Hjelp - snart kommer GDPR. Hva gjør du?

Jeg regner med at du har hørt om GDPR den siste tiden?

Kort fortalt så er dette en ny personvernlov som gjelder for EU, og som trer i kraft 25. mai i år - altså om ca 2 måneder.

Denne lovgivningen er ikke ment å slå ned på bedrifter som driver med e-postmarkedsføring, men å gi makten og rettighetene til persondataene til enkeltindividet.

Og det er jo en god tanke, eller hva!

Men for en hodepine det kan føre med seg å tilpasse seg dette lovverket.

Kanskje du også har hatt litt bekymring rundt dette i det siste?

Det eksisterer allerede en personvernlov i dag, så GDPR er ikke et nytt monster som kommer svømmende opp fra havdypet, men det er laget som en utvidelse av eksisterende lov.

En del av kravene i den nye loven praktiseres allerede i dag, som f. eks at folk har rett til å bli slettet fra e-postlister ved oppfordring. Dette gjøres i dag ved å inkludere “unsubscribe”-links i mailene som sendes ut.

Men framover vil det bli en god del strengere i forhold til håndheving og praktisering av loven. Vi som bedrifter og markedsførere vil få et tydeligere ansvar for hvordan vi behandler persondata.

Og et brudd på dette ansvaret kan medføre historisk høye bøter på opp mot €4 millioner (ja, euro) eller 4% av global omsetning.

Disse EU-folka leker ikke lenger, så nå gjelder det å ha tunga rett i munnen.

Sammen med teamet mitt i Inspiro og etter en runde med advokat har vi tegnet opp et bilde for å forstå hvordan GDPR kommer til å påvirke bedrifter som markedsfører seg online. Og siden du står på denne listen regner jeg med at dette også kan være av din interesse.

I denne mailen skal jeg ikke gi deg en lang avhandling om GDPR for det kan du finne mye info om ved å Google etter GDPR. Du kan også lese mer på Datatilsynets egne sider: https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/

Her får du en oppsummering av det jeg anser som de viktigste punktene å ta stilling til når du bygger e-postlister eller benytter personlig kontaktinformasjon i din markedsføring.

1) Du må ha samtykke for å sende ut mail

Generelt sett skal du kunne gi et tydelig svar på dette spørsmålet: "Hvordan fikk du tak i min e-mail adresse?”. Du må altså kunne dokumentere og påvise at du har fått samtykke til å kontakte de som er i listen din - altså ingen kjøpte/lånte lister eller e-poster ervervet uten forhåndssamtykke av brukeren. Dersom du bruker optin-sider til å samle inn data i dag er du på lang vei til å være innenfor kravet om samtykket så lenge formålet med bruken av dataene kommuniseres godt i forkant.

2) Du må spesifisere hvilket formål dataene skal brukes til

GDPR påpeker at det er viktig at du forteller folk tydelig hva du skal bruke dataene til. At du forteller det på en enkel måte som folk forstår, og ikke bakt inn i en kronglete og lite oversiktlig personvernerklæring man må finne lenke til nederst på siden din. Samler du f. eks inn navn og e-post gjennom et optin-skjema må du legge på en tekst som forklarer hva som vil skje videre med dataene etter at de er sendt inn.

La oss si du gir bort en e-bok om fluefiske i bytte mot navn og e-post. Da kan du legge på en tekst over submit-knappen som f. eks sier ”Ved å trykke på knappen under samtykker jeg i at Inspiro følger meg opp på e-post med tips og råd relatert til fluefiske ca én gang per uke”. På den måten gis samtykket i tråd med et tydelig formål for bruk av dataene. Unnlater du å informere om dette vil du heller ikke ha samtykke til å sende oppfølgingsmailer.

Det råder forvirring om man må legge på en checkbox i selve optin-skjemaet som folk må krysse av for å gi sitt samtykke eller om det holder med å skrive en tydelig tekst som forklarer formålet. Slik vi oppfatter det basert på foreløpig kommunikasjon med advokat vil det holde å informere om formålet uten å kreve en avkrysning, men vil du være på den sikre siden anbefaler jeg deg å benytte en checkbox i tillegg.

Og skulle du merke at din optin-rate faller pga dette kan du lage en egen checkbox de kan krysse av for å be om oppfølging med tips og råd om fluefiske. Altså at de kan få tilsendt e-boken på e-post, men at de gir et ekstra samtykke til å bli fulgt opp på e-post.

3) Du skal kun samle inn data som er nødvendig for å yte tjenesten

Enkelt sagt så skal du kun samle inn data du trenger. Har du laget en e-bok som du sender folk på e-post er det strengt talt ikke nødvendig å hente inn mer enn navn og e-post. Skal du hente inn mer data må du begrunne hvorfor. Du kan altså ikke hente inn data fordi det er kjekt å ha. Skal du f. eks hente inn mobilnummer for å sende en SMS må dette eksplisitt skrives på optin-skjemaet.

Fra Datatilsynet:

“Personopplysninger skal bare innhentes, lagres og behandles i den grad det er nødvendig for å oppnå formålet. Har man strengt tatt ikke behov for å registrere personopplysningene, skal man heller ikke gjøre det. Overskuddsinformasjon skal unngås. Innsamlede data som ikke lenger er nødvendige for det angitte formål må slettes eller anonymiseres.”

