GDPR: Vi trenger et felles samtykkeregister!

Nå som den nye personvernlovgivningen GDPR (General Data Protection Regulation) er nært forestående, har norske bedrifter innsett at de har et problem: Fra 25. mai 2018 vil de ikke lenger kunne bruke sine eksisterende kunderegistre, epostlister o.l.

I hvert fall ikke med mindre listene og databasene oppfyller disse kravene:

  • Bedriften må kunne bevise at mottager har samtykket til kommunikasjon (= dobbel opt-in)
  • Bedriften må kunne bevise at mottager har samtykket til kommunikasjon i hver enkelt kanal separat (= én avkryssing for epost, én for sms osv.)
  • Bedriften må kunne la mottager logge seg på og administrere sine egne samtykker.
  • Bedriften må kunne la mottager kreve å få se de data som er registrert på ham.
  • Bedriften må kunne la mottager hente ut sine egne data og ta disse med seg til en annen leverandør (= «retten til dataportabilitet«)
  • Bedriften må kunne la mottager kreve at alle data om ham blir anonymisert eller slettet (= «retten til å bli glemt»)
  • Bedriften må også ha såkalte databehandleravtaler med alle leverandører som er i befatning med bedriftens kundedata (= epostsystemer, CRM-systemer, fakturasystemer, POS-systemer etc.) Leverandørene jo vil møte krav om slike avtaler fra samtlige av sine kunder, og de seriøse av dem er derfor allerede i gang med å lage slike standardavtaer for kundene sine. Det er likevel verd å merke seg at det er bedriftens ansvar at en slik avtale foreligger og at den er lovlig (ikke leverandørens).

Ettersom det er ramme for bøter på inntil 20 millioner euro for å bryte loven, og Datatilsynet i klartekst har varslet «skarp håndheving» av det nye lovverket, er det jo ingen som har råd til å være uforsiktige med dette.

Men her er problemet:

HVORDAN SKAL DETTE EGENTLIG LØSES I PRAKSIS?

Faktum er jo at svært få, om noen, leverandører av epostsystemer, kundedatabaser, fakturaprogrammer etc. har allerede på plass løsninger som gjør det mulig for kundene deres å oppfylle den nye loven. Forhåpentligvis kommer slike systemer til å finnes innen 25. mai 2018; ellers vil jo leverandørene miste kundene sine ettersom de vil måtte flytte sine kundeforhold over til de leverandørene som faktisk HAR fått systemene på plass.

Men også om systemene kommer på plass har vi et problem, og det rammer ikke bedriftene, men alle kundene deres; altså hver og en av oss.

For om vi estimerer at hver nett-aktive nordmann har for eksempel 300 forskjellige bedrifter som han/hun er eller har vært i kontakt med (kjøpt varer eller tjenester av, meldt seg inn i kundeklubb, meldt seg på nyhetsbrev, bestilt mobilvarsling etc. etc.), så betyr dette altså at hver og en av oss må forholde oss til 300 forskjellige påloggede systemer der vi skal vedlikeholde egne samtykker. Det høres ut som et mareritt!

Jeg kan derfor ikke skjønne annet enn at det må være et stort case akkurat nå for et nasjonalt, felles samtykkeregister.

Et slikt register burde gjøre det mulig for hver av oss å logge oss på ett sted, se hvilke bedrifter som har data om oss, og så be om å bli slettet, eller endre kontaktpreferanser for hver og en av disse separat. Det ville faktisk være å gi forbruker reell kontoll over sine egne samtykker, noe som jo er del av hele intensjonen med GDPR-lovgivningen.

Og her er det beste:

Det finnes allerede en samtykke-løsning i Altinn, som bl.a. benyttes av finansnæringen, der lånetagere kan logge seg på og tillate for eksempel at banken får tilgang til selvangivelsen i forbindelse med lånesøknad. (Les mer om denne løsningen her.)

Hvor vanskelig er det egentlig å utvide denne ordningen til et nasjonalt samtykkeregister? Man må jo legge til rette for at alle bedriftenes datasystemer kan vaske sine egne kontaktlister mot registeret, men det høres bare ut som et spørsmål om å legge opp relevante API’er, såvidt jeg kan skjønne.

Og kan jeg få lov å minne om enda en gang at dette haster? Alle bedriftene i Norge må ha sine lister lovlige om 7 korte måneder. Hvis ikke, risikerer de bøter i en størrelsesorden som vi nesten aldri før har sett i Norge.

Så enten må alle norske innbyggere belage seg på å få hundrevis av tilsendte brukerpålogginger hver til våren – eller så må vi få en felles registreringordning på plass. Og jeg vet hvilken av de to alternativene jeg foretrekker!

Hva betyr GDPR?

Forkortelsen GDPR står for General Data Protection Regulation, og det refererer til et EU-regulativ som ble vedtatt i 2016 og som trer i kraft 25. mai 2018.

Etter dette tidspunktet må også vi i Norge forholde oss til denne lovgivningen.

GDPR har en mengde konsekvenser, for offentlige virksomheter, for programutviklere, og det som er mest relevant for oss: For alle som driver med digital markedsføring.

Datatilsynet har mye informasjon om GDPR på sine sider. I skrivende stund finnes imidlertid ikke den norske lovteksten enda.

Kortversjonen for oss som er markedsførere er denne:

  • Du kan ikke lenger ha generelle samtykker (= «ja takk, jeg vil ha denne eboken og havner samtidig på din mailingliste»).
  • Du må innhente samtykkene én for én (= «ja takk, jeg vil ha eboken», «ja takk, jeg vil stå på mailingliste», «ja takk du kan sende meg SMS.») Disse kan stå i samme skjema, men avhukingene må være separate.
  • All informasjon om hvilke samtykker du samler inn og hvorfor må være lett tilgjengelig, tydelig og lettfattelig.
  • Samtykker gjelder kun for ett år av gangen.
  • Det vil ikke bli lov å drive profilering av kunder og å gjøre beslutninger basert på profilering.

Noen flere endringer er:

  • Du må ha Databehandleravtaler med alle leverandører av data der du har kundeinformasjon (eDM-verktøy, CRM osv).
  • Kunden må kunne kreve å få se alle data du har på ham.
  • Kunden må kunne kreve å bli slettet og at dataene blir fullstendig anonymisert.
  • Offentlige virksomheter og de som har spesielt sensitive opplysninger må ha personvernombud.
  • Det er bøter på opptil 20 millioner euro for å bryte de nye reglene.

I

I Norge er det Datatilsynet som skal håndheve dette regelverket, og de har klart sagt fra at de kommer til å drive «spiss håndhevelse», hvilket betyr at det tillates veldig lite slinger i valsen. Nøyaktig hva dette vil bety gjenstår å se, men det er ikke usannsynlig at noen vil bli tatt ganske raskt etter denne datoen for å statuere et eksempel.

Hvis du er spent på hva som kommer til å skje i forbindelse med GDPR, så arrangerer vi i Webgruppen kurs om GDPR med spesiell fokus på GDPR for markedsførere