Als jouw lijst Canadese abonnees bevat, voegt CASL een vierde laag toe met toestemmingsvereisten die strenger zijn dan alles in de Amerikaanse wetgeving. Alle drie de lagen begrijpen, en weten welke op jouw bedrijf van toepassing zijn, is het vertrekpunt voor elk compliant programma.

CAN-SPAM Act: de federale basisnorm

De CAN-SPAM Act van 2003 is een Amerikaanse federale wet die nieuwe vereisten stelt aan commerciële e-mailberichten, met als doel commerciële e-mail te reguleren en ongewenste spam te beperken. Gehandhaafd door de Federal Trade Commission (FTC) is deze wetgeving van toepassing op alle commerciële elektronische berichten die worden verzonden naar ontvangers binnen de Verenigde Staten.

Ondanks de naam is de CAN-SPAM Act niet alleen van toepassing op bulk-e-mail. De wet geldt voor alle commerciële berichten, die de wet omschrijft als "elk elektronisch mailbericht waarvan het primaire doel de commerciële advertentie of promotie van een commercieel product of dienst is", inclusief e-mail die inhoud op commerciële websites promoot. De wet maakt geen uitzondering voor business-to-business-e-mail, wat betekent dat alle e-mail, inclusief een bericht aan voormalige klanten over een nieuw productassortiment, moet voldoen aan de wet.

Wat CAN-SPAM concreet vereist

De FTC stelt acht kernvereisten om marketingmails compliant te houden. Je velden "Van", "Aan" en "Antwoord aan" moeten je werkelijke identiteit correct weergeven. Vermijd valse of misleidende headerinformatie, misleidende namen of vervalste adressen. Onderwerpregels moeten eerlijk zijn; gebruik geen misleidende onderwerpregels. Onderwerpregels moeten overeenkomen met de inhoud.

Naast eerlijke headers en onderwerpregels vereist CAN-SPAM:

• Een geldig postadres van de afzender in elke commerciële e-mail. Deze verplichting bevordert transparantie en vertrouwen, zodat ontvangers contact kunnen opnemen met de afzender indien nodig.
• Een duidelijk afmeldmechanisme in elke commerciële e-mail, zodat ontvangers zich eenvoudig kunnen uitschrijven. De wet verplicht snelle actie op afmeldverzoeken en eist dat bedrijven uitgeschreven ontvangers binnen tien werkdagen van hun lijsten verwijderen.
• Zodra mensen hebben aangegeven geen berichten meer van je te willen ontvangen, mag je hun e-mailadressen niet verkopen of overdragen, ook niet als onderdeel van een mailinglijst.

Een veelvoorkomend misverstand: CAN-SPAM vereist niet dat e-mailverzenders toestemming krijgen voordat ze marketingberichten sturen. Het is een opt-out-wet, geen opt-in-wet. Dat onderscheid is belangrijk bij vergelijking met de Californische staatswet en CASL. Voor Nederlandse marketeers geldt overigens het tegenovergestelde: de AVG vereist wel uitdrukkelijke toestemming vooraf.

Wie is er verantwoordelijk?

Zelfs als je een ander bedrijf inschakelt voor je e-mailmarketing, kun je jouw wettelijke verantwoordelijkheid niet contractueel overdragen. Zowel het bedrijf waarvan het product in het bericht wordt gepromoot als het bedrijf dat het bericht daadwerkelijk verstuurt, kan wettelijk aansprakelijk worden gesteld.

California Business and Professions Code § 17529: de staatsanti-spamwet

De eigen anti-spamwet van Californië is ouder dan de CCPA en werkt er onafhankelijk van. Uitgevaardigd om misleidende online reclame te beteugelen, verbiedt Business and Professions Code § 17529.5 ongevraagde commerciële e-mails met valse of misleidende informatie, met name die welke worden verzonden vanuit of naar personen in Californië.

Bedrijven die afhankelijk zijn van e-mailmarketing worden geconfronteerd met toenemend juridisch toezicht, nu advocatenkantoren gespecialiseerd in collectieve rechtszaken een golf van aanklachten indienen wegens overtredingen van de anti-spamwet van Californië onder § 17529.5. Deze rechtszaken richten zich op bedrijven in de hele Verenigde Staten die marketing- of promotionele e-mails sturen aan inwoners van Californië, ongeacht de vestigingsplaats van de afzender.

