Du har sikkert fått med deg at nye personvernregler står på trappene. GDPR står for General Data Protection Regulation, og er et sett felles regler som skal gjelde likt i hele EU. Dette trer i kraft 25. mai i år, og regelverket medfører en del innstramninger. Oppdatering: Innførsel i Norge er utsatt til tidligst 1. juli 2018.

Men frykt ikke. Du kan trygt fortsette med nyhetsbrev og annen e-postmarkedsføring.

Det er riktignok et par forhåndsregler du må ta i sammenheng med bruken av MailMojo, men vi skal forsøke å gi deg en oversikt over dem i denne posten.

Men først et lite forbehold fra oss: Vi er ikke juridiske eksperter. Vi arbeider for tiden selv for å oppfylle kravene i GDPR. Vårt ønske med denne teksten er gi deg noen tips og hjelpe deg gjennom jungelen av informasjon. Vi konsentrerer først og fremst om bruken av MailMojo. For å få en fullstendig oversikt over hvordan din bedrift skal tilpasse seg GDPR, anbefaler vi å kontakte profesjonell juridisk rådgiver.

Litt om GDPR og hvorfor den kommer

GDPR er en forordning, altså et sett med regler som skal gjelde likt i hele EU, og som Norge har forpliktet seg til å følge gjennom sitt medlemskap i EØS. Dette innebærer at alle norske bedrifter må handle i overensstemmelse med GDPR-reguleringen, men lovverket gjelder også alle bedrifter som behandler personopplysninger om EU-borgere – uansett hvor i verden de holder til. I sammenheng med lovverket er norske borgere likestilte med EU-borgere.

GDPR skal gjøre det digitale landskapet tryggere for oss alle. Vi bruker digitale hjelpemidler til imponerende mange ting, og grensene mellom vårt virkelige og digitale liv viskes mer og mer ut. Dette gjør oss mer utsatte og sårbare som privatpersoner.

De nye reglene skal blant annet beskytte enkeltpersoner fra å “bli varen selv”, altså at bedrifter selger informasjonen om deg til tredjepart for profitt – uten at du selv vet det. Hensikten med GDPR er å gi enkeltindividet større kontroll over hvilken informasjon en bedrift har om dem, og føle seg trygge på at bedriftene kun bruker og lagrer de dataene de som enkeltpersoner har samtykket til.

Hva er personopplysninger/-data?

Personopplysninger er en samlebetegnelse for informasjon om enkeltpersoner som for eksempel navn, adresse, andre personopplysninger som fødselsdato, e-post, IP-adresse og digitalt atferdsmønster. Generelt kan vi si at enhver opplysning som kan føre tilbake til en identifiserbar person, er en personopplysning eller persondata.

Hva har GDPR å si for din e-postmarkedsføring?

Gyldig behandlingsgrunnlag for persondata

En av de sentrale poengene i GDPR er å styrke individets rettigheter. Det forplikter deg til å være tydelig om abonnentenes rettigheter på en måte som er lett å forstå og lett å finne. Det stiller også større krav til åpenhet om innsamling, bruk og lagring av persondata (heretter databehandling) i din bedrift. Det krever dermed at rutinene du har for at behandlingen av abonnentens persondata, er i overensstemmelse med GDPR.

Når det gjelder e-postmarkedsføring, er det spesielt viktig å ha på plass noe som kalles gyldig behandlingsgrunnlag, altså noe som gir deg rett til å bruke e-postadresse til markedsføring og samle inn statistikk m.m. om abonnentene.

De mest aktuelle behandlingsgrunnlagene for deg vil nok være legitim interesse eller samtykke.

  1. Legitim interesse

GDPR sier at du kan hevde at databehandlingen i forbindelse med direkte markedsføring er legitim interesse, og at du derfor ikke trenger å hente inn samtykke. Det er likevel viktig at du kan argumentere hvorfor ditt nyhetsbrev også er abonnentens interesse, i tillegg til at du må gi abonnenten enkelt og tydelig informasjon om hvordan de kan melde seg av.

  1. Samtykke

Et samtykke er når abonnenten frivillig, informert og uttrykkelig sier ja til at du kan samle, bruke og oppbevare persondata om dem for et spesifikt formål. Det mest relevante eksemplet er at de oppgir e-postadressen sin for å motta nyhetsbrev.

