Det er tid til at aflive myten om, at den gode B2B-sælger er ekspert i opsøgende salg - en hunter,...
Markedsføringsloven og GDPR er to begreber, der vækker både forvirring og bekymring hos mange virksomheder. Og forståeligt nok - for overholder vi ikke de to lovgivninger, så risikerer vi skyhøje bøder, og vi har da meget andet at bruge vores penge på.
Én af de helt store årsager til forvirring handler oftest om, hvordan man skelner mellem markedsføringsloven og persondataforordningen (GDPR). Forskellen er i bund og grund, at markedsføringsloven handler om, hvordan du må markedsføre dig, hvorimod GDPR handler om, hvordan og i hvilket omfang du må opbevare data om enkeltpersoner.
Der er dog også lidt overlap mellem de to lovgivninger. Ifølge GDPR skal du nemlig også tilkendegive, hvad du vil bruge personers data til, og dermed kommer markedsføringsloven implicit med ind under GDPR. Ikke desto mindre er de to lovgivninger forskellige, og du skal overholde dem begge for at sikre dig imod bøder.
Her vil jeg forsøge at gøre dig lidt klogere på, hvad du typisk skal have styr på i B2B-marketing for at overholde loven, og give et bud på, hvordan du kan gribe det an.
Hvad står der i markedsføringsloven?
I markedsføringsloven er der nogle retningslinjer, du skal følge for ikke at ryge under kategorien “spam,” som er ulovligt i Danmark. Ved spam forstås, at du henvender dig elektronisk uden at have fået lov til det af den, du sender til. I markedsføringslovens spamforbud står der:
"§ 10. En erhvervsdrivende må ikke rette henvendelse til nogen ved brug af elektronisk post, et automatisk opkaldssystem eller telefax med henblik på direkte markedsføring, medmindre den pågældende har givet sit forudgående samtykke hertil"
Vi kan sagtens blive enige om, at paragraffen lyder en kende forældet, når ordet telefax indgår som en del af den. Derfor har Forbrugerombudsmanden også udgivet en spamvejledning, som giver et mere nutidigt billede af, hvad der er omfattet i dag.
Her står der, at “definitionen af elektronisk post er teknologineutral og skal fortolkes bredt. Formålet med definitionen er at sikre, at personer opnår den samme beskyttelse af privatlivets fred, uanset hvilken teknologi der anvendes.”
Elektronisk post er altså både e-mails, sms, beskeder på sociale medier og lignende, herunder også annoncer, der sender beskeder i indbakken på eksempelvis LinkedIn og Facebook, og dem må du altså ikke sende uden forudgående samtykke. Du må heller ikke sende en e-mail og bede om at få et samtykke, da et samtykke skal indhentes inden, du sender noget.
Leadgenerering er ofte en bærende taktik i B2B-markedsføring og salg, og en del af arbejdet med leadgenerering indebærer oftest, at du sender marketingbudskaber til dine leads – eksempelvis på e-mail. Det skal du altså, ifølge den danske markedsføringslov, indhente samtykke til.
Sådan indhenter du samtykke til markedsføring
Uanset hvordan du har indhentet dit samtykke, skal det kunne bevises, at du har fået det. Derfor er den mest almindelige måde at bruge formularer, pop-ups eller chatbots, som anmoder om og registrerer samtykket automatisk, når du indsamler leads. På den måde kan du holde styr på, hvem du har tilladelse til at kontakte med marketingbudskaber.
Når du indhenter samtykke til markedsføring skal du samtidig oplyse om, at samtykket altid kan trækkes tilbage. I Forbrugerombudsmandens vejledning står det eksplicit, at samtykket skal være frivilligt, dog må du “i et vist omfang motivere en person til at give samtykke ved at tilbyde en fordel for at give samtykket. Et manglende samtykke må dog ikke medføre negative konsekvenser fx meromkostninger.”
