Nog even (namelijk op 25 mei 2018) en dan is het zover: de inwerkingtreding van de Algemene Verordening Gegevensbescherming (“AVG“). Dit is bijvoorbeeld te merken aan de vele e-mails van ondernemingen die opnieuw om toestemming aan hun klanten vragen voor het versturen van een nieuwsbrief. Onze ervaring is dat het ‘toestemmingsvereiste’ tot veel vragen leidt bij ondernemers. Wij behandelen de belangrijkste.
Moet ik onder de AVG toestemming vragen voor het verzenden van een nieuwsbrief?
Het gebruiken van de e-mailadressen (en eventueel andere gegevens) van uw klanten voor het verzenden van een nieuwsbrief is een verwerking van persoonsgegevens. Voor elke verwerking van persoonsgegevens is volgens de AVG een zogenaamde rechtsgrond nodig. Eén van die rechtsgronden is toestemming van de klant. Dit is echter niet de enige rechtsgrond. Het gebruiken van een persoonsgegevens is ook toegestaan indien dat noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van uw onderneming. Simpel gezegd: als de verwerking heel belangrijk is voor uw onderneming. Direct marketing wordt door de toelichting op de AVG expliciet benoemd als een gerechtvaardigd belang. Er is echter één maar: of uw gerechtvaardigd belang daadwerkelijk een rechtsgrond vormt, moet altijd worden afgewogen tegen een ander belang, namelijk de privacy van uw klant. Verstuurt u informatie over een product aan een klant die pas geleden nog een soortgelijk product heeft gekocht, dan kunnen wij ons voorstellen dat de belangenafweging eerder in uw voordeel uitvalt als wanneer u klanten die nog nooit eerder contact met u hebben gehad geheel ongevraagd een e-mail stuurt. Zorg ervoor dat u de belangenafweging documenteert, zodat u achteraf kunt laten zien dat u met alle relevante factoren hebt rekening gehouden.
Hoe moet ik die toestemming vragen?
Om het gemakkelijk te maken, hebben wij de belangrijkste eisen voor een AVG-compliant toestemming onder elkaar gezet:
|
Vrij |
Een klant moet wel daadwerkelijk een keuze kunnen maken. Daarom mag de toestemming voor de nieuwsbrief geen voorwaarde zijn voor het sluiten van een overeenkomst met u. |
|
Specifiek |
Een klant dient zijn toestemming te geven voor een specifiek doeleinde. Wilt u toestemming vragen voor meerdere doeleinden (dus niet alleen de nieuwsbrief), dan dient de klant per doeleinde wel of geen toestemming te kunnen geven. |
|
Geïnformeerd |
Voordat de toestemming wordt gegeven, dient de klant geïnformeerd te zijn over het hoe en wat. Vermeld in ieder geval altijd de identiteit van uw onderneming, waarom de gegevens gaan worden gebruikt (doeleinde), welke gegevens van de klant gaan worden gebruikt voor dat doeleinde, en dat het recht bestaat de toestemming te allen tijde in te trekken. Verwijs daarnaast naar het privacystatement. |
|
Ondubbelzinnig |
Duidelijk moet zijn (door een actieve handeling) dat toestemming wordt gegeven voor het verzenden van de nieuwsbrief. Toestemming mag bijvoorbeeld niet meer worden afgeleid uit het feit dat iemand een vooraf ingevuld vinkje niet weghaalt. |
|
Bewijs |
U moet kunnen aantonen dat uw klant toestemming heeft gegeven. Dit kunt u bijvoorbeeld bijhouden in een privacyregister. |
|
Intrekken |
De klant dient de mogelijkheid te hebben om de toestemming in te trekken. De AVG bepaalt dat het intrekken van de toestemming even eenvoudig moet zijn als het geven daarvan. Vaak dient in de nieuwsbrief daarom een afmeldknop opgenomen te zijn. Is het inschrijven voor de nieuwsbrief ook mogelijk op uw website? Dan moet het ook mogelijk zijn daar af te melden. |
Ik heb al toestemming van de klant verkregen, moet ik die opnieuw gaan vragen?
Baseert u het verzenden van de nieuwsbrief op de toestemming van uw klant, dan dient u ervoor te zorgen dat per 25 mei 2018 die toestemming voldoet aan de vereisten van de AVG. Het versturen van een e-mail aan al uw klanten waarin AVG-compliant toestemming wordt gevraagd is daarvoor een oplossing. Let op: indien niet wordt gereageerd, is het niet meer toegestaan de gegevens van de klant te gebruiken. Een alternatief is dat u switcht naar de andere rechtsgrond, namelijk die van het gerechtvaardigd belang. Dit zou als eenmalige situatie (voor 25 mei 2018) mogelijk moeten zijn, waarbij het wel van belang is dat u hier transparant over bent richting de klant, onder meer in uw privacystatement.