Directe marketing onder GDPR

Image of Carlo Cilento

Gepubliceerd op 18 sep 2023 en bijgewerkt op 19 dec 2023 door Carlo Cilento

Veel mensen zijn in de war als het gaat om marketing en de EU-privacywetgeving. We kunnen het ze niet kwalijk nemen, want de regels zijn zo ingewikkeld als het maar zijn kan.

Dat komt omdat direct marketing onder verschillende wetten valt: de GDPR en de oude ePrivacy-richtlijn. Elke wet afzonderlijk bekijken is onvoldoende - je moet begrijpen hoe ze op elkaar inwerken.

Om het nog ingewikkelder te maken, hebben de EU-lidstaten de richtlijn op verschillende manieren geïmplementeerd, vooral met betrekking tot communicatie tussen bedrijven (B2B). Als gevolg daarvan veranderen sommige regels van land tot land.

Deze blog kan slechts een tipje van de sluier oplichten: om ervoor te zorgen dat uw direct marketing 100% compliant is, moet u de wetgeving van elke lidstaat bekijken. Dat je voldoet aan de Nederlandse wetgeving betekent niet dat je dat ook doet in Italië of Kroatië!

Laten we erin duiken!

  1. Wat zijn de wetten?
  2. Welke wet is van toepassing?
  3. Wat zijn de regels?
  4. B2C (Business-to-consumer)
    1. Opt-in en soft opt-it
    2. De GDPR: toestemming en legitiem belang
  5. B2B (Business-to-business)
  6. Wat moet ik nog meer weten?
    1. Wees voorzichtig met gegevensanalyse!
    2. Identificeer je bedrijf in de e-mails
    3. Opt-outs en toestemming
  7. Conclusies
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Wat zijn de wetten?

Zowel de GDPR als de ePrivacy Richtlijn zijn van toepassing op direct marketing.

Je hebt waarschijnlijk al gehoord van de GDPR: het is een zeer belangrijke verordening en de centrale pijler van het EU-kader voor gegevensbescherming. Omdat het een verordening is, zijn de regels hetzelfde voor alle lidstaten.

De ePrivacy-richtlijn is een oudere EU-wet uit 2002. Als richtlijn is deze niet rechtstreeks van toepassing. In plaats daarvan implementeert elke lidstaat de richtlijn via zijn eigen wetgeving. Daarom zijn de regels in de hele EU vergelijkbaar, maar niet hetzelfde.

Welke wet is van toepassing?

De regels voor direct marketing zijn afhankelijk van de toepasselijke wetgeving. Dit is waar het lastig wordt, omdat de GDPR en de Richtlijn verschillende criteria gebruiken.

De Richtlijn maakt onderscheid tussen communicatie tussen bedrijven en consumenten (B2C) en tussen bedrijven onderling (B2B). De richtlijn reguleert B2C-communicatie, maar laat de lidstaten enige ruimte om B2B-communicatie te reguleren. Daardoor zijn de regels voor B2C in heel Europa (grotendeels) hetzelfde, maar gelden er voor B2B in verschillende landen verschillende regels.

Anderzijds hangt de toepasbaarheid van de GDPR af van het onderscheid tussen persoonlijke en niet-persoonlijke gegevens. De GDPR is van toepassing op alle B2C-marketing en op sommige vormen van B2B-marketing.

Samengevat zijn er drie mogelijke scenario's:

  • B2C-communicatie (zoals e-mailen naar johndoe@emailprovider.com) valt zowel onder de GDPR als onder de richtlijn.
  • B2B-communicatie (zoals e-mailing purchases@business.com) valt onder specifieke regels van de lidstaten.
  • B2B-communicatie valt onder de GDPR en onder de regels van de lidstaten wanneer de contactgegevens persoonsgegevens zijn (bijvoorbeeld door te mailen naar johndoe@business.com).

Wat zijn de regels?

Zoals we al hebben uitgelegd, hangen de regels af van het soort communicatie. Hier is een overzicht:

Business-to-consumer:

  • is opt-in of soft-opt-in voor de meeste lidstaten (later meer hierover!)

  • Als er geen toestemming wordt gevraagd, moet het legitieme belang correct worden afgewogen om te voldoen aan de GDPR. Als dit niet mogelijk is, is toestemming sowieso nodig!Business-to-business met persoonsgegevens:

  • verschillende staten hebben verschillende regels. Toestemming kan wel of niet vereist zijn voor marketing, afhankelijk van de staat en de situatie.

