Advokat Vebjørn Søndersrød: «Alt» en digital markedsfører trenger å vite om GDPR
Med innføringen av GDPR har de fleste bedrifter begynt å skjelve i buksene og tenke: «Gjør jeg egentlig ting riktig?». Vi har tatt en prat med advokat og GDPR-spesialist, Vegard Søndersrød, for å hjelpe deg godt på vei med å bli GDPR-kompatibel før 25. mai 2018.
25. mai 2018 – datoen GDPR (General Data Protection Regulation) trer i kraft – nærmer seg med stormskritt. I den forbindelse er det mange som lurer på hvordan digital markedsføring og GDPR lar seg kombinere. Hvordan din bedrift får oversikt over de nye rettslige hensynene som må tas og tilpasser dere deretter blir naturlige spørsmål. Å skaffe seg denne oversikten blir essensielt i tiden fremover.
Vegard Søndersrød fra Advokatfirmaet Ræder har jobbet med norske regler for personopplysninger siden 2009. Opp igjennom årene har han jobbet med mange ulike problemstillinger, samt hatt løpende saker til behandling av Datatilsynet. På den måten har han opparbeidet seg mye erfaring om praksis. Han og Advokatfirmaet Ræder følger i tillegg med på hva som kommer fra EU, som nå med GDPR vil ha spesielt stor betydning.
Vi har bedt han om å svare på de mest stilte spørsmålene om GDPR. I tillegg deler vi hans tanker om hva norske bedrifter må gjøre før den nye loven slår i kraft.
Hva blir (egentlig) annerledes med GDPR?
Søndersrød forteller at han daglig mottar henvendelser knyttet til GDPR. Det er først nå at norske bedrifter har begynt å innse alvoret i temaet, og mange er i villrede på hva som må gjøres. Det eneste de vet er at “noe” må gjøres og at egne rutiner sannsynligvis har vært for dårlige i lang tid allerede.
Mange av reglene som oppleves som nye etter GDPR er egentlig ikke nye. Personopplysningsloven har vært gjeldende i Norge siden 2001, og inneholder mange av de samme reglene som nå kommer fra EU i forbindelse med GDPR. Norske bedrifter har tradisjonelt ikke vært så flinke til å følge disse lovene, men nå blir det vanskeligere (og veldig mye dyrere) å komme utenom.
Nyhetsbrev både er og har vært en sentral del av bedrifters markedskommunikasjon. Mange markedsførere frykter at dette er noe de nå må kutte ut. Søndersrød forklarer at dersom de du ønsker å sende e-post til har samtykket til å motta nyhetsbrev fra dere, så er det greit og du kan fortsette med dette. Har de derimot ikke samtykket til dette, må du nå med GDPR innhente samtykke for å kunne fortsette.
Hva er et samtykke?
Søndersrød forteller at kravet til samtykke etter GDPR er omtrent det samme som vi har i dag – det skal være uttrykkelig, informert om og frivillig.
Uttrykkelig betyr dette at et samtykke må være en aktiv handling fra den besøkendes side – en må aktivt si «Ja, jeg vil motta dette». Det vil si at en forhåndsutfylt boks med «Ja takk, jeg vil få tilsendt informasjon» der personen selv må fjerne markeringen ikke er gyldig samtykke, da dette ikke er en aktiv handling. Du må også kunne dokumentere at du har innhentet samtykke i etterkant. Ved å legge til en «ja takk»-boks i skjemaer på nettsiden din får du mulighet til å registrere samtykket direkte på enkeltpersoner i CRM-systemet dere bruker. Dette gjør jobben med å dokumentere samtykke i ettertid mye enklere. Søndersrød forklarer:
«Det er viktig at dere har et system som lagrer at jeg sa «ja». Slik at når spørsmålet om dokumentasjon kommer, så kan bedriften si at her er loggen vår som viser at du sa ja, når du sa ja, samt IP-adresse.»
Et samtykke må også være informert. Det vil si at det må være enkelt å forstå hva en sier ja til. Formulering av denne «ja takk»-boksen blir dermed kritisk. «Ja takk, jeg vil» eller «Ja takk, jeg samtykker» – hva skal stå videre? Søndersrød forklarer at du her tydelig og forståelig må forklare hva samtykket dekker, både i form av budskap og kanal. Et eksempel er: «Ja takk, jeg vil ha nyhetsbrev på e-post». Husk at hvis dere i tillegg har lyst til å treffe personen på Facebook, må det innhentes samtykke til også denne kanalen. Da bør det stå noe allá: «Ja takk, jeg vil motta informasjon og nyheter på e-post eller på Facebook» eller «Jeg samtykker til at min e-postadresse leveres ut til Facebook».
