GDPR-regeles voor e-mailmarketing
GDPR en e-mailmarketing: welke regels gelden er?
Bij e-mailmarketing moet sinds de komst van de GDPR (General Data Protection Regulation) rekening worden gehouden met specifieke GDPR-verplichtingen. Zowel bij direct marketing als bij remarketing speelt de GDPR een belangrijke rol, zij het dat de verplichtingen in beide gevallen verschillend zijn.
Veel marketinggerichte ondernemingen nemen dus best een gespecialiseerde advocaat, zoals Mr. Franklin, onder de arm om na te gaan of hun onderneming GDPR-conform handelt. Wie zich niet aan de GDPR-verplichtingen houdt, riskeert immers hoge boetes.
General Data Protection Regulation (GDPR)
Europese privacyverordening
De General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd, is een relatief nieuwe wetgeving die de privacy van Europese burgers waarborgt.
Door de verplichtingen die de GDPR oplegt aan ondernemingen , genieten burgers een betere bescherming van hun persoonlijke gegevens en privacy. De EU beoogt met de verordening meer transparantie en veiligheid te garanderen bij de verwerking van persoonlijke gegevens. Sinds 25 mei 2018 is de GDPR van toepassing binnen de Europese Unie.
Toepassingsgebied van de GDPR
Verwerking van persoonsgegevens
De GDPR is van toepassing op iedere entiteit die zich bezighoudt met persoonsgegevens van natuurlijke personen te verzamelen en verwerken. De GDPR viseert hier in het bijzonder ondernemingen en overheidsdiensten.
Het toepassingsgebied van de GDPR is erg ruim door een brede definitie van de begrippen ‘gegevensverwerking’ en ‘persoonsgegevens’, waardoor ondernemingen al snel onder de toepassing van de GDPR vallen.
De sector waarbinnen de onderneming zich bevindt maakt daarbij niet uit. Ook binnen de marketingsector moeten ondernemingen met andere woorden rekening houden met de geldende privacywetgeving. Bij e-mailmarketing zullen vaak heel wat persoonlijke gegevens verzameld en verwerkt worden met het oog op het aan de man brengen van producten en diensten.
Wat zijn persoonsgegevens?
Persoonsgegevens zijn gegevens over een natuurlijke persoon, waardoor deze persoon direct of indirect kan worden geïdentificeerd. Indirecte identificatie gebeurt door bepaalde gegevens te combineren met andere. Denk bijvoorbeeld aan de nummerplaat van een auto.
Een voorbeeld van dergelijke persoonsgegevens (persoonlijke gegevens) zijn iemands naam, adres, e-mailadres of telefoonnummer. Ook medische gegevens, politieke voorkeur of seksuele geaardheid vallen onder de noemer persoonsgegevens. Dit soort gevoelige informatie wordt bovendien extra beschermd door de GDPR.
Bij e-mailmarketing zullen verschillende gegevens vallen onder de noemer van persoonsgegevens. Denk bijvoorbeeld aan verzamelde e-mailadressen, telefoonnummers of adressen.
Gegevensverwerking
Ook het begrip gegevensverwerking (verwerking van persoonsgegevens) wordt ruim ingevuld door de wetgever en beslaat een heel arsenaal aan zaken. Zo valt ook het verzamelen, vastleggen, ordenen, opslaan, wijzigen, raadplegen en verspreiden van persoonsgegevens onder deze noemer.
Sanctionering door nationale toezichthouder
De niet-naleving van de GDPR kan worden gesanctioneerd door de bevoegde toezichthoudende overheid. In België is dit de Gegevensbeschermingsautoriteit (GBA). Zij kan ondernemingen die de regels van de GDPR aan hun laars lappen sanctioneren door het opleggen van GDPR-boetes.
Dat zijn administratieve boetes die hoog kunnen oplopen: tot wel 4% van de wereldwijde jaaromzet van de onderneming of 20 miljoen euro, afhankelijk van welk bedrag het hoogste resultaat geeft.
E-mailmarketing: valt het onder de GDPR?
Er worden dagelijks enorm veel e-mails de wereld ingezonden. Een groot deel hiervan is reclame: deze studie spreekt van wel 53% van de totale mails die op dagelijkse basis wereldwijd worden verstuurd.
E-mailmarketing of het versturen van commerciële e-mails is voor veel ondernemingen een lucratieve, efficiënte en goedkope manier om oude en nieuwe klanten te overtuigen om bepaalde producten of diensten te kopen.
Bij e-mailmarketing kan er een onderscheid worden gemaakt tussen direct marketing en remarketing. Dat onderscheid is belangrijk omdat het antwoord geeft op de vraag wieer exact benaderd wordt.
Direct marketing
Bij direct marketing gaat een onderneming rechtstreeks (direct) in contact treden met individuele (potentiële) klanten. De onderneming gaat op die manier meestal haar producten en diensten proberen proberen verkopen of reclame maken. Er wordt aangezet tot actie, zoals het bestellen van iets, het bezoeken van de website van de onderneming of het contact opnemen met de onderneming via de telefoon of via mail.
Deze vorm van marketing wordt door haar directheid daarom ook soms ‘push marketing’ genoemd. Direct marketing kan zowel gevraagd als ongevraagd zijn. Vooral dat laatste doet zich vaak voor. Wie heeft het nog immers nog niet ervaren: de opdringerige telecomverkoper die blijft bellen tot er wordt opgenomen. Direct marketing kan bovendien niet alleen via e-mails gebeuren, maar ook bijvoorbeeld via de telefoon (telemarketing).