Wat § 17529.5 verbiedt

Het is voor elke persoon of entiteit onrechtmatig om te adverteren in een commerciële e-mail die vanuit Californië wordt verzonden of naar een Californisch e-mailadres wordt gestuurd, als de e-mailadvertentie de domeinnaam van een derde partij bevat of vergezeld gaat zonder toestemming van die derde partij. De wet verbiedt ook vervalste headerinformatie en misleidende onderwerpregels.

De blootstelling onder deze wet is aanzienlijk. Met strikte aansprakelijkheid en forfaitaire schadevergoedingen tot $1.000 per e-mail, zonder dat opzet of daadwerkelijke schade vereist is, kunnen zelfs bescheiden campagnes leiden tot miljoenenblootstelling.

Onder deze theorie van strikte aansprakelijkheid kan elk bedrijf dat profiteert van een commerciële e-mail aansprakelijk worden gesteld, ongeacht of het bericht rechtstreeks door het bedrijf werd verzonden of door een externe leverancier of affiliate. Dit vergroot de potentiële blootstelling aanzienlijk, omdat de wet forfaitaire schadevergoedingen van $1.000 per ongepaste commerciële e-mail per ontvanger toestaat, wat kan resulteren in een miljoenaansprakelijkheid in collectieve rechtszaken met grote marketinglijsten.

Om de blootstelling te beperken: als jouw bedrijf externe leveranciers, affiliates of marketingpartners gebruikt, neem dan sterke contractuele bescherming op die hen verplicht te voldoen aan de toepasselijke anti-spamwetten, en voer passend toezicht uit. Bewaar ook gegevens van nalevingsinspanningen, waaronder trainingen, audits, technische waarborgen en complianceprotocollen, om zorgvuldigheid aan te tonen als je ooit in een rechtszaak wordt betrokken.

CCPA en CPRA: gegevensprivacyregels voor e-mailmarketeers

De CCPA en de update uit 2023, de CPRA, vormen de privacybasis van de e-mailmarketingwetgeving in Californië. De California Consumer Privacy Act is een staatsdekkende gegevensbeschermingswet die regelt hoe bedrijven omgaan met persoonsgegevens. De wet geeft inwoners van Californië het recht te weten welke persoonsgegevens bedrijven over hen verzamelen, gebruiken en delen.

In november 2020 keurden Californische kiezers Proposition 24 goed, de CPRA, die de CCPA wijzigde en nieuwe aanvullende privacybeschermingen toevoegde die op 1 januari 2023 van kracht werden. Vanaf die datum kregen consumenten nieuwe rechten, waaronder het recht om onjuiste persoonsgegevens te corrigeren en het recht om het gebruik en de openbaarmaking van gevoelige persoonsgegevens te beperken.

Is de CCPA van toepassing op jouw bedrijf?

Niet elk bedrijf dat e-mails stuurt aan inwoners van Californië valt onder de CCPA. De wet is van toepassing als je jaarlijkse bruto-omzet hoger is dan $25 miljoen, als jouw bedrijf de persoonsgegevens koopt, ontvangt of verkoopt van 100.000 of meer inwoners van Californië, of als je 50% of meer van jouw jaarlijkse omzet haalt uit de verkoop van persoonsgegevens van inwoners van Californië.

Crucaal voor e-mailmarketeers: de overgangsperiode voor B2B-communicatie eindigde op 1 januari 2022. Als je B2B-e-mailcampagnes uitvoert gericht op bedrijven in Californië, moet je nu voldoen aan de CCPA-vereisten, waaronder het naleven van meldingen bij datalekken en "do not sell"-verzoeken.

Onder de CCPA wordt een e-mailadres beschouwd als persoonsgegevens. Dat betekent dat je gebruikers op het moment van verzameling moet informeren welke gegevens je verzamelt en hoe deze worden gebruikt, een duidelijke opt-outoptie moet bieden als je die informatie verkoopt of deelt, een link "Do Not Sell My Personal Information" op je website moet opnemen indien van toepassing, en consumenten op verzoek toegang tot hun gegevens moet geven en deze moet verwijderen als zij daarom vragen.

CCPA-consumentenrechten die e-mailprogramma's raken

De CCPA kent vijf kernrechten die relevant zijn voor e-mail: het Recht op Inzage (consumenten kunnen toegang vragen tot gegevens die over hen zijn verzameld), het Recht op Verwijdering (bedrijven moeten persoonsgegevens op verzoek verwijderen), het Recht op Opt-out (duidelijke "Do Not Sell My Information"-links zijn verplicht), het Recht op Correctie (consumenten kunnen verzoeken om gegevenscorrectie) en het Recht op Non-discriminatie (geen sancties voor het uitoefenen van privacyrechten).

