Een lezer vroeg me:
Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw gaan halen?
Het klopt dat de AVG strenger is dan de huidige wet waar het gaat om toestemming, maar wie nu werkt met heldere, vrijwillig gegeven opt-ins voor nieuwsbrieven zal daar weinig last van hebben.
In de kern komt toestemming onder de AVG neer op een vrijwillige actieve handeling. Een vakje aanvinken, je e-mailadres invullen in een veld direct onder “Abonneren nieuwsbrief” en dergelijke zijn duidelijke actieve handelingen die mensen in volle vrijheid doen. Daarentegen zou een vinkje weghalen (wat we nu opt-out noemen) niet genoeg zijn, net als mensen een verplichte popup bieden waarna ze alleen verder kunnen na invullen mailadres.
Vereist is ook dat je specifiek en duidelijk hebt uitgelegd wat er gaat gebeuren na die handeling. Enkel om een e-mailadres vragen is dus niet genoeg, je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op de nieuwsbrief. Die bekende formulieren “vul uw mailadres in en download een ebook” zijn dus niet rechtsgeldig, omdat er niet bij staat dat je de nieuwsbrief(-ven) gaat ontvangen.
Een praktisch probleem kan zijn dat de AVG strenger is in de bewijslast. Je moet als afzender van zo’n nieuwsbrief kunnen bewijzen dat je ontvangers opt-in hebben gegeven. Weinig mensen hebben logbestanden van opt-ins op nieuwsbrieven. Maar dat hoeft ook niet. Als je kunt aantonen dat je hebt gewerkt met confirmed opt-in (dus een bevestigingslink mailen en pas na klikken daarop mensen inschrijven) dan staat voldoende vast dat mensen zich vrijwillig hebben ingeschreven.
Ingewikkelder wordt het onder de AVG voor nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars. De AVG vermeldt namelijk expliciet dat een afgedwongen toestemming niet mag, en toestemming voor iets niet-noodzakelijks verplichten bij afname van een dienst noemen ze als voorbeeld van afdwingen. Hier kom ik volgende week op terug.
Arnoud
Arnoud Kip-ei vraag: Mag ik een adresbestand (opgebouwd via visitekaartjes , aan ons gestuurde mails, etc) mailen met de vraag “wil je onze nieuwsbrief ontvangen?” met een vinkje ? Oh – en , om een reactie te plaatsen moet ik ook verplcht mijn email adres invullen en er staat niet wat er mee gebeurt 🙂
Voor wat betreft het email-adres: zie onder andere de discussie hier:
https://blog.iusmentis.com/2018/02/13/mag-trol-eisen-wordt-vergeten-op-forum/#comment-854580
edit de hierboven genoemde discussie bestaat niet uit slechts 2 berichten, maar loopt door een fout van mij ook daaronder nog door…
Wat is je grondslag om die mensen uit het bestand te mailen? Heb je toestemming van ze om ze zakelijke vragen zoals “wil je de NB ontvangen” te sturen, of past dat binnen de contractuele relatie die je hebt? Dan mag het.
Enkel dat je iemands mailadres weet, betekent niet dat je ze mag uitnodigen voor de nieuwsbrief. Ik mag dat dus ook niet met de mailadressen die mensen hier achterlaten. Ik ga een tekst toevoegen wat ik er wél mee doe (filteren commenters en informeren bij technische problemen).
Krijgen we dan ook een verscherping van de cookiewet (geen idee wat de status daarvan tegenwoordig is…)? Dat voelt namelijk ook een beetje als afgedwongen ‘als je deze site wilt bezoeken moet je cookies accepteren’ terwijl er dan waarschijnlijk niet alleen noodzakelijke cookies worden geset maar ook commerciële trackers etc. waar je meestal niet op zit te wachten. Ik zie zelden een keuzemogelijkheid voor wat betreft cookies, en zeker niet een lijstje waarin je tracker-cookies moet aanvinken.
