Er du klar for GDPR? Markedsføring etter ny personvernlovgivning

Den 25. mai 2018 trer GDPR-forordningen i kraft i EU, og 1. juli 2018 skjer det samme i Norge. GDPR kan se ut til å gjøre jobben for markedsførere vanskeligere på kort sikt, men på lengre sikt blir virkemidler som epost-markedsføring og marketing automation høyst sannsynlig enda mer effektive. Dessuten er det liten tvil om at vi både som forbrukere og profesjonelle vil nyte godt av at personvern og datasikkerheten bedres.

Er din virksomhet ikke er helt klar til å møte den nye virkeligheten med GDPR og lurer på hvordan dere skal bli "GDPR ready"? Nedenfor finner du et par tips.

1. Databasen må kartlegges - ingen vei utenom
Først og fremst må alle kontakter i CRM/databasen kartlegges. Hvem er kunder, hvem er prospects, hvem bør uansett egentlig bare kastes ut av basen? Hvordan kom disse kontaktene inn i CRM? For pågående kundeforhold kan det være dekning for kommunikasjon iht GDPR artikkel 6.1 (f). For alle andre kontakter skal aktivt samtykke innhentes. Dokumentér arbeidet med denne kartleggingen.

2. Tredjepartsavtaler - hvem har tilgang til data?
Som eier av persondata, har du en rolle som "Controller" av disse dataene. Sikkerheten er med andre ord ditt selskaps ansvar, uansett om andre selskaper får tilgang til dataene gjennom samarbeidsavtaler. Det kan for eksempel være epost-programmer og/eller marketing automation-selskaper. Deres rolle er som "Processor", som håndterer data på ditt foretaks vegne. Dette skal brukere vite om, og det skal klargjøres i personvernerklæringen. 

3. Nye kontakter - hvordan skal de innlemmes?
Alle nye kontakter eller leads som kommer inn fra nettsiden eller andre kilder, skal gi aktivt samtykke. Det betyr at skjemaer ikke kan være forhåndsutfylt med "Ja, jeg ønsker å motta...". Du skal også kunne dokumentere når kontakten sa ja (eller nei). Det skal være veldig enkelt å avslutte abonnement på nyhetsbrev o.l. Dette medfører ingen store endringer fra tidligere, for de fleste selskaper har dette på stell, men forskjellen er at man selv skal hake av for "Ja, jeg ønsker å motta..." Med andre ord "automatikk - nei, takk".

4. Ny personvernerklæring - etter at kartlegging og prosesser er på plass
Personvernerklæringen må oppdateres. Det finnes mange eksempler fra andre selskaper man kan låne innhold fra. Det kan være en god idé å la en advokat se på erklæringen etter at den er skrevet, men det er absolutt ikke nødvendig å starte fra "scratch".

Det viktigste er å kartlegge hvilke data man prosesserer i dag (ref. punkt 1)  og deretter formidle hvordan man samler inn data og hva de brukes til. Det skal være lett å finne ut av hva slags informasjon som hentes inn fra f.eks. nettsiden din, slik at man kan ta et valg om det er greit eller ikke. De aller fleste nettsider bruker cookies for å samle informasjon fra f.eks. Google Analytics, men det skal gjøres helt tydelig at det skjer også hos dere. 

Det er en del andre punkter som skal være med i erklæringen som jeg ikke tar med her. Hovedformålet er imidlertid ganske enkelt: Du har fra nå av plikt til å oppgi hva du samler inn og hvorfor. De fleste B2B-selskaper har ikke sensitiv informasjon lagret; det er som oftest epost-adresse, selskapsnavn, navn på kontakten og telefonnummer. Du skal allikevel gjøre det tydelig hva du har av persondata og hvordan det brukes i markedsføring og kommunikasjon - og selvsagt sørge for at dataene slettes ved ønske. 

​Kontakt oss eventuelt dersom du trenger mer informasjon om hva som må være med i en personvernerklæring.

5. Start arbeidet, hvis du ikke allerede er i gang
Viktigst av alt: Det er mye bedre å ta tak i GDPR ved å gjøre kartlegging og utforme nye rutiner, og som resultat av dette revidere personvernerklæringen (eller skrive en, hvis den ikke finnes fra før) enn ikke å gjøre noen ting. Datatilsynet vet at det trengs tid for at dette er 100% i orden hos alle SMB-selskaper, men det vil uansett være en større synd å unnlate å forholde seg til GDPR enn å gyve løs og fomle litt i starten. Det kommer til å være mye informasjon om dette fremover, som gjør oss alle flinkere til både å forstå og ta i bruk alle fasetter av GDPR.