  • Als er geen toestemming wordt gevraagd, moet het legitieme belang correct worden afgewogen om te voldoen aan de GDPR. Als dit niet mogelijk is, is toestemming sowieso nodig!Business-to-business zonder persoonsgegevens:

  • verschillende staten hebben verschillende regels. Toestemming kan wel of niet vereist zijn voor marketing, afhankelijk van de staat en de situatie.

  • De GDPR is niet van toepassing. Daarom is er geen rechtsgrondslag nodig om de gegevens te verwerken.

Laten we alles eens op een rijtje zetten!

B2C (Business-to-consumer)

Opt-in en soft opt-it

Volgens de ePrivacy-richtlijn is toestemming verplicht voor B2C-marketing. Dit systeem wordt meestal opt-in genoemd.

Er is een uitzondering voor bestaande klanten, de zogenaamde soft opt-in regel. Onder de soft opt-in regel heb je geen toestemming nodig als aan vijf cumulatieve voorwaarden is voldaan:

  • je hebt het e-mailadres van de consument verzameld in het kader van een verkoop
  • je promoot je eigen product of dienst
  • de dienst is vergelijkbaar met de dienst die ze al van je hebben gekocht
  • je hebt hen de optie gegeven om af te zien van de marketing toen je het e-mailadres verzamelde
  • elke e-mail die u verstuurt, bevat een optie om u af te melden.

Bijvoorbeeld, John Doe koopt een abonnement op uw online krant en geeft u zijn e-mailadres. Tijdens het inschrijvingsproces kunt u hem een optie geven om af te zien van direct marketing. Als hij zich niet afmeldt, kunt u later contact met hem opnemen via johndoe@emailprovider.com om reclame te maken voor een van uw andere publicaties - maar u moet in elke communicatie een opt-outmogelijkheid opnemen.

Daarnaast kunt u geen reclame maken voor uw shampoorelijn of een krant van een andere uitgever of uw publicatie via telefoontjes of sms-berichten.

Deze uitleg geldt voor de meeste landen, maar niet voor alle. De implementatie van de richtlijn verschilt per lidstaat: sommige landen vereisen bijvoorbeeld extra stappen voor een soft opt-in om geldig te zijn, en andere staan helemaal geen soft opt-ins toe.

Wat een verkoop is, verschilt ook van land tot land. In sommige rechtsgebieden moet een product of dienst zijn verkocht, terwijl het in andere landen voldoende is om een commerciële relatie aan te gaan in het kader van een verkoop, zelfs als er uiteindelijk niets is verkocht.

De GDPR: toestemming en legitiem belang

De richtlijn is maar de helft van het plaatje: je hebt ook een rechtsgrondslag nodig onder de GDPR. In de praktijk kan dit zowel toestemming als legitiem belang zijn.

Wanneer de Richtlijn toestemming vereist, zijn de dingen relatief eenvoudig: de Richtlijn "overtroeft" de GDPR, en je kunt alleen toestemming gebruiken als je rechtsgrondslag voor direct marketing.

Wanneer de Richtlijn geen toestemming vereist, kun je kiezen tussen toestemming en legitiem belang, en dit is waar het lastig wordt.

Legitiem belang kan worden gebruikt voor direct marketing, maar er zijn enkele beperkingen; legitiem belang vereist het afwegen van tegenstrijdige belangen en rechten - in dit geval het recht van een consument op privacy versus het belang van een bedrijf om hun product of dienst te promoten.

Het afwegen is een complexe, gevalsgewijze beoordeling zonder pasklare antwoorden. Er kunnen scenario's zijn waarin je legitiem belang kunt gebruiken en scenario's waarin je dat niet kunt. In die gevallen heb je toestemming nodig, of de richtlijn dat nu vereist of niet!

Met andere woorden, de toestemmingsvereiste voor direct marketing is lastig omdat het afhangt van zowel de Richtlijn als de GDPR. Als je alleen naar de richtlijn kijkt, mis je de helft van het plaatje!

B2B (Business-to-business)

Business-to-business marketing richt zich rechtstreeks tot bedrijven; een e-mail naar purchases@business.com of johndoe@business.com telt bijvoorbeeld als B2B-marketing.

Zoals we al hebben uitgelegd, bevat de richtlijn geen regels voor B2B-marketing, maar laat deze de lidstaten de ruimte om de communicatie naar eigen inzicht te reguleren.

De regels zijn volledig afhankelijk van de lidstaat. Sommige rechtsgebieden vereisen toestemming voor B2B marketing, andere staan het toe zonder toestemming, en weer andere vereisen toestemming maar staan in bepaalde scenario's een soft opt-in toe. Tot slot wordt in sommige rechtsgebieden onderscheid gemaakt tussen eerste marketing en marketing door derden.

