De wetgeving met betrekking tot persoonsgegevens is vorige week vrijdag op de schop gegaan. Vanaf 25 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming (AVG) van kracht. Er is veel veranderd en er bestaat nog veel onduidelijkheid over deze nieuwe Europese wet. Ik licht graag één item uit in deze blog waar wij regelmatig vragen over krijgen: e-mail.

 
Mag ik nog wel e-mail gebruiken binnen de AVG? Hoe ga ik om met e-mail en de AVG? Wat zijn goede, privacyvriendelijke alternatieven voor e-mail? In deze blog verduidelijk ik graag een en ander omtrent e-mail en de AVG. 4 zaken wil ik uitlichten:

  1. Is e-mail veilig?
  2. Hoe ga ik om met e-mail binnen de AVG?
  3. Hoe kan ik veilig berichten verzenden?
  4. Hoe ga ik om met AVG en nieuwsbrieven/e-mail marketing?

Is e-mail veilig?

E-mail is een veelgebruikt medium om berichten te verzenden. Het is niet per definitie een slecht medium om berichten te versturen. Dit betekent dus dat je prima berichten kunt verzenden via e-mail. De vraag is alleen welke berichten je wilt versturen en of dat verstandig is om via e-mail te doen. De AVG keurt e-mail niet af, maar geeft het ook geen keurmerk ‘veilig medium’ mee. De Autoriteit Persoonsgegevens geeft het volgende aan over e-mail:

‘Aan het verzenden van informatie via e-mail zitten risico’s. Dus wilt u persoonsgegevens via e-mail versturen? Bijvoorbeeld gegevens over uw klanten, burgers of andere relaties? Dan bent u er als organisatie verantwoordelijk voor dat u die gegevens veilig verstuurt. U moet voor e-mail maatregelen treffen om te voorkomen dat onbevoegden toegang krijgen tot de informatie. In de wet staat niet precies omschreven welke maatregelen u moet treffen. Wel dat deze passend moeten zijn.’

Even helemaal terug naar het begin: Waarom zitten er dan risico’s aan het verzenden van informatie via e-mail? Er kunnen op verschillende momenten mensen ‘meekijken’. Dit kan bijvoorbeeld bij de provider van de verzender en bij die van de ontvanger. Daarnaast kan de e-mail onderweg onderschept worden. Tevens is bij e-mail de kans redelijk groot dat het, al dan niet per ongeluk, naar de verkeerde persoon gaat.

Terug naar onderwerpen

Hoe ga ik om met e-mail binnen de AVG?

Zoals gesteld in het citaat van de Autoriteit Persoonsgegevens geeft de wet niet precies aan welke maatregelen je moet nemen. Wat belangrijk is, is dat er passende en adequate maatregelen worden genomen. Als organisatie ben je er verantwoordelijk voor dat je gegevens veilig en naar de juiste persoon verstuurt. Hoe doe ik dat dan?

  • Opletten dat je e-mails naar de juiste personen verstuurt. Check voordat je een e-mail verstuurt de ‘Aan’- en ‘CC’-regel.
  • Versleutel persoonsgegevens in een e-mailbijlage.
  • Versleutel e-mailverkeer met huidige standaarden als TLS, SPF, S/MIME en PGP.
  • Stel 2 Factor Authenticatie in voor je e-mailaccount.

Terug naar onderwerpen

Hoe kan ik veilig berichten verzenden?

Zoals gezegd is e-mail binnen de AVG niet verboden. Voor diverse zaken is e-mail een erg handig en makkelijk medium om berichten te versturen. Echter, soms wil je berichten met persoonsgegevens versturen. Om dit via e-mail, ondanks verschillende veiligheidsmaatregelen, te doen is niet altijd even verstandig. We raden aan om daarom gebruik te maken van een ander kanaal om berichten te verzenden met persoonsgegevens.

Binnen Impres gebruiken wij Zivver. Hier zijn wij tevreden over. Het is makkelijk in gebruik, biedt meerstaps-verificatie aan (zowel voor verzender als ontvanger), verzendt berichten versleuteld en is AVG-compliant. Nog iets handigs: het biedt een integratie met Microsoft Office aan. Waar gebruiken we Zivver voor? Voor het versturen van:

    • Loonstrookjes voor medewerkers
    • Wachtwoorden voor een account
    • Excellijsten met persoonsgegevens, zoals aanmeldingen voor een workshop
    • Overeenkomst tussen werkgever en werknemer

    Terug naar onderwerpen

Hoe ga ik om met AVG en nieuwsbrieven/e-mail marketing?

Binnen de AVG is het belangrijk om te kunnen aantonen dat je iemand een nieuwsbrief mag sturen. Dit mag als je toestemming van iemand hebt (middels een opt-in), of als je met iemand een koopovereenkomst hebt. Als het laatste het geval is, mag je (zonder extra opt-in) informatie sturen met commerciële boodschappen over vergelijkbare producten en diensten. Wat mag je dan nog sturen naar je contacten / nieuwsbrieflijsten binnen de AVG?
Kort gezegd zijn er drie opties:

  1. Wil je een nieuwsbrief sturen met informatie over vergelijkbare producten en diensten, wat alleen relevant is voor huidige klanten? Gebruik dan de lijst met daarin alle klanten.
  2. Wil je een nieuwsbrief sturen met informatie over vergelijkbare producten en diensten, wat voor een breder publiek interessant is? Gebruik dan de lijst met daarin alle klanten, plus zij die toestemming hebben gegeven dat je hen mag mailen.
  3. Wil je een nieuwsbrief sturen zonder informatie over vergelijkbare producten en diensten? Gebruik dan een lijst met daarin alleen personen die ondubbelzinnig toestemming hebben gegeven, middels een opt-in.

Wat de Autoriteit Persoonsgegevens hierover zegt?

'U mag uw eigen, bestaande klanten digitale direct marketing sturen met aanbiedingen voor andere, vergelijkbare producten of diensten. Bijvoorbeeld per e-mail, sms of app. Uw klanten hoeven daarvoor niet eerst toestemming te geven. Maar u moet wél een makkelijke, gratis afmeldmogelijkheid bieden bij elk bericht dat u verstuurt.'

Terug naar onderwerpen

Heb je vragen?

Lees onze blog ‘Veelgestelde vragen over de AVG’ voor een antwoord op jouw vraag. Is je vraag niet beantwoordt? Laat het ons weten via info@impres.nl, dan zorgen wij voor een antwoord op jouw vraag.