Sist, men ikke minst – og som er litt mer selvfølgelig – så skal et samtykke være frivillig. Det skal altså være frivillig å si ja. I tillegg skal en med GDPR alltid ha muligheten til å trekke et samtykke tilbake eller å legge til nye. Når du har sagt «ja takk», så skal det være like enkelt for deg å trekke dette samtykket tilbake.
Hvordan skiller GDPR mellom kundeforhold og leads?
For de kundene du har et avtaleforhold til, altså de som bestiller varer eller tjenester av dere, har du lov til å lagre kontaktdata uten samtykke, da du naturlig nok er avhengig av å besitte visse relevante opplysninger for at kundeforholdet skal fungere. Ønsker du derimot å lagre informasjon om potensielle kunder, og for eksempel drive med e-postmarkedsføring eller personalisert markedsføring, så krever dette samtykke. Har du ikke samtykke, eller ikke kan dokumentere at du har det, må du etter GDPR slette disse personopplysningene.
Hvordan gjøre nettsiden GDPR-kompatibel?
Mange bedrifter lurer nå på hvilke endringer de må gjøre på nettsiden for at den skal bli GDPR-kompatibel. Søndersrød trekker frem tre sentrale punkter:
Personvernerklæring
Nettsiden må ha en personvernerklæring som forteller hvilke personopplysninger bedriften behandler og hvorfor. Gjerne også hvor lenge informasjonen lagres. I tillegg skal en slik erklæring inneholde kontaktinformasjon til ansatte i bedriften som er ansvarlige for behandling av personopplysninger, slik at en enkelt kan be om innsyn, retting og sletting av egne opplysninger. Søndersrøds erfaring er at flertallet av personvernerklæringer ikke er gode nok slik de er i dag. De fleste bedrifter bør derfor jobbe med å forbedre disse.
Cookie-policy
Dersom dere har tatt i bruk cookies, som plasserer informasjonskapsler på nettsiden, kreves en cookie-policy. Sørg for å fortelle hvilke cookies dere bruker, eller hvilke cookies nettsiden setter på deg og blir med deg videre. Her bør det også stå hvilke databehandlere som benytter disse. Det er fint å opplyse om at dersom de ikke ønsker dette, kan cookie-funksjonaliteten skrus av i alle nettlesere. Cookie-policien bør gjerne være en del av personvernerklæringen.
Søndersrød trekker også frem skillet mellom vanlige personopplysninger og cookies. Det er nemlig slik med dagens regelverk at hvis du bruker cookies, så er det fortsatt lov til å gjøre dette etter GDPR, uten aktivt samtykke. Dette er fordi cookies går inn under e-privacy-direktivet. Dersom du forteller at du gjør det og brukeren velger å ikke skru av cookie-funksjonaliteten i nettleseren, har du altså lov til å benytte cookies. Det vil også komme nye regler for e-privacy-direktivet, men de trer ikke i kraft før omkring 2019, så per dags dato er det dermed mer fritt frem her.
Avkrysningsbokser i skjemaer
Sørg for å legge inn aktive «ja takk»-felt for avkrysning i alle skjemaer på nettsiden deres. Bruk gjerne de flatene du har til for å få folk til å samtykke til at du innhenter og lagrer dataen deres, slik at du kan sende dem målrettet markedsføring i fremtiden – og fortsatt være GDPR-kompatibel.
Hva sier GDPR om nettside-sporing?
Det er mange bedrifter som i dag sporer sideklikk og brukeradferd på nettsiden sin. Søndersrød mener at stikkordet med tanke på sporing av nettsideadferd er å informere. Skal dere være trygge rettslig sett må dere innhente samtykke, og det må definitivt opplyses i bedriftens personvernerklæring at bedriften vet hvem du er, sporer hva du gjør, og knytter det til deg neste gang du besøker nettsiden. Hvis dere har informert om sporing og deretter fått et samtykke, så er det altså greit.
