Wat betekent de AVG voor mijn e-mailmarketing?

Elke Bibliotheek verstuurt nieuwsbrieven. De meesten sturen ook andere direct-mailings en een aantal zetten e-mailcampagnes in. Wat betekent de AVG voor al deze e-mailmarketing activiteiten? Mag je nog steeds je huidige verzendlijst blijven mailen? En wat betekent de regel over data-minimalisatie voor je aanmeldformulier? 

Alleen mailen met toestemming?

Eigenlijk verandert er niets. Ook met de huidige wetgeving (WBP en Telecommunicatiewet) is het al zo dat je commerciële mailings alleen mag versturen met toestemming van de betreffende ontvangers. Daarbij moet het duidelijk zijn wat het doel is van de mailing. De opt-in moet een actieve handeling van de ontvanger zijn en is essentieel. Een automatische opt-in is niet toegestaan.

Als je bestaande klanten mailt met (niet-commerciële) serviceberichten die relevant zijn voor de lopende dienstverlening mag dat, ook zonder specifieke toestemming. Denk bijvoorbeeld aan een digitale factuur of betaalverzoek, te-laat melding of een bericht over een reservering die klaarligt.

Nieuwsbrieven blijven versturen naar een bestaande verzendlijst van mensen die zich daarvoor eerder hebben aangemeld, is ook geen probleem. Er is geen nieuwe opt-in nodig. Zolang zij zich ook maar op elk moment weer kunnen afmelden voor deze nieuwsbrieven. Een afmeld-link onder elke nieuwsbrief of campagne-mail is en blijft verplicht.

Heb je in het verleden niet altijd om een specifieke opt-in gevraagd, maar bijvoorbeeld alle leden automatisch op een verzendlijst voor de nieuwsbrief gezet? Dan is het advies om een eenmalige mailing te sturen waarin je alsnog om toestemming vraagt. Ontvangers waarvan je geen toestemming of geen reactie ontvangt verwijder je (al dan niet geautomatiseerd) uit de mailinglijst.

Wees bovendien transparant in wat je doet met persoonsgegevens op het gebied van e-mailmarketing. Neem dit onderdeel daarom ook op in je privacy-statement met de uitleg hoe opt-out in zijn werk gaat. 

De links onderaan dit artikel kunnen je helpen bij het opstellen van dit privacy-statement. 

Data-minimalisatie en het inschrijfformulier

Het uitgangspunt van data-minimalisatie is iets nieuws waar we rekening mee moeten houden: ‘Persoonsgegevens moeten toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt’.  Dat betekent dat je alleen gegevens verwerkt die je ook echt nodig hebt. Vraag je bijvoorbeeld een geboortedatum of voornaam op je inschrijfformulier voor de nieuwsbrief, maar doe je vervolgens niets met die gegevens in je e-mailmarketing, dan is dat niet meer toegestaan. Heb je verschillende nieuwsbrieven voor verschillende leeftijden dan mag je wel om een geboortedatum vragen. Al is wellicht alleen een geboortejaar al voldoende. Vraag je ook om een voornaam? Dat mag alleen als je die ook gebruikt in bijvoorbeeld de aanhef. Dit is dus vooral relevant als mensen die geen lid zijn zich inschrijven voor je nieuwsbrief.

Data die je niet gebruikt moeten worden verwijderd. Je kunt er natuurlijk voor kiezen om iedereen een verjaardagsmail te sturen, dan blijft de geboortedatum wel relevant om te bewaren. 

Mag profielverrijking nog wel?

Jawel, zolang je de gegevens die je verzamelt ook inzet om relevante mails te sturen op basis van interessegebied of vanwege bepaalde triggers zoals een verjaardag of leengedrag.  Mits je ook toestemming hebt om die gegevens te verzamelen. De meeste mensen vinden het tenslotte alleen maar prettig om vooral relevante e-mails te ontvangen en worden niet benadeeld hierdoor. 

Waarvoor vraag je toestemming?

Grijp de gelegenheid aan om nog eens kritisch te bepalen waarvoor je precies toestemming wilt vragen bij aanmelding of inschrijving. Doe dat eventueel samen met een expert. En als je dan toch bezig bent, is het ook mogelijk om andere aanpassingen door te voeren, zoals het aanmaken van een ouder-account voor de ouders van jeugdleden. Met één mailing kan dan een check worden gedaan op de e-mailadressen, toestemming worden gevraagd om te mailen over specifiek benoemde onderwerpen én onderscheid gemaakt worden in e-mailadressen van jeugdleden en ouders. 

Recht op vergetelheid?

In de AVG wordt gesproken over het recht op vergetelheid. Dat betekent dat iemand het recht heeft om te vragen om alle persoonsgegevens te wissen (onder de voorwaarden genoemd in het betrefende artikel). Dit betekent niet alleen binnen het bibliotheeksysteem, maar op alle andere plaatsen waar de persoonsgegevens van deze persoon zijn vastgelegd, digitaal of niet. Denk bijvoorbeeld aan een mailingpartner voor digitale nieuwsbrieven waar ook een verzendlijst wordt bijgehouden. Het recht op vergetelheid is één van de rechten van betrokkenen. De volledige lijst vind je op de website van de Autoriteit Persoonsgegevens.

Wie regelt de verwerkersovereenkomst?

Wat in veel gevallen verplicht wordt gesteld in de AVG, is het afsluiten van een verwerkersovereenkomst met derde partijen waarmee je persoonsgegevens uitwisselt, zoals bijvoorbeeld een E-mail Service Provider (ESP). Hierin staat beschreven welke persoonsgegevens worden uitgewisseld, hoe de persoonsgegevens worden beveiligd, wat van de verwerker verwacht wordt, met welk specifiek doel ze ingezet worden en wie waarvoor verantwoordelijk is.

Veel bibliotheken werken met Hellodialog voor hun nieuwsbrieven en e-mailcampagnes. Daarbij zijn de contracten afgesloten via ProBiblio. Voor deze bibliotheken sluit ProBiblio met Hellodialog een overkoepelende verwerkersovereenkomst af. Vervolgens worden individuele verwerkersovereenkomsten tussen bibliotheken en ProBiblio afgesloten. Werk je met een andere ESP? De DDMA (Data Driven Marketing Association) heeft een voorbeeld verwerkersovereenkomst die je als leidraad kunt gebruiken.    

Meer weten?

Wil je verder praten over wat de nieuwe privacywetgeving betekent voor jouw bibliotheek? Onze privacy-officers Koen Baaij en Rineke Zwanenburg staan voor je klaar. Je kunt hen bereiken via privacy@probiblio.nl

Voor vragen over e-mailmarketing kun je contact opnemen met Monique van der Loo, mvdloo@probiblio.nl of 06 4156 5514 of Kirsten Hazewinkel, khazewinkel@probiblio.nl.  

Interessante links:

Privacy statement generator Veilig Internetten

Voorbeeldtekst privacyverklaring Dirkzwager (link pdf)

Verwerkersovereenkomst DDMA 

Bekijk ook 

Wat betekent dit voor je website

Hoe zit het met cookies?

Vragen & Antwoorden

 

Mei 2018