Bij direct marketing worden heel wat persoonsgegevens van de betrokkenen verzameld. Het is dan ook daardoor dat dergelijke vorm van marketing onder het toepassingsgebied van de GDPR valt.
Remarketing (retargeting)
Bij remarketing, ook soms wel retargeting genoemd, worden eerdere bezoekers van een website opnieuw benaderd, ditmaal met meer gerichte advertenties, die beter zijn afgestemd op het zoekgedrag van de bezoeker. De kans dat de bezoeker uiteindelijk iets van de onderneming zal kopen, zal hierdoor groter zijn. Door profilering zal een onderneming gerichter te werk kunnen gaan.
Ook bij remarketing is er sprake van de verwerking van persoonsgegevens. Dat wil zeggen dat ondernemingen die aan remarketing doen rekening zullen moeten houden met de GDPR-regels.
GDPR & e-mailmarketing
Het moge duidelijk zijn: bij e-mailmarketing zullen ondernemingen in de meeste gevallen onder het toepassingsgebied van de GDPR vallen. Daarom zet Mr. Franklin hieronder de voornaamste GDPR-verplichtingen voor marketeers uiteen. Deze verplichtingen hebben betrekking op de vraag of er al dan niet toestemming van de bezoeker van je website gevraagd moet worden.
Voorzie in een verwerkingsgrond
De GDPR bepaalt dat de verwerking van persoonsgegevens niet zomaar mag plaatsvinden. Er moet altijd een zogenaamde verwerkingsgrond voorhanden zijn. Dit is een legitimatie, een doeleinde, die de verwerking van de persoonsgegevens verantwoordt.
Artikel 6 van de GDPR voorziet in zes verschillende verwerkingsgronden. Bij e-mailmarketing zal een beroep kunnen gedaan worden op de verwerkingsgronden “toestemming van de gebruiker” of “gerechtvaardigd belang”. Soms wordt verkeerdelijk beweerd dat bij e-mailmarketing steeds de expliciete toestemming nodig is van de betrokkene. Dat is echter niet waar: in bepaalde gevallen kan ook teruggegrepen worden naar het gerechtvaardigd belang.
Voorafgaande toestemming
Een van de zes mogelijke rechtsgronden die de GDPR voorziet voor de verwerking van persoonlijke gegevens is de voorafgaande toestemming van de gebruiker. Deze toestemming is aan een aantal voorwaarden verbonden.
Voorwaarden voor de toestemming
Het moet ten eerste gaan om een geïnformeerde keuze: de betrokkene moet goed begrijpen waar hij of zij toestemming voor verleent. Als onderneming moet je daarom de betrokkene goed informeren over het doel, het verloop en de frequentie van de gegevensverwerking. Daarnaast moet er een vrije keuze zijn voor de betrokkene: er moet een reële mogelijkheid bestaan om de verwerking van de persoonsgegevens te weigeren.
De toestemming moet ook voldoende specifiek zijn. Dat betekent dat de toestemming moet gegeven worden voor één of meerdere specifieke direct marketingdoelen.
Opt-in of opt-out?
De vraag stelt zich of het voor een onderneming voldoende is om een opt-out te voorzien, of of er een optie tot opt-in moet worden gegeven aan de betrokkene. Volgens de GDPR is actieve toestemming van de betrokkene vereist. Dat betekent dat er een duidelijke, ondubbelzinnige en positieve handeling moet worden gesteld. Een opt-out, in de vorm van een vooraf aangevinkte checkbox, zal dus niet volstaan.
Wie GDPR-conform wil handelen, zal met andere woorden moeten werken met een zogenaamde opt-in: dat is een checkbox die nog moet worden aangevinkt door de websitegebruiker. Enkel een aparte opt-in volstaat aan de strenge eisen die door de GDPR worden gesteld. Impliciete toestemming zal met andere woorden niet volstaan.
Gerechtvaardigd belang
Hoewel soms het tegendeel wordt beweerd, zullen marketeers ook een beroep kunnen doen op het gerechtvaardigd belang als verwerkingsgrond bij de verwerking van persoonsgegevens. Overweging 47 van de GDPR voorziet expliciet in deze mogelijkheid. Of er effectief een beroep op het gerechtvaardigd belang zal kunnen gedaan worden, zal afhangen van de situatie. Een beoordeling geval per geval is dus noodzakelijk.
Wat kan Mr. Franklin voor jou betekenen?
Onze advocaten deden reeds ervaring op in diverse sectoren en staan je daarom graag bij bij het opstellen van een GDPR-beleid op maat, zodat jij zeker bent dat de gegevensverwerking conform de GDPR verloopt.
Onze advocaten kunnen bovendien optreden als externe en onafhankelijke DPO’s. Ook als het aanstellen van een DPO niet verplicht is, raden wij vaak aan om er toch een aan te stellen. Lees meer over onze DPO as a service op deze pagina.
CONTACTEER ONS
Voor meer informatie omtrent onze dienstverlening rond de GDPR kan je ons steeds vrijblijvend contacteren. Wij staan voor een innovatieve, maar telkens kwalitatieve service. Wij hechten veel belang aan de continue verbetering van onze expertise.
Onze experts staan je graag met raad en daad bij.
Olivier Sustronck
+32 486 27 53 05