Slik overholder du GDPR i markedsføring

GDPR for markedsførere

Som markedsfører er det viktig å vite hva man kan, og ikke kan, gjøre med tanke på bruk og lagring av personopplysninger. Så hvordan får du maksimalt utbytte av dine markedsførings-aktiviteter samtidig som du overholder GDPR-reglene?

Hva er GDPR og hvorfor er det viktig for markedsførere?

GDPR står for General Data Protection Regulation og er en lov som regulerer behandlingen av personopplysninger i EU og EØS-området. Den ble innført for å beskytte personvernet til enkeltpersoner og sikre at deres personopplysninger blir behandlet på en trygg og ansvarlig måte. GDPR er spesielt viktig for oss som jobber med markedsføring, da vi ofte håndterer store mengder personopplysninger i forbindelse med markedsføringsaktiviteter.

GDPR-reglene krever blant annet at vi vurderer hvem vi kan rette oss mot i våre markedsførings-aktiviteter, hva slags personopplysninger vi kan hente inn, og hvordan vi behandler dem. For best mulig håndtering av kundedata er det viktig med et godt CRM-system. Les mer om hvorfor du bør bruke et CRM-system her.

Håndtering av personopplysninger

GDPR stiller strenge krav til hvordan markedsførere skal håndtere og lagre personopplysninger. Du må sikre at personopplysningene er beskyttet mot uautorisert tilgang, tap, ødeleggelse eller skade. Dette kan innebære å implementere passende tekniske og organisatoriske tiltak, som for eksempel å bruke kryptering, ha sikre passord og begrense tilgangen til personopplysningene.

Sensitive personopplysninger

GDPR skiller mellom vanlige personopplysninger og sensitive personopplysninger. Sensitive personopplysninger er opplysninger som omhandler etnisitet, politisk, religiøs eller filosofisk overbevisning, fagforeningsmedlemskap, genetiske data, helseopplysninger, seksuelle orientering ol.

Behandlingen av sensitive personopplysninger er underlagt strengere regler enn vanlige personopplysninger. Du må ha et lovlig grunnlag for å behandle sensitive personopplysninger, for eksempel at kunden har gitt sitt uttrykkelige samtykke eller at behandlingen er nødvendig for å oppfylle en kontrakt eller overholde en rettslig forpliktelse.

Pass på å være ekstra forsiktig når du behandler sensitive personopplysninger, og sørg for å ha tilstrekkelige sikkerhetstiltak på plass for å beskytte disse opplysningene.

Innhenting av personopplysninger

Når du henter in personopplysninger, via skjema på nettsiden el, er det viktig å vurdere hvilke opplysninger du trenger. Hva du ber om her, og hvorfor, skal dokumenteres. Som en hovedregel bør du be om så lite som mulig, og pass på å ikke be om sensitive personopplysninger, med mindre det er helt nødvendig. Hvor mye data du ber om bør også reflektere verdien av det bruker registrere seg for å få. Her samsvarer ofte GDPR-reglene med hva som vil gi en best mulig brukeropplevelse.

Eksempler:

  • Hvis bruker skal melde seg på et nyhetsbrev trenger du egentlig bare en mail-adresse. Hvis du legger til en rekke med andre felter som må fylles ut må du kunne dokumentere hvorfor du trenger disse dataene. I tillegg vil det være mer sannsynlig at flere registrere seg hvis du har færrest mulig felter.
  • Hvis bruker ber om en uforpliktende befaring trenger du kanskje også en adresse og tlf nr for å avtale nærmere.

Sletterutiner

Det er også viktig å vurdere hvor lenge det er hensiktsmessig å lagre personopplysningene. Som en hovedregel skal du ikke lagre disse lenger enn det som enten er lovpålagt, ved kjøp el, eller det som er fordelaktig for bruker. For de fleste vil det si at hvis en kontakt ikke lenger kan anses som en aktiv kunde bør alt, bortsett fra det som evt er lovpålagt å lagre, slettes.

Husk også at dersom du deler personopplysninger med tredjeparter, må du sikre at de også overholder GDPR-reglene og beskytter personopplysningene på en forsvarlig måte.

Hvem kan man markedsføre mot?

En av de viktigste tingene å ha orden på er hvem man kan markedsføre mot og hvordan man vurderer og dokumenterer dette. For å kunne markedsføre mot en kontakt må du ha et lovlig grunnlag for dette. Det kan du ha enten ved å ha et spesifikt samtykke, eller vise til legitim interesse.

Spesifikt samtykke

Hvis du bruker samtykke som grunnlag må du sikre at samtykket er aktivt, frivillig, spesifikt og informert. I praksis betyr dette at når du henter inn personopplysninger må du være tydelig på hvordan du vil bruke opplysningene og gi bruker en mulighet for selv å velge å melde seg på nyhetsbrev el. 

Ikke gjør dette:

  • Sjekkboks for å motta nyhetsbrev som er autoutfylt når bruker fyller ut et skjema på nettsiden. Bruker har  da ikke gjort et aktivt valg selv)
  • Vil du motta markedsføring fra oss? "ok", eller "nei takk". I dette tilfellet vil samtykket ikke være spesifikt, men generelt for all markedsføring.

Gjør heller dette:

  • Pass på at det blir valgfritt og aktivt: Hvis en bruker har registrert seg for noe eller tatt kontakt via nettsiden kan du følge opp med en mail og tipse om å registrere seg for nyhetsbrev. 
  • Pass på at det blir spesifikt og informert: Vil du motta nyhetsbrev fra oss med nyttige tips om digital markedsføring?

Legitim interesse

Et annet lovlig grunnlag for å vurdere om man kan markedsføre mot en kontakt er legitim interesse. Aktive kunder vil man for eksempel anse som ok å markedsføre mot fordi de vil ha legitim interesse. Da trenger man ikke et aktivt samtykke så lenge:

  • Det du skal markedsføre om samsvarer med det kundeforholdet dere har. Hvis din bedrift selger alt fra møbler til tannpaste må man vurdere hvor naturlig det er å markedsføre om tannpasta til de som har kjøpt møbler.
  • Det er gjort en vurdering, som er dokumentert, på hva man regner som en aktiv kunde. Hvis du selger biler er det naturlig at man regnes som en aktiv kunde lenger enn om du selger tyggis.
  • Det er enkelt å melde seg av kommunikasjonen i den kanalen du markedsfører via. For eksempel avmeldingslink nederst i nyhetsbrevet.

 

Kundenes rettigheter

GDPR gir kundene en rekke rettigheter når det gjelder deres personopplysninger. Dette inkluderer retten til å:

  • få tilgang til sine personopplysninger
  • korrigere unøyaktige opplysninger
  • bli glemt og få opplysningene slettet
  • begrense behandlingen av opplysningene
  • kunne ta med seg sine data til en annen aktør (dataportabilitet)
  • protestere mot behandlingen av opplysningene

Som markedsfører må du være klar over disse rettighetene og være i stand til å håndtere kundenes forespørsler. Du bør ha en prosedyre på plass for å svare på slike forespørsler og sikre at du gjør det innenfor de gitte tidsrammene. Du må også være klar over at kundene har rett til å klage til tilsynsmyndigheten dersom de mener at deres rettigheter ikke blir respektert.

Ved å respektere kundenes rettigheter og behandle deres personopplysninger i samsvar med GDPR-reglene, kan du bygge tillit med kundene dine og opprettholde et godt omdømme som markedsfører.

Kan vi hjelpe?

Et godt CRM-system er viktig for å få full kontroll på kundedata. Vi leverer Hubspot CRM som er enkel å tilpasse, og som gir gode muligheter for å automatisere og effektivisere behandlingen av kundedata. Ta kontakt så setter vi opp et uforpliktende møte for å se på hva HubSpot CRM kan bidra med til din bedrift.

 

Ina Svarstad blog-avatar

Ina Svarstad

Ina jobber som digital markedsfører hos Dikom og 6 års erfaring innen grafisk design og markedsføring. Bachelorgrad i visuell kommunikasjon fra Kunsthøyskolen i Oslo. Inbound Certification | GDPR i praksis | Markedsføring med epost etter GDPR | Avansert markedsføring på Facebook