Deze website gebruikt cookies om het bezoek te analyseren en uw surfervaring te optimaliseren. Meer informatie hierover kan u terugvinden in ons privacyovereenkomst. Ik ga akkoord

GDPR en e-mailmarketing: laat ons de puntjes op de i zetten

GDPR en e-mailmarketing: laat ons de puntjes op de i zetten

Het standpunt van Benoît De Nayer

“Net als ik verdrink je momenteel waarschijnlijk in de e-mails van bedrijven waar je misschien zelfs nog nooit van hebt gehoord en die je uitnodigen om je toestemming ‘te bevestigen’ voor het ontvangen van e-mailmarketing en -advertenties.

De meeste van die e-mails zijn snel en ondoordacht geschreven. Geen van de e-mails die ik tot nu toe kreeg, leek te zijn nagekeken door een jurist. Sterker nog, sommige zijn zelfs ronduit illegaal. Alle, en dan bedoel ik echt alle ‘bevestigingsmails’, die ik las, slaan de bal ook compleet mis.

Door de GDPR en e-mail consent met elkaar te vermengen, missen ze de essentie. De GDPR eist niet dat je al je contacten in je bestaande databases opnieuw om een opt-in vraagt. Integendeel, in overweging 171 van de GDPR staat dat ‘de betrokkene voor een verwerking waarmee hij krachtens Richtlijn 95/46/EG heeft ingestemd op een manier die aan de voorwaarden van deze verordening voldoet, niet nog eens toestemming hoeft te geven’. De verwerker kan de database dus gewoon blijven gebruiken.

Gezien de omvang van de ramp, dacht ik (wat laat, dat geef ik toe) dat een beetje educatie wel nodig was. Laten we vanaf het begin beginnen.

1. De GDPR en e-mail zijn twee verschillende dingen

Ten eerste is er in de GDPR nergens sprake van e-mail. De GDPR heeft het niet over de communicatiekanalen die je gebruikt, maar over de verwerking van persoonsgegevens.

De bepalingen met betrekking tot e-mail zijn vastgelegd in een Europese richtlijn uit 2002 (Richtlijn 2002/58/EC van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de elektronische communicatiesector, bekend als de ‘richtlijn over privacy en elektronische communicatie’), die door de lidstaten op verschillende manieren in wetten is omgezet. Deze zullen de komende maanden aanzienlijk worden herzien in kader van de toekomstige e-privacyverordening. Maar meer hierover later.

In wezen zegt de richtlijn van 2002 het volgende:


- Voor alle e-mailcommunicatie met natuurlijke personen (u en ik) is voorafgaande toestemming van de betrokkene vereist (OPT-IN). Behalve als de e-mail werd verzameld in de marge van een commerciële transactie en wordt gebruikt om berichten over gelijkaardige producten te verzenden. In dit geval is de OPT-OUT-regel van kracht.

- Voor alle e-mailcommunicatie naar rechtspersonen (bedrijven) is voorafgaande toestemming niet nodig, maar zij hebben wel het recht en moeten de mogelijkheid krijgen om zich ertegen te verzetten (OPT-OUT).

2. Voor het verzenden van e-mails heb je data nodig

En dat is waar de GDPR opnieuw relevant wordt. Je kan geen e-mailcampagne versturen zonder gegevens te verwerken (ter herinnering: een algemene bedrijfs-e-mail zoals info@company.com beschouwt men niet als persoonsgegevens en valt dus niet onder de GDPR).

 

“En, om persoonsgegevens te verwerken, heb je toestemming nodig”, zegt u? Ja en nee: de meeste afzenders waar ik eerder naar verwees, vergissen zich als ze denken dat ze altijd om toestemming moeten vragen voor ze data mogen verwerken. Niets is minder waar.

Toestemming is slechts een van de omstandigheden waaronder het verwerken van data wettelijk is toegestaan (in zekere zin is het ‘de moeder der rechtvaardigingen voor de verwerking van persoonsgegevens’). Wanneer een bedrijf zich beroept op de toestemming van de persoon, moet het de exacte reikwijdte van die toestemming kunnen aantonen (wanneer werd de toestemming gegeven, via welk kanaal enzovoort).

Andere omstandigheden waarin je bepaalde gegevens mag verwerken, zijn bijvoorbeeld de uitvoering van een contract of ‘een gerechtvaardigd belang’. Gerechtvaardigde belangen zijn eigenlijk de exacte reden waarom de GDPR is opgesteld. Soms rechtvaardigden ze zogenaamd allerlei dingen.

Overweging 47 van de GDPR (die kan dienen ter interpretatie) zegt echter ondubbelzinnig dat commerciële prospectie een rechtmatig belang kan zijn. Als we die overweging combineren met wat er in punt 1 is gezegd, kun je enkele interessante conclusies trekken.