Voor je e-mailactiviteiten zijn twee responstermijnen het belangrijkst: je hebt 45 dagen om te reageren op inzage- of verwijderingsverzoeken en 15 werkdagen om opt-outs te verwerken.

Voor een goed gesegmenteerde lijst waarbij abonneegegevens zijn georganiseerd op basis van voorkeur en gedrag, wordt het naleven van deze verzoeken veel eenvoudiger. Leer hoe je die structuur opbouwt in onze gids over E-maillijstsegmentatiestrategieën die het rendement met 760% verhogen.

CASL: wat het betekent als je Canadese abonnees hebt

Als abonnees je e-mails vanuit Canada openen, is CASL op jou van toepassing, ongeacht waar jouw bedrijf is gevestigd.

De Canadian Anti-Spam Law (CASL) trad op 1 juli 2014 in werking. Als je in Canada bent gevestigd of een commercieel elektronisch bericht (CEM) stuurt aan inwoners van Canada, moet je voldoen aan CASL.

Commercialële elektronische berichten die vanuit een ander land naar ontvangers in Canada worden gestuurd, moeten voldoen aan CASL. Verzenders van CEMs moeten toestemming verkrijgen, identificatiegegevens verstrekken en een afmeldmechanisme aanbieden.

Het belangrijkste verschil: opt-in versus opt-out

CASL draait het CAN-SPAM-model volledig om. CASL is primair gebaseerd op uitdrukkelijke toestemming, wat betekent dat iedereen aan wie je een bericht stuurt, eerst moet hebben ingestemd, op een paar uitzonderingen na. Je moet ook een registratie bijhouden van alle toestemmingen die zijn verkregen onder CASL, inclusief wanneer en hoe de toestemming is verkregen.

Uitdrukkelijke toestemming betekent dat een persoon duidelijk heeft ingestemd met het ontvangen van een CEM, schriftelijk of mondeling. De ontvanger moet een proactieve actie ondernemen om zijn uitdrukkelijke toestemming aan te geven, bijvoorbeeld door zich aan te melden op jouw website.

Impliciete toestemming is beschikbaar in beperkte gevallen. Voorbeelden zijn wanneer een ontvanger een product of dienst bij je heeft gekocht, een zakelijke overeenkomst met je heeft gesloten of een schriftelijk contract met je heeft gesloten, alles binnen de afgelopen twee jaar, of als ze de afgelopen zes maanden informatie hebben gevraagd over een product of dienst.

Ongeacht het type toestemming: als een ontvanger vraagt te stoppen met het ontvangen van CEMs via jouw afmeldmechanisme of via een andere communicatievorm, moet je dat verzoek respecteren en binnen 10 werkdagen stoppen met het sturen van CEMs.

CASL-boetes

De financiële risico's onder CASL zijn aanzienlijk. Boetes voor het overtreden van CASL kunnen oplopen tot $1 miljoen per overtreding voor individuen en tot $10 miljoen per overtreding voor bedrijven. Zowel individuen als bedrijven, inclusief hun bestuurders, functionarissen en andere vertegenwoordigers, kunnen aansprakelijk worden gesteld voor overtredingen.

Een compliant e-mailprogramma opbouwen: praktische checklist

Compliance vereist geen volledige herbouw van je e-mailprogramma. Het vereist gedisciplineerde systemen rondom toestemming, gegevensverwerking en abonneecommunicatie. Hier volgt een praktische checklist die alle drie de juridische lagen dekt:

Toestemming en lijstopbouw

• Gebruik dubbele opt-in voor alle nieuwe abonnees (aanbevolen werkwijze onder CCPA, verplicht onder CASL, en standaard vereist onder de AVG voor Nederlandse marketeers)
• Wanneer een onbevoegd persoon toegang krijgt tot onversleutelde persoonsgegevens zoals e-mailadressen gecombineerd met namen, wachtwoorden of andere identificatiegegevens, moet je getroffen inwoners van Californië zonder onnodige vertraging informeren. Zorg dat je een plan klaar hebt voor het melden van datalekken.
• Koop nooit e-maillijsten van inwoners van Californië of Canada

E-mailinhoud

• Gebruik nauwkeurige "Van"-, "Antwoord aan"- en domeingegevens bij elke verzending
• Onderwerpregels moeten de inhoud van de e-mail nauwkeurig weerspiegelen en mogen op geen enkele manier misleidend of bedrieglijk zijn. Dit geldt onder CAN-SPAM, § 17529.5 en CASL.
• Vermeld je geldige fysieke postadres in de voettekst van elke e-mail

