Hvordan vil GDPR påvirke epost-markedsføring?

Den nye personvernlovgivningen som trer i kraft 25. mai 2018 kommer til å påvirke oss som driver med epostmarkedsføring ganske dramatisk.

Her er noen av de endringene som kommer, såvidt vi kan se og tolke i skrivende stund:

1. Slutt på automatisk oppføring på nyhetsbrev

Konkurranser, gratis rapporter, gratis testversjoner og lignende har jo lenge vært en nyttig måte å skaffe seg abonnenter til nyhetsbrevet på. Etter GDPR blir det forbudt å automatisk føre opp folk på nyhetsbrevet når de deltar i en konkurranse, laster ned en sjekkliste og lignende. I stedet trenger du en eksplisitt tillatelse for å legge til noen på epostliste.

Under ser du hvordan vi i Webgruppen for tiden jobber med å redesigne skjemaer slik at de blir lovlige også etter GDPR:

(Forskjellen i farger har bare med hvilke maler vi bruker å gjøre, så det er ikke relevant i forhold til GDPR.)

2. Du kan ikke be om godkjennelser som gjelder for flere kanaler

Etter GDPR kan du ikke be kunden godkjenne at du kontakter ham i en hvilken som helst kanal. I stedet må du ha en separat godkjennelse for hver enkelt kanal:

3. Du trenger et pålogget kundesenter

Et prinsipp i GDPR er at kunden skal kunne trekke sine godkjennelser tilbake.

Markedsføringslovens paragraf 15, som regulerer epostmarkedsføring, krever allerede at du lar kunden «enkelt og kostnadsfritt» melde seg av nyhetsbrevet eller SMS-listen hver gang du konktakter ham. Det er jo derfor vi har avmeldingslenke i nyhetsbrev, og sier «send stopp» på SMS.

I den nye loven kreves det imidlertid også at kunden skal kunne forlange at dataene du har om han skal bli slettet, og han må kunne se hvilke tillatelser han har gitt deg, og kunne endre disse. Han må også kunne forlange å få se den informasjon du har registrert om ham, og kunne hente ut denne informasjonen i et format han kan bruke videre. I tillegg må du selv kunne dokumentere at du har fått en eksplisitt og informert godkjennelse til å ha de kundeopplysningene du har.

På grunn av dette jobber de fleste seriøse epostmarkedsføringssystemer nå med å utvikle påloggede sider, der bruker selv kan administrere sine tillatelser, be om å bli glemt, be om dataoverføring mm.

4. Du kan ikke spørre om unødvendig informasjon

Et viktig prinsipp i GDPR er at all informasjon skal være på minste nødvendige nivå. I klartekst: Du kan ikke spørre om mer informasjon enn det du absolutt trenger for å gjennomføre den transaksjonen det gjelder. Dette betyr jo at påmeldingsskjemaene blir kortere – noe som uansett er en god ide, ettersom det øker responsen i de fleste tilfeller.

I eksempelet under kan du se hvordan markedsføringsfirmaet Hubspot har utformet sine guide/sjekkliste-skjemaer før og nå: (I det gamle eksempelet er skjemaet forkortet – det be spurt etter enda mer informasjon enn det du ser.)

Man kan diskutere om det er relevant for Hubspot å be om kundens jobbtittel, men antagelig har de gjort en vurdering som har konkludert med at tittelen er relevant for å tilpasse informasjonen på en relevant måte. De kan helt sikkert dokumentere sine vurderinger på dette også, i tilfelle de skulle få et personvern-ettersyn.

5. Du må renske dine eksisterende lister

Fra og med 25. mai 2018 kan du kun benytte epostlister som er lovlige i forhold til GDPR. Det betyr at du må slette ulovlige data og eventuelt innhente nye godkjennelser fra de personene du har på listen i de tilfellene der du ikke har lovlige godkjennelser allerede.

I Norge er det Datatilsynet som skal håndheve det nye lovverket. De har også mye relevant informasjon om GDPR på sine sider.

Vi i Webgruppen holder også kurs om GDPR.

 

 

28 tanker om “Hvordan vil GDPR påvirke epost-markedsføring?

  • 17/11/2017 på 13:00
    Permalink

    Betyr dette at en kan bli nødt til å sende den gratisvaren en tilbyr selv om mottakeren velger å ikke bli med på epostlisten?

    Svar
    • 18/11/2017 på 16:03
      Permalink

      Ja, det er riktig.

      Svar
      • 01/12/2017 på 00:08
        Permalink

        Antar man da i så fall kan velge å ikke tilby nedlastningen?

