Opt-in bij e-mailmarketing: voldoe jij aan de actuele wetgeving?
Ooit was het algemeen geaccepteerd om een ‘cd’tje aan te schaffen’ met e-mailadressen die gebruikt konden worden voor e-mailmarketingdoeleinden. Gelukkig hebben we dat tijdperk inmiddels ver achter ons gelaten en gaan we over het algemeen op een zorgvuldige wijze om met het verzamelen van gegevens van (potentiële) klanten, waaronder e-mailadressen. Wel is het goed om zo af en toe eens stil te staan bij de manier waarop je die e-mailadressen verzamelt en de wijze waarop de zogenaamde opt-in wordt vastgelegd. Voldoet deze vastlegging nog wel aan de meeste actuele regelgeving? In dit artikel geven we je een update van de actuele stand van zaken op dit vlak.
Als e-mailmarketeer ben je uiteraard bewust van het feit dat je bepaalde wet- en regelgeving te respecteren hebt. De basis voor de regels die wij als e-mailmarketeers hebben na te leven is ooit gelegd in de Telecommunicatiewet. Deze Telecommunicatiewet liet echter veel ruimte over voor interpretatie, dus in het kader van zelfregulering heeft de Nederlandse E-mailbranche (DDMA, EMMA-nl en Thuiswinkel.org) de Code E-mail geformuleerd. Deze Code E-mail is in beheer bij de Data Driven Marketing Association (DDMA).
Aangezien de bovengenoemde wet- en regelgeving toch al geruime tijd bestaat, zou je verwachten dat inmiddels wel duidelijk is hoe wij ons als e-mailmarketeers moeten gedragen. De realiteit is anders. Gerenommeerde partijen binnen de markt zijn de afgelopen jaren geconfronteerd met hoge boetes omdat zij het spamverbod overtraden. De boetebesluiten die aan deze boetes ten grondslag liggen, zijn voor de branche veelal aanleiding om ‘nog eens goed naar de regels te kijken’ en deze zo nodig aan te scherpen met aanvullende richtlijnen.
Hoe kan het misgaan?
Een van de dingen die in de praktijk mis bleek te gaan is de registratie van een opt-in. De verzender moet toestemming aantonen. In boetebesluiten, onder andere aan het adres van Daisycon, bleek dat een timestamp alleen niet voldoende is:
De verzender moet kunnen aantonen dat de betreffende abonnee voor het overbrengen van ongevraagde communicatie voorafgaand toestemming heeft verleend. Uit voornoemde volgt dat de verzender in ieder geval per ontvanger moet kunnen laten zien dat (i) de betreffende ontvanger toestemming heeft gegeven, (ii) wanneer hij toestemming heeft gegeven, (ii) aan wie de toestemming is gegeven, en (iv) waarvoor deze toestemming is gegeven. Daarbij zal hij uiteraard ook inzicht moeten verschaffen in (v) de wijze waarop de toestemming van de betreffende ontvanger is verkregen. Doet hij dat niet, dan kan immers niet worden vastgesteld, en dus ook niet bewezen, dat de beweerdelijk verkregen toestemming “de vrije, specifieke en op informatie berustende wilsuiting.”
Naar aanleiding van onder meer deze boete, werkt de sector aan een ‘Richtlijn Toestemming voor third party e-mail’ die naar verwachting in juni 2016 gepubliceerd zal worden. Deze richtlijn is opgesteld door de DDMA en hierover vindt doorlopend overleg plaats met de Autoriteit Consument & Markt (ACM). De richtlijn bevat een aantal bepalingen die zeer specifiek aangeven op welke wijze je moet omgaan met het vastleggen van de bewijslast bij het verzamelen van e-mailadressen.
Zo wordt in deze richtlijn beschreven dat de registratietekst op basis waarvan toestemming is verkregen en overige informatie zoals de op dat moment geldende privacyverklaring, als bewijslast vastgelegd moet worden. Ondanks dat de betreffende richtlijn gericht is op het verzenden van third party e-mail, kun je er vanuit gaan dat de regels die hier beschreven worden eveneens van toepassing zijn voor partijen die e-mail versturen naar maillijsten waar zij de eigenaar van zijn.
‘Actieve handeling’
Daarnaast hebben de bij DDMA aangesloten E-mail Service Providers (ESP) recentelijk de Council E-mail Technische Richtlijnen uitgebracht. Als een E-mail Service Provider deze richtlijnen opvolgt, is gewaarborgd dat aan de vereisten uit de wet en de regelgeving voldaan wordt. Zo ook de bepalingen die van toepassing zijn voor het vastleggen van bewijslast rondom het verzamelen van e-mailadressen.
Werd in de Telecommunicatiewet slechts bepaald dat ‘de verzender aan moet tonen dat de abonnee voorafgaand toestemming heeft verleend’ en vulde de Code E-mail hier een ‘actieve handeling’ aan toe, de bovengenoemde richtlijnen beschrijven specifiek welke bewijslast vastgelegd moet worden in het kader van het verkrijgen van deze toestemming (de zogenaamde opt-in).
Council E-mail Technische richtlijnen
Deze richtlijnen moeten waarborgen dat het verzendplatform van de ESP de technische faciliteiten biedt om enerzijds op hoogwaardige manier om te gaan met de verzending van e-mail en anderzijds om te waarborgen dat aan de vereisten vanuit de wet- en regelgeving voldaan wordt.
Dit artikel gaat in op de vereisten die vanuit de wet- en regelgeving worden gesteld aan het verkrijgen van (aanmelding) opt-in. De overige technische richtlijnen zullen hier niet behandeld worden.
Voor het verkrijgen van opt-in bevatten de richtlijnen de volgende bepalingen:
- De ESP dient technische mogelijkheden te bieden aan haar klanten waarmee op basis van double opt-in e-mailadressen verzameld kunnen worden.
- In verband met de juridische bewijslast dienen gegevens betreffende waar, wanneer, de gehanteerde opt-in tekst, het geldende privacy statement en via welke methode toestemming (en bevestiging) van de geadresseerde is verkregen om e-mail te versturen (opt-in data), bewaard te worden. De vastgelegde informatie kan bijvoorbeeld bestaan uit: webformulier-url, datum van formulier invullen, IP van bezoeker, verzendmoment bevestigingsmail, datum van bevestiging (clicks), IP van ontvanger bevestigingsmail.
- De ESP dient technische mogelijkheid te bieden aan haar klanten om deze gegevens gedurende de door regelgever opgelegde periode te bewaren. Deze periode is 60 maanden gerekend vanaf het moment dat de toestemming zijn geldigheid heeft verloren.
Uiteraard is jou als e-mailmarketeer er alles aan gelegen om tegemoet te komen aan de wensen van personen die goedkeuring hebben gegeven om e-mailuitingen van je te ontvangen. Daarnaast is het voor zowel de ontvanger als de verzender van e-mail van belang dat het duidelijk is onder welke voorwaarden een inschrijving heeft plaatsgevonden en welke afspraken van toepassing zijn. De e-mailmarketeer moet daarom een aantal zaken geregeld hebben of moeten gaan regelen.
Versiebeheer privacyverklaring
Allereerst zal er een privacyverklaring opgenomen moeten worden op de website waarin staat op welke wijze er wordt omgegaan met e-mailadressen. Op zich is dit niets nieuws. Wat wel nieuw is, is dat deze privacyverklaring onderhevig moet zijn aan versiebeheer. Concreet houdt dit in dat de privacyverklaring een versienummer heeft en dat er een administratie gevoerd wordt met betrekking tot de verschillende versies en de perioden waarop de verschillende versies betrekking hebben gehad. Op het moment dat een opt-in verkregen wordt, zal dit versienummer opgeslagen en gekoppeld moeten worden aan de verkregen opt-in.
Versiebeheer inschrijfformulieren
Een ander onderdeel van de bewijslast is de zogenaamde opt-in tekst. Deze tekst kan staan op het formulier waarmee e-mailadressen worden verzameld, maar ook op allerhande andere formulieren. Die tekst moet dus ook gekoppeld worden aan de verkregen opt-in. Dergelijke formulieren zijn dus ook onderhavig aan versiebeheer en moeten daarom een versienummer krijgen en geadministreerd worden.
Overige zaken die geregeld moeten worden
Om de bewijslast rondom opt-ins vast te leggen zal de ESP waar gebruik van wordt gemaakt een aantal registratiemogelijkheden moeten bieden waardoor de verzender aan de wet- en regelgeving kan voldoen. Naast de eerder genoemde versienummers voor de privacyverklaring en de inschrijfformulieren, zal de mogelijkheid moeten worden geboden om voor elke inschrijving de volgende zaken vast te leggen:
- de methode van inschrijving (is het e-mailadres verkregen op basis van opt-in of double opt-in)
- de url van het gebruikte inschrijfformulier
- de datum waarop de opt-in is verkregen
- het IP-adres van de bezoeker
- het verzendmoment van de bevestigingsmail
- in geval van double opt-in: datum van bevestiging
- het IP-adres van de ontvanger van de bevestigingsmail
Op het moment dat je gebruik maakt van een platform van één van de ESP’s die zich geconformeerd hebben aan de Council E-mail Technische Richtlijnen, dan mag je erop rekenen dat bovenstaande zaken technisch gefaciliteerd worden door het betreffende platform. Waar je wel rekening mee moet houden, is dat het vaak voorkomt dat opt-ins verkregen worden op andere plekken dan een inschrijfformulier dat direct aan het platform van de ESP gekoppeld is. Denk aan bestelformulieren en actiematige formulieren waarbij bijvoorbeeld de verzamelde gegevens worden weggeschreven in een CRM-platform en door middel van een API-koppeling worden gesynchroniseerd met het platform van de ESP. Ook in die situatie moeten de wettelijk vereiste gegevens gekoppeld worden aan de verkregen opt-in.
Bewaarplicht
Als dit allemaal geregeld is, dan is het van belang om te weten dat al deze gegevens 60 maanden bewaard moeten worden, gerekend vanaf het moment dat de toestemming zijn geldigheid heeft verloren. Je moet er bij overstap naar een ander platform dus rekening mee houden dat deze gegevens ‘meegenomen’ moeten worden.
Richt je proces goed in
Kortom, om een opt-in te bewijzen is meer nodig dan je misschien in eerste instantie denkt. Richt dit proces in één keer goed in zodat je aan de wet- en regelgeving voldoet en je bijvoorbeeld gemakkelijk kunt opzoeken welke privacyverklaring van toepassing was toen een persoon zich inschreef voor je nieuwsbrief.