U koopt e-mailadressen via direct marketing bureaus. Wat met de "toestemming" in het kader van GDPR? Wat met e-mailadressen die ik in het verleden aankocht via direct marketing bureaus waarbij die mensen in principe aan dat bureau ooit een opt-in hebben gegeven? Hoe kan ik in de toekomst aantonen dat er ooit een geldige toestemming is gegeven in het kader van de nieuwe privacyregels? Onder de nieuwe privacy regels (GDPR) staat en valt alles met het bewijsmateriaal dat je als ondernemer kan voorleggen wat de toestemming betreft. Kan je aantonen dat je rechtsgeldig toestemming verkreeg om de email-adressen te gebruiken, dan stel je jezelf veilig.
Algemeen: wat zijn de gevolgen van de GDPR m.b.t. gebruik van email-adressen? Er zal geen nieuwe toestemming nodig zijn als de reeds verkregen toestemming voldoet aan de nieuwe vereisten. De systemen moeten wel nagekeken worden om er zeker van te zijn dat de in het verleden verkregen toestemming voldoet aan de nieuwe regelgeving. De nieuwe regelgeving vereist voor de toestemming een duidelijke bevestigende handeling. Stilzwijgen, vooraf aangetikte velden of inactiviteit vormen geen toestemming! De toestemming moet controleerbaar zijn. Dit betekent dat men moet bijhouden hoe en wanneer de toestemming werd gegeven. De betrokkene heeft ten alle tijde het recht om zijn toestemming in te trekken. Het intrekken van deze toestemming moet even eenvoudig zijn als het geven ervan.

Indien de oorspronkelijke opt-in overeenstemt met de nieuwe vereisten blijft de toestemming uit het verleden geldig.

Indien dit niet zo is, dan dient de toestemming opnieuw te worden bekomen (conform de nieuwe regels) alvorens de email-adressen verder mogen worden gebruikt. Uitzonderlijk geen opt-in nodig: het hebben van een overeenkomst of de noodzaak om over de data te beschikken om een overeenkomst te kunnen uitvoeren (1); legitiem, vitaal of publiek belang (2); een wettelijke basis (3).
Specifiek: wat zijn de gevolgen van de GDPR bij aankoop van e-mail-adressen? Opnieuw geldt de toestemmingsvereiste als absolute verplichting. Als er persoonsgegevens worden doorgegeven aan derden (vb. verkoop van e-mailadressen), moet de persoon hier altijd van op de hoogte zijn. Daarom is een dubbele opt-in vereist wanneer persoonsgegevens worden overgedragen. U moet m.a.w. tweemaal toestemming vragen aan de persoon. Je hebt een enkele opt-in, waarbij iemand alleen het e-mailadres inschrijft en automatisch daarna de mails ontvangt. Bij een dubbele opt-in volgt daarna nĂłg een stap. Na inschrijving via de opt-in pagina, ontvang je een bevestigingsmail waarin de inschrijving nogmaals moet worden bevestigd. In deze bevestigingsmail dient dan duidelijk te worden gemaakt dat de gegevens (e-mailadressen) zullen worden overgedragen en ook waarvoor ze zullen worden gebruikt bij deze overdracht.