Klantgegevens en de wet

Moet je je bestanden met klantgegevens aanmelden? Onlangs werd ons een interessante vraag gesteld: moet ik mijn online klantenbestand aanmelden bij de Autoriteit Persoonsgegevens? Daar zijn we ingedoken, en het is best een belangrijk onderwerp dat voor een aantal van onze klanten van belang kan zijn. Want als je een webshop hebt, sla je in de regel gegevens van je klanten op in een database. Ook als je een e-mailnieuwsbrief verstuurt, beschik je over een adresbestand dat ergens is opgeslagen.

| Wanneer verzamelde gegevens melden bij de Autoriteit Persoonsgegevens?
De Autoriteit Persoonsgegevens is hier stellig. In principe moet je elk bestand waarin je persoonsgegevens verzamelt aanmelden. De Autoriteit Persoonsgegevens moet je op de hoogte stellen wanneer deze gegevens worden gestolen, bijvoorbeeld als je website is gehackt of als je laptop waar dat bestand op staat is gestolen. Ook als de gegevens “op straat zijn komen te liggen”, bijvoorbeeld omdat je een USB-stick hebt verloren, moet je dat aanmelden.

| Uitzonderingen
Maar er zijn verschillende uitzonderingen die op de website van de Autoriteit Persoonsgegevens worden opgesomd. Die hebben dan waarschijnlijk betrekking op de meeste van onze klanten. Dus lees verder:

  • Klantgegevens die worden gebruikt voor de normale relatie tussen onderneming en klant. Deze hoeven niet te worden gemeld als de verzamelde gegevens worden gebruikt voor bijvoorbeeld verzending, facturering, administratie en accountants- of belastingcontrole.
  • Zie: https://autoriteitpersoonsgegevens.nl/

Als je verder niets met deze gegevens doet, hoef je zo’n bestand dus niet aan te melden.

| Wanneer wel melden?
Als je de klantgegevens die je via je webshop of in je fysieke winkel hebt verzameld ook wilt gebruiken om deze later te mailen, dan moet je dit bestand wel aanmelden bij de Autoriteit Persoonsgegevens. Daar ben je als ondernemer zelf verantwoordelijk voor, dus je kunt niet verwijzen naar degene die je systeem heeft ontwikkeld. Ook zal de Autoriteit Persoonsgegevens je niet adviseren of je het bestand al dan niet moet aanmelden. De Autoriteit Persoonsgegevens staat op het standpunt dat je dit zelf moet bepalen aan de hand van de voorwaarden en uitzonderingen die je op de website kunt vinden.
Let er ook op dat je niet meer gegevens verzamelt dan strikt noodzakelijk is. Een bestand waarin alleen e-mailadressen staan is minder gevoelig dan een bestand waar naam, adres, leeftijd, geslacht of zelfs gebruikersnamen en wachtwoorden in zijn opgeslagen.

Uitzondering: Wanneer de klant uitdrukkelijk toestemming heeft verleend dat zijn (mail-)adres wordt gebruikt voor bijvoorbeeld nieuwsbrieven of aanbiedingen, dan geldt dat hij of zij zich als abonnee heeft aangemeld. En abonneebestanden hoeven niet te worden gemeld.
https://www.iusmentis.com/maatschappij/privacy/persoonsgegevens/

Kortom:

  • Niet aanmelden:
    Bestand dat alleen administratief wordt gebruikt.
    Bestand waarvan betrokkenen toestemming hebben gegeven om te worden gemaild.
  • Wel aanmelden:
    Bestand dat je zonder toestemming van betrokkenen gebruikt om te mailen.

| Maar let altijd op de privacyregels!
Een en ander betekent niet dat je verder niet bent gehouden aan de bepalingen die voortvloeien uit de privacywetgeving (Wet bescherming persoonsgegevens), dus ook als je je gegevensbestand niet hoeft aan te melden. De belangrijkste daarin zijn:

  • Gegevens die je hebt verzameld mogen niet zonder toestemming van de betrokkenen worden verhandeld.
  • Je moet als ondernemer een duidelijk beleid hebben over wie toegang heeft of mag hebben tot je databases.
  • De bestanden moeten veilig worden opgeslagen.
  • De personen die in die bestanden zijn opgenomen, moeten worden geïnformeerd in het geval van misbruik of datalekken.

| E-mail
Als je de gegevensbestanden wilt gebruiken om je klanten te e-mailen, ben je daarnaast ook gehouden aan de regels betreffende de e-marketing. De belangrijkste daarin zijn:

  • Je mag alleen zonder toestemming van je klanten mailen over onderwerpen die betrekking hebben op je relatie met je klant, zoals over gelijksoortige producten of informatie over je bedrijf.
  • Iemand die geen klant is moet zich uitdrukkelijk voor een e-nieuwsbrief aanmelden als je die wilt mailen.
  • Natuurlijk kun je ook je klanten vragen om zich op te geven, dat kan veel problemen voorkomen.
  • Verstuur je zowel e-nieuwsbrieven als mails met alleen aanbiedingen, zorg er dan voor dat belangstellenden zich voor beide kunnen aanmelden.
  • Afbeeldingen mogen niet in de e-mail zelf worden ingevoegd. Die plaats je op de server, en je linkt naar die afbeeldingen.
  • Er moet voor iedereen altijd een duidelijke afmeldmogelijkheid zijn. Als een klant zich afmeldt, mag ook hij of zij niet meer worden gemaild.

| Tip
Maak duidelijk dat de gegevens van de klant kunnen worden gebruikt voor marketingdoeleinden, bijvoorbeeld in je leveringsvoorwaarden, een melding op je website, een bordje op je toonbank, of een melding op de factuur. Meld daar ook bij dat de klant hier bezwaar tegen kan maken, zodat hij of zij niet wordt gemaild. Daarmee voorkom je boze gezichten achteraf.

| Advies
Ga je klanten mailen? En verstuur je meer dan een handjevol e-mailadressen? Gebruik dan altijd professionele e-marketing software of gebruik een van de diverse gespecialiseerde diensten. Waarom? Omdat je mails dan allemaal individueel achter elkaar worden verstuurd. Want als een mail aan een groot aantal adressen tegelijk wordt verzonden, kunnen providers en zogeheten realtime blacklists (RBL’s) denken dat je aan het spammen bent, en kan je IP-adres worden geblokkeerd. In het ergste geval kan de hele server worden geblokkeerd, waardoor ook andere websites of webshops niet meer bereikbaar zijn en je aansprakelijk kan zijn voor de eventueel geleden schade.

| Disclaimer
Deze gegevens zijn gebaseerd op openbaar aanwezige documenten en informatie. Deze gelden als advies. Je kunt hier geen juridische rechten aan ontlenen.

 

Foto: FreeImages.com/Aron Balogh