Gjennom et aktivt samtykke bygger du tillit mellom deg og abonnenten, og forsikrer deg om at de som mottar nyhetsbrevet ditt, er interesserte i det du har å si.

Merk: For at et samtykke skal være lovlig, er det ikke greit å ha ferdig utfylte bokser eller på andre måter dulte brukeren til å takke ja. Det gjelder både utforming og visuelle hjelpemidler, som grønn for ja og rød for nei.

Hva med e-postlistene bedriften har i dag?

Du skal veldig mye til for at du må slette alle eksisterende lister og be om nytt samtykke.

Men du har en jobb å gjøre. I forbindelse med din egen forberedelse til GDPR, trenger du å tenke litt tilbake på hvordan adressene i e-postlisten er blitt samlet inn. Forsøk å skaffe deg oversikt over hvor abonnentene kom fra, og gjør en ærlig evaluering: Hører de hjemme på listen din? For å være i tråd med GDPR må du ha gjort deg en vurdering om hvorfor du skal beholde abonnentene på listen. GDPR sier at du må kunne begrunne dine vurderinger og dokumentere hvilke tiltak du har gjort som følge av disse vurderingene.

Ettersom GDPR vil påvirke bedriftene ulikt, kan vi bare snakke generelt, men her er det et par viktige ting å merke seg:

  • Alle abonnenter som selv har meldt seg på via MailMojos påmeldingsskjema er i tråd med GDPR, fordi slik påmelding oppfyller kravene til samtykke.
  • Hvis adressen i første omgang er hentet inn ved bruk av søkerobot, fra lister du har fått, lånt eller kjøpt av tredjepart eller selv har hentet fra nettet, er bruk av disse adressene – som det alltid har vært – i strid med vår antispam-policy, som du som MailMojo-kunde har godtatt.
  • Har du importert lister fra andre systemer, gå igjennom dem og fjern inaktive abonnenter. Undersøk om du har abonnenter på listen som ikke har åpnet nyhetsbrevene på en god stund, og fjern dem. Dette betyr kanskje kortere lister, men med mye bedre kvalitet. Vi jobber med et verktøy som skal hjelpe deg med dette.
  • Dersom abonnenten har interagert med nyhetsbrevet ditt over lenger tid, kan du legge til grunn at det finnes et gyldig behandlingsgrunnlag. Avhengig av måten adressen ble hentet inn på vil det enten være legitim interesse eller samtykke.
  • Det er ikke fastsatt noen nedre eller øvre grense for hvor lenge et samtykke varer. Bruk skjønn. Abonnenten har dessuten anledning til å melde seg av når som helst.
  • Hvis adressene er blitt samlet inn for et formål, f.eks. informere om et arrangement, og arrangementet er over, kan du i fremtiden ikke uten videre fortsette å bruke denne listen til å sende reklame. Dersom du skal bruke personopplysningene fra e-postlistene dine på en ny måte, må du be om fornyet samtykke. Lag deg en rutine.

Abonnentene dine har sikkert også fått med seg at GDPR står for døren. Som et tips du kan vurdere for å rydde litt ekstra i listene, og sende en e-post til eksisterende abonnenter der du gir dem muligheten til å ta stilling til om de vil fortsette som å motta e-poster fra deg. Det kan hende at du får noen avmeldinger, men til gjengjeld vet du at de som blir med videre, virkelig er interesserte abonnenter – og det er potensielt bedre butikk.

Vi i MailMojo kommer til å utvikle en enkel mal som du kan tilpasse og bruke til en slik utsendelse, om du vil. Den vil dukke opp i mal-oversikten i løpet av dagen, under kategorien GDPR.

Gjelder de samme reglene for B2B?

Selv om dagens markedsføringslover skiller mellom privat og profesjonell korrespondanse, vil GDPR gjelde alle e-postadresser som inneholder personlig informasjon, som for eksempel janne.haugen@bedrift.no eller jh@butikk.no. Det spiller ingen rolle at det bare dreier seg om kontakt i profesjonell sammenheng. 

Når det gjelder upersonlige e-postadresser, som post@bedrift.no, tillater ikke MailMojo å sende til slike, i tråd med vår antispam-policy.

Summa summarum er det tryggest å gå ut fra at GDPR også gjelder for business to business på alle punkter, med mindre du selv får annen informasjon spesielt for din bedrift fra egne advokater på god kompetanse på GDPR.

Hva er ellers viktig å merke seg?

Slutt på automatisk oppføring i e-postlister.