Om de zaken nog ingewikkelder te maken, vallen sommige B2B-communicaties onder de GDPR en andere niet.

In ons voorbeeld valt communicatie naar purchases@business.com niet onder de GDPR omdat het inkoopkantoor van Business geen persoon is. Anderzijds valt communicatie naar johndoe@business.com wel onder de GDPR omdat het e-mailadres van het bedrijf verwijst naar een medewerker van Business, John Doe. Dit kan ook het geval zijn wanneer je het e-mailadres gebruikt voor een eenmansbedrijf.

Als de GDPR van toepassing is, heb je een rechtsgrondslag nodig voor gegevensverwerking. En als je gerechtvaardigd belang wilt gebruiken, moet je de afweging maken, zoals hierboven uitgelegd. Als legitiem belang niet kan worden afgewogen, heb je toestemming nodig of de Richtlijn dit vereist.

Wat moet ik nog meer weten?

Wees voorzichtig met gegevensanalyse!

Bedrijven die zich bezighouden met direct marketing analyseren vaak persoonlijke gegevens zoals leeftijd, adres, interesses en koopgeschiedenis om te bepalen wie geïnteresseerd kan zijn in een aanbieding.

Al deze gegevens vallen onder de GDPR en vereisen een wettelijke basis om te verwerken. Het is niet omdat het soft opt-in systeem van de richtlijn je toestaat om contactgegevens te verwerken zonder toestemming, dat je ook andere gegevens kunt verwerken zonder toestemming!

Praktisch gezien helpt het om te denken aan twee verschillende gegevensverwerkingen:

  • als eerste stap analyseer je bepaalde persoonlijke gegevens over je publiek om je marketinginspanningen beter te richten. Deze stap moet voldoen aan de GDPR.
  • Als tweede stap verstuur je de marketingcommunicatie op basis van contactgegevens. Deze stap moet voldoen aan zowel de GDPR als de ePrivacy-richtlijn.

Identificeer je bedrijf in de e-mails

Of je marketing nu gebaseerd is op toestemming of niet, de Richtlijn vereist dat je e-mails je bedrijf als afzender identificeren.

Bovendien vereist de GDPR dat je informatie verstrekt voor transparantiedoeleinden. Stel dat je je e-mails netjes wilt houden. In dat geval kun je linken naar een privacyverklaring (zolang deze informatie bevat die specifiek is voor direct marketing - verwijs gebruikers niet naar de privacyverklaring op de website van je bedrijf of iets dergelijks).

In dit geval raden we aan om in de e-mail duidelijk aan te geven dat uw bedrijf de afzender is, zodat u de richtlijn niet overtreedt.

Opt-outs en toestemming

Houd er rekening mee dat toestemming kan worden ingetrokken en dat onder de GDPR het intrekken van toestemming net zo eenvoudig moet zijn als het geven ervan.

Om te voldoen aan de GDPR is het waarschijnlijk een goed idee om in je e-mails een link op te nemen waarmee je toestemming kunt intrekken.

In de praktijk betekent dit dat alle communicatie gericht aan individuen een optie moet bevatten om de communicatie voorgoed te beëindigen, of dit nu de opt-out is die vereist wordt door de Richtlijn, of een optie om toestemming in te trekken onder de GDPR.

Conclusies

De regels voor direct marketing zijn verwarrend en gefragmenteerd. De GDPR en de ePrivacy-richtlijn kunnen een startpunt zijn om de regels te begrijpen, maar uiteindelijk is er in de meeste gevallen niet echt een allesomvattend antwoord voor alle EU-jurisdicties.

Deze pdf van de website van de International Association of Privacy Professionals biedt een handig overzicht op hoog niveau van de toepasselijke regels. Soms kun je meer gedetailleerde informatie over specifieke wetgeving vinden op de website van nationale gegevensbeschermingsautoriteiten.

Zelfs met deze bronnen kan het ingewikkeld zijn om alle regels te begrijpen. Misschien wil je een jurist raadplegen die specifieke kennis heeft van de rechtsgebieden waar je zaken doet - zeker als je aan marketing doet zonder toestemming, wat GDPR-compliance lastiger maakt.

Waarom vinden wij dat belangrijk?

Wij geloven in ethisch zakendoen. Daarom hebben we Simple Analytics gebouwd, een privacy-vriendelijk alternatief voor Google Analytics. Simple Analytics geeft je alle inzichten die je nodig hebt zonder cookies, trackers of vingerafdrukken van gebruikers te gebruiken. We volgen je bezoekers niet en verzamelen geen enkel stukje persoonlijke gegevens!

Als dit je aanspreekt, probeer ons dan gerust uit!

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode