Nieuwsbrieven via een externe provider: aandachtspuntjes

Nieuwsbrieven via een externe provider: aandachtspuntjes

31/01/2018 - Gebruik je een externe leverancier voor je emails naar je klanten? Welke impact heeft de GDPR daarop? Maakt het uit of je een Europese dan wel een Amerikaanse provider gebruikt? Waar moet je op letten? Wij zetten het even op een rijtje voor je...

Heel veel organisaties sturen elektronische nieuwsbrieven en sturen die uit via een gespecialiseerde provider. Een mailing goed uitsturen, zorgen dat je mail toekomt, een beetje analyse of je nieuwsbrief gelezen wordt, is immers een vak apart!

Nu de GDPR eraan komt, is het het moment om even na te gaan of alles wel correct gebeurt en eventueel bepaalde procedures aan te passen.

Er zijn een viertal aandachtspunten die je in het achterhoofd moet houden: de toestemming van je subscribers, transparantie, de verwerkersovereenkomst en (voor niet Europese leveranciers) de plaats waar je gegevens opgeslagen of verwerkt worden. 


Toestemming

De GDPR bepaalt dat de toestemming “vrij gegeven, specifiek, geïnformeerd en ondubbelzinnig” moet zijn. Dat betekent dat een aantal zaken niet meer kunnen. Zo kan je niet meer alle klanten automatisch inschrijven op een nieuwsbrief enkel en alleen omdat dit in de privacy policy staat (want niet ondubbelzinnig). Een vinkje dat automatisch aanstaat kan ook niet (want niet ondubbelzinnig). Je klanten verplichten zich in te schrijven kan ook niet (want niet vrij gegeven). Om dezelfde redenen moet je ook de inschrijvingen laten bevestigen via een e-mail actie (zodat de inschrijving ondubbelzinnig is).

Er zijn wel een aantal uitzonderingen op deze regel, de belangrijkste is als je een “legitiem belang” hebt om de klanten te mailen. Zo hebben wij zelf alle klanten van het GDPR Butler platform ingeschreven op een afzonderlijke mailinglijst, waar we enkel operationele berichten naar toe sturen. Onze klanten moeten immers weten wanneer het platform niet beschikbaar zal zijn wegens onderhoud, of als we belangrijke aanpassingen aan de software aangebracht hebben. Uiteraard moeten we opletten dat we de juiste inhoud naar de juiste lijst sturen, en halen we de klanten van de lijst zodra ze geen klant meer zijn. 

Belangrijk om in het achterhoofd te houden is dat deze regels niet alleen gelden voor nieuwe abonnees, maar ook voor alle bestaande. Ben je dus niet zeker dat je lijsten volgens deze regels opgebouwd zijn, dan heb je eigenlijk maar één optie: je zal van alle bestaande abonnees een vrij gegeven, specifieke, geïnformeerde en ondubbelzinnige goedkeuring moeten krijgen. Je kan dit doen door hun (liefst vóór 25 mei) een mail te sturen met de vraag hun keuze te herbevestigen. Een aantal mailinglist-providers hebben hier uitdrukkelijke tags voor voorzien. Zie onder andere deze pagina bij Mailigen voor een aantal goede voorbeelden.

Wees wel consequent: heeft je klant niet herbevestigd voor 25 mei, dan moet je het adres schrappen uit je lijst. Niks belet je natuurlijk om op 24 mei een dramatische afscheidsmail te sturen en te wijzen op alle goede content en kortingen die de klant vanaf de dag erna niet meer zal ontvangen…

Heb je voor alle bestaande bestemmelingen wel zo’n toestemming, dan is het niet nodig dit te doen, en kan je de bestaande lijst blijven gebruiken. 


Transparantie

De GDPR hecht bijzonder veel belang aan transparantie. Een duidelijke en volledige privacy policy is dus ook hier van belang. Wees volledig in je policy: vermeld dus niet alleen “We verzamelen je naam, e-mailadres en woonplaats om relevante informatie te kunnen sturen”, maar ook “Om onze nieuwsbrief te verbeteren, houden we bij hoevaak en wanneer iemand op een bepaalde link geklikt heeft, en welke e-mailprogramma’s onze abonnees gebruiken”.

Daarnaast moet je je subscribers ook herinneren aan hun rechten: het recht op inzage, verbetering (hoewel dat allicht niet veel voorstelt bij een nieuwsbrief), het recht om de toestemming in te trekken (met andere woorden, om zich uit te schrijven), en het recht om “vergeten” te worden.

Lees daarom zeker ons advies over de Privacy Policy nog eens na!


De Verwerkersovereenkomst

Staat een externe leverancier in voor het uitsturen van je nieuwsbrief, dan verwerken zij in jouw opdracht persoonsgegevens waarvoor jij verantwoordelijk bent. In zo’n geval is een verwerkersovereenkomst nodig. Bij de meeste leveranciers is dit intussen opgenomen in de algemene voorwaarden of de overeenkomst die je met hen hebt, of zal dit gebeurd zijn tegen 25 mei.

Jij hebt in dat opzicht twee verplichtingen. Je moet nagaan of die overeenkomst er is, en je zal in je dataregister moeten opnemen dat je een nieuwsbrief hebt, en dat de verwerking daarvan gebeurt door een externe leverancier. Gebruik hiervoor in GDPR Butler het “Nieuwsbrief” sjabloon in het Dataregister


Waar worden de gegevens verwerkt?

Tot slot moet je nagaan waar de leverancier de gegevens verwerkt. We bekijken drie gevallen.

Het eerste is Flexmail, een Belgische leverancier. Aangezien het hier gaat om een speler binnen de EU, moet deze voldoen aan de GDPR in al haar aspecten. Behalve nagaan dat er een verwerkersovereenkomst is, hoef je dus niks verder te doen. Flexmail zal ervoor zorgen dat de gegevens enkel op servers binnen de EER (Europese Economische Ruimte) staan, of als het toch van leveranciers buiten Europa gebruikt maakt, is het de verantwoordelijk van Flexmail om aan jou te garanderen dat de privacy gewaarborgd wordt. Europese spelers zullen er zeker voor zorgen dat de verwerkersovereenkomst opgesteld en in orde is. 

Misschien gebruik je MailChimp, of een andere grote Amerikaanse speler. Hierbij heb je iets meer werk. Je zal eerst en vooral moeten navragen of er een verwerkersovereenkomst is. Wat daar precies in moet staan, daar komen we in een volgende post op terug. Daarnaast moet je nagaan of de leverancier van je keuze zich aangesloten heeft bij het “EU-USA Privacy Shield”. Dit is een samenwerkingsverdrag tussen Amerika en Europa waarin bepaald wordt hoe Amerikaanse bedrijven de privacy van Europese burgers kunnen en zullen respecteren. De grote spelers (MailChimp bv) zijn allemaal aangesloten bij dat verdrag. Voor andere spelers kijk je toch best even na of ze op deze lijst staan.

Een andere heel populaire provider is CampaignMonitor. De extra moeilijkheid hier is dit een Australisch bedrijf is. Australië staat niet op de lijst van landen waar de EU een privacy akkoord mee heeft. De enige mogelijk om toch CampaignMonitor te mogen gebruiken, is een bijkomende privacy overeenkomst te tekenen, gebaseerd op de “EU Standard Contract Clauses”. Dit zijn door de EU goedgekeurde clausules die de privacy van de Europese burgers moet garanderen. 

Campaign Monitor is bereid dit te doen, maar doet het niet standaard. Je moet dus via de support desk een ticketje openen bij hen, en vragen naar dit contract in het kader van de GDPR. Let er wel op dat dit even kan duren: we gebruiken zelf Campaign Monitor, en het contract was pas na een maand in orde. Zolang je dit niet getekend hebt, mag je in theorie geen gebruik maken van hun diensten, maar bon… Het voordeel is wel dat dit document direct alle verplichte items van de verwerkersovereenkomst bevat.


In het kort…

  • Let op je toestemming, en ga na hoe het het met je huidige lijsten zit
  • transparantie, tranparantie, transparantie: zorg dat je duidelijk uitlegt wat je doet
  • verwerkersovereenkomst in orde? Vergeet de nieuwsbrief niet toe te voegen als datastroom in het Dataregister op het GDPR Butler platform!
  • Niet Europese leverancier? Privacy Shield of EU Standard Clauses contract nodig! 
Dit artikel is ook als advies-document gepubliceerd in de Documenten sectie van GDPR Butler. Nog geen account op GDPR Butler? Maak snel een gratis account aan!



Bekijk hoe wij je kunnen helpen

Wil je weten wat GDPR-butler precies voor je organisatie kan betekenen?

Maak nu een gratis account aan!