Afmelding en gegevensverzoeken

• E-mailmarketeers moeten procedures hebben om binnen 45 dagen te reageren op verzoeken om gegevensinzage en -verwijdering.
• Opt-outverzoeken moeten worden afgehandeld binnen 15 werkdagen na ontvangst.
• Verwerk CAN-SPAM-opt-outs binnen 10 werkdagen; CASL-afmeldingen binnen 10 werkdagen

Privacybeleid en kennisgevingen

• Je privacybeleid moet in begrijpelijke taal vermelden welke persoonsgegevens je verzamelt, waarom je ze verzamelt en met wie je ze deelt.
• Voeg een link "Do Not Sell My Personal Information" toe op je website als je aan de CCPA-drempelwaarden voldoet
• Train je medewerkers op naleving van deze regelgeving en houd gedetailleerde registraties bij van klantverzoeken en jouw reacties.

Je welkomstmailreeks is de ideale plek om verwachtingen over gegevensgebruik te stellen en de afmeldmogelijkheid vanaf dag één duidelijk zichtbaar te maken. Elke onderwerpregel die je schrijft moet bovendien overeenkomen met de inhoud van de e-mail, niet alleen voor betrokkenheid, maar ook voor juridische naleving. Onze gids over Best practices voor e-mailonderwerpregels die openingspercentages met 27% verhogen legt uit hoe je onderwerpregels schrijft die tegelijkertijd aansprekend en transparant zijn.

CAN-SPAM versus CCPA versus CASL: snel overzicht

Veelgestelde vragen

Geldt de e-mailmarketingwetgeving van Californië ook voor bedrijven buiten Californië?

Ja. Deze regelgeving richt zich op bedrijven in de hele Verenigde Staten die marketing- of promotionele e-mails sturen aan inwoners van Californië, ongeacht waar de afzender is gevestigd. Als je e-mail een inwoner van Californië bereikt, zijn zowel CAN-SPAM als § 17529.5 van Californië van toepassing. De CCPA is van toepassing als jouw bedrijf voldoet aan de omzet- of gegevensvolumegrenzen.

Is de CCPA van toepassing op kleine bedrijven?

In veel gevallen niet. Veel kleine bedrijven halen de drempelwaarden van de CCPA niet. Als je een kleine online onderneming runt, e-mailaanmeldingen verzamelt en inkomsten haalt uit een paar affiliateprogramma's of digitale producten, ben je waarschijnlijk niet wettelijk verplicht om volledig aan de CCPA te voldoen. Toch zijn de principes van de CCPA de moeite waard om te volgen, ook als je onder de drempel blijft. Je hebt waarschijnlijk lezers uit Californië die transparantie verwachten, en privacyvriendelijke praktijken worden steeds meer de norm in plaats van de uitzondering. Nederlandse bedrijven die persoonsgegevens verwerken, moeten sowieso voldoen aan de AVG, die op vergelijkbare principes is gebaseerd.

Hoe verschilt CASL van CAN-SPAM voor e-mailmarketeers?

Het kernverschil zit in toestemming. Onder CASL is toestemming vereist vóórdat je een commercieel elektronisch bericht verstuurt. CAN-SPAM vereist alleen dat ontvangers na het ontvangen van de e-mail een eenvoudige manier hebben om zich af te melden. CASL kent ook veel hogere boetes en geldt voor iedereen die e-mails stuurt aan inwoners van Canada, ongeacht waar de afzender is gevestigd.

Wat gebeurt er als ik een extern e-mailplatform gebruik en zij een overtreding veroorzaken?

Zelfs als je een e-mailmarketingplatform gebruikt, ben je nog steeds wettelijk verantwoordelijk voor naleving van de Californische wet. Zorg ervoor dat de tools van jouw provider CCPA-compliance ondersteunen. Onder CAN-SPAM kun je jouw wettelijke verantwoordelijkheid niet contractueel overdragen, ook niet als je een ander bedrijf inschakelt voor je e-mailmarketing. Onder § 17529.5 van Californië kan de adverteerder die profiteert van de e-mail aansprakelijk worden gesteld, ook als een externe leverancier de e-mail heeft verstuurd.

Dit artikel is uitsluitend bedoeld voor educatieve doeleinden en vormt geen juridisch advies. Raadpleeg een gekwalificeerde advocaat voor advies dat specifiek is afgestemd op jouw bedrijfssituatie.