Den mest almindelige måde at indhente samtykket på er ved at have en tekst, som informerer om betingelserne ved at udfylde formularen. Her skal der som minimum stå:
- Hvilke virksomheder vil man modtage markedsføring fra
- Hvordan vil man modtage markedsføringen. For eksempel på e-mail
- At man har ret til at trække sit samtykke tilbage
Derudover skal samtykket være eksplicit og foregå ved en aktiv handling. Den mest anvendte metode i marketing er at have en samtykketekst med ovenstående info direkte i formularen sammen med en tjekboks, som modtageren skal krydse af. Denne skal modtageren selv tjekke af, og den må dermed ikke være tjekket af på forhånd.
/Marketingsamtykke%20GDPR.jpg?width=1080&name=Marketingsamtykke%20GDPR.jpg)
Hvad står der i persondataforordningen (GDPR)?
GDPR handler om, hvordan du indhenter og opbevarer data om personer i det hele taget, og er ikke begrænset til salg og marketing. I GDPR-lovgivningen skelner man mellem flere forskellige typer personoplysninger, og der er forskellige krav til, hvordan du skal forholde dig afhængig af, hvilken type oplysninger du indsamler.
I B2B-marketing arbejder du højst sandsynligt med en form for leadgenerering, og typen af informationer, du indsamler her, er oftest i kategorien personoplysninger. Denne type data er ikke er særlig følsomme, men kan bruges til at identificere en person - herunder navn, alder, uddannelse, stillingsbetegnelse, telefonnummer, e-mailadresse mm.
Uanset om du indsamler dine leads via annoncer, formularer på dit website eller et tredje sted, så er faktum, at du indhenter personoplysninger, så snart du har fået en persons e-mailadresse, og det skal du have samtykke til - også selvom din data er om personer i deres professionelle virke som mulig samarbejdspartner.
Det er ikke nok at indhente samtykke til at sende marketingbudskaber til dine kontakter. Du skal også sikre dig samtykke til, at du gemmer og behandler informationer om dem, og det er her, den store forskel på markedsføringsloven og GDPR gemmer sig.
GDPR-lovgivningen handler nemlig om, at du skal have tilladelse til at behandle og opbevare data om dine kontakter - uanset om du vil sende noget til dem eller ej. Man kan argumentere for, at det giver sig selv, at du opbevarer oplysninger om dine kontakter, når du har fået lov at sende noget til dem. Men dit markedsføringssamtykke er altså ikke nok. Helt konkret siger persondataforordningen:
"For at (data, red.)behandling kan betragtes som lovlig, bør personoplysninger behandles på grundlag af den registreredes samtykke (...)"
Sådan indhenter du samtykke til opbevaring og behandling af persondata
Når du indhenter samtykke til at opbevare og behandle data om personer, skal samtykket være frivilligt, specifikt, informeret og utvetydigt. Det stiller nogle krav til, hvordan du skal informere om, at du gemmer personers oplysninger.
I Datatilsynets vejledning om samtykke står der, meget lig markedsføringsloven, at samtykket skal tages frivilligt ved en aktiv handling - og at det skal kunne trækkes tilbage.
For at overholde GDPR bør du altså også have en tjekboks sammen med en kort samtykketekst i dine formularer, hvor du indhenter samtykke til, at du må opbevare og behandle data om kontakterne. Du kan også vælge at kombinere tjekboksen med indhentning af samtykke til markedsføring. Tjekboksen må ikke være krydset af på forhånd, men den skal naturligvis være påkrævet at udfylde, hvis kontakten automatisk bliver gemt i dit system ved udfyldelse af formularen.
Derudover skal samtykket være specifikt og informeret. Du har altså oplysningspligt i forhold til, hvordan de informationer, du indhenter, vil blive brugt. Det betyder, at du har pligt til at oplyse om alt det, der kan være relevant for en person at vide for, at samtykket kan siges at være specifikt og informeret. Oftest nedfældes disse betingelser i en persondata- eller privatlivspolitik, som du linker til i dine formularer eller andre steder, hvor du indsamler persondata.
I Datatilsynets vejledning om de registreredes rettigheder står der, at du som minimum skal oplyse om følgende skriftligt:
- Hvilket tidsrum personoplysningerne vil blive opbevaret i eller de kriterier, du anvender til at fastlægge tidsrummet. Du må opbevare personoplysninger så længe, du har sagligt brug for dem.
