positief antwoord verkregen hebt op deze bevestigingsmail, mag u de nieuwsbrief versturen.

Wat mag wel nog?

De nieuwe GDPR-regelgeving zal ervoor zorgen dat nieuwsbrieven niet langer een laagdrempelige marketingtool zijn. Welke alternatieven heeft u indien u op 25 mei 2018 nog geen expliciete toestemming heeft van elke beoogde geadresseerde?

• Cold calling: u kan mensen nog altijd rechtstreeks opbellen, maar houd er rekening mee dat directe (zakelijke) nummers ook onder de GDPR bescherming vallen. Er is veel discussie over hoe u hier de "toestemming" nu in moet zien en met name hoe men bewijst dat deze toestemming ook daadwerkelijk is verkregen;

• Fysieke post: hoewel het toesturen van geadresseerde (fysieke) post vanaf 25 mei ook onder de Privacyverordening (AVG of GDPR) zal vallen, kan u een mailing via de fysieke post versturen zolang er een geldige grondslag (toestemming, uitvoering van een contract en mogelijk zelfs eigen gerechtvaardigd belang) is;

• Gepersonaliseerde mailing: momenteel bestaat hier nog geen éénduidig standpunt over. Naar onze mening kan u een e-mail met een gepersonaliseerde tekst opmaken en versturen naar persoonlijke contacten. Louter de naam veranderen bij nieuwsbrieven is hier onvoldoende. 

Hoewel GDPR vooral als een bijkomende verplichting geportretteerd wordt, zijn wij ervan overtuigd dat deze wetgeving ook kansen biedt. In een volgend artikel lichten we een tipje van de sluier!

clipeum als gids

Indien u geïnteresseerd bent in welke valkuilen en kansen de nieuwe GDPR wetgeving biedt of indien u bijkomende vragen heeft over dit artikel of andere AVG/ GDPR gerelateerde onderwerpen, contacteer ons dan via frederik.vervoort@clipeum.be of +32 473 91 05 80.

Frederik Vervoort (Gecertificeerd Data Protection Officer en ISO27001 gecertificeerd) – 6 september 2017

[1] Toestemming moet vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig zijn om wettelijk in orde te zijn. Daarbovenop moet je opt-in proces op je website je contacten precies informeren over hoe, waarom en welke data van hen wordt bijgehouden.