4) Du kan kun bruke dataene knyttet til det opprinnelige formålet

Har du f. eks samlet inn navn og e-post i forbindelse med nedlasting av en e-bok i fluefiske, skal i prinsippet denne kontaktinformasjonen ikke kunne brukes i forbindelse med andre formål eller temaer som ikke er relatert, med mindre personen ga sitt eksplisitte samtykke til å motta annen informasjon samtidig med sitt opprinnelige samtykke. La oss si du i tillegg til å drive med fiske også driver med utleie av golfutstyr, så har du ikke lov til å sende ut informasjon om golfutstyr basert på fluefiske-samtykket. Her er det altså viktig å være relevant!

5) Du kan ikke sitte på dataene lenger enn nødvendig

Dette betyr i praksis at du ikke kan sitte på dataene i evig tid, men kun så lenge det er nødvendig i forhold til det formålet dataene ble samlet inn for.

Har du samlet inn navn og e-post i forbindelse med nedlasting av en e-bok er det strengt talt ikke nødvendig å sitte på kontaktinfoen etter at e-boken er sendt ut. Hva som anses som “nødvendig” står det ikke noe spesifikt om i GDPR, men vil gå på skjønn og hva du har kommunisert i forkant om hva som vil skje med kontaktinfoen.

Sender du f. eks ut ukentlige nyheter eller oppfølging relatert til emnet i e-boken kan man anse at brukeren gir implisitt samtykke til å motta informasjon så lenge e-postene blir åpnet eller lest. Har ikke brukeren åpnet en eneste e-post fra deg i løpet av en viss stund kan man anta at interessen er bortfalt og at det ikke lenger anses som nødvendig å sitte på dataene. Da vil det være naturlig å slette disse dataene fra ditt CRM-system. Her tenker jeg at 3-6 måneder kan være en grei tommelfingerregel.

Hvis det er snakk om at kontaktdataene oppbevares som en del av et kundeforhold vil det være naturlig å gjøre en annen vurdering av hvor lenge dataene er nødvendig. Her vil et typisk case være at kundedataene oppbevares så lenge kundeforholdet eksisterer. Altså helt til kunden selv sier opp kundeforholdet.

6) Du er pålagt å slette informasjon om folk når de ber om det

Dette er allerede en standard praksis i dag og slik funksjonalitet støttes i alle seriøse CRM systemer. Det er også vanlig med en avmeldingslenke i alle mailutsendelser.

7) Du må ha en personvernerklæring som er GDPR-kompatibel

Du må fortelle hvordan dataene brukes og hvilke systemer dataene behandles i, samt hvilke leverandører som har tilgang på datatene. Inspiro skal lage en mal på dette og alle våre kunder vil få gratis tilgang til denne når den er klar.

8) Hva med din eksisterende e-postliste? Kan den brukes etter 25. mai?

Det er viktig at du tenker på hvordan folk i utgangspunktet havnet på din e-postliste. Har alle kommet gjennom optin-skjemaer der formålet har vært tydelig fra starten av? Er det en blanding av mange forskjellige kampanjer og formål? For de fleste bedrifter vil GDPR bety at man må ta en vårrengjøring på listen sin, og den enkleste og tryggeste måten å gjøre det på er å be listen din om å gi sitt samtykke på nytt. Det betyr rett og slett at du sender ut mail til listen som forklarer situasjonen og at du er i ferd med å etterkomme de nye GDPR-kravene, og at de må gi sitt samtykke på nytt. Jeg vet at dette høres brutalt ut og det vil det være for mange, men da vil du hvert fall være 100% kompatibel med GDPR.

Alternativt kan du gjøre en manuell opprydding uten å be folk gi samtykke på nytt. Da er det viktig at du tenker gjennom de punktene jeg har beskrevet over. Slett kontaktinfo på personer som ikke har engasjert seg i utsendelsene dine på f. eks over 6 måneder, og som ikke lenger er relevant for det du driver med. Har du kjøpt lister tidligere må disse slettes. De som blir igjen i listen din da vil være personer som den seneste tid har åpnet eller lest mailene dine og på den måten kan det tolkes som at det finnes en legitim interesse hos mottakeren som igjen gir grunnlag for fortsatt databehandling.

Konklusjon

Jeg håper dette har gitt deg noen svar på hva du skal gjøre videre for å tilpasse deg den nye loven. I Inspiro vil vi jobbe videre med GDPR over påsken og jeg vil holde dere oppdatert når jeg har mer informasjon å komme med.

Jeg kommer også til å invitere inn til et webinar i april eller begynnelsen av mai, der dere får mulighet til å bli med og stille spørsmål om det dere lurer på.

Vi har dessverre ikke anledning til å svare individuelt på e-post om GDPR-relaterte spørsmål. Jeg anbefaler deg i så fall å vente til webinaret eller å ta kontakt med en advokat.

Med det ønsker jeg deg en riktig god påske!

- Roy

ANSVARSFRASKRIVELSE: Jeg er ikke en juridisk rådgiver og har heller ikke konsesjon til å gi juridisk bistand. Du må derfor lese innholdet i denne mailen som ren informasjon ment for å opplyse deg om temaet GDPR og hjelpe deg på veien til å gjøre din bedrift kompatibel med den nye loven. Dersom du ønsker å være 100% trygg i forhold til GDPR anbefaler jeg deg å ta kontakt med en advokat som er spesialisert på personvern.