GDPR og digital markedsføring

I denne guiden kan du lære mer om EUs personvernforordning GDPR, og hva du bør gjøre for å være i samsvar med den med spesielt fokus på digital markedsføring. Denne siden er lang, så bruk menyen under.

1. Hva er GDPR?

GDPR står for General Data Protection Act. På norsk heter den Personvernforordningen. Forordningen som sikrer at bedrifter og organisasjoner i alle medlemsland i EU og EØS behandler personopplysninger på samme prinsipielle grunnlag. GDPR ble vedtatt av EU 27. april 2016 og trådte i kraft 25. mai 2018.

I Norge ble den nye personvernloven vedtatt i Stortinget 22. mai 2018 under navnet Personopplysningsloven, eller Lov om behandling av personopplysninger (Kilde: Lovdata). Loven trådte i kraft 20. juli 2018.

2. Hva er bakgrunnen for GDPR?

GDPR avløste Personverndirektivet, som ble vedtatt i 1994, altså før internett ble allemannseie. Siden da har det skjedd en digital revolusjon hvor forbrukere ikke lenger har kontroll over hvilke data som lagres om dem og hva de brukes til, noe som har ført til en maktubalanse mellom enkeltindividet på den ene siden og staten og de store selskapene på den andre siden.

Det er flere årsaker til at man så behovet for et nytt regelverk:

  • Styrke europeiske borgeres rettigheter
  • Gjøre det lettere å utveksle personopplysninger over landegrenser
  • Styrke tilliten til digitale tjenester
  • Sikre samarbeid mellom personvernmyndigheter

Til syvende og sist handler den nye Personvernforordningen om å etablere tillit mellom alle parter i en digital verden.

3. Hvilke konsekvenser har Personvernforordningen fått?

Da GDPR trådte i kraft i EU 25. mai 2018 ble en rekke amerikanske nyhetsnettsteder blokkert for europeiske brukere, fordi de ikke innfridde de nye kriteriene for personvern.

De fleste store ikke-europeiske programvareselskapene og sosiale nettverk som Facebook og Google, hadde i forkant av dette allerede gjort omfattende tilpasninger for å sikre samsvar.

EU varslet at misbruk eller uforsiktig håndtering av personopplysninger kunne medføre bøter på opp til 20 millioner euro eller tilsvarende 4 prosent av selskapets globale omsetning. I januar 2019 ble Google ilagt 50 millioner euro i bot av det franske datatilsynet. (Kilde: DN).

Datatilsynet, som håndhever GDPR i Norge, mottok i 2018 hele 1276 avviksmeldinger. Til sammenligning mottok de i 2017 kun 349 avviksmeldinger. (Kilde: Kampanje).

Den første saken i Norge dukket opp i desember 2018, da Datatilsynet varslet Bergen kommune om en bot på 1,6 millioner kroner for brudd på GDPR. Bakgrunnen var et sikkerhetshull som gjorde at brukernavn og passord til 35 000 elever og ansatte i grunnskolen i Bergen lå åpent tilgjengelig på nettet. (Kilde: DN).

I mai 2019 varslet Datatilsynet Oslo kommune om en bot på 2 millioner kroner for brudd på personopplysningsloven gjennom appen Skolemelding. Bakgrunnen var et sikkerhetshull som gjorde at uvedkommende kunne logge seg inn i appen og få tilgang til personopplysninger om elever, foresatte og ansatte i Osloskolen. (Kilde: Computerworld).

4. Hvilke krav stiller Datatilsynet til norske virksomheter?

Ifølge fagdirektør i Datatilsynet, Catharina Næs, som holdt et foredrag på Inbound-dagen 2018, har GDPR etablert et skifte fra en verden der Datatilsynet «går rundt og forteller folk hvordan de skal gjøre ting» til «en verden hvor virksomheter må demonstrere etterlevelse.»