Als jouw lijst Canadese abonnees bevat, voegt CASL een vierde laag toe met toestemmingsvereisten die strenger zijn dan alles in de Amerikaanse wetgeving. Alle drie de lagen begrijpen, en weten welke op jouw bedrijf van toepassing zijn, is het vertrekpunt voor elk compliant programma.

CAN-SPAM Act: de federale basisnorm

De CAN-SPAM Act van 2003 is een Amerikaanse federale wet die nieuwe vereisten stelt aan commerciële e-mailberichten, met als doel commerciële e-mail te reguleren en ongewenste spam te beperken. Gehandhaafd door de Federal Trade Commission (FTC) is deze wetgeving van toepassing op alle commerciële elektronische berichten die worden verzonden naar ontvangers binnen de Verenigde Staten.

Ondanks de naam is de CAN-SPAM Act niet alleen van toepassing op bulk-e-mail. De wet geldt voor alle commerciële berichten, die de wet omschrijft als "elk elektronisch mailbericht waarvan het primaire doel de commerciële advertentie of promotie van een commercieel product of dienst is", inclusief e-mail die inhoud op commerciële websites promoot. De wet maakt geen uitzondering voor business-to-business-e-mail, wat betekent dat alle e-mail, inclusief een bericht aan voormalige klanten over een nieuw productassortiment, moet voldoen aan de wet.

Wat CAN-SPAM concreet vereist

De FTC stelt acht kernvereisten om marketingmails compliant te houden. Je velden "Van", "Aan" en "Antwoord aan" moeten je werkelijke identiteit correct weergeven. Vermijd valse of misleidende headerinformatie, misleidende namen of vervalste adressen. Onderwerpregels moeten eerlijk zijn; gebruik geen misleidende onderwerpregels. Onderwerpregels moeten overeenkomen met de inhoud.

Naast eerlijke headers en onderwerpregels vereist CAN-SPAM:

• Een geldig postadres van de afzender in elke commerciële e-mail. Deze verplichting bevordert transparantie en vertrouwen, zodat ontvangers contact kunnen opnemen met de afzender indien nodig.
• Een duidelijk afmeldmechanisme in elke commerciële e-mail, zodat ontvangers zich eenvoudig kunnen uitschrijven. De wet verplicht snelle actie op afmeldverzoeken en eist dat bedrijven uitgeschreven ontvangers binnen tien werkdagen van hun lijsten verwijderen.
• Zodra mensen hebben aangegeven geen berichten meer van je te willen ontvangen, mag je hun e-mailadressen niet verkopen of overdragen, ook niet als onderdeel van een mailinglijst.

Een veelvoorkomend misverstand: CAN-SPAM vereist niet dat e-mailverzenders toestemming krijgen voordat ze marketingberichten sturen. Het is een opt-out-wet, geen opt-in-wet. Dat onderscheid is belangrijk bij vergelijking met de Californische staatswet en CASL. Voor Nederlandse marketeers geldt overigens het tegenovergestelde: de AVG vereist wel uitdrukkelijke toestemming vooraf.

Wie is er verantwoordelijk?

Zelfs als je een ander bedrijf inschakelt voor je e-mailmarketing, kun je jouw wettelijke verantwoordelijkheid niet contractueel overdragen. Zowel het bedrijf waarvan het product in het bericht wordt gepromoot als het bedrijf dat het bericht daadwerkelijk verstuurt, kan wettelijk aansprakelijk worden gesteld.

California Business and Professions Code § 17529: de staatsanti-spamwet

De eigen anti-spamwet van Californië is ouder dan de CCPA en werkt er onafhankelijk van. Uitgevaardigd om misleidende online reclame te beteugelen, verbiedt Business and Professions Code § 17529.5 ongevraagde commerciële e-mails met valse of misleidende informatie, met name die welke worden verzonden vanuit of naar personen in Californië.

Bedrijven die afhankelijk zijn van e-mailmarketing worden geconfronteerd met toenemend juridisch toezicht, nu advocatenkantoren gespecialiseerd in collectieve rechtszaken een golf van aanklachten indienen wegens overtredingen van de anti-spamwet van Californië onder § 17529.5. Deze rechtszaken richten zich op bedrijven in de hele Verenigde Staten die marketing- of promotionele e-mails sturen aan inwoners van Californië, ongeacht de vestigingsplaats van de afzender.

