U koopt e-mailadressen via direct marketing bureaus. Wat met de "toestemming" in het kader van GDPR? Wat met e-mailadressen die ik in het verleden aankocht via direct marketing bureaus waarbij die mensen in principe aan dat bureau ooit een opt-in hebben gegeven? Hoe kan ik in de toekomst aantonen dat er ooit een geldige toestemming is gegeven in het kader van de nieuwe privacyregels? Onder de nieuwe privacy regels (GDPR) staat en valt alles met het bewijsmateriaal dat je als ondernemer kan voorleggen wat de toestemming betreft. Kan je aantonen dat je rechtsgeldig toestemming verkreeg om de email-adressen te gebruiken, dan stel je jezelf veilig.
Algemeen: wat zijn de gevolgen van de GDPR m.b.t. gebruik van email-adressen? Er zal geen nieuwe toestemming nodig zijn als de reeds verkregen toestemming voldoet aan de nieuwe vereisten. De systemen moeten wel nagekeken worden om er zeker van te zijn dat de in het verleden verkregen toestemming voldoet aan de nieuwe regelgeving. De nieuwe regelgeving vereist voor de toestemming een duidelijke bevestigende handeling. Stilzwijgen, vooraf aangetikte velden of inactiviteit vormen geen toestemming! De toestemming moet controleerbaar zijn. Dit betekent dat men moet bijhouden hoe en wanneer de toestemming werd gegeven. De betrokkene heeft ten alle tijde het recht om zijn toestemming in te trekken. Het intrekken van deze toestemming moet even eenvoudig zijn als het geven ervan.

Indien de oorspronkelijke opt-in overeenstemt met de nieuwe vereisten blijft de toestemming uit het verleden geldig.

Indien dit niet zo is, dan dient de toestemming opnieuw te worden bekomen (conform de nieuwe regels) alvorens de email-adressen verder mogen worden gebruikt. Uitzonderlijk geen opt-in nodig: het hebben van een overeenkomst of de noodzaak om over de data te beschikken om een overeenkomst te kunnen uitvoeren (1); legitiem, vitaal of publiek belang (2); een wettelijke basis (3).
Specifiek: wat zijn de gevolgen van de GDPR bij aankoop van e-mail-adressen? Opnieuw geldt de toestemmingsvereiste als absolute verplichting. Als er persoonsgegevens worden doorgegeven aan derden (vb. verkoop van e-mailadressen), moet de persoon hier altijd van op de hoogte zijn. Daarom is een dubbele opt-in vereist wanneer persoonsgegevens worden overgedragen. U moet m.a.w. tweemaal toestemming vragen aan de persoon. Je hebt een enkele opt-in, waarbij iemand alleen het e-mailadres inschrijft en automatisch daarna de mails ontvangt. Bij een dubbele opt-in volgt daarna nĂłg een stap. Na inschrijving via de opt-in pagina, ontvang je een bevestigingsmail waarin de inschrijving nogmaals moet worden bevestigd. In deze bevestigingsmail dient dan duidelijk te worden gemaakt dat de gegevens (e-mailadressen) zullen worden overgedragen en ook waarvoor ze zullen worden gebruikt bij deze overdracht.
Hoe pak je dat best concreet aan? Om zeker te zijn kan er best naar alle e-mailadressen een mail worden verstuurd met de vraag hun dubbele opt-in te bevestigen (zowel toestemming aan het DM bureau zelf als toestemming dat hun e-mailadres mogelijks aan jullie voor welbepaalde doeleinden wordt doorverkocht. Dus opname van een clausule waarin o.a. omschreven staat dat jullie deze adressen enkel zullen gebruiken voor doeleinden waarvoor toestemming werd gegeven en conform de privacyreglementering,).
Wat met e-mailadressen die je in de toekomst wil aankopen via een direct marketing bureau? Hoe kan je in dat geval de opt-in aantonen? Tweemaal toestemming vragen Zoals hierboven reeds werd uitgelegd, dient er voor de toekomst tweemaal toestemming te worden gegeven door de betrokken personen (ondernemingen). De opt-in die aan het DM bureau wordt gegeven, geeft toestemming aan het DM bureau om ze te gebruiken voor welomschreven doeleinden. Wat betreft de verkoop dient een extra opt-in plaats te vinden. Uit deze tweede opt-in blijkt dan duidelijk dat er toestemming wordt gegeven om de email-adressen door te verkopen en dat er akkoord wordt gegaan met de (in de opt-in) duidelijk omschreven gebruiksdoeleinden. Deze dubbele opt-in bewaar je best als bewijs. Hoe? Door te voldoen aan de documentatieplicht (inhoud toestemmingsverklaring, inhoud bevestigingsmail bewaren). GDPR: documentatieplicht De documentatieplicht draagt bij tot de bewijsvergaring van de nodige toestemmingen. U dient het volgende te bewaren:
Inhoud van de toestemmingsverklaring, registratietijd en IP-adres
Inhoud van de bevestigingsmail
Tijdstip waarop de toestemming bevestigd werd Verder schrijft de GDPR ook een ‘Personal data audit’ voor. Dit kan enkel maar bijdragen tot het bewaren van een duidelijk controlespoor. Het vraagt om zorgvuldig in kaart brengen welke persoonsgegevens je verzamelt en waar je al deze gegevens bewaart. GDPR geldt niet enkel voor nieuwe data. Ook voor de data die je in het verleden hebt verzameld, moet je in orde zijn. Voor meer info daarover lees hier verder.