Druk op ENTER om te zoeken of ESC om de zoek overlay te sluiten.

AVG

Verzamel en verwerk jij klantdata volgens de AVG?

(Algemene Verordening Gegevensbescherming)

Terug naar alle blogberichten

Hoe kunnen we jou happy maken?

Laat ons weten welke online resultaten jij wilt bereiken.

Happy Leads Blog Verzamel en verwerk jij klantdata volgens de AVG (Algemene Verordening Gegevensbescherming)?

Er is al veel over gesproken en geschreven, maar toch vinden we het belangrijk om er nóg een blog aan te wijden; de AVG (Algemene Verordening Gegevensbescherming). We lezen en horen namelijk dat er onduidelijkheid heerst over deze wetgeving. Vandaar dat we je graag een handje op weg helpen. Hieronder hebben we de belangrijkste punten op een rijtje gezet voor je, zodat jij je database AVG-proof kunt maken.

Waar komt het vandaan?

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming van kracht. Deze wetgeving geldt voor de gehele EU. De Engelse benaming hiervoor is General Data Protection Regulation, ofwel GDPR. De wet moet duidelijkheid scheppen voor zowel particulieren als bedrijven, verenigingen, stichtingen, overheidsorganisaties en andere organen die persoonsgegevens verwerken over hoe zij met deze gegevens om moeten gaan.

Voorheen was dat alles vastgelegd in landspecifieke wetgevingen. Voor Nederland was dat de Wbp (Wet bescherming persoonsgegevens).

Echter, er was behoefte aan een vernieuwde, internationale wetgeving die past bij de digitale wereld van vandaag de dag. Daarom is er nu één wet omtrent het verwerken en opslaan van persoonsgegevens: de AVG. De Autoriteit Persoonsgegevens (AP) is het orgaan dat hierop toeziet.

Wie moet rekening houden met de AVG?

De AVG is van toepassing voor iedere organisatie die persoonsgegevens vastlegt. Dat is een redelijk allesomvattende omschrijving. De AP maakt geen onderscheid tussen B2C of B2B, profit of non-profit, verenigingen of bedrijven, stichtingen of ZZP’ers. Zolang jij persoonsgegevens vastlegt van klanten, personeel, leerlingen, patiënten of andere personen uit de Europese Unie, moet je voldoen aan de AVG.

Maar het geldt ook voor ons als online marketing bureau! Wij zijn de zogeheten verwerkers van persoonsgegevens. Dat betekent echter niet dat wij de verwerkingsverantwoordelijke zijn. Dat zijn voornamelijk onze klanten. Om te bepalen wie de verwerker is en wie de verwerkingsverantwoordelijke is, bestaat er een overzichtelijke tabel. Evenals de ESP’s (Email Service Providers) en andere dataverwerkende en – beherende programma’s waar wij mee werken, laten we onze klanten een verwerkersovereenkomst tekenen. Hierin staan de juridische aansprakelijkheid van alle betrokken partijen, mocht er bijvoorbeeld een datalek ontstaan.

De AVG geldt dus ook voor jou! Wanneer mag je gegevens verwerken?

De AP stelt dat elke keer als u persoonsgegevens verwerkt, dat een inbreuk is op de privacy van de mensen tot wie de gegevens behoren. Vervolgens legt het uit dat je de persoonsgegevens enkel mag verwerken als je zonder die gegevens je doel niet kunt bereiken. Hiervoor moet je echter wel de juiste reden c.q. grondslag hebben. Die verantwoordelijkheid ligt dan ook bij jou. Zorg dat altijd één van de volgende grondslagen van toepassing is:

Toestemming verkrijgen

Voor velen zal de eerstgenoemde grondslag van toepassing zijn. Zeker als het gaat om e-mailmarketing. Vandaar dat we daar op inzoomen. Hoe krijg je die toestemming dan? Door te vragen! Zo simpel is het. Althans, dat lijkt het. De vraag moet namelijk ondubbelzinnig zijn. En de toestemming moet vrijelijk gegeven zijn.

Daarnaast moet je mensen vooraf informeren over de identiteit van jouw organisatie, het doel van de verwerking, de persoonsgegevens die je verzamelt en dat ze het recht hebben om te toestemming weer in te trekken. En zorg dat je per doel toestemming vraagt. Het volgende voorbeeld is dus fout: “Bij deze geef ik Happy Leads toestemming om mij per e-mail en/of telefonisch te benaderen.” Je moet per onderdeel een opt-in afvangen. Dus bijvoorbeeld met twee check-boxes met achter de ene box, de tekst: “Bij deze geef ik Happy Leads toestemming om mij per e-mail te benaderen”, en achter de andere de tekst: “Bij deze geef ik Happy Leads toestemming om mij telefonisch te benaderen. Zorg er dus voor dat je je opt-in altijd ondubbelzinnig hebt verkregen.