Wat § 17529.5 verbiedt

Het is voor elke persoon of entiteit onrechtmatig om te adverteren in een commerciële e-mail die vanuit Californië wordt verzonden of naar een Californisch e-mailadres wordt gestuurd, als de e-mailadvertentie de domeinnaam van een derde partij bevat of vergezeld gaat zonder toestemming van die derde partij. De wet verbiedt ook vervalste headerinformatie en misleidende onderwerpregels.

De blootstelling onder deze wet is aanzienlijk. Met strikte aansprakelijkheid en forfaitaire schadevergoedingen tot $1.000 per e-mail, zonder dat opzet of daadwerkelijke schade vereist is, kunnen zelfs bescheiden campagnes leiden tot miljoenenblootstelling.

Onder deze theorie van strikte aansprakelijkheid kan elk bedrijf dat profiteert van een commerciële e-mail aansprakelijk worden gesteld, ongeacht of het bericht rechtstreeks door het bedrijf werd verzonden of door een externe leverancier of affiliate. Dit vergroot de potentiële blootstelling aanzienlijk, omdat de wet forfaitaire schadevergoedingen van $1.000 per ongepaste commerciële e-mail per ontvanger toestaat, wat kan resulteren in een miljoenaansprakelijkheid in collectieve rechtszaken met grote marketinglijsten.

Om de blootstelling te beperken: als jouw bedrijf externe leveranciers, affiliates of marketingpartners gebruikt, neem dan sterke contractuele bescherming op die hen verplicht te voldoen aan de toepasselijke anti-spamwetten, en voer passend toezicht uit. Bewaar ook gegevens van nalevingsinspanningen, waaronder trainingen, audits, technische waarborgen en complianceprotocollen, om zorgvuldigheid aan te tonen als je ooit in een rechtszaak wordt betrokken.

CCPA en CPRA: gegevensprivacyregels voor e-mailmarketeers

De CCPA en de update uit 2023, de CPRA, vormen de privacybasis van de e-mailmarketingwetgeving in Californië. De California Consumer Privacy Act is een staatsdekkende gegevensbeschermingswet die regelt hoe bedrijven omgaan met persoonsgegevens. De wet geeft inwoners van Californië het recht te weten welke persoonsgegevens bedrijven over hen verzamelen, gebruiken en delen.

In november 2020 keurden Californische kiezers Proposition 24 goed, de CPRA, die de CCPA wijzigde en nieuwe aanvullende privacybeschermingen toevoegde die op 1 januari 2023 van kracht werden. Vanaf die datum kregen consumenten nieuwe rechten, waaronder het recht om onjuiste persoonsgegevens te corrigeren en het recht om het gebruik en de openbaarmaking van gevoelige persoonsgegevens te beperken.

Is de CCPA van toepassing op jouw bedrijf?

Niet elk bedrijf dat e-mails stuurt aan inwoners van Californië valt onder de CCPA. De wet is van toepassing als je jaarlijkse bruto-omzet hoger is dan $25 miljoen, als jouw bedrijf de persoonsgegevens koopt, ontvangt of verkoopt van 100.000 of meer inwoners van Californië, of als je 50% of meer van jouw jaarlijkse omzet haalt uit de verkoop van persoonsgegevens van inwoners van Californië.

Crucaal voor e-mailmarketeers: de overgangsperiode voor B2B-communicatie eindigde op 1 januari 2022. Als je B2B-e-mailcampagnes uitvoert gericht op bedrijven in Californië, moet je nu voldoen aan de CCPA-vereisten, waaronder het naleven van meldingen bij datalekken en "do not sell"-verzoeken.

Onder de CCPA wordt een e-mailadres beschouwd als persoonsgegevens. Dat betekent dat je gebruikers op het moment van verzameling moet informeren welke gegevens je verzamelt en hoe deze worden gebruikt, een duidelijke opt-outoptie moet bieden als je die informatie verkoopt of deelt, een link "Do Not Sell My Personal Information" op je website moet opnemen indien van toepassing, en consumenten op verzoek toegang tot hun gegevens moet geven en deze moet verwijderen als zij daarom vragen.

CCPA-consumentenrechten die e-mailprogramma's raken

De CCPA kent vijf kernrechten die relevant zijn voor e-mail: het Recht op Inzage (consumenten kunnen toegang vragen tot gegevens die over hen zijn verzameld), het Recht op Verwijdering (bedrijven moeten persoonsgegevens op verzoek verwijderen), het Recht op Opt-out (duidelijke "Do Not Sell My Information"-links zijn verplicht), het Recht op Correctie (consumenten kunnen verzoeken om gegevenscorrectie) en het Recht op Non-discriminatie (geen sancties voor het uitoefenen van privacyrechten).

