Hvordan vil GDPR påvirke epost-markedsføring?
Den nye personvernlovgivningen som trer i kraft 25. mai 2018 kommer til å påvirke oss som driver med epostmarkedsføring ganske dramatisk.
Her er noen av de endringene som kommer, såvidt vi kan se og tolke i skrivende stund:
1. Slutt på automatisk oppføring på nyhetsbrev
Konkurranser, gratis rapporter, gratis testversjoner og lignende har jo lenge vært en nyttig måte å skaffe seg abonnenter til nyhetsbrevet på. Etter GDPR blir det forbudt å automatisk føre opp folk på nyhetsbrevet når de deltar i en konkurranse, laster ned en sjekkliste og lignende. I stedet trenger du en eksplisitt tillatelse for å legge til noen på epostliste.
Under ser du hvordan vi i Webgruppen for tiden jobber med å redesigne skjemaer slik at de blir lovlige også etter GDPR:
(Forskjellen i farger har bare med hvilke maler vi bruker å gjøre, så det er ikke relevant i forhold til GDPR.)
2. Du kan ikke be om godkjennelser som gjelder for flere kanaler
Etter GDPR kan du ikke be kunden godkjenne at du kontakter ham i en hvilken som helst kanal. I stedet må du ha en separat godkjennelse for hver enkelt kanal:
3. Du trenger et pålogget kundesenter
Et prinsipp i GDPR er at kunden skal kunne trekke sine godkjennelser tilbake.
Markedsføringslovens paragraf 15, som regulerer epostmarkedsføring, krever allerede at du lar kunden “enkelt og kostnadsfritt” melde seg av nyhetsbrevet eller SMS-listen hver gang du konktakter ham. Det er jo derfor vi har avmeldingslenke i nyhetsbrev, og sier “send stopp” på SMS.
I den nye loven kreves det imidlertid også at kunden skal kunne forlange at dataene du har om han skal bli slettet, og han må kunne se hvilke tillatelser han har gitt deg, og kunne endre disse. Han må også kunne forlange å få se den informasjon du har registrert om ham, og kunne hente ut denne informasjonen i et format han kan bruke videre. I tillegg må du selv kunne dokumentere at du har fått en eksplisitt og informert godkjennelse til å ha de kundeopplysningene du har.
På grunn av dette jobber de fleste seriøse epostmarkedsføringssystemer nå med å utvikle påloggede sider, der bruker selv kan administrere sine tillatelser, be om å bli glemt, be om dataoverføring mm.
4. Du kan ikke spørre om unødvendig informasjon
Et viktig prinsipp i GDPR er at all informasjon skal være på minste nødvendige nivå. I klartekst: Du kan ikke spørre om mer informasjon enn det du absolutt trenger for å gjennomføre den transaksjonen det gjelder. Dette betyr jo at påmeldingsskjemaene blir kortere – noe som uansett er en god ide, ettersom det øker responsen i de fleste tilfeller.
I eksempelet under kan du se hvordan markedsføringsfirmaet Hubspot har utformet sine guide/sjekkliste-skjemaer før og nå: (I det gamle eksempelet er skjemaet forkortet – det be spurt etter enda mer informasjon enn det du ser.)
Man kan diskutere om det er relevant for Hubspot å be om kundens jobbtittel, men antagelig har de gjort en vurdering som har konkludert med at tittelen er relevant for å tilpasse informasjonen på en relevant måte. De kan helt sikkert dokumentere sine vurderinger på dette også, i tilfelle de skulle få et personvern-ettersyn.
5. Du må renske dine eksisterende lister
Fra og med 25. mai 2018 kan du kun benytte epostlister som er lovlige i forhold til GDPR. Det betyr at du må slette ulovlige data og eventuelt innhente nye godkjennelser fra de personene du har på listen i de tilfellene der du ikke har lovlige godkjennelser allerede.
I Norge er det Datatilsynet som skal håndheve det nye lovverket. De har også mye relevant informasjon om GDPR på sine sider.
