GDPR i klartekst

Den nye personvernlovgivningen GDPR (General Data Protection Regulation) kan være vanskelig å forstå. Noen prinsipper er imidlertid så tydelige at de godt kan formuleres klart allerede nå. Her er noen av disse:

1. Du må fortelle kunden det hvis du samler inn data om ham

… enten det er i form av informasjonskapsler, Facebook-pålogging (eller Facebook Instant Personalization), registrering av informasjon i CRM-system eller noe annet.

2. Du må vise ham dataene du har samlet inn hvis han spør

… enten ved at han kan logge seg på et kundesenter og gjøre det selvbetjent, eller ved at han kan sende deg en epost og be om informasjonen du har om ham.

3. Du må slette informasjonen hvis kunden ber om det

… unntatt den fakturainformasjonen som du er lovpålagt å oppbevare i de tilfellene der kunden har kjøpt noe av deg. Skal du beholde informasjon utover dette for statistikk e.l., må den gjøres helt anonym og upersonlig.

4. Du kan ikke be om mer informasjon enn du faktisk trenger

… selv om du syns det er «kjekt å ha». Det er bare de opplysningene som er nødvendige for å gjennomføre transaksjonen som er lovlige å be om. Du trenger for eksempel ikke telefonnummeret eller epostadressen min for å levere meg et ukeblads-abonnement i posten.

5. Personopplysninger er mer enn personalia

… det er også fingeravtrykk, Facebook-likes, IP-adresser, telefonnummer, epostadresse, bilnummer, Bluetooth-adresser og mye mye mer. Felles for alle personopplysninger er at de kan brukes til å skille én individuell bruker fra en annen.

6. Norske kunder er beskyttet av GDPR også utenfor Europa

… selv om de for eksempel kjøper varer av en amerikansk nettbutikk har de krav på rettighetene som er beskrevet over.

Sjekk også alt det som Datatilsynet skriver om GDPR.

Leser du engelsk, finner du mye nyttig informasjon på Intersoft Consulting sin GDPR-ressurs Der er det også mulig å fritekst-søke i lovverket, om du har spesifikke ting du lurer på.

Dessuten har også vi i Webgruppen kurs om GDPR for markedsførere.

Gjelder GDPR også business-to-business/B2B?

Jeg er jo ikke jurist, men en diskusjon jeg av og til støter på er spørsmålet om den nye personvernloven GDPR også gjelder bedrifter som driver business to business. Bakgrunnen for at noen antar den ikke gjør det, er nok at det finnes et skille i GDPR mellom personlig og upersonlig informasjon, men dette skillet betyr ikke uten videre at GDPR «ikke gjelder B2B».

GDPR regulerer innsamling, oppbevaring og håndtering av personopplysninger. Som personopplysning regnes også

  • Epostadresse
  • Mobiltelefonnummer
  • IP-adresse
  • Blåtann-ID
  • Identitetsnummer på datamaskin

… og mye annet.

Når det gjelder epostadresser har vi allerede et skille i eksisterende norsk lovgivning, der bl.a. Markedsføringslovens paragraf 15, som regulerer epostmarkedsføring, har et unntak for upersonlige epostadresser. Upersonlige epostadresser er for eksempel post@bedriften.no eller postmottak@oslo.kommune.no Slike adresser er ikke for personopplysning å regne, og er heller ikke underlagt GDPR.

Adresser som per.hansen@bedriften.no eller ph@bedriften.no er imidlertid personlige adresser, og GDPR regulerer hva du gjør med denne epostadressen og kommunikasjon og informasjon som fremkommer i tilknytning til den, også selv om kontakten er profesjonell av natur.

Dette betyr jo da også at GDPR regulerer strengt den informasjonen du kan samle inn og lagre i ditt CRM-system, på personer som handler dine varer og tjenester i kraft av å ha en rolle i en bedrift. Det samme gjelder markedsautomatisering med epost og mye mer.

Det kommer imidlertid også en utvidelse av GDPR i retning markedsføringsbruk av persondata i form av epostmarkedsføring, remarketing-cookies og mer. Les mer om ePrivacy Act her og kikk gjerne på denne nyttige artikkelen om forskjellen på ePrivacy Act og GDPR. Kortversjonen er at GDPR tar utgangspunkt i datasikkerhet, mens ePrivacy Act er mer opptatt av å verne om kundens privatliv. De to lovene trekker i samme retning, som er å stramme inn innsamling, oppbevaring og bruk av persondata.

Dette betyr at det kan komme presiseringer i ePrivacy Act som påvirker detaljene i hva slags bruk som tillates for hvilke data. Personlig anser jeg imidlertid uansett at det sikreste er å gå ut fra at GDPR også gjelder business to business på alle punkter, slik at du legger til rette for GDPR-tilpasning i dine systemer allerede nå. Skulle det da eventuelt senere vise seg at du kan løsne litt på kravene i forhold til enkelte bruksområder, vil det i så fall være en bonus.

Når det er sagt er det imidlertid viktig å se forskjell på forskjellige typer persondata. Det sier seg selv at data om kundens helse er mer sensitive enn data om hvilken epostadresse kunden har. På den annen side sett er det vanskelig å trekke helt klare grenser. Vi som arrangerer kurs, samler jo for eksempel også inn data om hvilke diettbehov den enkelte kursdeltager har, hvilket igjen er sensitive persondata som ikke kan deles eller oppbevares utrygt.

Med mindre du tar en detaljert gjennomgang av alle data du samler inn og bruker med en spesialisert advokat, må vårt råd derfor være: Gå ut fra at GDPR også gjelder business to business i alle sammenhenger, med mindre det er helt spesielle grunner til å gjøre noe annet.


Lyst til å lære mer? – Vi i Webgruppen holder også kurs i GDPR for markedsførere


Hvordan vil GDPR påvirke epost-markedsføring?

Den nye personvernlovgivningen som trer i kraft 25. mai 2018 kommer til å påvirke oss som driver med epostmarkedsføring ganske dramatisk.

Her er noen av de endringene som kommer, såvidt vi kan se og tolke i skrivende stund:

1. Slutt på automatisk oppføring på nyhetsbrev

Konkurranser, gratis rapporter, gratis testversjoner og lignende har jo lenge vært en nyttig måte å skaffe seg abonnenter til nyhetsbrevet på. Etter GDPR blir det forbudt å automatisk føre opp folk på nyhetsbrevet når de deltar i en konkurranse, laster ned en sjekkliste og lignende. I stedet trenger du en eksplisitt tillatelse for å legge til noen på epostliste.

Under ser du hvordan vi i Webgruppen for tiden jobber med å redesigne skjemaer slik at de blir lovlige også etter GDPR:

(Forskjellen i farger har bare med hvilke maler vi bruker å gjøre, så det er ikke relevant i forhold til GDPR.)

2. Du kan ikke be om godkjennelser som gjelder for flere kanaler

Etter GDPR kan du ikke be kunden godkjenne at du kontakter ham i en hvilken som helst kanal. I stedet må du ha en separat godkjennelse for hver enkelt kanal:

3. Du trenger et pålogget kundesenter

Et prinsipp i GDPR er at kunden skal kunne trekke sine godkjennelser tilbake.

Markedsføringslovens paragraf 15, som regulerer epostmarkedsføring, krever allerede at du lar kunden «enkelt og kostnadsfritt» melde seg av nyhetsbrevet eller SMS-listen hver gang du konktakter ham. Det er jo derfor vi har avmeldingslenke i nyhetsbrev, og sier «send stopp» på SMS.

I den nye loven kreves det imidlertid også at kunden skal kunne forlange at dataene du har om han skal bli slettet, og han må kunne se hvilke tillatelser han har gitt deg, og kunne endre disse. Han må også kunne forlange å få se den informasjon du har registrert om ham, og kunne hente ut denne informasjonen i et format han kan bruke videre. I tillegg må du selv kunne dokumentere at du har fått en eksplisitt og informert godkjennelse til å ha de kundeopplysningene du har.

På grunn av dette jobber de fleste seriøse epostmarkedsføringssystemer nå med å utvikle påloggede sider, der bruker selv kan administrere sine tillatelser, be om å bli glemt, be om dataoverføring mm.