Er zijn ook nog sites die eigenlijk niet werken of deels niet werken zodra je niet akkoord gaat. Terwijl voor noodzakelijke cookies geen toestemming vereist is voor zover ik heb begrepen.
Je schrijft dat je als bedrijf moet aantonen dat je hebt gewerkt met confirmed opt-in. Dat is onmogelijk aan te tonen zonder logfiles lijkt me? Want ook al werk je netjes met confirmed opt-in, dan nog kun je in vrijwel alle mailinglist software handmatig adressen aan een lijst toevoegen. Dus als bol.com netjes met confirmed opt-in werkt, maar een of andere stagiair op de marketingafdeling even handmatig een mailadres aan de lijst kan toevoegen, dan is niet meer te bewijzen dat alle adressen op de lijst via confirmed opt-in zijn verkregen. Hoe kun je dat nog aantonen als je niet al die opt-in kliks gaat loggen?
Dit begint bijna een standaard opmerking te worden op dit blog, maar:
Het gaat hier over juridisch bewijs, niet wiskundig bewijs. Het hoeft dus niet 100% waterdicht te zijn, en ‘er is een theoretisch scenario mogelijk’ is an sich niet genoeg om juridisch bewijs onderuit te halen.
Wat WilleM zegt, plus: het maakt nogal uit of er één iemand klaagt in die situatie dan wel duizend. In het laatste geval zal het bewijs van de ondernemer (“zo werkt mijn proces”) niet geloofwaardig zijn. Maar bij een nieuwsbrief met duizend man waarvan eentje zegt, ik heb nooit opt-in gegeven, terwijl de ondernemer een keurig filmpje laat zien met het opt-in proces, daar zie ik geen boete vallen.
En hoe zit het dan met deze eerder discussie: https://blog.iusmentis.com/2017/06/29/mag-mensen-nog-verplicht-op-nieuwsbrieven-laten-abonneren-privacyverordening/
M.i. mag je de afname van een dienst níet koppelen aan een verplichte opt-in voor een nieuwsbrief. Maar “schrijf je nu in voor mijn nieuwsbrief en ontvang een gratis ebook” mag wel.
Reacties meer dan welkom 🙂
Dat betekent dat die uitnodiging om klanttevredenheidspagina in te vullen na de afhandeling van een online-bestelling ook niet meer mag? Dat komt tenslotte nooit ter sprake tijdens het bestelproces.
Die wel. Die staat in direct verband met de bestelling, en vereist dus geen aparte toestemming. Net zo min als dat men je mailtjes mag sturen met waar je pakket is.
Ook een “als u deze maand nog iets bij ons koop, krijgt u 10% korting”-mail staat in direct verband met de bestelling. Maar waarom mag dat dan niet?
Wie zegt dat dat niet mag? Die zin kan prima in bijvoorbeeld de orderbevestiging en/of een tevredenheidsenquête. Als losse mail is het wat dubieuzer want wat heeft dat nog te maken met de eerdere bestelling? De link is wat losser dan “wat vond u van onze service bij aanschaf van uw nieuwe mobiel”.
Mijn punt is dat de tevredenheidsenquêtes niet gedaan worden omdat dat iets te maken heeft met het uitvoeren van de bestelling, maar omdat het bedrijf dan enerzijds reclame kan maken en anderzijds haar bedrijfsvoering kan verbeteren (en haar website aantrekkelijker maken met reviews). Er is dan ook geen direct verband met de bestelling zelf. Ik zie dan ook geen wezenlijk verschil met bijvoorbeeld de nieuwsbrief. In beide gevallen is de geadresseerde slechts iemand die onlangs iets besteld heeft.
Dit in tegenstelling tot bestellingsbevestigingen, berichten over het verzenden etc. Dat heeft wel een direct verband met het uitvoeren van de bestellingsovereenkomst.
Is het toegestaan dat men reclame zit te maken voor extra producten in de mom van jouw informeren dat iets afloopt (Trial / korte deluxe support / extra Iphone garantie / etc) en dan aanbieden dat te verlengen.