Vi i Webgruppen holder også kurs om GDPR.
Betyr dette at en kan bli nødt til å sende den gratisvaren en tilbyr selv om mottakeren velger å ikke bli med på epostlisten?
Ja, det er riktig.
Antar man da i så fall kan velge å ikke tilby nedlastningen?
Det står deg selvsagt fritt å velge å ikke tilby nedlastbare rapporter etc. Men prinsippet i GDPR er at kunden skal ikke motta epostmarkedsføring med mindre han eksplisitt og informert godtar dette separat. Vi tolker dette til å bety to forskjellige avkryssinger; “ja, jeg vil ha rapporten” og “ja, jeg vil ha reklame senere”. Om det å da ha en felles knapp som sier “ja, jeg vil ha denne rapporten og godtar å motta reklame senere” er nok til å oppfylle kravene om uttalt og informert godkjennelse må en rett ta stilling til eventuelt. Jeg ville imidlertid i utgangspunktet gå ut fra at det ikke er akseptabelt, og uansett vil det jo være forferdelig dårlig kundeservice.
Vil det påvirke cart abandonment og annen automatisk oppfølging?
Hei. Loven har å gjøre med hvordan du oppbevarer personopplysninger og ikke hvordan du automatiserer. Hvis du ellers oppfyller loven i hvordan du informerer om og håndterer de kundedataene du samler inn, kan jeg ikke skjønne annet enn det må være greit å sende en shopping cart recovery mail til en bruker som allerede frivillig har gitt fra seg sin epostadresse. Jeg forutsetter da at du opplyser om at dette kan skje i de vilkårene som du knytter til skjemaet der epostadressen avgis.
For ordens skyld må jeg også opplyse om at jeg ikke er jurist, og at mitt råd ikke skal tolkes som juridisk rådgivning.
Hei, punkt 2. hvor i GDPR referer du til her?
Hei. Det som står i mitt punkt 2 er vel først og fremst hjemlet i artikkel 7: https://gdpr-info.eu/art-7-gdpr/
Hei,
Gjelder disse reglene både for B2C og B2B?
Hei. Det er et ganske komplekst spørsmål. Jeg og de fleste andre har jo i utgangspunktet ment ja, slik jeg bl.a. forklarer om her: https://www.ninafuru.no/2017/11/27/gjelder-gdpr-ogsa-business-to-business/ Det kan imidlertid hende det blir en viss lemping på noen av reglene for B2B i lys av ePrivacy Act som er et tillegg til GDRP. Det er imidlertid ikke avklart enda. Som hovedregel gjelder jo GDPR for alle, men som sagt, det kan hende at enkelte ting vil bli tolket litt midlere B2B enn B2C. :-)))
Vil man fremdeles kunne sende epost til fellesadresser som post*xxx.no?
Hei.
Ja, upersonlige adresser vil det fortsatt være lov å bruke.
Hei,
Takk for et godt innlegg!
Bare en liten ting: Man har heller ikke lov å sende nyhetsbrev til kunder man har et kundeforhold til slik man hadde lov til tidligere sant?
Hei.
I hvert fall business-to-business ser det ut som om å maile til eksisterende kunder fortsatt vil være uproblematisk (innenfor eksisterende lovverk, altså Markedsføringslovens paragraf 15, der det står at du kun kan maile om varer og tjenester tilsvarende de som kundeforholdet bygger på). Business-to-consumer er det litt mindre avklart, men det ser ut som om at det vil være OK også her, gitt altså at du faktisk oppfyller eksisterende lovverk. (At det var mulig å frabe seg reklame da de bestilte tjenester/du mottok epostadressen, og du lar dem ved hver henvendelse kunne “enkelt og begyrfritt” melde seg av listen.)
Trenger man eksplisitt samtykke fra allerede eksisterende kunder, eller er de fritatt?
(Svarer det samme som forrige innlegg:) Hei.
