Nieuwe privacy-wetgeving en email-tips

Nieuws over Autorespond

              Nieuwe privacy-wetgeving - vervolg 
            

Beste ,

Enkele weken geleden heb je kunnen lezen over de nieuwe Algemene verordening gegevensbescherming (AVG) die per 25 mei 2018 van kracht wordt. Hieronder even een heel korte samenvatting (je kunt de volledige tekst van de vorige nieuwsbrief hier teruglezen):

De AVG eist dat het voor jou en de relaties waarvan je gegevens beheert, duidelijk moet zijn hoe je omgaat met deze gegevens: om welke gegevens gaat het, wat wordt ermee gedaan, waarom worden ze bewaard en hóe worden ze bewaard. Daarnaast moet je relaties snel inzicht kunnen geven welke gegevens van hen worden bewaard en moeten die gegevens op verzoek aangepast of verwijderd kunnen worden.

De vorige keer beloofde ik een checklist. Met deze checklist wil ik:

hulp bieden om inzichtelijk te maken waar je aan moet voldoen en hoe ver je daarin bent; en
hulp bieden om alle acties op een rijtje te zetten die je moet uitvoeren om goed voorbereid te zijn op de AVG

De checklist biedt je hulp om je voor te bereiden maar we zijn geen juristen. Dus twijfel je ergens over, dan raden we je aan om dat met een gespecialiseerde partij te bespreken of te kijken of er antwoord op je vraag is op bijvoorbeeld de website van de autoriteit persoonsgegevens.

Daarnaast is jouw feedback zeer welkom! We denken er aan om begin volgend jaar een webinar te organiseren rond dit onderwerp zodat we alle verzamelde kennis en ervaring kunnen delen.

Maar eerst wat email-tips!

Onlangs zijn we overgestapt op een nieuwe email-oplossing voor het versturen van emails aan een aantal Nederlandse domeinen. Op langere termijn zullen alle emails via deze nieuwe oplossing worden verstuurd. Er worden daarbij strengere eisen gesteld aan de inhoud van emails om te voorkomen dat emails in de spambox terechtkomen of anderszins tegen worden gehouden. In deze nieuwsbrief geven we je belangrijke tips - doe er je voordeel mee!

Hartelijke groet

Team Autorespond

              Tips voor versturen van emails

            

Om spam- en bounceproblemen te voorkomen zal nu strenger worden gelet op de inhoud van emails en hoe wordt omgegaan met emailadressen. Om een zo optimaal mogelijke 'deliverability' te bereiken (geen bouncers, geen berichten in de spambox), is het noodzakelijk dat je aandacht besteedt aan de volgende zaken:

1. Correcte inhoud van de email

Let vooral op gebruikte links:

zorg dat alle links beginnen met http: of https: of mailto:
controleer of de gebruikte URL's kloppen (let op spelfouten en gebruik geen spaties in de URL)
vermijd lokale links (die beginnen met een '#')
gebruik geen URL's naar genndi.com omdat dat domein als spam-risico wordt gezien
gebruik geen link-verkorters zoals bit.ly en tinyurl.com

We zullen waar mogelijk zorgen dat dit automatisch wordt geoptimaliseerd voordat de email wordt verstuurd.

Gebruik van plaatjes is prima, maar vermijd overdadig gebruik van plaatjes en zorg dat er ook altijd voldoende tekst in de email staat.

Wil je promotie-emails versturen, zorg er dan voor dat de inhoud niet al te "reclame-achtig" overkomt en vermijd teveel hoofdletters, uitroeptekens en woorden als korting, gratis, etc in de onderwerpregel.

2. Afmeldmogelijkheid

Zorg dat er altijd een afmeldmogelijkheid is in emailteksten die worden gebruikt voor maillings, lijstmanagers en workflows. Voor emails met facturen en herinneringen, etc is dit niet verplicht.

3. Doelgroep

Misschien een open deur: stuur emails alleen naar relaties die daar prijs op stellen en toestemming voor gegeven hebben! Niks zo slecht voor jouw (en onze!) reputatie als mensen die een spam-klacht indienen op basis van jouw email. We gaan de komende tijd hier op controleren.

4. Lijst-hygiëne

Controleer regelmatig je bouncelijst en verwijder niet-bestaande relaties, relaties die geen emails meer willen ontvangen én relaties die langere tijd hun email niet hebben geopend of op een link hebben geklikt. Wat die 'langere tijd' is hangt er vanaf hoe vaak je mailt. Mail je gemiddeld twee keer per maand dan zou je alle relaties die het laatste half jaar niets hebben gedaan op een 'reservelijst' kunnen plaatsten die je uitsluit van mailings. Mail je elke week of vaker dan kun je controleren op de laatste 3 maanden. Je kan deze 'inactieve relaties' opzoeken via menu 'Relaties | Statistieken'. Je kan hier desgewenst de gevonden relaties in een aparte groep plaatsen en verwijderen of in de "geen emails meer ontvangen" groep plaatsen.

              De AVG Checklist 
            

De AVG (ook bekend onder de afkorting GDPR, de General Data Protection Regulation) geldt voor alle organisaties binnen Europa die gegevens verwerken en overtreding van de regels kan leiden tot boetes. Maar zover hoeft het niet te komen als je goed voorbereid bent!

Stap 1. Analyse

Een eerste goede stap is om voor jezelf een overzicht te maken van alle gegevens die je verzamelt over klanten en prospects.

(a) over welke gegevens gaat het precies? Denk aan naam, email, adres, telefoonnummers, vrije velden, etc
(b) hoe kom je aan die gegevens? Bijvoorbeeld via formulieren op je website, via netwerk-gesprekken, etc
(c) waar zijn deze gegevens nu opgeslagen? Denk aan Autorespond, spreadsheets op je laptop of in de cloud, en vergeet de gegevens in bijv. MS Outlook niet!
(d) kun je aantonen hoe je aan die gegevens bent gekomen en of de betreffende relatie daar toestemming voor heeft gegeven?

Vat dit alles bijvoorbeeld samen in een tabel waarbij je voor elk gegevensveld (a) een rij maakt en dan kolommen maakt: 'herkomst' (b), 'opslag' (c) en 'toestemming' (d). Dit overzicht kun je gebruiken in de volgende stappen.

Stap 2. Gebruikersrechten waarborgen

De AVG stelt dat jij als beheerder van de gegevens de relatie de mogelijkheid moet geven de gegevens te bekijken, en meer:

men moet de verzamelde gegevens over hem/haarzelf kunnen inzien
op verzoek moeten aanpassingen kunnen worden gemaakt of gegevens worden verwijderd
men moet zich kunnen uitschrijven voor alles waar men zich voor heeft opgegeven
het moet duidelijk zijn of er aan automatische profilering wordt gedaan (marketing automation, workflows) en dat moet 'uitgezet' kunnen worden
op verzoek moeten gegevens kunnen worden overgedragen

Voor zover het gaat om gegevens binnen Autorespond zullen wij volgend jaar de mogelijkheid gaan bieden om relaties zelf deze zaken te laten regelen. Denk aan de self-service link die nu al in emails opgenomen kan worden.

Gaat het om gegevens die jij zelf beheert (in Excel of Microsoft Outlook), kijk dan aan de hand van de lijst uit stap 1 hoe je de bovenstaande vijf zaken kunt aanbieden en wat daar eventueel nog voor moet gebeuren om dat mogelijk (en hanteerbaar) te maken.

Stap 3. Gebruik, grondslag en toestemming

Dit is één van de belangrijkste peilers onder de AVG. Het gaat hier om de vraag of voor de aanwezige data toestemming is gegeven en er een duidelijke grondslag is voor het gebruik ervan.

Voor sommige scenario's is dat duidelijk: neem het scenario dat iemand iets online heeft besteld: die heeft zich geregistreerd en de gegevens worden gebruikt om op de factuur te zetten en eventueel het product op te sturen. Maar (en hier komt scenario 2) wat als er een workflow wordt gestart naar aanleiding van de verkoop met als doel om enkele weken later die persoon te berichten over nieuwe producten? Of als er een lijstmanager is gestart met followup mails over je bedrijf (scenario 3)? Daar heeft de relatie initieel geen expliciete toestemming voor gegeven...