Alle extra’s en accessoires kan je relateren aan een hoofdproduct, maar om dan te zeggen dat er geen toestemming nodig is (als je dit hoofdproduct gekocht hebt) voor deze reclame lijkt me te ver gaan.
Hoe verhoudt zich dit dan tot het mogen mailen van bestaande klanten met aanbiedingen van soortgelijke producten/diensten die klanten eerder hebben afgenomen (telecommunicatiewet)?
Die mails verstuur je niet met opt-in, maar op basis van een wettelijke regeling. Dit blijft gewoon van kracht, ook onder de AVG. Vereist is alleen dat je bij verkrijging van hun gegevens ze hebt gezegd dat je dit gaat doen. Let er dus op dat er bij je bestelformulier staat dat je aanbiedingen gaat sturen en hoe ze zich daarvoor afmelden.
Betekent eea ook dat je aan al je (betalende) leden die je al jaren in je ledenbestand hebt staan alsnog om instemming obv de AVG eisen moet vragen? Zo ja: er zal nooit een 100% response zijn. Moet je dan die niet reagerende leden royeren?
Wat heeft royement te maken met toestemming geven voor reclame?
Ik bedoel instemming met hun lidmaatschap.
Je stemt niet in met lid worden. Je wordt lid en je zegt op, conform statuten en HR. Dat heeft niets te maken met toestemming geven voor wat dan ook. Wat wil je ze sturen?
Ik ben in de veronderstelling dat ook bestaande leden alsnog moeten instemmen dat wij hun persoonsgegevens verwerken tbv de contributie, het verzenden van het clubblad ed.; kortom alle reguliere onvermijdelijke activiteiten.
Dat is onjuist. Wanneer gegevens onvermijdelijk gebruikt moeten worden, dan kun je het doen onder de grondslag uitvoering overeenkomst en/of eigen belang en is toestemming niet nodig. Ook toezending van het clubblad lijkt me mogelijk zonder toestemming. Bekijk het eens zo: stel er is toestemming nodig om gegevens te mogen gebruiken voor contributie-inning, dan gaat het gigantisch mis want dan trek ik die gewoon in en dan mag jij de contributie niet meer innen maar mij ook niet royeren want toestemming moet vrijelijk intrekbaar zijn. Dat kan dus niet waar zijn, juridisch gezien.
Dat is al een geruststelling. Het is wel een zwakke plek (bij ons) dat de aanmeldingen als lid in het verleden langs allerlei wegen liepen: een formulier, e-mailtje, telefoontje, gesprek was voldoende om je aan te melden. De contributie-betaling was het bewijs dat je instemde. We kunnen dus niet voor 100% die aanmelding met onderliggende documentatie bewijzen. Inmiddels loopt dat allemaal via webformulieren etc. Overigens dank voor deze informatie.
Is het na 25 mei 2018 nog mogelijk om mensen op basis van hun mondeling toestemming een nieuwsbrief te sturen of vanaf die datum slechts nog via dubbel opt in?
Je moet kunnen bewijzen dat er toestemming gegeven is. Mondeling mag dus, maar hoe ga je achteraf aantonen dat het gezegd is? Als het gesprek is opgenomen, dan heb je keurig bewijs (en dat is legaal, een zakelijk gesprek opnemen, zelfs als je het niet vraagt).
En nog vraag 2, je geeft in dit blog een vervolg blog aan, maar die kon ik niet vinden tussen de blogs. Heb je een linkje?
wat ik mij afvraag, zie tw: mits bij de verkrijging van de contactgegevens aan de klant duidelijk en uitdrukkelijk de gelegenheid is geboden om kosteloos en op gemakkelijke wijze verzet aan te tekenen tegen het gebruik van die elektronische contactgegevens.
ik lees dit zelden ergens terug, terwijl dit gewoon geldend recht is. vind het zelf maar een onlogische bepaling, wat heb je aan zo een waarschuwing? Ik heb het verder ook nooit ergens op een website gezien, terwijl dit kennelijk echt expliciet bij de betreffende pagina moet staan of begrijp ik dit verkeerd?