I hvert fall business-to-business ser det ut som om å maile til eksisterende kunder fortsatt vil være uproblematisk (innenfor eksisterende lovverk, altså Markedsføringslovens paragraf 15, der det står at du kun kan maile om varer og tjenester tilsvarende de som kundeforholdet bygger på). Business-to-consumer er det litt mindre avklart, men det ser ut som om at det vil være OK også her, gitt altså at du faktisk oppfyller eksisterende lovverk. (At det var mulig å frabe seg reklame da de bestilte tjenester/du mottok epostadressen, og du lar dem ved hver henvendelse kunne «enkelt og begyrfritt» melde seg av listen.)
Hei, så hvis vi sender mail for å be folk om å abonnerer på våre nyhetsbrev, og bruke den samme informasjonene (epostadr + tlf) til å kjøre facebook-ads så bør det være egne av- huknings-bokser i den første mailen om hva/hvor de ønsker å motta informasjon fra oss?
Ja, det er min forståelse. Hvis remarketingen involverer å laste opp navneliste til Facebook så trenger du forhåndsgodkjennelse. Ren besøksbasert remarketing (der du viser annonser til de som har en cookie som viser at de har besøkt ditt nettsted tidligere), så holder det om du informerer om dette i din personvernerklæring og at de som ikke har det velger å reservere seg mot cookies i nettleserinnstillingen.
Tusen takk! 🙂
Hei.
Det er dessverre ikke mulig å endre en side til en gruppe. Ønsker dere å ha en gruppe, må dere nesten opprette en og så begynne å arbeide med denne. Men egentlig er det side som er den riktige enheten for en bedrift å ha – du får ellers ikke statistikk, mulighet til fremming av innlegg mm.
– Nina :-)))
Hei.
Kva er definisjonen på upersonlege e-post adresser?
Må det vera “[email protected]”, eller kan det vera “[email protected]” eller “[email protected]”?
Det er mange “kryptiske” adresser som kan ha “namneliknande” element i seg.
Takkar for svar.
Det finnes vel ikke noen definisjon som sådan, men både stig@firma,no og [email protected] vil være for personlige adresser å regne. Adresser som [email protected] vil også kunne regnes som personlige, selv om de nok er gråsone. Vil du være sikker bør du holde deg til post@ eller postmottak@ og tilsvarende klart bedriftsrelaterte adresser. support@ og salg@ vil også være mer innenfor enn markedssjef@. Husk også at de norske leverandørene av epostmarkedsføring ikke tillater deg å bruke deres systemer til å sende ut på kjøpte/oppsøkte lister, selv om adressene er upersonlige i lovens forstand.
Så om jeg har en epostliste hvor de i utgangspunktet har signet seg opp for kursinfo og jeg aldri sender de noe annet stoff og det står hvorfor de er på listen og det er mulighet for å melde seg av i hver mail så må jeg lage optinskjema og be de legge post og fornavn på nytt?
Nei, hvis de har signet opp for denne informasjonen aktivt og eksplisitt; og de ikke har fått noe for å melde seg på, har du lovlige aksepter som du fortsatt kan bruke.
Hei,
Tusen takk for god informasjon 😀
Mulig jeg gjentar spørsmål ovenfor, men : Gjelder loven for mailadresser som tilhører kommune og NAV ? eks. [email protected].
Prosjektet bedriften jeg jobber for tilbyr en opplæring som er støttet av Helsedirektoratet og kun er for den offentlige sektor.
Hei.
Ja, det regnes også som en personlig epostadresse som er underlagt GDPR. I hht Markedsføringslovens paragraf 15 (som regulerer epostmarkedsføring) kan du heller ikke nå (altså før GDPR) markedsføre mot disse adressene uten forhåndssamtykke. Du kan eventuelt sende et brev i posten, eller du kan ringe.
Dersom vi har eksplisitt bedt om positivt samtykke til å melde seg på nyhetsbrevlisten når de registrerer seg med et kundeforhold på siden. Trenger vi å innhente nytt samtykke fra disse mottakerne i forbindelse med GDPR da?