Voor je e-mailactiviteiten zijn twee responstermijnen het belangrijkst: je hebt 45 dagen om te reageren op inzage- of verwijderingsverzoeken en 15 werkdagen om opt-outs te verwerken.

Voor een goed gesegmenteerde lijst waarbij abonneegegevens zijn georganiseerd op basis van voorkeur en gedrag, wordt het naleven van deze verzoeken veel eenvoudiger. Leer hoe je die structuur opbouwt in onze gids over E-maillijstsegmentatiestrategieën die het rendement met 760% verhogen.

CASL: wat het betekent als je Canadese abonnees hebt

Als abonnees je e-mails vanuit Canada openen, is CASL op jou van toepassing, ongeacht waar jouw bedrijf is gevestigd.

De Canadian Anti-Spam Law (CASL) trad op 1 juli 2014 in werking. Als je in Canada bent gevestigd of een commercieel elektronisch bericht (CEM) stuurt aan inwoners van Canada, moet je voldoen aan CASL.

Commercialële elektronische berichten die vanuit een ander land naar ontvangers in Canada worden gestuurd, moeten voldoen aan CASL. Verzenders van CEMs moeten toestemming verkrijgen, identificatiegegevens verstrekken en een afmeldmechanisme aanbieden.

Het belangrijkste verschil: opt-in versus opt-out

CASL draait het CAN-SPAM-model volledig om. CASL is primair gebaseerd op uitdrukkelijke toestemming, wat betekent dat iedereen aan wie je een bericht stuurt, eerst moet hebben ingestemd, op een paar uitzonderingen na. Je moet ook een registratie bijhouden van alle toestemmingen die zijn verkregen onder CASL, inclusief wanneer en hoe de toestemming is verkregen.

Uitdrukkelijke toestemming betekent dat een persoon duidelijk heeft ingestemd met het ontvangen van een CEM, schriftelijk of mondeling. De ontvanger moet een proactieve actie ondernemen om zijn uitdrukkelijke toestemming aan te geven, bijvoorbeeld door zich aan te melden op jouw website.

Impliciete toestemming is beschikbaar in beperkte gevallen. Voorbeelden zijn wanneer een ontvanger een product of dienst bij je heeft gekocht, een zakelijke overeenkomst met je heeft gesloten of een schriftelijk contract met je heeft gesloten, alles binnen de afgelopen twee jaar, of als ze de afgelopen zes maanden informatie hebben gevraagd over een product of dienst.

Ongeacht het type toestemming: als een ontvanger vraagt te stoppen met het ontvangen van CEMs via jouw afmeldmechanisme of via een andere communicatievorm, moet je dat verzoek respecteren en binnen 10 werkdagen stoppen met het sturen van CEMs.

CASL-boetes

De financiële risico's onder CASL zijn aanzienlijk. Boetes voor het overtreden van CASL kunnen oplopen tot $1 miljoen per overtreding voor individuen en tot $10 miljoen per overtreding voor bedrijven. Zowel individuen als bedrijven, inclusief hun bestuurders, functionarissen en andere vertegenwoordigers, kunnen aansprakelijk worden gesteld voor overtredingen.

Een compliant e-mailprogramma opbouwen: praktische checklist

Compliance vereist geen volledige herbouw van je e-mailprogramma. Het vereist gedisciplineerde systemen rondom toestemming, gegevensverwerking en abonneecommunicatie. Hier volgt een praktische checklist die alle drie de juridische lagen dekt:

Toestemming en lijstopbouw

• Gebruik dubbele opt-in voor alle nieuwe abonnees (aanbevolen werkwijze onder CCPA, verplicht onder CASL, en standaard vereist onder de AVG voor Nederlandse marketeers)
• Wanneer een onbevoegd persoon toegang krijgt tot onversleutelde persoonsgegevens zoals e-mailadressen gecombineerd met namen, wachtwoorden of andere identificatiegegevens, moet je getroffen inwoners van Californië zonder onnodige vertraging informeren. Zorg dat je een plan klaar hebt voor het melden van datalekken.
• Koop nooit e-maillijsten van inwoners van Californië of Canada

E-mailinhoud

• Gebruik nauwkeurige "Van"-, "Antwoord aan"- en domeingegevens bij elke verzending
• Onderwerpregels moeten de inhoud van de e-mail nauwkeurig weerspiegelen en mogen op geen enkele manier misleidend of bedrieglijk zijn. Dit geldt onder CAN-SPAM, § 17529.5 en CASL.
• Vermeld je geldige fysieke postadres in de voettekst van elke e-mail

