Skip to content

Våre 28 viktigste GDPR-tips for markedsførere

10 mins read

De nye GDPR-forskriftene som trer i kraft 2018 har fått mange til å skjelve i buksene. Som et inbound marketing-byrå gjør vi derfor alt vi kan for å lære oss så mye vi kan om det nye reglementet. Vi har vært på flere foredrag, kurset oss i GDPR og fullført et GDPR-prosjekt i samarbeid med advokater for å sikre at vi blir GDPR-kompatibel. Men hva kan andre markedsførere gjøre for å bli klare i tide?

GDPR

Originalt skrevet: 06.02.18. Artikkel oppdatert 09.07.18.

Innledningsvis vil vi takke Jan Sandtrø og Johan Wedel for gode råd og innspill til denne artikkelen. Dette er to GDPR-eksperter vi anbefaler å ta kontakt med dersom du har spørsmål rundt teamet "personvern og markedsføring".

Bare for å starte med det viktigste: GDPR gjelder alle. Også deg. Det kan være mye å tenke på: Hvilke samtykker behøver dere å samle inn; Hvor stor del av databasen kommer dere til å miste; Hvordan utformer dere databehandleravtaler med alle leverandører som har tilgang på kundeinformasjon; og ikke minst – hvordan skal dere få tid til alt dette?

Hva har vi lært oss de siste månedene vi har hatt mye fokus på de nye personvernreglene? Jo, at uansett hvor mye du vet om GDPR fra før, dukker det alltid opp noe nytt. Det er både fordi dette er en omfattende lovgivning, og fordi tolkingen av reglene endrer seg hele tiden.

GDPR er et svært omfattende tema som gjelder alt fra behandling av opplysninger om dine ansatte til dine kunder. Skal du lære mer om hva dette innebærer for hvordan du behandler dataen du sitter på om dine ansatte, er ikke dette artikkelen for deg. Vil du finne ut mer om hva GDPR betyr for markedsføring derimot, er det bare å lese videre. 

Les også: Hva er GDPR og hvordan påvirker det inbound marketing?

Før vi går videre, her er noen definisjoner fra Datatilsynet:

Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.

Vårt eksempel: Vi er behandlingsansvarlige for alle personopplysninger vi får inn via nettsiden vår. Dersom du laster ned noe hos oss, er det vi som har ansvar for at din persondata blir behandlet i tråd med personopplysningens krav.

Behandling: All behandling av personopplysninger er enhver bruk av personopplysninger, som for eksempel registrering, sammenstilling, lagring og utlevering.

Vårt eksempel: Dersom vi har lov til å sende deg et nyhetsbrev fra vår blogg, og derfor lagrer din informasjon i vårt CRM og sender deg nyhetsbrev, er dette behandling.

Databehandler: Den som behandler personopplysninger på vegne av den behandlingsansvarlige.

Vårt eksempel: Vi, som et inbound marketing byrå, er databehandler for våre kunder. Det vil si at når de gir oss tilgang til å behandle personopplysningene til deres kunder, er vi deres databehandlere.

Personopplysninger: All informasjon som kan knyttes mot en enkeltperson.

Vårt eksempel: Her finnes det mange eksempler, og noen er: e-postadresse, IP-adresse, dynamiske IP-adresser, navn, bilde, fødselsdato, atferdsmønster, og sensitive personopplysninger som etnisk bakgrunn, sykdomshistorie og religion.

Internkontroll: Planlagt og systematisk styringssystem som virksomheter etablerer for å oppdage brudd på gjeldende regler.

Vårt eksempel: Dokumentering av hvilke prosesser dere har for behandling av persondata, og kartlegging av områder som må endres for å være i tråd med lovverket.

gdpr sjekkliste

28 ting du må vite om de nye GDPR-reglene 

1) GDPR er et kontinuerlig prosjekt

Datatilsynet er opptatt av at bedrifter ikke skal anse GDPR som et prosjekt som avsluttes den dagen det trer i kraft, men heller et kontinuerlig prosjekt. Datoen ble fastsatt nylig til 20. juli. Det er viktig å huske at det betyr at arbeidet med GDPR ikke er ferdig i juli, men fra og med juli skal du ha nye rutiner på plass for behandling av personopplysninger, og disse skal du fortsette med fremover.