        Svar
        • 01/12/2017 på 08:54
          Permalink

          Det står deg selvsagt fritt å velge å ikke tilby nedlastbare rapporter etc. Men prinsippet i GDPR er at kunden skal ikke motta epostmarkedsføring med mindre han eksplisitt og informert godtar dette separat. Vi tolker dette til å bety to forskjellige avkryssinger; «ja, jeg vil ha rapporten» og «ja, jeg vil ha reklame senere». Om det å da ha en felles knapp som sier «ja, jeg vil ha denne rapporten og godtar å motta reklame senere» er nok til å oppfylle kravene om uttalt og informert godkjennelse må en rett ta stilling til eventuelt. Jeg ville imidlertid i utgangspunktet gå ut fra at det ikke er akseptabelt, og uansett vil det jo være forferdelig dårlig kundeservice.

          Svar
  • 19/11/2017 på 22:06
    Permalink

    Vil det påvirke cart abandonment og annen automatisk oppfølging?

    Svar
    • 20/11/2017 på 10:08
      Permalink

      Hei. Loven har å gjøre med hvordan du oppbevarer personopplysninger og ikke hvordan du automatiserer. Hvis du ellers oppfyller loven i hvordan du informerer om og håndterer de kundedataene du samler inn, kan jeg ikke skjønne annet enn det må være greit å sende en shopping cart recovery mail til en bruker som allerede frivillig har gitt fra seg sin epostadresse. Jeg forutsetter da at du opplyser om at dette kan skje i de vilkårene som du knytter til skjemaet der epostadressen avgis.

      For ordens skyld må jeg også opplyse om at jeg ikke er jurist, og at mitt råd ikke skal tolkes som juridisk rådgivning.

      Svar
  • 05/01/2018 på 10:45
    Permalink

    Hei, punkt 2. hvor i GDPR referer du til her?

    Svar
  • 09/01/2018 på 15:38
    Permalink

    Hei,

    Gjelder disse reglene både for B2C og B2B?

    Svar
    • 10/01/2018 på 15:41
      Permalink

      Hei. Det er et ganske komplekst spørsmål. Jeg og de fleste andre har jo i utgangspunktet ment ja, slik jeg bl.a. forklarer om her: https://www.ninafuru.no/2017/11/27/gjelder-gdpr-ogsa-business-to-business/ Det kan imidlertid hende det blir en viss lemping på noen av reglene for B2B i lys av ePrivacy Act som er et tillegg til GDRP. Det er imidlertid ikke avklart enda. Som hovedregel gjelder jo GDPR for alle, men som sagt, det kan hende at enkelte ting vil bli tolket litt midlere B2B enn B2C. :-)))

      Svar
  • 13/03/2018 på 09:40
    Permalink

    Vil man fremdeles kunne sende epost til fellesadresser som post*xxx.no?

    Svar
    • 13/03/2018 på 09:50
      Permalink

      Hei.
      Ja, upersonlige adresser vil det fortsatt være lov å bruke.

      Svar
  • 13/03/2018 på 15:13
    Permalink

    Hei,
    Takk for et godt innlegg!
    Bare en liten ting: Man har heller ikke lov å sende nyhetsbrev til kunder man har et kundeforhold til slik man hadde lov til tidligere sant?

    Svar
    • 14/03/2018 på 08:21
      Permalink

      Hei.
      I hvert fall business-to-business ser det ut som om å maile til eksisterende kunder fortsatt vil være uproblematisk (innenfor eksisterende lovverk, altså Markedsføringslovens paragraf 15, der det står at du kun kan maile om varer og tjenester tilsvarende de som kundeforholdet bygger på). Business-to-consumer er det litt mindre avklart, men det ser ut som om at det vil være OK også her, gitt altså at du faktisk oppfyller eksisterende lovverk. (At det var mulig å frabe seg reklame da de bestilte tjenester/du mottok epostadressen, og du lar dem ved hver henvendelse kunne «enkelt og begyrfritt» melde seg av listen.)

      Svar
  • 15/03/2018 på 17:21
    Permalink

    Trenger man eksplisitt samtykke fra allerede eksisterende kunder, eller er de fritatt?

    Svar
    • 19/03/2018 på 08:52
      Permalink

      (Svarer det samme som forrige innlegg:) Hei.
      I hvert fall business-to-business ser det ut som om å maile til eksisterende kunder fortsatt vil være uproblematisk (innenfor eksisterende lovverk, altså Markedsføringslovens paragraf 15, der det står at du kun kan maile om varer og tjenester tilsvarende de som kundeforholdet bygger på). Business-to-consumer er det litt mindre avklart, men det ser ut som om at det vil være OK også her, gitt altså at du faktisk oppfyller eksisterende lovverk. (At det var mulig å frabe seg reklame da de bestilte tjenester/du mottok epostadressen, og du lar dem ved hver henvendelse kunne «enkelt og begyrfritt» melde seg av listen.)

      Svar
  • 09/04/2018 på 11:19
    Permalink

    Hei, så hvis vi sender mail for å be folk om å abonnerer på våre nyhetsbrev, og bruke den samme informasjonene (epostadr + tlf) til å kjøre facebook-ads så bør det være egne av- huknings-bokser i den første mailen om hva/hvor de ønsker å motta informasjon fra oss?

