Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Veilige e-mail > GDPR-conforme e-mail—Wat u moet weten
GDPR-conforme e-mail—Wat u moet weten

GDPR-conforme e-mail—Wat u moet weten

by Vince Lau updated mei 12, 2021 Veilige e-mail
Reading Time: 7 minutes

De GDPR vereist dat marketing-e-mails toestemming verkrijgen. Hoe doe je dat? We leggen uit hoe je toestemming verkrijgt en hoe je je e-mails GDPR-compliant houdt.

Zijn e-mails GDPR-compliant? Het antwoord is meestal nee. E-mails bevatten van nature persoonlijke informatie en vallen daardoor onder de GDPR. Om compliant te zijn, moeten ontvangers van e-mails toestemming geven en moeten e-mails worden versleuteld.

Wat is de GDPR en hoe verhoudt deze zich tot e-mail?

Het General Data Protection Regulation (GDPR) framework is een beveiligingsstandaard voor de Europese Unie die bedoeld is om consumenten en hun gegevens te beschermen. Meer specifiek is de GDPR opgesteld om consumenten meer controle te geven over hun gegevens en hoe zij worden benaderd via digitale marketingkanalen zoals e-mail.

Dat betekent dat de GDPR invloed heeft op de manier waarop bedrijven hun klanten e-mailen voor marketingdoeleinden:

  1. Elk bedrijf dat klantgegevens verzamelt, opslaat of gebruikt, moet die gegevens beschermen. Dus als je e-mail gebruikt om gegevens van klanten te verzamelen, of als je gegevens opslaat die via e-mail zijn verzameld, moet je deze beschermen (meestal met een encryptie-algoritme).
  2. Bedrijven die gegevens verzamelen, mogen deze alleen bewaren “niet langer dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt.” Dat wil zeggen: bedrijven mogen klantgegevens niet voor altijd bewaren, maar alleen zolang deze worden gebruikt voor redelijk goed gedefinieerde zakelijke doeleinden.
  3. GDPR Artikel 17 beschrijft het “recht om vergeten te worden,” wat simpelweg inhoudt dat de consument het recht heeft om te eisen dat zijn of haar gegevens uit het systeem van een bedrijf worden verwijderd. Volgens de GDPR is dit bindend en niet-onderhandelbaar.
  4. Er zijn slechts 6 wettelijke gronden waarop een bedrijf de gegevens van een consument mag gebruiken: toestemming, uitvoering van een contract, gerechtvaardigd belang, vitaal belang, algemeen belang of een wettelijke verplichting.

Toestemming is een ontzettend belangrijk onderdeel van de GDPR en e-mail. De GDPR definieert verschillende aspecten van toestemming voor het gebruik van consumentengegevens, waaronder:

  • De consument heeft vrij en ondubbelzinnig toestemming gegeven voor het gebruik van die gegevens
  • Verzoeken om toestemming moeten duidelijk gedefinieerd en gemarkeerd zijn, en moeten er anders uitzien dan andere correspondentie zoals facturen
  • De consument mag op elk moment zijn of haar toestemming intrekken
  • Kinderen onder de 13 jaar kunnen geen toestemming geven zonder toestemming van hun ouder

Dat gezegd hebbende, blokkeert de GDPR e-mailmarketing niet, maar biedt het meer bescherming voor hoe bedrijven individuen mogen benaderen met hun persoonlijke gegevens.

Wat betekent de GDPR voor marketeers?

De General Data Protection Regulation (GDPR) geldt niet alleen voor bedrijven die binnen de EU opereren, maar voor elke organisatie die persoonlijke gegevens van EU-burgers verzamelt of verwerkt. Het heeft dus een brede impact op marketingorganisaties.

Marketingorganisaties moeten nu transparant zijn over hoe persoonlijke gegevens worden verzameld en gebruikt, klanten de mogelijkheid bieden om hun gegevens in te zien, bij te werken of te verwijderen, en voldoen aan beveiligings- en privacyregels. Organisaties zijn ook onderworpen aan strengere regels rondom het verzamelen van gevoelige informatie (zoals gezondheids-, religieuze en politieke gegevens). Als een bedrijf niet voldoet aan de GDPR, kan het hoge boetes en andere gevolgen krijgen.

