Syv tips til GDPR for markedsførere

GDPR, de nye personvernreglene eller personvernforordningen. Kjært barn har mange navn, og har du ikke lest noe knyttet til temaet allerede er det høyst imponerende. Det skrives og kurses, og noen tilbyr til og med sertifiseringer innen området.

Ikke få panikk, men du må begynne prosessen NÅ!

Likevel er det mange som ennå ikke har sett omfanget av endringene som kommer, og hva disse vil bety for bedriften de jobber i. Noen stikker hodet i sanden, andre innser at tiden frem til reglene trer i kraft er kort og begynner å få panikk.

Hvordan skal man klare å markedsføre til potensielle kunder når man må ha tillatelse til å markedsføre?

Hva kreves egentlig for å følge reglene?

Hva må vi gjøre nå?

Dette er spørsmål som kverner rundt i mange markedsførings-hoder om dagen.

Ikke få panikk, men du må begynne prosessen NÅ!

GDPR er omfattende og komplisert. Det vil kreve store endringer i hvordan selskaper jobber med sin markedsføring, og hvordan det samler og bruker data.

  1. Forstå det grunnleggende – bli kjent med reglene og hvordan de påvirker ditt arbeid og din organisasjon.
  2. Dykk ned i detaljene – Du må forstå hva personlig data betyr, og hvor du finner data du har lagret.
  3. Vær tydelig om samtykke – Du må forstå hva samtykke er, at du har fått dette frivillig og at du har tydelig beskrevet hva du skal bruke dataene til.
  4. Kontroll på geografien – Du må vite hvor dataene dine lagres og at dine leverandører følger reglene om at data skal lagres i EU.
  5. Skap to-stegs samtykke – Du må forsikre deg om at du har tillatelse fra rett person
  6. Gjør det enkelt å håndtere dataene – Data skal håndteres sikkert, du må derfor få kontroll på hvor data er lagret, helst gjennom et sentralt system.
  7. Retten til å bli slettet – Du må kunne bevise at du sletter data dersom en person ber om at hans eller hennes data slettes.

GDPR er omfattende og komplisert. Det vil kreve store endringer i hvordan selskaper jobber med sin markedsføring, og hvordan det samler og bruker data. Bruk tiden frem til GDPR trer i kraft i Norge 1. juli 2018 godt. Hvis ikke risikerer du å starte på bar bakke fordi du ble nødt til å slette hele databasen som følge av manglende innhenting av samtykke, og tillatelse, til markedsføring.

Med forberedelser, gode rutiner og de riktige systemene i bunn, kan man løse utfordringene GDPR gir markedsførere.

Hvorfor må du oppdatere personvernerklæringen i forbindelse med GDPR?

De nye personvernreglene under GDPR krever samtykke fra alle individer du ønsker å markedsføre deg mot ved hjelp av direkte påvirkning. Her ser vi på hvorfor du må oppdatere personvernerklæringen.

Samtykket et individ gir må være gitt frivillig, og det skal ikke være noe rom for misforståelser angående hva man sier ja til.

Direkte markedsføring er for eksempel e-post, DM, SMS, eller ringe personer som ikke er kunder hos bedriften. Når man ber om samtykke eller tillatelse til å markedsføre til personer skal det tydelig gå frem hva man samtykker til. Det skal være enkelt å forstå og tydelig hva man sier ja til. Samtidig har man under de nye GDPR-reglene tydelige krav til hva slags informasjon man må gi brukerne rundt hvordan man behandler personinformasjon.

Hvordan du skal få samtykke til markedsføring under GDPR kan du lese mer om her.

Kort fortalt må samtykket et individ gir være gitt frivillig, og det skal ikke være noe rom for misforståelser i forhold til hva man sier ja til. Reglene krever også at samtykket skal være definert i varighet, at man som bedrift må kunne bevise samtykke og at det skal kunne trekkes tilbake når som helst.

Altså må man være tydelig når man bruker skjemaer på nettsiden. Det anbefales å ha en egen, ikke forhåndsutfylt avkryssingsboks hvor det er tydelig beskrevet at man gir sin tillatelse til at bedriften får lov til å bruke personens informasjon til å drive kommunikasjon og markedsføring til dem. Det er ikke tillatt å legge mange tillatelser inn i en og samme godkjenning, noe som betyr at det må være en egen boks for hver ting man ber om tillatelse til. Man kan heller ikke referere til tekst på en annen side.

For å sikre at personen er informert om alt som gjelder håndtering av data, sikkerhet og hvem som får tilgang til dataene sier GDPR-reglene at denne informasjonen kan ligge i personvernerklæringen som må ligge på bedriftens nettside.

