Julie van Meeteren

Laat de GDPR je mailinglijst niet halveren

Geschreven door Julie van Meeteren op

Privacy header afbeelding De GDPR (General Data Protection Regulation) is inmiddels in werking getreden en dat is zeker niet onopgemerkt voorbij gegaan: in de afgelopen dagen is een groot aantal mails verzonden via onze software. Aangezien het geen kerst of Black Friday was, concluderen wij dat het te maken heeft gehad met de GDPR. Daarbij hebben wij de afgelopen tijd veel onwaarheden voorbij zien komen in de media, daarom hebben wij deze blog geschreven om wat misverstanden uit de wereld te helpen. Het zou namelijk zonde zijn als je mailinglijst onterecht halveert doordat je verkeerd geïnformeerd bent.

Als je voor 25 mei voldeed aan de eisen om e-mail te sturen, voldoe je daar nu nog steeds aan. Er is namelijk niet veel nieuws onder de zon, de meeste regels bestonden al onder de oude wet: de Wet bescherming persoonsgegevens (Wbp). Het grote verschil is dat betrokkenen meer controle hebben gekregen over hun persoonsgegevens en dat bedrijven nu transparanter moeten zijn. Dat betekent dat de privacyverklaring moest worden aangepast, net als de verwerkersovereenkomst en er moest een verwerkingsregister worden opgesteld. Het is netjes om je klanten een mail te sturen over deze wijzigingen, maar dit is niet verplicht. Je kunt hiervan ook melding maken op je website.

Als je klantenbestanden hebt opgekocht en deze personen zonder opt-in e-mails zond, was je onder de oude regelgeving ook niet goed bezig. Na de inwerkingtreding van de GDPR is het in dat geval zeker aan te raden om ervoor te zorgen dat je alleen mailt naar mensen die toestemming hebben gegeven. Als je echter mails zond naar mensen die netjes ingeschreven stonden voor je nieuwsbrief, is er geen reden tot paniek en mag je gewoon blijven mailen zonder opnieuw om toestemming te vragen.

Daarnaast betreft een veelvoorkomend misverstand omtrent de GDPR de soft opt-in. Waar de Wbp uit 2001 verzenders van nieuwsbrieven verplichtte om hiervoor toestemming te hebben, maakte de meer specifieke Telecommunicatiewet hierop een uitzondering: de soft opt-in. Dit houdt in dat je personen waarmee je een klantrelatie hebt commerciële uitingen mag sturen over soortgelijke diensten en producten, zolang diegene zich maar te allen tijde kan uitschrijven. De GDPR vervangt de Wbp, maar de Telecommunicatiewet is nog gewoon van kracht (ook hier wordt aan een Europese vervanger gewerkt, maar die is nog niet klaar). Je kunt dus gewoon gebruik blijven maken van de soft opt-in, zo schrijft ook de DDMA.

Ten slotte is er de mogelijkheid om gegevens te verwerken op basis van het gerechtvaardigd belang. De GDPR geeft uitdrukkelijk aan dat het verwerken van persoonsgegevens voor direct marketing kan worden gezien als zo’n gerechtvaardigd belang. Een voorwaarde hiervoor is dat het (marketing)belang van je eigen organisatie zwaarder moet wegen dan het belang van de betrokkene. Daarnaast moet je de betrokkene op de hoogte stellen van je voornemen om zijn of haar persoonsgegevens te gebruiken. Ook moet je daarbij aangeven hoe hiertegen bezwaar gemaakt kan worden. Het is echter niet aan te raden om gegevens te verwerken op basis van het gerechtvaardigd belang, omdat er dus altijd een belangenafweging gemaakt moet worden.