Marketingorganisaties moeten ook een gegevensbeheer-infrastructuur ontwikkelen en implementeren die ervoor zorgt dat gegevens verantwoord en veilig worden gedeeld. Dit houdt in dat er processen moeten zijn om de nauwkeurigheid van gegevens te waarborgen en de toegang te beperken tot alleen degenen die het nodig hebben. Daarnaast moeten marketingorganisaties een efficiënt proces hebben om te reageren op klantverzoeken met betrekking tot gegevens, omdat klanten het recht hebben te verzoeken om hun gegevens te laten verwijderen of corrigeren.

EU-inwoners profiteren op diverse manieren wanneer marketingorganisaties GDPR-compliant zijn. Het belangrijkste is dat klanten erop kunnen vertrouwen dat hun gegevens veilig zijn en niet worden gebruikt voor ongeautoriseerde of kwaadaardige doeleinden. Daarnaast kunnen klanten er zeker van zijn dat hun gegevens niet zonder hun uitdrukkelijke toestemming worden verkocht of gedeeld met derden. Tot slot hebben klanten meer controle over hoe hun gegevens worden gebruikt, en hebben zij het recht om op elk moment verwijdering of correctie van hun gegevens te verzoeken.

Hoe houd je e-mailtoestemming compliant met de GDPR

Toestemming speelt een cruciale rol in GDPR-naleving. Alle organisaties moeten expliciete toestemming van gebruikers verkrijgen voordat er gegevens mogen worden verzameld of verwerkt. Dit geldt voor e-mails, contactinformatie en alle andere gegevens die aan een individuele gebruiker zijn gekoppeld. Zonder geldige toestemming lopen organisaties het risico op hoge boetes en andere sancties. Het is belangrijk om gebruikersgegevens veilig te houden en ervoor te zorgen dat gebruikers weten welke gegevens worden verzameld en hoe deze worden gebruikt.

Hier zijn enkele aanbevelingen voor organisaties om e-mailtoestemming GDPR-compliant te houden:

  1. Zorg dat gebruikers toestemming hebben gegeven om e-mails te ontvangen: Organisaties moeten een proces opzetten waarmee gebruikers expliciet toestemming kunnen geven voor alle e-mails. Deze toestemming moet duidelijk en transparant zijn en aangeven welke gegevens worden verzameld en hoe deze worden gebruikt.
  2. Maak het eenvoudig om af te melden: Organisaties moeten het gebruikers ook makkelijk maken om zich af te melden voor e-mails. Elke e-mail moet een afmeldmogelijkheid bevatten waarin duidelijk wordt uitgelegd hoe gebruikers zich kunnen afmelden en wat er gebeurt als ze dat doen.
  3. Respecteer verzoeken van gebruikers over hun gegevens: Bedrijven moeten verzoeken van gebruikers om hun gegevens in te zien, te verwijderen of over te dragen honoreren. Dit geldt voor e-mails, contactinformatie en alle andere gegevens die aan een individuele gebruiker zijn gekoppeld.
  4. Gebruik beveiligde e-mailservers: Organisaties moeten ook beveiligde e-mailservers gebruiken om ervoor te zorgen dat gebruikersgegevens beschermd zijn en niet toegankelijk voor onbevoegde partijen.
  5. Verkrijg geldige toestemming: Organisaties moeten ervoor zorgen dat ze geldige toestemming van gebruikers verkrijgen voordat ze e-mails versturen. Dit houdt in dat wordt bevestigd dat de gebruiker weet welke gegevens worden verzameld en hoe deze worden gebruikt.
  6. Monitor e-mailactiviteit: Organisaties moeten e-mailactiviteit monitoren om te voorkomen dat gebruikers e-mails ontvangen zonder hun toestemming. Dit helpt organisaties om te voldoen aan de GDPR-vereisten.

Hoe verhoudt de GDPR zich tot CAN-SPAM?

De Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-SPAM) Act is een Amerikaanse wet die e-mailmarketing en consumentenbescherming reguleert. Hoewel er overeenkomsten zijn tussen de wetten, zijn er ook belangrijke verschillen, waaronder:

  1. Opt-in of opt-out. CAN-SPAM is een “opt-out” wet, wat betekent dat een bedrijf je ongevraagde e-mails mag sturen zolang het een manier biedt voor de consument om zich af te melden (meestal via een link of formulier). De GDPR vereist daarentegen niet alleen toestemming, maar ook duidelijk gedefinieerde formulieren of documentatie van die toestemming (of een “opt-in”) voordat er e-mails worden verstuurd.
  2. Termijnen voor afmelden. Volgens CAN-SPAM hebben bedrijven 10 dagen om gebruikers van een mailinglijst te verwijderen nadat zij zich hebben afgemeld. Bedrijven onder de GDPR moeten de gebruiker daarentegen direct van een mailinglijst verwijderen.
  3. Het recht om vergeten te worden. Het recht om vergeten te worden is onderdeel van de GDPR. Onder de Amerikaanse wet bestaat dit recht niet, wat betekent dat de meeste bedrijven niet wettelijk verplicht zijn om gebruikersgegevens op verzoek te verwijderen.

Sommige Amerikaanse wetten zijn iets minder streng dan de GDPR (met uitzondering van de California Consumer Privacy Act, of CCPA, die ongeveer gelijk is aan de GDPR), en daarom hebben e-mailmarketeers in de EU meer verplichtingen om gebruikersgegevens te beschermen en gehoor te geven aan verzoeken van consumenten die hun gegevens van je systemen willen houden. Amerikaanse bedrijven die zaken doen in de EU moeten echter voldoen aan de GDPR, wat betekent dat ze aan deze vereisten moeten voldoen of dezelfde sancties riskeren.

Hoe maak ik mijn e-mails GDPR-compliant?

Voor dit artikel kunnen we het effect op e-mail en compliance opdelen in hoe gegevens worden behandeld en hoe je daadwerkelijk contact opneemt met je klanten.

De belangrijkste factor om je e-mail GDPR-compliant te maken is toestemming. Je moet een duidelijke methode hebben om toestemming te verkrijgen, en je moet kunnen aantonen dat deze toestemming vrijwillig is gegeven. Dit betekent dat elke e-mailstrategie of elk marketingsysteem dat compliant wil blijven, een duidelijke en ononderbroken audittrail moet hebben van het moment waarop de gebruiker toestemming geeft tot het moment dat je hem of haar een e-mail stuurt.

Dit geldt ook voor verzoeken om gegevens te verwijderen. Voor de GDPR moet je bedrijf direct reageren op elk verwijderingsverzoek. Doe je dat niet, dan kun je een boete krijgen tot 20 miljoen euro of 4% van je jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is.

Wat betreft gegevensbescherming moet je encryptie toepassen telkens wanneer gebruikersgegevens worden overgedragen of opgeslagen voor zakelijke doeleinden. Dit betekent dat je om je e-mails compliant te maken, ofwel:

  • Elke e-mail die persoonlijke informatie bevat versleutelt (wat kan betekenen dat elke verzonden e-mail versleuteld moet zijn), of
  • Een berichtensysteem gebruikt dat beveiligde servers en links inzet om privé-informatie buiten openbare e-mails te houden.

Let op: de laatste aanpak sluit encryptie niet uit, maar verkleint het oppervlak waarvoor encryptie nodig is (een server- of cloudomgeving in plaats van elke afzonderlijke e-mail). Dit betekent ook dat de ontvanger niet hetzelfde encryptiemiddel hoeft te gebruiken als jij, als je hem of haar alleen doorstuurt naar een beveiligde server met de juiste authenticatiecontroles.