    Svar
    • 10/04/2018 på 13:11
      Permalink

      Ja, det er min forståelse. Hvis remarketingen involverer å laste opp navneliste til Facebook så trenger du forhåndsgodkjennelse. Ren besøksbasert remarketing (der du viser annonser til de som har en cookie som viser at de har besøkt ditt nettsted tidligere), så holder det om du informerer om dette i din personvernerklæring og at de som ikke har det velger å reservere seg mot cookies i nettleserinnstillingen.

      Svar
        • 23/04/2018 på 10:57
          Permalink

          Hei.

          Det er dessverre ikke mulig å endre en side til en gruppe. Ønsker dere å ha en gruppe, må dere nesten opprette en og så begynne å arbeide med denne. Men egentlig er det side som er den riktige enheten for en bedrift å ha – du får ellers ikke statistikk, mulighet til fremming av innlegg mm.

          – Nina :-)))

          Svar
  • 16/04/2018 på 13:10
    Permalink

    Hei.
    Kva er definisjonen på upersonlege e-post adresser?
    Må det vera «post@firma.no», eller kan det vera «stig@firma.no» eller «svk@firma.no»?
    Det er mange «kryptiske» adresser som kan ha «namneliknande» element i seg.

    Takkar for svar.

    Svar
    • 17/04/2018 på 11:18
      Permalink

      Det finnes vel ikke noen definisjon som sådan, men både stig@firma,no og svk@firma.no vil være for personlige adresser å regne. Adresser som markedssjef@bedriften.no vil også kunne regnes som personlige, selv om de nok er gråsone. Vil du være sikker bør du holde deg til post@ eller postmottak@ og tilsvarende klart bedriftsrelaterte adresser. support@ og salg@ vil også være mer innenfor enn markedssjef@. Husk også at de norske leverandørene av epostmarkedsføring ikke tillater deg å bruke deres systemer til å sende ut på kjøpte/oppsøkte lister, selv om adressene er upersonlige i lovens forstand.

      Svar
  • 04/05/2018 på 12:36
    Permalink

    Så om jeg har en epostliste hvor de i utgangspunktet har signet seg opp for kursinfo og jeg aldri sender de noe annet stoff og det står hvorfor de er på listen og det er mulighet for å melde seg av i hver mail så må jeg lage optinskjema og be de legge post og fornavn på nytt?

    Svar
    • 04/05/2018 på 13:47
      Permalink

      Nei, hvis de har signet opp for denne informasjonen aktivt og eksplisitt; og de ikke har fått noe for å melde seg på, har du lovlige aksepter som du fortsatt kan bruke.

      Svar
  • 09/05/2018 på 04:31
    Permalink

    Hei,
    Tusen takk for god informasjon 😀
    Mulig jeg gjentar spørsmål ovenfor, men : Gjelder loven for mailadresser som tilhører kommune og NAV ? eks. Mari@nav.no.
    Prosjektet bedriften jeg jobber for tilbyr en opplæring som er støttet av Helsedirektoratet og kun er for den offentlige sektor.

    Svar
    • 11/05/2018 på 21:25
      Permalink

      Hei.
      Ja, det regnes også som en personlig epostadresse som er underlagt GDPR. I hht Markedsføringslovens paragraf 15 (som regulerer epostmarkedsføring) kan du heller ikke nå (altså før GDPR) markedsføre mot disse adressene uten forhåndssamtykke. Du kan eventuelt sende et brev i posten, eller du kan ringe.

      Svar
  • 11/05/2018 på 12:40
    Permalink

    Dersom vi har eksplisitt bedt om positivt samtykke til å melde seg på nyhetsbrevlisten når de registrerer seg med et kundeforhold på siden. Trenger vi å innhente nytt samtykke fra disse mottakerne i forbindelse med GDPR da?

    -Der de huker av for samtykke står det i dag ingenting om hva slags info man evt. vil få i disse nyhetsbrevene, at brukerens data vil bli brukt til retargeting i f.eks FB, eller at de kan melde seg av enkelt og nårsomhelst
    -Det er ikke gjennomført dobbel-optin.
    -Dog kan man enkelt melde seg av via link i nyhetsbrevene hver gang.

    Svar
    • 11/05/2018 på 21:29
      Permalink

      Hei.
      Hvis de alt separat har meldt seg på nyhetsbrevet når de ble kunder, kan du fortsette å sende epost til dem. Det er ikke nødvendig å presisere hva slags innhold de får, men du kan ikke anta godkjennelse på andre kanaler enn epost med mindre du har bedt om separate godkjennelser for det også. Retargeting basert på nettstedsbesøk (ikke kundeliste/adresseliste) på Facebook trenger du ikke godkjennelse for. Men skal du laste opp kundelisten, trenger du altså godkjennelse fra kunden først.

      Svar

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *