6 juni 2019

Privacyproof zijn en toch commerciële impact maken met een digitale nieuwsbrief?

Blog van ICTRecht en OptInsight

Het versturen van een digitale nieuwsbrief is aan privacywetgeving gebonden. Commercie en privacy zijn niet elkaars grootste vrienden. Een commerciële tijger is privacywetgeving dan ook liever kwijt dan rijk. Door privacywetgeving kun je immers niet zomaar naar iedereen een digitale nieuwsbrief versturen. Dit betekent minder leads, minder klanten en dus minder omzet. Hoe kun je je nu houden aan de regels en toch commerciële impact maken? Wat adviseren wij je organisatorisch in te regelen om de juiste commerciële impact te maken? Daarvoor geven je een aantal tips.

Vraag om toestemming

Bij het versturen van de digitale nieuwsbrief komen de Telecommunicatiewet (Tw) en de Algemene Verordening Gegevensbescherming (AVG) om de hoek kijken. Indien de digitale nieuwsbrief ook maar enige commerciële trekjes vertoont, is het uitgangspunt dat voor het versturen daarvan toestemming (opt-in) van de ontvanger is vereist. De toestemmingsvraag dient in begrijpelijke taal te worden gesteld. Verder dient de toestemmingsvraag aan bepaalde juridische eisen te voldoen. Kortgezegd komt het erop neer dat de toestemming ‘vrij, specifiek, geïnformeerd en ondubbelzinnig’ gegeven dient te worden. Concreet betekent dit dat in de toestemmingsvraag dient te worden aangegeven: 

  • Namens wie de digitale nieuwsbrief zal worden verstuurd (bijvoorbeeld retailer X);
  • Hoe vaak de digitale nieuwsbrief wordt verstuurd (bijvoorbeeld 1x per maand);
  • Wat de inhoud van de digitale nieuwsbrief is en welk doel het dient (bijvoorbeeld aanbiedingen of acties);
  • Hoe de digitale nieuwsbrief wordt verstuurd (bijvoord per mail);
  • Waar de ontvanger meer informatie kan vinden (bijvoorbeeld een linkje naar de privacyverklaring en uitschrijven).

Een belangrijk aspect van een opt-in is dat er een actieve handeling heeft plaatsgevonden door de persoon die een opt-in geeft. Dus geen vooraf aangevinkte hokjes.

Voor elk doeleinde dient bovendien apart toestemming te worden verkregen. Stel je hebt toestemming om een digitale nieuwsbrief met aanbiedingen te versturen, dan betekent dat niet dat je ook digitale nieuwsbrieven mag gaan versturen over prijsvragen. Je dient dan opnieuw toestemming te vragen.

Toestemming intrekken

De ontvanger moet te allen tijde zijn toestemming kunnen intrekken. Het intrekken van toestemming dient net zou eenvoudig te kunnen als het geven daarvan. Het is dus niet toegestaan als de ontvanger zich alleen per post kan afmelden als de toestemming online is gegeven. De meest praktische methode is om een linkje in iedere digitale nieuwsbrief te plaatsen waarmee de ontvanger zich met één of een paar muisklik(ken) kan afmelden.

Toestemming niet altijd nodig

Er hoeft niet altijd toestemming te worden gevraagd voor het versturen van de digitale nieuwsbrief. De ontvanger dient een verzetmogelijkheid te hebben tegen het ontvangen van het bericht vóórdat het eerste bericht wordt verstuurd. In dit geval moet worden gewerkt met een zogeheten opt-out (een vooraf aangevinkt vakje) als de ontvanger een product en/of dienst heeft gekocht. Dit kun je praktisch inrichten door tijdens het online bestelproces de mogelijkheid te bieden een checkbox uit te vinken.

Toestemming is daarnaast niet vereist als de digitale nieuwsbrief wordt verzonden naar een e-mailadres dat speciaal gericht is op het ontvangen van dergelijke berichten (bijvoorbeeld ).

Een algemeen informatie e-mailadres () geldt niet als een e-mailadres dat speciaal is ingericht voor het ontvangen van digitale nieuwsbrieven, juist omdat het niet gericht is aan een specifiek persoon.

Een andere situatie waarin geen toestemming gevraagd hoeft te worden is het verzenden van zogeheten ‘serviceberichten’. Dit zijn berichten die informatie bevatten die voor de ontvanger ‘onmisbaar’ zou moeten zijn. Het bericht mag geen commercieel oogmerk hebben. Denk hierbij aan berichten die worden verstuurd in het kader van de dienstverlening, zoals het regelen van praktische zaken voor het afronden van een bestelling of het retourneren van producten. Hiervoor geldt dat je als je online retailer gebruik kunt maken van de grondslag “uitvoering van de overeenkomst”.

Wie stelt, moet bewijzen

Het enkel verkrijgen van toestemming (opt-in) of het bieden van een bezwaarmogelijkheid. (opt-out) is niet voldoende. Wie dit stelt, moet dit naderhand ook kunnen bewijzen. Dit betekent dat je een opt-in of opt-out dus dient vast te leggen, bijvoorbeeld door het loggen van het aan- of uitvinken van een checkbox, of door een ‘double opt-in’ te gebruiken: een ontvanger meldt zich aan, en bevestigt vervolgens deze aanmelding nogmaals door op een link te klikken in een e-mail die hij/zij ontvangt.

Wie verwerkt, moet informeren

Transparantie is één van de beginselen van de AVG. Wie digitale nieuwsbrieven verstuurt, heeft daarom een informatieverplichting over het hoe en wat van de gegevensverwerking. Zoals gezegd dient er naast de informatie die wordt verstrekt in de toestemmingsvraag een linkje naar de privacyverklaring te worden opgenomen. In de privacyverklaring wordt de ontvanger van de digitale nieuwsbrief uitgebreider geïnformeerd over zijn rechten en plichten. Bijvoorbeeld welke soort gegevens er worden verwerkt (e-mailadres), hoelang de gegevens worden bewaard, en dat toestemming te allen tijde kan worden ingetrokken.

Een opt-in is commercieel zeer waardevol

Om toestemming te krijgen moet je als retailer best wel wat doen. Maar vergis je niet in de kracht van een opt-in. Als personen een opt-in geven, is dat een blijk van interesse in jouw producten en of diensten. Dat is een enorme commerciële kans.

Maak een opt-in transparant, persoonlijk en relevant

Wat is nu wijsheid in de wereld van commercie en AVG. Graag geven wij je een aantal praktische tips hoe je dit slim aan kunt pakken en een commerciële kans te maken van toestemming.

Een belangrijk eis aan de opt-in is dat je kunt aantonen dat je een opt-in hebt verkregen van de desbetreffende persoon. Daarnaast is het verzamelen van een opt-in niet zomaar mogelijk, je kunt immers zonder een geldige opt-in niet een e-mail sturen om een opt-in binnen te halen.

Ten aanzien van het verzamelen van een opt-in hebben we de volgende tips:

  • Stel vast via welke communicatiekanalen je wel een opt-in kunt vragen aan de persoon. Denk hierbij bijvoorbeeld aan telefoon of brief. Ook kun je bijvoorbeeld het bezoek aan je website als momentum gebruiken om toestemming te vragen via een webformulier waarin je specifiek vraagt om toestemming.
  • Wees specifiek in waarom je van deze persoon een opt-in wil, welke gegevens je wilt verzamelen en waarom jij als retailer relevant denkt te kunnen zijn. Personen zoeken naar waarde en relevantie alvorens zij met jou hun data delen.
  • Geef personen een mogelijkheid om specifieke onderwerpen of producten aan te vinken die zij interessant vinden alvorens zij toestemming geven. Je kunt beter weten dat iemand wel geïnteresseerd is in een nieuwe tv en ijskast en hem of haar daarop informeren in plaats van met een generieke nieuwsbrief proberen de aandacht te wekken met al jouw producten. Door specifiek te vragen naar voorkeuren maak je de opt-in persoonlijk en waardevol. Ook voor jou als retailer. Als je niet relevant kunt zijn, heeft het weinig zin om gegevens te bezitten van een persoon.

Als het gaat om het vastleggen van een opt-in binnen de organisatie geven wij graag de volgende adviezen:

  • Personen benaderen je als retailer via verschillende kanalen (website, telefoon, mail, app, face-to-face). Via elk kanaal moet een persoon zijn toestemming en voorkeuren kunnen wijzigen en intrekken. Zorg dat al die kanalen in staat zijn om toestemming juist en volledig te kunnen verwerken. Heb je een winkel naast je online shop? Luister goed naar je bezoekers en vraag ze met toestemming hun voorkeuren kenbaar te maken.
  • Zorg ervoor dat je een opt-in met daaraan gekoppeld de persoonsgegevens en voorkeuren vastlegt op een centrale plek in de organisatie. Als je dat niet doet, kan dat leiden tot veel intern werk bij wijzigingen en een beperkt of onjuist klantbeeld. Eventueel kan het leiden tot boetes en slechte reputatie omdat je als retailer niet kunt aantonen wat de actuele status is van toestemming. Iemand die een opt-out heeft gegeven alsnog mailen leidt niet tot een goede reputatie en vaak tot irritatie. Bovendien is het commercieel gezien zonde van je effort.
  • Zorg voor een werkende audittrail op persoonsniveau voor toestemming. Deze audittrail legt zaken vast, zoals over het gebruikte kanaal, het moment van toestemming en ook de onderliggende bewijsvoering voor de gegeven opt-in (bijvoorbeeld het geldende privacybeleid). Hiermee ben je maximaal transparant naar de eigenaar van de data in geval van een verzoek tot inzage.
  • Een opt-out is helemaal geen ramp. De persoon ziet blijkbaar geen waarde in het aanbod van jou als retailer. Focus je liever op de personen die wel een opt-in hebben gegeven en duidelijke voorkeuren hebben. Dat leidt eerder tot een koop want dat zijn je fans.

Meer weten hoe je dit specifiek kunt aanpakken voor jouw retailbedrijf? Neem contact op met de auteurs.

Over de auteurs

Peter Kager () is directeur privacy bij ICTRecht en houdt zich bezig met uiteenlopende vraagstukken op het gebied van privacy. Hij zoekt samen met zijn klanten naar business mogelijkheden voor klanten op het snijvlak van business & privacy.
Martijn van den Corput () is mede-eigenaar van OptInsight, een technologiebedrijf dat de verplichtingen van privacy, de waarde van data en commerciële effectiviteit verbindt. Hij heeft jarenlange ervaring op het gebied van complexe commerciële vraagstukken en helpt bedrijven met advies en technologie om van privacy juist een commerciële kans te maken.