Het is dus belangrijk om voor al je bestaande scenario's te bekijken of de ingevoerde gegevens alléén voor dat scenario worden gebruikt, of ook voor aanvullende, voor de relatie 'onzichtbare' interne scenario's. Is dat het geval, dan worden dus de gegevens van de relatie gebruikt voor doeleinden waar hij/zij géén expliciete toestemming voor heeft gegeven, en is er ook geen grondslag voor gebruik. Je voldoet op dat moment dan ook formeel niet aan de richtlijnen van de AVG.

Dus, hoe krijg ik hier goed inzicht in?

(a) maak een lijst van alle voor het publiek zichtbare scenario's. Denk aan aanmelden voor nieuwsbrief of een ander formulier dat op je website staat. Een ander scenario vormt het bestellen van een product.
(b) bepaal per scenario: is er duidelijk en aantoonbaar toestemming gegeven? Bij producten is dat eigenlijk per definitie zo. Bij aanmeldingen op een formulier is dat formeel alleen goed geregeld als de aanmelding via een opt-in procedure is gelopen.
(c) bepaal tevens per scenario: zijn er "secundaire" scenario's gekoppeld waar de relatie niets van weet? Bijvoorbeeld een workflow die wordt gestart na invullen van een formulier, of een lijstmanager die wordt gestart na aankoop van een product. Als dat zo is: is dat secundaire scenario echt noodzakelijk voor het initiële scenario? Als dat niet zo is, is er geen verwerkingsgrondslag en zul je voor dit tweede scenario ook expliciet toestemming moeten vragen aan de relatie op het moment dat hij/zij het formulier invult of het product aanschaft.

Marketing automation is dus niet meer een vanzelfsprekendheid! De kunst is om te zorgen dat je toestemming hebt van de relatie en daarbij volledig open bent over wat je precies doet met de gegevens die hij of zij aan jou toevertrouwt.

              Hoe verder
            

Ok, die checklist gaat me behoorlijk wat werk kosten... Gaan jullie mij hierbij nog helpen?

Nou, de inventarisatie zul je toch grotendeels zelf moeten maken maar we gaan in ieder geval drie nieuwe functies aanbieden volgend jaar:

We gaan een speciaal "ik ga akkoord" veld aanbieden dat je in je formulier kunt zetten. Bij dat veld kun je een tekst opgeven die getoond moet worden. Pas als mensen het vinkje in dat veld hebben aangevinkt, kan het formulier worden verstuurd. En als dat is gebeurd, dan wordt dat vinkje, samen met de omschrijving en het tijdstip en nog wat andere gegevens opgeslagen in jouw administratie zodat je later op elk moment terug kan vinden dat er goedkeuring is gegeven en waarvoor precies.
In je administratie komt hiervoor een apart scherm zodat je van elke relatie de aanwezige goedkeuringen op kan vragen. Ook kun je hier snel uitvinden van welke relaties je geen akkoordverklaring hebt (bijvoorbeeld omdat je die hebt geïmporteerd uit een ander systeem). Voor die relaties kun je dan overwegen om een mailing te sturen waarin ze de mogelijkheid wordt aangeboden om alsnog toestemming te geven.
We gaan de 'selfservice' functie, die relaties kunnen aanroepen vanuit een email, uitbreiden zodat alle punten genoemd in stap 2 hierboven, kunnen worden afgehandeld.

We zijn benieuwd naar je reactie en als we op andere manieren hulp kunnen bieden zullen we daar zeker naar kijken!

Begin volgend jaar komen we zeker op dit onderwerp terug want we hebben nog niet alle zaken belicht. We gaan het nog hebben over een standaard bewerkersovereenkomst en de noodzaak om een PIA (Privacy Impact Assessment) op te stellen.

Kortom, we zijn nog niet uitgepraat hierover! In de tussentijd wensen we je een fijne kerst en alvast een gezond en succesvol nieuw jaar!

Hartelijke groet,

Team Autorespond

Autorespond.nl