4. Du kan ikke spørre om unødvendig informasjon

Et viktig prinsipp i GDPR er at all informasjon skal være på minste nødvendige nivå. I klartekst: Du kan ikke spørre om mer informasjon enn det du absolutt trenger for å gjennomføre den transaksjonen det gjelder. Dette betyr jo at påmeldingsskjemaene blir kortere – noe som uansett er en god ide, ettersom det øker responsen i de fleste tilfeller.

I eksempelet under kan du se hvordan markedsføringsfirmaet Hubspot har utformet sine guide/sjekkliste-skjemaer før og nå: (I det gamle eksempelet er skjemaet forkortet – det be spurt etter enda mer informasjon enn det du ser.)

Man kan diskutere om det er relevant for Hubspot å be om kundens jobbtittel, men antagelig har de gjort en vurdering som har konkludert med at tittelen er relevant for å tilpasse informasjonen på en relevant måte. De kan helt sikkert dokumentere sine vurderinger på dette også, i tilfelle de skulle få et personvern-ettersyn.

5. Du må renske dine eksisterende lister

Fra og med 25. mai 2018 kan du kun benytte epostlister som er lovlige i forhold til GDPR. Det betyr at du må slette ulovlige data og eventuelt innhente nye godkjennelser fra de personene du har på listen i de tilfellene der du ikke har lovlige godkjennelser allerede.

I Norge er det Datatilsynet som skal håndheve det nye lovverket. De har også mye relevant informasjon om GDPR på sine sider.

Vi i Webgruppen holder også kurs om GDPR.

 

 

GDPR: Vi trenger et felles samtykkeregister!

Nå som den nye personvernlovgivningen GDPR (General Data Protection Regulation) er nært forestående, har norske bedrifter innsett at de har et problem: Fra 25. mai 2018 vil de ikke lenger kunne bruke sine eksisterende kunderegistre, epostlister o.l.

I hvert fall ikke med mindre listene og databasene oppfyller disse kravene:

  • Bedriften må kunne bevise at mottager har samtykket til kommunikasjon (= dobbel opt-in)
  • Bedriften må kunne bevise at mottager har samtykket til kommunikasjon i hver enkelt kanal separat (= én avkryssing for epost, én for sms osv.)
  • Bedriften må kunne la mottager logge seg på og administrere sine egne samtykker.
  • Bedriften må kunne la mottager kreve å få se de data som er registrert på ham.
  • Bedriften må kunne la mottager hente ut sine egne data og ta disse med seg til en annen leverandør (= «retten til dataportabilitet«)
  • Bedriften må kunne la mottager kreve at alle data om ham blir anonymisert eller slettet (= «retten til å bli glemt»)
  • Bedriften må også ha såkalte databehandleravtaler med alle leverandører som er i befatning med bedriftens kundedata (= epostsystemer, CRM-systemer, fakturasystemer, POS-systemer etc.) Leverandørene jo vil møte krav om slike avtaler fra samtlige av sine kunder, og de seriøse av dem er derfor allerede i gang med å lage slike standardavtaer for kundene sine. Det er likevel verd å merke seg at det er bedriftens ansvar at en slik avtale foreligger og at den er lovlig (ikke leverandørens).

Ettersom det er ramme for bøter på inntil 20 millioner euro for å bryte loven, og Datatilsynet i klartekst har varslet «skarp håndheving» av det nye lovverket, er det jo ingen som har råd til å være uforsiktige med dette.

Men her er problemet:

HVORDAN SKAL DETTE EGENTLIG LØSES I PRAKSIS?

Faktum er jo at svært få, om noen, leverandører av epostsystemer, kundedatabaser, fakturaprogrammer etc. har allerede på plass løsninger som gjør det mulig for kundene deres å oppfylle den nye loven. Forhåpentligvis kommer slike systemer til å finnes innen 25. mai 2018; ellers vil jo leverandørene miste kundene sine ettersom de vil måtte flytte sine kundeforhold over til de leverandørene som faktisk HAR fått systemene på plass.

Men også om systemene kommer på plass har vi et problem, og det rammer ikke bedriftene, men alle kundene deres; altså hver og en av oss.

For om vi estimerer at hver nett-aktive nordmann har for eksempel 300 forskjellige bedrifter som han/hun er eller har vært i kontakt med (kjøpt varer eller tjenester av, meldt seg inn i kundeklubb, meldt seg på nyhetsbrev, bestilt mobilvarsling etc. etc.), så betyr dette altså at hver og en av oss må forholde oss til 300 forskjellige påloggede systemer der vi skal vedlikeholde egne samtykker. Det høres ut som et mareritt!

Jeg kan derfor ikke skjønne annet enn at det må være et stort case akkurat nå for et nasjonalt, felles samtykkeregister.

Et slikt register burde gjøre det mulig for hver av oss å logge oss på ett sted, se hvilke bedrifter som har data om oss, og så be om å bli slettet, eller endre kontaktpreferanser for hver og en av disse separat. Det ville faktisk være å gi forbruker reell kontoll over sine egne samtykker, noe som jo er del av hele intensjonen med GDPR-lovgivningen.

Og her er det beste:

Det finnes allerede en samtykke-løsning i Altinn, som bl.a. benyttes av finansnæringen, der lånetagere kan logge seg på og tillate for eksempel at banken får tilgang til selvangivelsen i forbindelse med lånesøknad. (Les mer om denne løsningen her.)

Hvor vanskelig er det egentlig å utvide denne ordningen til et nasjonalt samtykkeregister? Man må jo legge til rette for at alle bedriftenes datasystemer kan vaske sine egne kontaktlister mot registeret, men det høres bare ut som et spørsmål om å legge opp relevante API’er, såvidt jeg kan skjønne.

Og kan jeg få lov å minne om enda en gang at dette haster? Alle bedriftene i Norge må ha sine lister lovlige om 7 korte måneder. Hvis ikke, risikerer de bøter i en størrelsesorden som vi nesten aldri før har sett i Norge.

Så enten må alle norske innbyggere belage seg på å få hundrevis av tilsendte brukerpålogginger hver til våren – eller så må vi få en felles registreringordning på plass. Og jeg vet hvilken av de to alternativene jeg foretrekker!

Hva betyr GDPR?

Forkortelsen GDPR står for General Data Protection Regulation, og det refererer til et EU-regulativ som ble vedtatt i 2016 og som trer i kraft 25. mai 2018.

Etter dette tidspunktet må også vi i Norge forholde oss til denne lovgivningen.

GDPR har en mengde konsekvenser, for offentlige virksomheter, for programutviklere, og det som er mest relevant for oss: For alle som driver med digital markedsføring.

Datatilsynet har mye informasjon om GDPR på sine sider. I skrivende stund finnes imidlertid ikke den norske lovteksten enda.

Kortversjonen for oss som er markedsførere er denne:

  • Du kan ikke lenger ha generelle samtykker (= «ja takk, jeg vil ha denne eboken og havner samtidig på din mailingliste»).
  • Du må innhente samtykkene én for én (= «ja takk, jeg vil ha eboken», «ja takk, jeg vil stå på mailingliste», «ja takk du kan sende meg SMS.») Disse kan stå i samme skjema, men avhukingene må være separate.
  • All informasjon om hvilke samtykker du samler inn og hvorfor må være lett tilgjengelig, tydelig og lettfattelig.
  • Samtykker gjelder kun for ett år av gangen.
  • Det vil ikke bli lov å drive profilering av kunder og å gjøre beslutninger basert på profilering.

Noen flere endringer er:

  • Du må ha Databehandleravtaler med alle leverandører av data der du har kundeinformasjon (eDM-verktøy, CRM osv).
  • Kunden må kunne kreve å få se alle data du har på ham.
  • Kunden må kunne kreve å bli slettet og at dataene blir fullstendig anonymisert.
  • Offentlige virksomheter og de som har spesielt sensitive opplysninger må ha personvernombud.
  • Det er bøter på opptil 20 millioner euro for å bryte de nye reglene.

I

I Norge er det Datatilsynet som skal håndheve dette regelverket, og de har klart sagt fra at de kommer til å drive «spiss håndhevelse», hvilket betyr at det tillates veldig lite slinger i valsen. Nøyaktig hva dette vil bety gjenstår å se, men det er ikke usannsynlig at noen vil bli tatt ganske raskt etter denne datoen for å statuere et eksempel.

Hvis du er spent på hva som kommer til å skje i forbindelse med GDPR, så arrangerer vi i Webgruppen kurs om GDPR med spesiell fokus på GDPR for markedsførere