Om het nog makkelijker te maken, biedt de AVG ook nog ruimte voor nationale keuzes. Zo verplicht de Duitse overheid gegevensverwerkers in hun land tot het verkrijgen van een dubbele “opt-in”, in tegenstelling tot de Nederlandse, waar een enkele opt-in (vooralsnog) volstaat. Een opt-in betekent dat iemand toestemming heeft gegeven om benaderd te worden. Denk bijvoorbeeld aan het aanvinken van een check-box op de website of het drukken op een knop met de tekst “Inschrijven voor de nieuwsbrief” waarbij iemand toestemming geeft om zich in te schrijven voor jouw nieuwsbrief. Echter in Duitsland, en sommige andere landen, is het ook nog verplicht om vervolgens een tweede opt-in te verkrijgen; de zogenaamde ‘double opt-in’. Vaak is dat in de vorm van een e-mail met daarin de vraag of ze de eerste, single opt-in willen bevestigen met een druk op de knop.

Wij zijn voorstander van een dubbel opt-in proces. Ten eerste, omdat de ontvangers in je lijst twee keer hebben aangegeven dat ze jouw e-mails willen ontvangen. Dat betekent dat ze waarschijnlijk veel interactie gaan vertonen met je mailings. Tegelijkertijd zul je het aantal spam-meldingen beperken. Ook filter je alle niet bestaande en foutieve e-mailadressen eruit vóórdat ze in je mailbare lijst terechtkomen. Ze moeten namelijk eerst nog een tweede opt-in verschaffen via de bevestigingsmail. Maar dan moet die mail natuurlijk wel in de inbox terechtkomen. En dat gaat niet bij invalide e-mailadressen of spam-bots. Doordat ontvangers twee keer aangeven dat ze je e-mails willen ontvangen en dat ze bevestigen dat het een legitiem e-mailadres is, zullen deze e-mailadressen je verzendreputatie niet beschadigen, in tegenstelling tot foutieve of inactieve e-mailadressen of adressen die weinig interactie met je e-mails vertonen.

Je kunt ook kiezen voor een single opt-in proces. Het grootste voordeel is dat op deze manier je lijst sneller groeit, omdat het inschrijfproces korter is dan bij het verkrijgen van een dubbele opt-in. Maar ook hiervoor geldt; kwaliteit boven kwantiteit!

Uitzondering op de regel

Naast de enkele en de dubbele opt-in, bestaat er een belangrijke uitzondering op de AVG die voor veel bedrijven van toepassing is; de “soft opt-in”. Dat houdt in dat je je klanten commerciële mailings mag sturen tijdens de duur van de klantrelatie, zónder dat zij hier toestemming voor hebben gegeven. Je mag hen zelfs via Whatsapp of SMS benaderen. Ook hiervoor gelden een aantal kanttekeningen. De boodschap moet soortgelijke producten of diensten bevatten. Daarnaast is het cruciaal dat je de gegevens van de klanten hebt verkregen tijdens de verkoop van een van je producten of diensten. Uiteraard geldt de soft opt-in niet voor klanten die een opt-out gaven in het verleden. Dat betekent dat ze zich in het verleden hebben uitgeschreven.

In bovenstaande uitzondering is de duur van de klantrelatie nog een aandachtspunt. Dit is afhankelijk van het product of dienst dat de klant van je heeft afgenomen. Normaliter houden we hier 24 maanden aan. Maar je kunt je voorstellen dat wanneer iemand een bos bloemen koopt via een website, hij zich minder lang klant zal voelen dan wanneer hij een wasmachine bestelt.

Fikse boetes

De AP is bevoegd om boetes op te leggen indien een organisatie zich niet houdt aan de AVG. Wees niet bang, er volgen altijd eerst een aantal waarschuwingen. Mocht er uiteindelijk een boete volgen, kan deze in twee categorieën vallen:

  1. Een boete van maximaal €10.000.000,- of 2% van de wereldwijde jaaromzet als dat hoger uitvalt dan €10.000.000,-.
  2. Een boete van maximaal €20.000.000,- of 4% van de wereldwijde jaaromzet als dat hoger uitvalt dan €20.000.000,-.

De twee categorieën zijn onderverdeeld en op basis van die onderverdeling wordt bepaald in welke categorie je valt. Meer informatie over deze categorieën vind je hier.

Zorg er dus voor dat je je zaken op orde hebt als het gaat om het verwerken van (persoons)gegevens in welke vorm dan ook. Wij kunnen je hier uiteraard bij helpen en beschikken over voldoende expertise en ervaring. Mocht het een branchespecifiek vraagstuk zijn, kunnen we altijd schakelen met DDMA (De branchevereniging voor data driven marketing).

Hoe kunnen we jou happy maken?

Laat het ons weten!