B2B :

Er is geen voorafgaande toestemming nodig voor gegevensverwerking of voor het verzenden van prospectie-e-mails naar bedrijven. Als bedrijven, wat rechtspersonen zijn, worden vertegenwoordigd door natuurlijke personen, mag u prospectie-e-mails sturen naar een afgeleid e-mailadres, van het type naam.voornaam@company.com.

De Franse autoriteit voor gegevensbescherming CNIL bevestigt dit (https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique) en specifieert bovendien dat e-mail-prospectie zonder toestemming mogelijk blijft onder de GDPR.

Maar opgelet: in sommige EU-landen is de situatie anders. In België bijvoorbeeld zegt het Koninklijk Besluit van 4 april 2003 (over het verzenden van advertenties via e-mail) dat toestemming wel nodig is om prospectie-e-mails te verzenden naar naam.voornaam@company.com-adressen.

Vergeet niet dat gebruikmaken van die ‘toestemming’ ook redelijk moet zijn. Je prospectie-inspanningen mogen bijvoorbeeld alleen betrekking hebben op de producten en diensten die relevant zijn voor het bedrijf. Je mag dus niet zomaar, zonder voorafgaande toestemming, een gameconsole proberen verkopen aan de houder van zo’n bedrijfsadres. De ontvanger moet ook altijd bezwaar kunnen maken tegen de verwerking van zijn gegevens voor marketingdoeleinden.

Voor een B2B-prospectiedatabase is opnieuw om een opt-in vragen dus onnodig. Dat gezegd zijnde kan het nuttig zijn om de geadresseerden aan hun rechten te herinneren (en meer specifiek aan het recht om zich te verzetten tegen het gebruik van hun gegevens voor marketingdoeleinden) en hen uit te nodigen om zich af te melden als de berichten hen niet relevant lijken. Dat is gewoon een kwestie van gezond verstand.

B2C:

Dit is een complexere kwestie. Zelfs als commerciële prospectie richting consumenten binnen de werkingssfeer van overweging 47 valt, dan nog is er die Richtlijn van 2002 die het gebruik van hun e-mailadressen zonder voorafgaande toestemming verbiedt.

Het enige geval waarin je e-mail mag gebruiken om een marketingboodschap te versturen zonder voorafgaande toestemming, is wanneer die consument een product of dienst heeft aangekocht, zijn e-mailadres in kader van die transactie is verkregen en je zijn e-mailadres gebruikt om gelijkaardige producten of diensten te promoten (bijvoorbeeld mp3-muziek bij iemand die reeds een nummer gekocht heeft).

In dat geval beschouwt men dit als ‘een gerechtvaardigd belang’. De gegevensverwerking is legitiem omdat deze is goedgekeurd door de wet (die de richtlijn omzet).

Ook hier moet je de consument echter de mogelijkheid bieden om zich tegen het gebruik van zijn gegevens en toekomstige e-mails te verzetten.

Kort gezegd, heb je voor B2C-communicaties maar twee opties om aan e-mail-gebaseerde marketingcommunicatie te doen:

- Of je verkrijgt uitdrukkelijke toestemming van de consument om marketingcommunicatie via e-mail te versturen (waarbij de consument uiteraard het recht behoudt om in de toekomst van gedacht te veranderen). Niets in de GDPR verbiedt je om niet op die toestemming te blijven vertrouwen.

- Of je hebt een commerciële relatie met die consument en je kan je hierop beroepen om hem e-mails te sturen over producten en diensten die in het verlengde liggen van wat hij eerder heeft gekocht. Ook hier weerhoudt niets in de GDPR je ervan om dit soort berichten te blijven verzenden.

Niets staat je echter toe om, indien niet een van de twee bovenstaande situaties van toepassing is, de consument een e-mail te sturen met het verzoek om zich te registreren (of opnieuw te registreren) voor je e-mailmarketingprogramma. En dat is precies waar de meeste e-mails om vragen. Naar onze mening zijn ze daarom volstrekt illegaal.

Voor marketingprofessionals die zich kunnen beroepen op consent of opt-out kan het weer wel interessant zijn om in het kader van hun bestaande commerciële relatie hun klanten er via e-mail aan te herinneren wat hun rechten zijn en hen uit te nodigen om (indien van toepassing) hun voorkeuren te wijzigen.

Ik hoop dat dit zo duidelijk was. Zo niet, deel uw twijfels, vragen of mening gerust via LinkedIn of via benoit.de.nayer@actito.com.

Succes met je compliance!

Benoît de Nayer

Directeur en medeoprichter

 


Meer artikelen ?