- Hvis du beriger den data, du har indsamlet om en person, skal du også beskrive formålet med dataprofilering, hvordan den foregår, samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
- De rettigheder, som den registrerede har efter databeskyttelsesforordningen, herunder at vedkommende har ret til at anmode om indsigt i de oplysninger, der behandles, og at vedkommende har ret til at få slettet oplysningerne.
- At vedkommende kan trække sit samtykke tilbage.
/Datasamtykke%20GDPR.jpg?width=1080&name=Datasamtykke%20GDPR.jpg)
Situationer, hvor du ikke behøver samtykke
Der findes omstændigheder, der gør, at du ikke behøver at indhente samtykke til at indsamle personoplysninger og ret til at sende markedsføring. Dette kaldes også en “legitim interesse.” Personoplysninger kan behandles uden samtykke, hvis det er nødvendigt af hensyn til en kontrakt med den registrerede - altså hvis der er tale om registrering af en kunde og dennes oplysninger.
Desuden “kan en erhvervsdrivende, der fra en kunde har modtaget dennes elektroniske adresse i forbindelse med salg af en vare eller en tjenesteydelse, markedsføre egne tilsvarende produkter eller tjenesteydelser til kunden via elektronisk post. Dette forudsætter dog, at kunden har mulighed for let og gebyrfrit at frabede sig dette både i forbindelse med afgivelsen af adressen til den erhvervsdrivende og ved efterfølgende henvendelser.”
Du må altså gerne gemme oplysninger om dine kunder uden at indhente specifikt samtykke til det, og du må også gerne sende marketingbudskaber til dem, hvis det, du retter henvendelse om, er i samme kategori som det, kunden i forvejen har købt. Dog skal du tilbyde muligheden for, at de kan frabede sig dine e-mails fremover.
Hvad er konsekvensen ved ikke at overholde markedsføringsloven og GDPR?
I Danmark er det Forbrugerombudsmanden, der fører tilsyn med, at markedsføringsloven overholdes, hvorimod det er Datatilsynet, der fører tilsyn med, at GDPR overholdes. Overtrædelse medfører, uanset hvilken lov der overtrædes, bødestraffe, som kan variere meget i størrelse.
På Forbrugerombudsmandens website kan man finde danske sager med bødestraffe fra 10.000 kroner for at sende uopfordrede e-mails til 13 personer til noget større bøder - nemlig hele 800.000 kroner for at sende mere end 38.500 e-mails. Det er altså ikke billigt at blive taget i at se stort på markedsføringslovens spamforbud, og det er ikke kun de store fisk, der ryger i nettet.
Endnu dyrere kan det dog være at overtræde GDPR, altså at opbevare data om enkeltpersoner uden samtykke eller hjemmel for det. Da loven trådte i kraft i 2018 var det da også truslen om de massive bøder, der fik mange virksomheder til at sætte alle kræfter ind på at få styr på deres data.
Bliver man snuppet i at opbevare data om personer uden samtykke, kan der ske følgende:
- Ved mulig overtrædelse kan der udstedes en advarsel.
- En regulær overtrædelse kan i værste fald koste virksomheden 4% af sin samlede globale årlige omsætning eller op til 20 mio EUR.
I Danmark har vi set den første dom for overtrædelse i 2021, hvor ILVA (IDdesign) blev idømt en bøde på 1,5 millioner kroner for ikke at overholde GDPR. Bøden blev dog senere nedsat, men den siger stadig noget om, hvilke størrelsesordner vi kigger ind i. For de fleste virksomheder vil en sådan bøde være noget af en mavepuster, hvilket naturligvis er et stort incitament for at sikre, at der er styr på sagerne.
Få dine erklæringer og samtykketekster verificeret af en jurist
Jura er altid genstand for fortolkning, og loven kan tolkes forskelligt, selvom lovteksten i sig selv ikke ændres. Nye teknologier og måder at kommunikere på kan gøre det vanskeligt for almindelige mennesker at vurdere, om noget er foreneligt med loven.
Vi hos Avidly er ikke specialister i jura, og vi anbefaler derfor til enhver tid, at du rådfører dig med en jurist om dine konkrete procedurer samt gyldigheden af dine samtykketekster og din privatlivspolitik.