«Så vi forteller ikke folk hvordan de skal gjøre det. Virksomhetene må vise at de skjønner hvordan de skal gjøre ting, og de må ha systemer på plass for å demonstrere denne etterlevelsen.», sa Nes på konferansen. Du kan se foredraget hennes her:

Siden de ikke foreligger en offisiell oppskrift fra Datatilsynet på hvordan virksomheter skal forholde seg til GDPR kan det for uinnvidde virke litt overveldende å måtte finne ut av tingen på egen hånd. Derfor har vi laget en sjekkliste, som du kan lese her.

Datatilsynet har også utarbeidet en rekke nyttige veiledere som du kan se her

5. Hvordan komme i samsvar med GDPR?

Se videoen hvor MarkedsPartners prosess- og utviklingssjef Frode Ødmann Andersen intervjues om GDPR, eller les sjekklisten under, som inneholder seks punkter du må ha kontroll på for å være i samsvar med EUS personvernforordning.

 

1. Databehandleravtale

Sørg for å ha signert databehandleravtale med relevante leverandører. Hvis du for eksempel har et byrå som hjelper deg med å sende ut markedsføring på dine vegne, så trenger du en slik avtale. Også dersom du bruker en skytjeneste til å lagre kunde- eller kontaktopplysninger. I praksis berører dette stort sett alle bedrifter. Datatilsynet har laget en fin veileder for lage en databehandleravtale, som du kan sjekke ut her.

2. Personvernerklæring

Få på plass personvernerklæring (privacy policy) og cookie policy i samsvar med GDPR på nettstedet ditt, blogger og landingssider. Ønsker du et eksempel på hvordan en slik personvernerklæring ser ut, kan du lese MarkedsPartners personvernerklæring her.

3. Skriftlig plan

Ferdigstill eller lag en skriftlig plan for når du skal ferdigstille:

I hvilke tilfeller behandler du personopplysninger: Beskriv alle relevante behandlingssituasjoner. Eksempler:

  • Sender nyhetsbrev per e-post til forretningsforbindelser
  • Lagrer kontakt- og bedriftsinformasjon om forretningsforbindelser i CRM
  • Gjennomgå eksisterende kontakter du har lagret personopplysninger om, og dokumenter dine vurderinger av juridisk behandlingsgrunnlag. (Tips dersom du bruker HubSpot: Del kontaktene dine i grupper ved å bruke lister.)
  • For hver kontakt, dokumenter behandlingsgrunnlag på kontaktkortet i ditt CRM-system. (Tips dersom du bruker HubSpot: Bruk «Bulk edit»-funksjonen, men vær nøyaktig og forsiktig. 

4. Innhenting av samtykke fra nye kontakter

Etabler en løsning i samsvar med GDPR for de behandlingssituasjonene hvor samtykke er nødvendig. Skjermbildet under viser hvordan et typisk skjema for nedlastning av en guide ser ut hos MarkedsPartner. Her henter vi inn samtykke til to ting:

  1. Sende e-post med artikler og annet relevant innhold
  2. Lagre og behandle personopplysninger

Merk deg at det også må være mulig for personen å når som helst trekke samtykket tilbake.

Form

6. GDPR og inbound marketing

Hvordan er GDPR forenelig med inbound marketing?

Som nevnt tidligere på denne siden er tillit et viktig stikkord når det gjelder GDPR. Lenge før GDPR ble innført, hadde markedsførere forstått viktigheten av å innhente samtykke.

Allerede i 1999 utga Seth Godin boken Permission Marketing, hvor han sier følgende:

«Permission marketing is the privilege (not the right) of delivering anticipated, personal and relevant messages to people who actually want to get them

Inbound marketing er en metode og en markedsføringsfilosofi som bygger på de samme prinsippene. Dette kom tydelig frem i Christian Kinnear, Managing Director EMEA i HubSpot, sitt foredrag på Inbound-dagen 2018, den 14. mars:

«We’re huge fans of GDPR. We designed our product based on that philosophy from day one.»

Når man har en inbound-filosofi i bunn, er ikke GDPR så mye en plikt eller et regelverk man må være compliant på, men det bør være en del av bedriftens verdier og kultur. Det at man setter kundens ve og vel høyt og respekterer deres personvern, vil sikre et sterkt tillitsforhold mellom virksomheten og dens interessenter.

Les også: Hva betyr GDPR for inbound marketing?