-Der de huker av for samtykke står det i dag ingenting om hva slags info man evt. vil få i disse nyhetsbrevene, at brukerens data vil bli brukt til retargeting i f.eks FB, eller at de kan melde seg av enkelt og nårsomhelst
-Det er ikke gjennomført dobbel-optin.
-Dog kan man enkelt melde seg av via link i nyhetsbrevene hver gang.
Hei.
Hvis de alt separat har meldt seg på nyhetsbrevet når de ble kunder, kan du fortsette å sende epost til dem. Det er ikke nødvendig å presisere hva slags innhold de får, men du kan ikke anta godkjennelse på andre kanaler enn epost med mindre du har bedt om separate godkjennelser for det også. Retargeting basert på nettstedsbesøk (ikke kundeliste/adresseliste) på Facebook trenger du ikke godkjennelse for. Men skal du laste opp kundelisten, trenger du altså godkjennelse fra kunden først.
Hei
Vi har en samarbeidspartner på jobben som ønsker å sende en mail med informasjon om et nyttig webinar til alle utdanningsdirektørene. Vi sitter på alle disse mailadressene, og vår samarbeidspartner ønsker tilgang til disse, altså at vi gir dem disse mailadressene. Jeg mener at dette ikke er greit. Andre mener at det er greit fordi disse mailadressene likevel ligger tilgjengelig på fylkenes nettsider, og at vi derfor like gjerne kan videreformidle disse til vår samarbeidspartner. Dette mener jeg bryter med prinsippet om aktivt samtykke, men jeg er usikker. Har innholdet eller intensjonen med mailen noe å si? Altså hvorvidt det er markedsføring, eller informasjon eller en annen form for henvendelse?
Hei, og beklager sent svar.
Du har ikke lov til å sende ut epost for andre på dine lister, eller gi tilgang til listene til noen andre. Markedsføringslovens paragraf 15 er ganske entydig på dette punkt. Jeg antar dine kolleger mener det ikke er snakk om markedsføring (og følgelig ikke underlagt markedsføringsloven), men markedsføringsbegrepet som dekkes av denne paragrafen er ganske vidt. En epostadresse er dessuten en personopplysning ihht GDPR, hvilket betyr at du ikke kan bruke den til noe du ikke har et grunnlag for. Det betyr at du enten må ha en avtale med disse personene som også omfatter at det er greit å dele adressene på denne måten, eller at du har innhentet forhåndssamtykke til å dele adressen med den navngitte samarbeidspartneren. Dersom du ikke har noe slikt grunnlag, er dette ikke noe dere kan tillate. (Jeg regner med at det ikke er et spørsmål om liv og død, antiterrorarbeid eller lignende, som også unntaksvis kan være grunnlag.)
Et galleri som har en mailingliste hvor mennesker har skrevet seg selv opp til å motta et månedlig brev om hva som foregår i galleriet. Hva må jeg gjøre med vår mailinglisten?
Ikke noe, hvis de som står på listen allerede har krysset av aktivt (eller skrevet inn epostadressen) for å stå på mailinglisten, og du ikke har brukt insentiv (gratis rapporter, konkurranser etc.) for å få adressene inn. :-)))
Hei Nina, interessant artikkel! Hvor vesentlig vil det etter din mening være å tilby sine kontakter en påloggingsløsning slik at de selv kan administrere sine opplysninger, samtykker gitt og eventuelt slette?
Hei.
Det er først og fremst viktig for deg selv (bedriften, altså). Strengt tatt er det greit å håndtere slike henvendelser via mail – det er bare at det kan bli mye manuell håndtering om man har mange kunder. Bruker du godkjennelse i flere kanaler, må du jo uansett ha et system som håndterer dette, og slike systemer har vel nå gjerne også mulighet for pålogget kundesenter. For et mindre firma, oss i Webgruppen for eksempel, så håndterer vi henvendelser manuelt. Vi bruker da heller ikke noen annen kanal enn e-post som krever godkjennelse, og det håndteres problemfritt av vårt ganske enkle epostprogram.