Afmelding en gegevensverzoeken

• E-mailmarketeers moeten procedures hebben om binnen 45 dagen te reageren op verzoeken om gegevensinzage en -verwijdering.
• Opt-outverzoeken moeten worden afgehandeld binnen 15 werkdagen na ontvangst.
• Verwerk CAN-SPAM-opt-outs binnen 10 werkdagen; CASL-afmeldingen binnen 10 werkdagen

Privacybeleid en kennisgevingen

• Je privacybeleid moet in begrijpelijke taal vermelden welke persoonsgegevens je verzamelt, waarom je ze verzamelt en met wie je ze deelt.
• Voeg een link "Do Not Sell My Personal Information" toe op je website als je aan de CCPA-drempelwaarden voldoet
• Train je medewerkers op naleving van deze regelgeving en houd gedetailleerde registraties bij van klantverzoeken en jouw reacties.

Je welkomstmailreeks is de ideale plek om verwachtingen over gegevensgebruik te stellen en de afmeldmogelijkheid vanaf dag één duidelijk zichtbaar te maken. Elke onderwerpregel die je schrijft moet bovendien overeenkomen met de inhoud van de e-mail, niet alleen voor betrokkenheid, maar ook voor juridische naleving. Onze gids over Best practices voor e-mailonderwerpregels die openingspercentages met 27% verhogen legt uit hoe je onderwerpregels schrijft die tegelijkertijd aansprekend en transparant zijn.

CAN-SPAM versus CCPA versus CASL: snel overzicht

Veelgestelde vragen

Geldt de e-mailmarketingwetgeving van Californië ook voor bedrijven buiten Californië?

Ja. Deze regelgeving richt zich op bedrijven in de hele Verenigde Staten die marketing- of promotionele e-mails sturen aan inwoners van Californië, ongeacht waar de afzender is gevestigd. Als je e-mail een inwoner van Californië bereikt, zijn zowel CAN-SPAM als § 17529.5 van Californië van toepassing. De CCPA is van toepassing als jouw bedrijf voldoet aan de omzet- of gegevensvolumegrenzen.

Is de CCPA van toepassing op kleine bedrijven?

In veel gevallen niet. Veel kleine bedrijven halen de drempelwaarden van de CCPA niet. Als je een kleine online onderneming runt, e-mailaanmeldingen verzamelt en inkomsten haalt uit een paar affiliateprogramma's of digitale producten, ben je waarschijnlijk niet wettelijk verplicht om volledig aan de CCPA te voldoen. Toch zijn de principes van de CCPA de moeite waard om te volgen, ook als je onder de drempel blijft. Je hebt waarschijnlijk lezers uit Californië die transparantie verwachten, en privacyvriendelijke praktijken worden steeds meer de norm in plaats van de uitzondering. Nederlandse bedrijven die persoonsgegevens verwerken, moeten sowieso voldoen aan de AVG, die op vergelijkbare principes is gebaseerd.

Hoe verschilt CASL van CAN-SPAM voor e-mailmarketeers?

Het kernverschil zit in toestemming. Onder CASL is toestemming vereist vóórdat je een commercieel elektronisch bericht verstuurt. CAN-SPAM vereist alleen dat ontvangers na het ontvangen van de e-mail een eenvoudige manier hebben om zich af te melden. CASL kent ook veel hogere boetes en geldt voor iedereen die e-mails stuurt aan inwoners van Canada, ongeacht waar de afzender is gevestigd.

Wat gebeurt er als ik een extern e-mailplatform gebruik en zij een overtreding veroorzaken?

Zelfs als je een e-mailmarketingplatform gebruikt, ben je nog steeds wettelijk verantwoordelijk voor naleving van de Californische wet. Zorg ervoor dat de tools van jouw provider CCPA-compliance ondersteunen. Onder CAN-SPAM kun je jouw wettelijke verantwoordelijkheid niet contractueel overdragen, ook niet als je een ander bedrijf inschakelt voor je e-mailmarketing. Onder § 17529.5 van Californië kan de adverteerder die profiteert van de e-mail aansprakelijk worden gesteld, ook als een externe leverancier de e-mail heeft verstuurd.

Dit artikel is uitsluitend bedoeld voor educatieve doeleinden en vormt geen juridisch advies. Raadpleeg een gekwalificeerde advocaat voor advies dat specifiek is afgestemd op jouw bedrijfssituatie.