Les også: GDPR har trådt i kraft – her er 5 fordeler det vil gi din bedrift 

2) Trenger du samtykke til alt?

Svaret er faktisk “nei”. Du må ikke samle inn samtykke til alt.

“Det er veldig omfattende og kostbart, og ofte helt unødvendig. Da holder det å finne et formål og behandlingsgrunnlag. Forvirringen til mange bunner i at Datatilsynet har selv sagt at det foretrukne behandlingsgrunnlag er samtykke, men der har de selv senere moderert seg siden de også må følge den nye loven.”

Johan Wedel, Fagansvarlig hos GRIDD

Datatilsynet sier at et par eksempler på når samtykke ikke er nødvendig, er når offentlige virksomheter samler inn informasjon om skatt eller ved utbetaling av trygd, eller ved annen hjemmel i lov.

 Jan Santrø, Technology Lawyer og partner hos DLA Piper skriver i sin artikkel at det finnes 6 ulike grunnlag for behandling av personopplysninger, i tillegg til samtykke.

Utenom samtykke finnes altså:

  1. Oppfylle avtale med den registrerte
  2. Oppfylle en rettslig forpliktelse (dvs. pålegges en plikt etter lov)
  3. Verne fysisk persons vitale interesser
  4. Utføre oppgave i allmennhetens interesse eller utøve offentlig myndighet
  5. eller det foreligger en berettiget interesse for behandlingen hvor ikke personverninteressene til den registrerte går foran (interesseavveining).

Les mer om samtykker hos Datatilsynet.

Men hva trenger du egentlig samtykker til? Jan Sandtrø oppsummerer godt i denne artikkelen om nyhetsbrev, e-postmarkedsføring, samtykker og GDPR.

3) Konsern mener de er bedre forberedt til den nye GDPR-forordningen enn hva SMB bedrifter mener at de er

I en undersøkelse gjennomført av Den Norske Dataforening høsten 2017, svarte de mange små og mellomstore bedrifter at ikke har full kontroll enda, mens konsern mener de er bedre forberedt. Gjelder dette deg? 

Se infographic: De 5 vanligste spørsmålene vi får om GDPR og markedsføring

4) Mange vil trenge juridisk ekspertise for å bli klar for GDPR

Dette er en lovtekst, og derfor bør du få hjelp av noen som har juridisk erfaring for å forstå den og hvordan den påvirker din bedrift. For eksempel kan det være lurt å få bekreftet at tiltakene du gjør følger loven, og at du samler inn de riktige samtykkene, lagrer og behandler dataen på en forsvarlig måte, har gode databehandleravtaler og en god og lovlig privacy policy.

5) Kartlegg hva du gjør i dag, og endre det som ikke er lovlig etter de nye reglene

Du bør sette i gang med et GDPR-prosjekt dersom det ikke allerede er gjort. Kartlegg hvordan alle avdelingene i bedriften samler inn data, og finn ut hva som er innenfor reglementet og hva som ikke er det. Vi anbefaler å gjøre dette i samarbeid med en advokat.

Den tøffeste utfordringen bedrifter kommer til å støte på vil mest sannsynlig være evnen til å bryte med gamle uvaner etter at ordningen trer i kraft – og opprette gode holdninger.

For å sikre at alle i bedriften følger den nye forordningen er det viktig å lære opp ansatte samt skape rutiner for alle som er i samsvar med forordningen. Derfor anbefaler vi at når dere er sikre på hvem dere skal innhente samtykker fra, hvilke samtykker dere trenger og hvordan dere skal behandle dataen, samler dere alle i selskapet som har noe med behandling av data å gjøre, og lærer dem opp.

Vi anbefaler å følge tiltakene tett opp den første tiden, og kanskje ta en ny gjennomgang før den nye personopplysningsloven trer i kraft, for å sikre at de nye rutinene er på plass.

6) Om du markedsfører deg i flere land er det fortsatt bare ett GDPR-reglement å forholde seg til

Noen sier gjerne at reglene kan bli ulikt tolket i ulike land, fordi én setning kan få ulike kulturelle tolkninger i ulike land. Men slik skal det altså ikke være. GDPR er en forordning som skal være lik i alle land. Ulik tolkning i ulike land er i strid med GDPR. En forskjell er at reglementet har tredd i gang i mange land, og tatt lengre tid å fått implementert i EØS-landene.

Husk likevel at det kan forekomme andre regler om personvern i forskjellige land i tillegg til GDPR, og at du må forholde deg til disse ulike reglene fra land til land, og at datoen du må forholde deg til kan variere.

7) Du er pålagt å slette informasjon om folk dersom de ber om det

Dersom samtykke er gitt eller det er andre grunnlag for å behandle personopplysningene, kan du behandle dataen. Kontaktene dine kan derimot  når som helst trekke tilbake sitt samtykke og be om sletting, noe som betyr at all informasjon du har om denne personen må slettes fra alle systemer hvor du har hatt dette lagret.

NB: Det er lett å tro at det bare er å slette informasjonen fra CRMet, men husk at informasjon om en kontakt mest sannsynlig ligger lagret flere steder, som for eksempel i innboksen til ansatte som har hatt dialog med vedkommende.

8) Kontakter kan velge at informasjon kan lagres, men ikke brukes

Ja, du leste riktig. Det er nemlig noe som heter “rett til begrenset behandling”, som betyr at enkeltpersoner kan be om at opplysningene ikke brukes i databehandling. Altså kan informasjonen lagres, men ikke brukes.

9) Du må kunne dokumentere og påvise at du har lovlig grunnlag til å behandle personopplysningene til kontaktene dine

En av de lovlige grunnlagene for behandling er samtykker. Det er lov å samle inn samtykker muntlig, men det anbefaler vi ikke å gjøre, ettersom dette vil gjøre det vanskelig å dokumentere. Og det er krav til at det skal kunne dokumenteres at samtykket er gitt.

10) Hold deg oppdatert på den siste informasjonen ved hjelp av Datatilsynet sin hjemmeside

Datatilsynet jobber stadig med  gjøre lovverket lettere å forstå og håndtere i praksis. Derfor kan det være lurt å følge med på Datatilsynets hjemmeside regelmessig.

11) Bare be om den informasjonen du virkelig trenger

Er du som oss og bruker skjema aktivt i din markedsføring? Da skal du bare be om minimum av det du trenger av informasjon. Dersom du for eksempel tilbyr folk å laste ned en e-bok trenger du ikke telefonnummer og etternavn. Hold det enkelt.

Les også: Slik oppnår du suksess med markedsføringen gjennom GDPR

12) Planlegg å sende avviksmeldinger så fort som mulig etter at et avvik har skjedd

Se for deg at en av PC’ene til bedriften blir stjålet og tyven får tilgang til informasjon om dine kontakter. Dersom det er sannsynlig at de registrerte sine opplysninger på avveie medfører høy risiko for deres rettigheter, er du nødt til å gi beskjed til alle kontakter – også de som ikke har gitt samtykke til å bli kontaktet.

NB: Mange tror at du kan vente 72 timer med å varsle de berørte kontaktene. Dette er ikke tilfellet.

“Den registrerte skal varsles uten ugrunnet opphold, som er så raskt man kan uten at det foreligger noen (god) grunn for å utsette varslingen.”

Dette sier Jan Sandtrø fra DLA Piper i sin artikkel om typiske feil og unøyaktigheter om GDPR.

13) Opplysninger skal ikke brukes til nye, uforenlige formål

Altså kan du kun sende informasjon om temaet en person oppga informasjonen sin for. Dersom du laster ned vår “GDPR-sjekkliste for markedsavdelingen” og samtykker til å motta mer informasjon om GDPR, så er det bare dette vi kan sende deg.

Dersom samtykket omfatter mer, for eksempel å motta mer informasjon om moderne salgs- og markedsføringstrender, kan du motta informasjon om alt fra inbound salg til Facebook Business Manager. Altså bør du spesifisere samtykkene dine godt.

14) Kontaktene dine har rett til å motsette seg automatiserte prosesser

For eksempel kan en person nå forlange at beregning av lån eller andre prosesser gjøres av en person og ikke en maskin.

15) Vi råder deg til å bruke et CRM-system som forenkler jobben din som dataansvarlig

Nå er det høyst på tide å gå bort fra å bruke regneark som “CRM-system”. Vi bruker HubSpot CRM, og anbefaler alle å ta i bruk et system som tar personvern på alvor.

16) Lag en dynamiske lister for dem som ikke lenger ønsker å få tilsendt informasjon

Er det noen som ikke lenger ønsker å motta kommunikasjon fra din bedrift? For eksempel at de har trukket tilbake samtykke om å få nyhetsbrev, men ikke brukt sin rett til å bli glemt?

Opprett en egen dynamisk liste (en liste hvor kontaktene vil havne dersom de ikke har gitt samtykke eller har trukket tilbake sitt samtykke) med disse kontaktene slik at automatiske utsendelser, som eksempelvis nyhetsbrev, ikke blir sendt til disse personene.

HubSpot tips: Dersom du bruker HubSpot og noen velger å melde seg av en abonnering for visse typer e-poster, fikser systemet helt automatisk at det ikke sendes ut e-poster til den personen lenger, selv om personen er medlem av den listen du vil sende e-poster til.

17) Betyr dette at det ikke er lov å drive med cold calling lengre?

Nei, faktisk ikke. Reglene om telefonmarkedsføring sier fortsatt at det er lovlig å ringe folk uten forhåndssamtykke innen gitte tidsrammer.

§ 15. Begrensninger i bruk av visse kommunikasjonsmetoder

I næringsvirksomhet er det forbudt, uten mottakerens forutgående samtykke, å rette markedsføringshenvendelser til fysiske personer ved elektroniske kommunikasjonsmetoder som tillater individuell kommunikasjon, som for eksempel elektronisk post, telefaks eller automatisert oppringningssystem (talemaskin).

Krav om forhåndssamtykke etter første ledd gjelder likevel ikke for markedsføring der den fysiske personen kontaktes muntlig ved telefon.

 

18) De to stedene hvor det ofte ligger mye informasjon er dokumentområder og i innboksen din

Nettopp derfor er GDPR en kulturell faktor som hele organisasjonen må forstå. Dersom en kontakt ber om å få innsikt i informasjonen du har om dem, vil det bli en lang prosess hvis  du har litt informasjon overalt, eksempelvis i Gmail, Outlook, Google Drive, Dropbox, markedsføringssystemet og CRM-systemet.

19) Et samtykke er evigvarende frem til personen trekker det tilbake

Den nye GDPR-forordningen har nå gått bort fra at man må be om samtykke igjen etter en 12 måneder.

Jan Santrø kan derimot fortelle at dette vil bli endret med ePrivacy-forordningen som kommer snart:

"Man kan også kun behandle så lenge det foreligger et formål for behandlingen, så samtykker vil sjeldent være "evigvarende."

20) Be om dokumentasjon på at dine leverandørers prosedyrer følger de nye GDPR-reglene

Dersom leverandørene ikke er GDPR-kompatibel kan dette påvirke din bedrift. La oss ta et eksempel: Dersom din CRM-leverandør ikke følger reglementet er du heller ikke garantert at din kundedata er trygg. Du bør derfor ha databehandleravtaler med alle dine databehandlere.

21) Jo eldre data du har, jo mer sannsynlig er det at den må slettes

Dersom det er lenge siden du har ryddet opp i databasen din og til vanlig ikke har hatt som rutine å aktivt hente inn samtykke eller har andre lovlige grunnlag for å behandle dataen, er det stor sannsynlighet for at dataen din er gammel.

Å starte med opt-in kampanjer kan nok gi lavere resultat enn ønsket. Kanskje er noen av e-postadressene ikke engang i bruk lengre? Da er det ganske sannsynlig at du må slette deler av databasen din. Men igjen – er dette kontakter du ønsker at skal ta opp plass i CRM systemet ditt, hvis de uansett ikke er relevante for bedriften din lengre?

22) Du må ha en tydelig databehandleravtale med alle som har tilgang til din data om personer og bedrifter

Bruker du et CRM-verktøy, har du data i skyen, eller kanskje du gjennomfører en spørreundersøkelse i ny og ne? Da må du som nevnt ha databehandleravtale med disse leverandørene. Husk å føre protokoll over de du har databehandleravtale med.

"Foretak og organisasjoner med færre enn 250 ansatte har unntak fra kravet om å føre protokoll for visse behandlingsaktiviteter. Unntaket er imidlertid snevert og det vil derfor svært sjeldent gjelde som et absolutt unntak fra hele bestemmelsen. (...) I praksis og nesten uten unntak, skal derfor alle virksomheter føre protokoller over sine behandlingsaktiviteter."

- Datatilsynet.

24) Dine leverandørers underleverandører skal fremkomme i databehandleravtalen du har med leverandørene

Dersom leverandører du bruker for eksempel til inbound marketing-tjenester har sine egne leverandører som også vil få tilgang til dataen din, må du vite om det.

25) Du må ha databehandleravtale med alle systemer du bruker samt lagrer informasjon om personer i

Har du dokumenter i Google Dokumenter som inneholder personiopplysninger? Da må du ha en databehandleravtale med Google Dokumenter. Det samme gjelder andre systemer og verktøy som eksempelvis Surveymonkey, Typeform osv. Dersom virksomheten din har flere enn 250 ansatte, må du kartlegge hvilke systemer dere bruker hvor det finnes informasjon om personer, og hvilke systemer dere har dokumenter i. Vi har gjort dette selv om vi ikke har så mange ansatte.

Les om noen mye brukte systemer og hva de sier om GDPR:

26) Et par punkter du bør/må ha med i databehandleravtalene 

  • Angi formålet med behandlingen

  • Beskrive hvordan personopplysningene skal behandles

  • Bruk av underleverandør skal reguleres i avtalen

  • Ivareta den registrertes rettigheter

  • Pålegge databehandleren tilfredsstillende informasjonssikkerhet

  • Avtalens varighet må avtales

27) Ha en plan for hva du gjør dersom det går galt

I all hovedsak er det du, som databehandlingsansvarlig, og ikke leverandøren din (databehandleren), som står ansvarlig for informasjonen bedriften din sitter på. Så hva gjør du dersom noe skulle gå galt? Hvem er det som skal ta kontakt med Datatilsynet og hvem skal ta kontakt med personene databruddet gjelder?

28) Du kan samle inn informasjonen du trenger for å forbedre markedstiltakene dine – så lenge du har samtykke til det eller har annet grunnlag for behandling

Markedsføring som baserer seg på informasjon du får fra kontakter er ikke død selv om reglene nå endres. Du kan nemlig samle inn informasjon du trenger for å forbedre markedstiltakene dine, så lenge du har samtykke til det, eller har annet grunnlag for behandling, men legg merke til ordene “du trenger” i den setningen. Aldri samle inn mer enn du må.

“Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. Det betyr at ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer. Personopplysninger kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.”

Datatilsynet.

Husk at dette er en prosess, og det kommer til å ta tid å endre på gamle vaner og følge nye rutiner, men til syvende og sist er dette noe positivt som både privatpersoner og bedrifter vil være godt tjent med.

Lykke til!

Last ned GDPR sjekkliste for markedsavdelingen