Hvordan er det med dette konkrete eksempelet, der Elkjøp kjører en konkurranse for å høste e-post adresser? https://www.elkjop.no/cms/skrap-og-vinn/konkurranse/?VM
Jeg regner med at et så stort firma som Elkjøp har gjort en skikkelig vurdering i forkant og innhentet kompetente råd før de kjører denne konkurransen. Jeg vet jo at det finnes en viss uenighet i tolkningen av lovverket, også i juridiske miljøer. Personlig ville jeg nok imidlertid ha vurdert dette annerledes, og sagt at denne formen for bundling av aksepter ikke er innenfor kommende lovverk slik jeg forstår det. På den annen side sett er jo ikke GDPR trådt i kraft enda, så hvis de ikke bruker adressene de samler inn på denne måten etter at den nye personvernloven trer i kraft er det jo uansett ukontroversielt.
Hei,
Jeg har i flere år hatt en internettside hvor man kan laste ned et program. Det har vært valgfritt om man vil legge inn e-post adresse når man laster ned programmet. Har nå endret slik at man nå får tilsendt e-post hvor man aktivt må bekrefte at man ønsker nyhetsbrev. Kan jeg forstå det slik at jeg ikke behøver å foreta meg noe mer en det. Dvs. jeg slipper å sende ut e-post hvor alle før dette kunder må aktivt bekrefte at de vil stå på listen.
Hei. Det kommer litt an på hva du sier i det gamle skjemaet ditt. Hvis de som har fylt ut sin epostadresse har forstått at de vil få epostreklame i etterkant, er det antagelig helt greit. (Strengt tatt burde vel personvernerklæringen vært opplyst også, slik at folk kunne sjekke hvor trygt du oppbevarer dataene, og hva du gjør med dem, før de melder seg på – men jeg regner med at de dataene det gjelder er så lite kontroversielle at du kan se litt stort på dette.) Din nye løsning, med dobbel opt-in, er veldig fin. Bare husk at du altså også trenger en personvernerklæring på siden din om du ikke allerede har en. Lykke til!
Er GDPR relevant mht kundedatabase som benyttes til adressert DM (fysiske reklamesendinger i postkassen)?
Ja, GDPR handler om hva du samler inn og oppbevarer av kundedata – ikke bare hva du bruker dem til. Hovedprinsippet er at du må ha et lovlig grunnlag for å ha de dataene du har. Et slikt grunnlag kan være for eksempel en kjøpsavtale, eller et samtykke som kunden har gitt. Hvis du har lovlig grunnlag for kundedatabasen din, og det har du sikkert siden det er kunder, så er det greit så lenge du oppbevarer dataene sikkert og ellers overholder GDPR.
Hallo Nina,
Jeg har tenkt å starte min egen virksomhet i Norge.
Er det fortsatt tillatt å sende reklamemail til selskaper i Norge uten deres eksplisitte samtykke?
I Tyskland er det forbudt.
Hei. Ja, i forhold til norsk markedsføringslov er dette tillatt, men kun når det gjelder upersonlige epostadresser, for eksempel [email protected] (ikke [email protected], selv om denne er oppført som kontaktadresse i Brønnøysund). Du bør imidlertid vøre klar over at den norske bransjeforeningen er blitt enige om en standard som er strengere enn loven, så du får ikke lov til å sende mail uten samtykke med disse verktøyene: https://braepost.no/medlemmer/ (Selv om loven altså sier at du kan.) Dette gjelder jo da ikke de internasjonale verktøyene (Mailchimp, Aweber o.l.).
Hvordan er det hvis man ønsker og sende epost om sin bedrift til potensielle kunder, en sånn “her er vi, dette gjør vi av tjenester” epost. Hvordan stiller det seg?
Hei. Dette er lov så fremt du sender til upersonlige epostadresser som [email protected] eller [email protected] Det er imidlertid ikke lov til personlige epostadresser, på grunn av Markedsføringslovens paragraf 15.