Her ser du kravene til hvilken informasjon som må inkluderes i bedriftens personvernerklæring. Denne skal være lett tilgjengelig på nettsidene.

Informasjon som må inkluderes i personvernerklæringen:

  • Identifisering og kontaktinformasjon til selskapet, og hvis det er aktuelt, selskapets representant og personvernansvarlig
  • Hensikten med å samle dataene og de rettslige grunnene for at de samles
  • Den juridiske interessen til selskapet eller tredjeparten, der det er aktuelt
  • Hvilke kategorier av data som samles
  • Hvem eller hvilken type firma som får tilgang til personopplysningene
  • Detaljer om deling til selskaper utenfor EU og hvordan dette ivaretas
  • Hvor lenge dataene oppbevares og hva som legges til grunn for å beholde dem så lenge
  • Beskrivelse av personens rettigheter
  • Retten til å trekke tilbake samtykke når som helst, der det er relevant
  • Retten til å klage til rett myndighet (som i Norge er Datatilsynet)
  • Kilden som persondataene kommer fra
  • Hvorvidt levering av personopplysninger er en del av et lovbestemt eller kontraktsmessig krav eller forpliktelse og mulige konsekvenser av manglende vilje til å avgi av personopplysninger
  • At det finnes automatiserte beslutningsprosesser, inkludert profilering og informasjon om hvordan beslutninger blir gjort, betydningen og konsekvensene.

Hvorfor du bør be om samtykke til markedsføring nå

Har du tillatelse til å sende e-post til alle kontaktene du har i CRM- eller mailløsningen din? Når GDPR trer i kraft 25. mai 2018 kan du kun sende ut nyhetsbrev, tilbud eller annen markedsføring til personer som har gitt sitt samtykke til å motta denne typen informasjon fra selskapet ditt. Men hva skjer når alle bedrifter frem til mai skal sende ut en forespørsel om å fortsatt få lov til å sende reklame? Det blir kaos, og kunden går lei.

Om du ønsker tillatelse til å fortsette markedsføring til personer du har i databasen din, bør du hive deg rundt allerede nå.

Om du ønsker tillatelse til å fortsette markedsføring til personer du har i databasen din, bør du hive deg rundt allerede nå.

Sett deg i kundens sted. Innen kalenderen viser 1. juli vil alle bedrifter som har lagret informasjon om deg sende ut en e-post der de ber deg om samtykke til å fortsatt bruke disse dataene i markedsføringsøyemed. Selv abonnerer jeg på flere hundre nyhetsbrev. Når alle disse bedriftene skal sende meg en mail om å be om tillatelse til å fortsette vil det bli mye mail og mange bekreftelser. Jeg vil tippe at du, som meg, vil gå lei relativt raskt.

Du kan miste store deler av listen din om du ikke er rask

Men hva med din bedrift? Vil du være en av dem som kommer sent til festen, når invitasjonen ble sendt ut måneder i forveien? Sjansen for at kunden allerede har besvart et utall e-poster og nå flytter GDPR-spørsmål rett til søppelkassen vil nok øke jo nærmere 1. juli vi kommer.

Vår klare anbefaling er derfor at du, så raskt som mulig, sender ut en e-post der du ber om samtykke til å fortsette en markedsføringsdialog med kunden.

Før du gjør dette må du ha systemene på plass. Systemene skal sikre at du kan etterleve GDPR-reglene knyttet til lagring og sikkerhet, og at du skal kunne bevise innhentet samtykke. Personen skal også ha mulighet til å rette informasjonen, be om å bli slettet fra databasen din og trekke tilbake samtykke dersom han eller hun ønsker det. Vil du vite mer om hva som kreves for å få samtykke bør du lese vår bloggpost Hvordan du får samtykke.

Blank lenke hvor ordet "GDPR" er gravert inn i stålet
Anbefalt lesning:

Har du ikke samtykke må persondataene slettes

Dersom du ikke har innhentet samtykke fra personene i databasen din innen 1. juli 2018 må dataene slettes. Du kan ikke markedsføre bedriftens produkter og tjenester mot disse, heller ikke sende e-post for å be om samtykke etter denne datoen. Du har derfor bare tiden og veien, og vi anbefaler deg å være tidlig ute. Da har du større sjanse for å få tillatelsen du ønsker.

Hvordan sørge for at de ansatte forstår GDPR?

GDPR omfatter hele organisasjonen. Alle i bedriften må derfor informeres om de nye rutinene og reglene for behandling av kontaktinformasjon, og forstå hva det betyr for dem. Her er rådene for hvordan du bør gå frem.

Det er de ansattes ansvar å følge GDPR-reglene. Brudd på reglene kan få konsekvenser for store deler av organisasjonen

Før du kan informere de ansatte om de nye GDPR-reglene, er det viktig at du har gjort de riktige forberedelsene og satt rutinene for hvordan dere skal håndtere henvendelser rundt innsikt og sletting. Det anbefales også at bedriften har en oppdatert personvernerklæring slik at de som gir bedriften samtykke til å hente inn personlig informasjon , gjør dette under de rette forutsetningene.

Hvordan få med seg organisasjonen på GDPR

Det er de ansattes ansvar å følge GDPR-reglene. Brudd på reglene kan få konsekvenser for store deler av organisasjonen. Det er derfor smart å starte med å kommunisere det viktigste på en så enkel og forståelig måte som mulig. Det anbefales også at bedriften har en person eller et lite team som kan kontaktes for alle interne GDPR-spørsmål.

  1. Opplæring av ansatte

Start med å gi en oversikt over hva GDPR vil si for de ansatte, og hvordan de nye rutinene vil påvirke bedriften og de ansattes hverdag. Deretter må det gis konkret opplæring i hvordan kunderelaterte data skal håndteres.

  1. Finn ut hvor dagens data er lagret og rydd opp

For å få kontroll og skape nye rutiner, må alle potensielle kilder for data gjennomgås. Ansatte som har kundedata liggende lokalt, som kanskje bryter eksisterende retningslinjer, må derfor få tillatelse til å finne frem disse uten at det får konsekvenser.

  1. Skap rutiner for hvordan overholde GDPR-reglene

Lag nye rutiner og regler for hvordan dere skal fange data, hvor disse skal lages og hvem som skal ha tilgang. Sørg også for at dere vet hvordan dere finner tilbake til dataene og hvordan de slettes. De nye rutinene og reglene må også innebære at dere får de tillatelsene dere behøver, og vet hva som skal gjøres dersom det oppstår sikkerhetsbrudd.

De ansatte må ikke hente ut kundedata fra systemer og lagre dette andre steder enn i kundeløsningene som CRM eller i fakturaløsninge. De kan heller ikke ringe, sende SMS eller e-post til potensielle kunder uten at det foreligger en tillatelse.

Selgernes forpliktelser rundt GDPR

I de fleste bedrifter er det foruten markedsavdelingen, selgerne som har kontakt med eksisterende og potensielle kunder. Innføringen av de nye GDPR-reglene gjør at selgere nå ikke lenger har lov til å kontakte potensielle kunder uten at de har selv bedt om det. Selgerne kan imidlertid få lov til å ta kontakt dersom de har en legitim interesse for det, som at produktet eller tjenesten bedriften tilbyr er «relevant og passende» .

Kreves samtykke

Har man ikke samtykke fra alle personene i dagens database innen 1. juli, må man rett og slett slette disse kontaktene. Les mer om hvordan man innhenter samtykke, og last ned vår sjekkliste her

Det viktigste med GDPR er å få på plass rutinene og sørge for at hele organisasjonen er kjent med dem. På den måten blir arbeidet med å skape forståelse mye enklere.

Hvordan få samtykke til markedskommunikasjon under GDPR

Personvernregler under GDPR krever at du må ha tillatelse til å ta kontakt direkte med enkeltindivider. Vi ser nærmere på hvordan du kan få samtykke fra de du ønsker å snakke med.

Målet med reglene er forsterket vern om personlige data og at individer skal ha bedre kontroll på hva bedrifter lagrer av informasjon om dem. Skal du ha tillatelse til å sende e-post, sms, DM eller ringe en person må du innhente spesifikk tillatelse.

Hva betyr samtykke under GDPR?

«Samtykke skal gis gjennom en tydelig bekreftende handling som bekrefter at den er gitt frivillig, spesifikt, informert og entydig av personen om å behandle personlige data i relasjon til ham eller henne, for eksempel gjennom en skriftlig erklæring, elektronisk bekreftelse eller gjennom en muntlig uttalelse»

Ideen rundt at man må melde seg av selv dersom man ikke vil ha reklame, eller at noen ikke melder seg av er det samme som tillatelse til å kommunisere med personen er død. Når nye personvernregler innføres under GDPR vil man ikke lenger ha lov til å sende markedskommunikasjon til kunder eller leads dersom de ikke spesifikt har gitt tillatelse til det.

Krav til samtykke under GDPR-reglene

Det finnes regler for hvordan et samtykke skal innhentes.

  • Samtykket skal være gitt frivillig – Dette betyr at man ikke kan ha ferdig utfylte avkrysningsbokser, eller sette det som krav for å laste ned noe, eller at man automatisk gir samtykke dersom man fyller inn et skjema
  • Spesifikt og informert – Man må gi informasjon om hvem som får dataene og hva man trenger dem til
  • Entydig – Det skal klart komme frem hva man sier ja til
  • Det må klart fremkomme hvor lenge man gir samtykke for

En tekst som presenterer hva personen gir samtykke til skal være enkel i formen, bruke tydelige, ikke-tekniske ord, unngå vag ordlyd og juridisk språk.

Du må ha systemer som kan bevise samtykke

Bedrifter må kunne bevise når og hvor samtykket ble hentet inn. Dette setter krav til løsningen du bruker for å samle og lagre data. Reglene sier at det skal være et tydelig skille mellom et samtykke til markedsføring og bredere vilkår og betingelser. En tekst som presenterer hva personen gir samtykke til skal være enkel i formen, bruke tydelige, ikke-tekniske ord, unngå vag ordlyd og juridisk språk. Kort sagt presist og spesifikt.

For å sikre at personen er informert, kan detaljene ligge i personvernerklæringen. Dette tillater deg å gå i detalj slik det kreves av GDPR som er strengere enn dagens personvernlovgivning. Du kan lese mer om våre tips til personvernerklæringen her

Det viktigste er at du har gode systemer som håndterer dataene på en sikker måte, og som lar deg dokumentere når samtykket er gitt og at du kan hente ut denne informasjonen igjen på et senere tidspunkt. Systemet må også kunne gi brukeren muligheten til å oppdatere informasjonen om seg, trekke tilbake samtykket og gi mulighet for at en persons informasjon blir slettet.

Slik får du samtykke fra din eksisterende database

Dersom du ikke kan bevise at du har fått samtykke fra personene du har i databasen din i dag, må du faktisk slette disse fra databasen din innen 1. juli 2018. Vi har skrevet en egen artikkel om hvorfor du må være raskt ute om å be om denne tillatelsen.

Skal du be om samtykke fra alle i den eksisterende databasen anbefaler vi at du har et system på plass som kan håndtere alt vi har nevnt over i forhold til bevis, sikkerhet og muligheten for å trekke tilbake samtykket og be om å bli slettet. Når dette er på plass bør du så raskt som mulig sende ut en mail til hele basen og be om samtykke. Dette samtykket må ligge på en egen landingsside med et skjema og tydelige avkrysningsbokser for hva du ber om samtykke til. Du bør også ha oppdatert personvernerklæringen på nettsidene slik at du gir all den informasjon som kreves under GDPR.

Det er ikke lov å sende ut en e-post og si at dersom de ikke svarer så er det å regne som en automatisk tillatelse eller samtykke. Det må være en aktiv handling.

GDPR for markedsførere – hvordan kommer vi i gang?

Alle markedsførere blir berørt av de nye GDPR-reglene. Jobber du innen markedsføring, eller har ansvaret i en virksomhet betyr det at du må forberede deg. Vi gir deg sjekklisten for hva du bør starte med.

Den største endringen vil være hvordan personlige data kan brukes i forbindelse med markedsføring, hvordan dataene er lagret og sikret, og at man skal ha muligheten til å gi ut all informasjon man har om en person dersom personen ber om det.  Fristen for å etterleve de nye personvernreglene under GDPR er 1. juli 2018. Innen den tid må din bedrift forstå hva som kreves innenfor regelverket, og tatt en del grep for å få kontroll på dataene. Last ned vår sjekkliste «GDPR for markedsførere».

Kom i gang med GDPR-forberedelsene

GDPR-reglene innføres 1. juli 2018 og innen den tid må alt være klart internt slik at dere følger reglene fra og med denne datoen. Det er viktig å huske at GDPR ikke bare omfatter markedsføringen, og det er mange som har påpekt at rutinene og forståelsen for reglene må forankres hos ledelsen og omhandler hele bedriften. Men, for de fleste er det for markedsføringen disse nye reglene har størst innvirkning.

For å komme i gang med arbeidet for å etterleve de nye reglene er det en rekke tiltak som må settes i verk. Det haster,  men det er fortsatt tid frem til fristen.

Vi anbefaler deg derfor å lese vår bloggpost om hvordan du kan få samtykke og hvorfor du bør komme i gang med dette allerede nå.

GDPR for B2B markedsførere

GDPR. Fire små bokstaver som kommer til å få stor betydning. Ikke bare for deg som privatperson, men også for alle bedrifter. For markedsførere kan disse fire bokstavene skape både trøbbel og usikkerhet.

Med personlige data menes all informasjon som er relatert til en identifiserbar person.