Het Kiteworks-platform en GDPR-naleving voor e-mails

Met het Kiteworks-platform is naleving van de GDPR eenvoudig en betrouwbaar. Ons platform biedt de essentiële auditing en beveiliging die je nodig hebt om consumentengegevens te beschermen en belangrijke informatie over toestemming vast te leggen:

  1. Versleutelde e-mail en opslag: Met het Kiteworks-platform kun je lokale, versleutelde e-mailberichten voor gebruikers instellen en hen vervolgens links sturen via openbare e-mail. Zo kun je dure en inefficiënte e-mailencryptie vermijden en toch hoogwaardige beveiliging bieden voor gebruikersgegevens via serverencryptie en toegangsbeheer.
  2. Ononderbroken audittrails: Wanneer een gebruiker toestemming geeft, maakt je Kiteworks-systeem een duidelijke, ononderbroken audittrail van het moment van toestemming tot de huidige datum. Zo kun je documenteren wanneer en waar toestemming is gegeven voor e-mailcorrespondentie. Daarnaast kan deze audittrail ook dienen als bewijs voor beveiligingsdoeleinden, inclusief wie toegang heeft tot gebruikersgegevens in je systeem.
  3. Geïntegreerde dashboards: Vanuit een centraal dashboard kun je verschillende beveiligings- en registratiekwesties monitoren en erop reageren, zoals wanneer een consument om gegevensverwijdering vraagt of zijn toestemming intrekt.
  4. Geïntegreerde tools en software: Kiteworks maakt gebruik van geïntegreerde Microsoft O365-tools die direct zijn gekoppeld aan je desktopwerkplekken. Met het Kiteworks-platform en Office kun je duidelijke en conforme toestemmingsformulieren maken om consumenten-e-mails en bescherming te beheren.

Wil je weten hoe Kiteworks zorgt voor GDPR-compliant e-mails? Plan dan vandaag nog een aangepaste demo van Kiteworks in.

Veelgestelde vragen

Een beveiligde e-mail of beveiligde e-maildienst is een versleutelde communicatiemethode waarmee gebruikers berichten kunnen verzenden en ontvangen zonder de privacy van de inhoud in gevaar te brengen. Het beschermt berichten tegen inzage of onderschepping door onbevoegde derden.

Beveiligde e-mail en beveiligde e-maildiensten maken meestal gebruik van encryptie, authenticatie en toegangscontrole. Encryptie maakt het voor hackers moeilijk om de communicatie te onderscheppen door berichten te versleutelen en onleesbaar te maken voor onbevoegden. Authenticatie verifieert de identiteit van de afzender en toegangscontrole bepaalt wie het bericht mag bekijken.

Je kunt de veiligheid van je e-mails waarborgen door een beveiligde e-maildienst te gebruiken. Hiermee worden je berichten versleuteld en beschermd tegen onderschepping door onbevoegde derden. Daarnaast kun je voor extra beveiliging gebruikmaken van multi-factor authentication.

Met een beveiligde e-maildienst houd je je e-mailcommunicatie privé en vertrouwelijk. Het helpt je ook te voldoen aan regelgeving voor gegevensbescherming zoals HIPAA en GDPR.

Je kunt controleren of beveiligde e-mail correct is geïmplementeerd door na te gaan of het e-mailprogramma dat je gebruikt voldoet aan de beste practices en standaarden van de beveiligingsindustrie, zoals de S/MIME- of PGP-protocollen.

Kiteworks stelt gebruikers in staat beveiligde e-mails te maken door veilige encryptieprotocollen toe te passen op de inhoud voordat deze wordt verzonden. Gebruikers kunnen ook e-mails die via Kiteworks worden verstuurd beveiligen door vervalregels in te stellen en te bepalen wie toegang heeft tot de e-mails. Daarnaast worden e-mails die via Kiteworks worden verstuurd automatisch gescand op kwaadaardige inhoud, zodat alleen beveiligde e-mails worden verzonden.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks