Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

Een lezer vroeg me:

Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw gaan halen?

Het klopt dat de AVG strenger is dan de huidige wet waar het gaat om toestemming, maar wie nu werkt met heldere, vrijwillig gegeven opt-ins voor nieuwsbrieven zal daar weinig last van hebben.

In de kern komt toestemming onder de AVG neer op een vrijwillige actieve handeling. Een vakje aanvinken, je e-mailadres invullen in een veld direct onder “Abonneren nieuwsbrief” en dergelijke zijn duidelijke actieve handelingen die mensen in volle vrijheid doen. Daarentegen zou een vinkje weghalen (wat we nu opt-out noemen) niet genoeg zijn, net als mensen een verplichte popup bieden waarna ze alleen verder kunnen na invullen mailadres.

Vereist is ook dat je specifiek en duidelijk hebt uitgelegd wat er gaat gebeuren na die handeling. Enkel om een e-mailadres vragen is dus niet genoeg, je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op de nieuwsbrief. Die bekende formulieren “vul uw mailadres in en download een ebook” zijn dus niet rechtsgeldig, omdat er niet bij staat dat je de nieuwsbrief(-ven) gaat ontvangen.

Een praktisch probleem kan zijn dat de AVG strenger is in de bewijslast. Je moet als afzender van zo’n nieuwsbrief kunnen bewijzen dat je ontvangers opt-in hebben gegeven. Weinig mensen hebben logbestanden van opt-ins op nieuwsbrieven. Maar dat hoeft ook niet. Als je kunt aantonen dat je hebt gewerkt met confirmed opt-in (dus een bevestigingslink mailen en pas na klikken daarop mensen inschrijven) dan staat voldoende vast dat mensen zich vrijwillig hebben ingeschreven.

Ingewikkelder wordt het onder de AVG voor nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars. De AVG vermeldt namelijk expliciet dat een afgedwongen toestemming niet mag, en toestemming voor iets niet-noodzakelijks verplichten bij afname van een dienst noemen ze als voorbeeld van afdwingen. Hier kom ik volgende week op terug.

Arnoud

28 reacties

  1. Arnoud Kip-ei vraag: Mag ik een adresbestand (opgebouwd via visitekaartjes , aan ons gestuurde mails, etc) mailen met de vraag “wil je onze nieuwsbrief ontvangen?” met een vinkje ? Oh – en , om een reactie te plaatsen moet ik ook verplcht mijn email adres invullen en er staat niet wat er mee gebeurt 🙂

    1. Wat is je grondslag om die mensen uit het bestand te mailen? Heb je toestemming van ze om ze zakelijke vragen zoals “wil je de NB ontvangen” te sturen, of past dat binnen de contractuele relatie die je hebt? Dan mag het.

      Enkel dat je iemands mailadres weet, betekent niet dat je ze mag uitnodigen voor de nieuwsbrief. Ik mag dat dus ook niet met de mailadressen die mensen hier achterlaten. Ik ga een tekst toevoegen wat ik er wél mee doe (filteren commenters en informeren bij technische problemen).

  2. De AVG vermeldt namelijk expliciet dat een afgedwongen toestemming niet mag, en toestemming voor iets niet-noodzakelijks verplichten bij afname van een dienst noemen ze als voorbeeld van afdwingen.

    Krijgen we dan ook een verscherping van de cookiewet (geen idee wat de status daarvan tegenwoordig is…)? Dat voelt namelijk ook een beetje als afgedwongen ‘als je deze site wilt bezoeken moet je cookies accepteren’ terwijl er dan waarschijnlijk niet alleen noodzakelijke cookies worden geset maar ook commerciĂ«le trackers etc. waar je meestal niet op zit te wachten. Ik zie zelden een keuzemogelijkheid voor wat betreft cookies, en zeker niet een lijstje waarin je tracker-cookies moet aanvinken.

  3. Je schrijft dat je als bedrijf moet aantonen dat je hebt gewerkt met confirmed opt-in. Dat is onmogelijk aan te tonen zonder logfiles lijkt me? Want ook al werk je netjes met confirmed opt-in, dan nog kun je in vrijwel alle mailinglist software handmatig adressen aan een lijst toevoegen. Dus als bol.com netjes met confirmed opt-in werkt, maar een of andere stagiair op de marketingafdeling even handmatig een mailadres aan de lijst kan toevoegen, dan is niet meer te bewijzen dat alle adressen op de lijst via confirmed opt-in zijn verkregen. Hoe kun je dat nog aantonen als je niet al die opt-in kliks gaat loggen?

    1. Dit begint bijna een standaard opmerking te worden op dit blog, maar:

      Het gaat hier over juridisch bewijs, niet wiskundig bewijs. Het hoeft dus niet 100% waterdicht te zijn, en ‘er is een theoretisch scenario mogelijk’ is an sich niet genoeg om juridisch bewijs onderuit te halen.

    2. Wat WilleM zegt, plus: het maakt nogal uit of er Ă©Ă©n iemand klaagt in die situatie dan wel duizend. In het laatste geval zal het bewijs van de ondernemer (“zo werkt mijn proces”) niet geloofwaardig zijn. Maar bij een nieuwsbrief met duizend man waarvan eentje zegt, ik heb nooit opt-in gegeven, terwijl de ondernemer een keurig filmpje laat zien met het opt-in proces, daar zie ik geen boete vallen.

  4. “Vereist is ook dat je specifiek en duidelijk hebt uitgelegd wat er gaat gebeuren na die handeling. Enkel om een e-mailadres vragen is dus niet genoeg, je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op de nieuwsbrief. Die bekende formulieren “vul uw mailadres in en download een ebook” zijn dus niet rechtsgeldig, omdat er niet bij staat dat je de nieuwsbrief(-ven) gaat ontvangen.”

    Dat betekent dat die uitnodiging om klanttevredenheidspagina in te vullen na de afhandeling van een online-bestelling ook niet meer mag? Dat komt tenslotte nooit ter sprake tijdens het bestelproces.

        1. Wie zegt dat dat niet mag? Die zin kan prima in bijvoorbeeld de orderbevestiging en/of een tevredenheidsenquĂȘte. Als losse mail is het wat dubieuzer want wat heeft dat nog te maken met de eerdere bestelling? De link is wat losser dan “wat vond u van onze service bij aanschaf van uw nieuwe mobiel”.

          1. Mijn punt is dat de tevredenheidsenquĂȘtes niet gedaan worden omdat dat iets te maken heeft met het uitvoeren van de bestelling, maar omdat het bedrijf dan enerzijds reclame kan maken en anderzijds haar bedrijfsvoering kan verbeteren (en haar website aantrekkelijker maken met reviews). Er is dan ook geen direct verband met de bestelling zelf. Ik zie dan ook geen wezenlijk verschil met bijvoorbeeld de nieuwsbrief. In beide gevallen is de geadresseerde slechts iemand die onlangs iets besteld heeft.

            Dit in tegenstelling tot bestellingsbevestigingen, berichten over het verzenden etc. Dat heeft wel een direct verband met het uitvoeren van de bestellingsovereenkomst.

  5. Is het toegestaan dat men reclame zit te maken voor extra producten in de mom van jouw informeren dat iets afloopt (Trial / korte deluxe support / extra Iphone garantie / etc) en dan aanbieden dat te verlengen.

    Alle extra’s en accessoires kan je relateren aan een hoofdproduct, maar om dan te zeggen dat er geen toestemming nodig is (als je dit hoofdproduct gekocht hebt) voor deze reclame lijkt me te ver gaan.

    1. Die mails verstuur je niet met opt-in, maar op basis van een wettelijke regeling. Dit blijft gewoon van kracht, ook onder de AVG. Vereist is alleen dat je bij verkrijging van hun gegevens ze hebt gezegd dat je dit gaat doen. Let er dus op dat er bij je bestelformulier staat dat je aanbiedingen gaat sturen en hoe ze zich daarvoor afmelden.

          1. Ik ben in de veronderstelling dat ook bestaande leden alsnog moeten instemmen dat wij hun persoonsgegevens verwerken tbv de contributie, het verzenden van het clubblad ed.; kortom alle reguliere onvermijdelijke activiteiten.

            1. Dat is onjuist. Wanneer gegevens onvermijdelijk gebruikt moeten worden, dan kun je het doen onder de grondslag uitvoering overeenkomst en/of eigen belang en is toestemming niet nodig. Ook toezending van het clubblad lijkt me mogelijk zonder toestemming. Bekijk het eens zo: stel er is toestemming nodig om gegevens te mogen gebruiken voor contributie-inning, dan gaat het gigantisch mis want dan trek ik die gewoon in en dan mag jij de contributie niet meer innen maar mij ook niet royeren want toestemming moet vrijelijk intrekbaar zijn. Dat kan dus niet waar zijn, juridisch gezien.

              1. Dat is al een geruststelling. Het is wel een zwakke plek (bij ons) dat de aanmeldingen als lid in het verleden langs allerlei wegen liepen: een formulier, e-mailtje, telefoontje, gesprek was voldoende om je aan te melden. De contributie-betaling was het bewijs dat je instemde. We kunnen dus niet voor 100% die aanmelding met onderliggende documentatie bewijzen. Inmiddels loopt dat allemaal via webformulieren etc. Overigens dank voor deze informatie.

  6. wat ik mij afvraag, zie tw: mits bij de verkrijging van de contactgegevens aan de klant duidelijk en uitdrukkelijk de gelegenheid is geboden om kosteloos en op gemakkelijke wijze verzet aan te tekenen tegen het gebruik van die elektronische contactgegevens.

    ik lees dit zelden ergens terug, terwijl dit gewoon geldend recht is. vind het zelf maar een onlogische bepaling, wat heb je aan zo een waarschuwing? Ik heb het verder ook nooit ergens op een website gezien, terwijl dit kennelijk echt expliciet bij de betreffende pagina moet staan of begrijp ik dit verkeerd?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.