Advokaten forklarer videre at dersom du anonymiserer trackingen, altså ikke kobler adferden direkte til en person, men heller bruker informasjonen til å se på generelle tendenser, så er jobben med å bli GDPR-kompatibel mye enklere. På denne måten kan du bygge opp statistikk basert på data som ikke er personopplysninger. Slik innsikt kan brukes fritt – da trengs ikke samtykke.
Hvilke GDPR-hensyn må en tenke på når en bruker et eksternt byrå til markedsføring?
Først og fremst, dersom dere får hjelp fra et eksternt byrå til markedsføring er det viktig å vite at byrået fungerer som en databehandler for bedriften din. Byrået behandler data på vegne av dere – dersom de innhenter og bruker data som dere er ansvarlige for. Søndersrød understreker viktigheten av å i slike tilfeller inngå en databehandleravtale mellom bedriften og det aktuelle byrået.
I forhold til utforming av selve avtalen finnes det noen krav i GDPR til hva som må være inkludert. Eksempelvis må det være klart at databehandleren kun kan behandle data innenfor det mandatet dere har gitt dem. I tillegg må det være slik at når en eventuell avtale sies opp, så må byrået slette det de har lagret av deres data, da de ikke har lov til å benytte slike data til eget bruk.
Søndersrød forklarer også at GDPR går litt lenger i å legge ansvar på alle. Hvis du bruker en oppdragsgiver, altså en databehandler, som opererer helt utenfor loven, vil det fort kunne gå ut over din bedrift. Og omvendt, hvis en databehandler har kunder som begynner å gi instrukser utenfor loven, så har personen plikt til å si ifra.
Advokaten oppsummerer hva du ved bruk av eksterne byråer bør sørge for:
- Vurder om aktøren du jobber med følger GDPR-reglene.
- Opprett en databehandleravtale mellom byrået og din bedrift.
- Bruk aktører som garanterer deg at de kun lagrer data i Europa, og ikke utenfor. Aller helst i Norge, men i utgangspunktet er det ikke noen forskjell på reglene her og i andre EU-land.
Hva skjer om bedriften ikke er GDPR-kompatibel innen 25. mai?
Selv om GDPR virker skremmende på mange om dagen, mener Søndersrød at det er er langt frem til dit at vanlige, norske bedrifter blir bøtelagt med fire prosent av årlig omsetning for brudd på bestemmelsene (som er det EU truer med for de verste synderne). Likevel må du ta reglene på alvor.
Søndersrød forklarer at de høye bøtesatsene, etter hva han tror, i hovedsak er forbeholdt de groveste tilfellene hvor noen enten har latt være å følge reglene i det hele tatt, eller de har gjort noe som oppfattes som spesielt grovt. Helseopplysninger utenfor kontroll er for eksempel et område hvor det vil kunne bli gitt høye bøter.
Når vi snakker om kontaktinformasjon som e-post, navn, stillingstittel og andre opplysninger du typisk vil innhente fra et lead, så er det en helt annen type kategori som er mye mindre alvorlig. Så han frykter at noen vil få bøter i fire prosent av årlig omsetning for det. Likevel anbefaler advokaten deg, som en generell regel, å gjøre en vurdering av om dataen du samler inn vil ha verdi for dere – og ikke innhenter mer informasjon enn nødvendig. Da har du et veldig godt utgangspunkt.
Søndersrød påpeker at det fortsatt er en del uklarheter på viktige områder innen GDPR, og det vil det fortsatt være lenge etter 25. mai. Dette er fordi det vil ta tid før tilsynsmyndigheten i Europa, og deretter Datatilsynet i Norge, får tilpasset og tatt i bruk reglene. Avslutningsvis sier advokaten derfor:
«Fortsettelse følger...»
GDPR og inbound marketing
GDPR vil uten tvil skape utfordringer for mange markedsførere, men blant oss som driver med inbound marketing er det faktisk ikke så mange endringer som må til. GDPR stiller større krav til samtykke fra forbrukere, og inbound marketing er bygget opp rundt nettopp det å hente tillatelse fra de som ønsker mer informasjon. Derfor er inbound marketing og GDPR svært forenelig. Les gjerne mer om inbound-metodikken i vår gratis e-bok:
Sebastian Krogh Eidbo
Sebastian er en av Inbounds eminente tekstforfattere. Han har en bachelor-grad i kreativ skriving, journalistikk og markedskommunikasjon fra Westerdals. Han er publisert forfatter med glimt i øyet og øre for språk, og prøver nå å bevise at bedriftsblogging ikke er nødt til å være en grå og traurig affære.