Et godt prinsipp for e-postmarkedsføring, som vi i MailMojo praktiserer med vår antispam-policy, er å henvende seg til folk som allerede har meldt sin interesse.

Men du kan ikke lenger kombinere samtykker, dvs. bruke bare én avkryssingsboks for å godkjenne flere handlinger. Et godt eksempel på noe som ikke er lovlig er å be kunden krysse av for å motta e-post og SMS samtidig.

Det er heller ikke lov å automatisk føre opp folk som abonnenter lenger. Om du for eksempel tilbyr gratis innhold til nedlasting eller kjører en konkurranse, må du passe på at du har en separat avkrysningsboks for nyhetsbrevet, slik at samtykket blir aktivt.

Bare be om relevant informasjon

Du kan ikke lenger be om flere opplysninger enn det som regnes for absolutt nødvendig for å gjennomføre transaksjonen eller tjenesten du leverer. I MailMojos påmeldingsskjema er det kun lagt opp til å be om det rent nødvendige, men dersom du likevel samler inn mer data, må du være tydelig overfor abonnenter på hvorfor du ber om denne informasjonen, og hva den skal brukes til.

Datainnsyn, endring og sletting av lagrede data

Et prinsipp i GDPR er at abonnenten enkelt og kostnadsfritt skal kunne trekke tilbake samtykke til enhver. I alle MailMojos maler ligger det en fast avmeldingslenke, som gir abonnenten mulighet til å melde seg av e-postlisten og i praksis trekke samtykket om å motta e-poster fra deg. 

Abonnenten har også rett til å forlange å få innsyn i hvilke persondata bedriften din lagrer, og når du fikk tillatelse til det. Dette kravet berører bare delvis MailMojo, og er den jobben du må gjøre med å samle og vurdere lagret data som beskrevet i kjøreplanen under.

Til sist kan abonnenten kreve at alle dataene om dem selv, blir slettet. Vi i MailMojo jobber med å utvikle funksjonalitet som kan hjelpe deg å oppfylle dette kravet på en god måte.

Puh.

Dette var mye informasjon, men her er en oppsummering i form av en kjøreplan, som vi håper er nyttig for deg.

Kjøreplan for forberedelse:

  1. Samle og gå gjennom e-postlistene dine. Luk ut inaktive abonnenter. Pass på at alle nye abonnenter aktivt samtykker til databehandlingen knyttet til MailMojo, og eksplisitt takker ja til å motta informasjon på e-post fra deg.
  2. Finn ut hvilke personopplysninger bedriften behandler knyttet til MailMojo. Pass på at du bare lagrer opplysninger som er helt nødvendige for e-postmarkedsføringen din. Hvis du ikke vet hvorfor du tar vare på informasjon, slett den!
  3. Alle data du har fått tillatelse til å lagre, skal lagres sikkert. MailMojo oppfyller kravene til trygg lagring. Dersom du henter ut informasjon fra systemet, for eksempel laster ned lister, må du selv sørge for sikker lagring.
  4. Oppdatér alle sider der du i dag legger nye abonnenter automatisk til listene dine (f.eks. gratis innhold eller konkurranser), og sørg for at de har mulighet til å aktivt krysse av for å motta nyhetsbrev fra deg.
  5. Pass på at du legger inn informasjon om hva dataene som oppgis skal brukes til alle steder du samler inn e-postadresser til listene dine, i alle fall innen 25.mai.
  6. Sørg for at du har tydelig informasjon om rutiner og rettigheter for persondata og kontaktinformasjon til behandlingsansvarlig lett tilgjengelig for abonnentene. For eksempel er det slik at MailMojo har funksjonalitet som sletter en abonnent, men noen i bedriften skal ha ansvaret for se til at informasjonen slettes over alt.  

Hva gjør vi i MailMojo for å hjelpe deg?

For å hjelpe deg med stegene til å oppfylle GDPR, har vi pønsket ut en del funksjonalitet som vi utvikler og lanserer fortløpende frem til 25.mai.

  • Mer detaljert info om samtykketidspunkt og -kilde for abonnenter
  • Enklere opprydding av gamle og inaktive abonnenter
  • Anonymisering av persondata for statistikk ved sletting av abonnenter
  • Veiledninger for påmeldingsskjemaer

Vi kommer til å komme med mer detaljert oppdatering etterhvert som funksjonaliteten rulles ut. Følg med!