EU har jobbet med de nye reglene for personvern i flere år. Reglene representerer store endringer i hvordan bedrifter samler, prosesserer og sikrer personlige data om personer de jobber med og kommuniserer til. Og det skjer veldig snart. Innen 1. juli 2018 må alle bedrifter følge reglene. Konsekvensen av å ikke følge dem kommer i form av store bøter.

De nye reglene for personvern, også kalt GDPR, er på hele 261 sider og har 99 artikler, men forteller ikke direkte hvordan og hva markedsførere trenger å gjøre for å følge reglene.

Hva betyr GDPR for min bedrift?

Alle markedsførere vil bli berørt av de nye reglene, så du er nødt til å forberede deg. Den største endringen for markedsførere vil innebærer hvordan personlige data blir brukt i forbindelse med markedsføringen, hvordan dataene er lagret og sikret, og at data man har samlet inn om kunder og leads beskyttes. Bedrifter må forstå hva som kreves av dem, slik at de er klare til å følge reglene innen mai 2018.

Hva er personlige data under GDPR?

Med personlige data menes all informasjon som er relatert til en identifiserbar person. Med en identifiserbar person menes en person som kan identifiseres direkte eller indirekte gjennom informasjon som navn, id-nummer, lokasjonsdata, IP-adresse eller biometrisk data, altså data ofte relatert til helse, fysikk, økonomi, kultur og religion.

Kort fortalt dekker GDPR-definisjonen av personlige data all informasjon som kan relateres til et identifiserbart levende vesen. I praksis betyr dette navn, e-post adresser, telefonnummer osv.

Dersom en organisasjon bryter reglene for GDPR kan de risikere en bot på maks 20 millioner euro, eller opp til 4 prosent av selskapets globale omsetning året før regelbruddet fant sted.

Hva må du gjøre for å følge GDPR-reglene?

Reglene er omfattende og det anbefales at du setter deg godt inn i innholdet.

De viktigste reglene som en markedsfører må forholde seg til er:

  • Du må ha samtykke for å drive markedsføring. Altså må du ha en frivillig gitt tillatelse til å sende e-poster, SMS, DM eller ringe potensielle kunder og kontakter
  • Personer har rett til å bli slettet når de selv ønsker det
  • Personer har rett til å få utskrift av all informasjon du har om dem
  • Har du ikke tillatelse, må personen slettes fra dine databaser innen 25. mai 2018
  • Du må oppdatere personvernreglene for nettsidene dine

Dersom en organisasjon bryter reglene for GDPR kan de risikere en bot på maks 20 millioner euro, eller opp til 4 prosent av selskapets globale omsetning året før regelbruddet fant sted. Eksempel: I oktober 2017 fikk hotellkjeden Hilton en bot på 700 000 dollar fordi selskapet ble hacket og data på 350 000 kunder ble lekket. Denne boten tilsvarer 2 dollar per kundedata som ble lekket, og tilsvarte 0,00006 prosent av selskapets omsetning året før datainnbruddet skjedde. Om boten hadde vært 4 prosent av den samme omsetningen ville den vært på 420 millioner dollar, eller 1200 dollar per kunde.

Fordelene og mulighetene med GDPR

Selv om kravene kan virke voldsomme, det trues med store bøter og frykten for allerede tilgjengelig informasjon om kunder og leads må slettes er til stede hos mange, er det viktig å vite at GDPR også gir mange muligheter for B2B-markedsførere. Den største gevinsten ligger i å rydde opp i eksisterende databaser.

Slankere og mer korrekte databaser og mer målrettet e-post-markedsføring

De nye reglene krever at personer selv må melde seg på og gi tillatelse til å motta markedsføring, samt at du må kunne bevise at de har gjort det. Dette kan føre til at mange bedrifter må slette deler av dagens database. Men om dette er personer uten historie, og personer som ikke er engasjert i ditt selskap, hvor mye vil det egentlig bety? De som faktisk har sagt at de ønsker å motta informasjon fra deg vil være mye mer engasjerte, noe som vil gi høyere klikkrater, hyppigere åpninger og engasjement i markedsføringen din. De nye reglene er rett og slett en kjempegod mulighet til å rydde opp i lagret kundedata og fjerne navn som ikke lenger er av interesse for selskapet. Har du ikke tillatelse, kan du like gjerne fjerne de du vet at du ikke klarer å få tillatelse fra innen 25. mai.

Få nyheter og våre beste caser rett i innboksen din.

Årets byrå logo
BBN - The world's B2B agency logo
Google Partner
Iteo Hubspot Solution Partner Program
Iteo bra søk