GDPR – en guide for deg som sender nyhetsbrev

Benedikte Kluge

Du har sikkert fått med deg at det ble innført nye personvernregler i år. GDPR står for General Data Protection Regulation, og er et sett felles regler som skal gjelde likt i hele EU. I Norge trådte loven i kraft 20.juli 2018. Regelverket medfører en del innstramninger, men frykt ikke. Du kan trygt sende nyhetsbrev og annen e-postmarkedsføring.

Det er riktignok et par forhåndsregler du må ta i sammenheng med bruken av MailMojo, men vi skal forsøke å gi deg en oversikt over dem i denne posten.

Men først et lite forbehold fra oss: Vi er ikke juridiske eksperter. Vårt ønske med denne teksten er gi deg noen tips og hjelpe deg gjennom jungelen av informasjon. Vi konsentrerer først og fremst om bruken av MailMojo. For å få en fullstendig oversikt over hvordan din bedrift skal tilpasse seg GDPR, anbefaler vi å kontakte profesjonell juridisk rådgiver.

Litt om GDPR og hvorfor den kommer

GDPR er en forordning, altså et sett med regler som skal gjelde likt i hele EU. Gjennom sitt medlemskap i EØS forplikter Norge har seg til å følge dette. Dette innebærer at alle norske bedrifter må handle i overensstemmelse med GDPR-reguleringen. Lovverket gjelder i tillegg alle bedrifter som behandler personopplysninger om EU-borgere – uansett hvor i verden de holder til. I sammenheng med lovverket er norske borgere likestilte med EU-borgere.

GDPR skal gjøre det digitale landskapet tryggere for oss alle. Vi bruker digitale hjelpemidler til imponerende mange ting, og grensene mellom vårt virkelige og digitale liv viskes mer og mer ut. Dette gjør oss mer utsatte og sårbare som privatpersoner.

De nye reglene skal blant annet beskytte enkeltpersoner fra å “bli varen selv”. Altså at bedrifter selger informasjonen om deg til tredjepart for profitt – uten at du selv vet det. Hensikten med GDPR er å gi enkeltindividet større kontroll over hvilken informasjon en bedrift har om dem. De skal føle seg trygge på at bedriftene kun bruker og lagrer de dataene de som enkeltpersoner har samtykket til.

Hva er personopplysninger/-data?

Personopplysninger er en samlebetegnelse for informasjon om enkeltpersoner. Dette er for eksempel navn, adresse, andre personopplysninger som fødselsdato, e-post, IP-adresse og digitalt atferdsmønster. Generelt kan vi si at enhver opplysning som kan føre tilbake til en identifiserbar person, er en personopplysning eller persondata.

Hva har GDPR å si for din e-postmarkedsføring?

Gyldig behandlingsgrunnlag for persondata

En av de sentrale poengene i GDPR er å styrke individets rettigheter. Det forplikter deg til å være tydelig om abonnentenes rettigheter på en måte som er lett å forstå og lett å finne. Det stiller også større krav til åpenhet om innsamling, bruk og lagring av persondata (heretter databehandling) i din bedrift. Det krever dermed at rutinene du har for at behandlingen av abonnentens persondata, er i overensstemmelse med GDPR.

Når det gjelder e-postmarkedsføring, er det spesielt viktig å ha på plass noe som kalles gyldig behandlingsgrunnlag. Dette er det som gir deg rett til å bruke e-postadressen til markedsføring og innsamling av statistikk m.m. om abonnentene.

De mest aktuelle behandlingsgrunnlagene for deg vil nok være legitim interesse eller samtykke.

1. Legitim interesse

GDPR sier at du kan hevde at databehandlingen i forbindelse med direkte markedsføring er legitim interesse, og at du derfor ikke trenger å hente inn samtykke. Det er likevel viktig at du kan argumentere hvorfor ditt nyhetsbrev også er abonnentens interesse, i tillegg til at du må gi abonnenten enkelt og tydelig informasjon om hvordan de kan melde seg av.

2. Samtykke

Et samtykke er når abonnenten frivillig, informert og uttrykkelig sier ja til at du kan samle, bruke og oppbevare persondata om dem for et spesifikt formål. Det mest relevante eksemplet er at de oppgir e-postadressen sin for å motta nyhetsbrev.

Gjennom et aktivt samtykke bygger du tillit mellom deg og abonnenten, og forsikrer deg om at de som mottar nyhetsbrevet ditt, er interesserte i det du har å si.

Merk: For at et samtykke skal være lovlig, er det ikke greit å ha ferdig utfylte bokser eller på andre måter dulte brukeren til å takke ja. Det gjelder både utforming og visuelle hjelpemidler, som grønn for ja og rød for nei.

Hva med e-postlistene bedriften har i dag?

Du skal veldig mye til for at du må slette alle eksisterende lister og be om nytt samtykke.

Men du har en jobb å gjøre. I forbindelse med din egen forberedelse til GDPR, trenger du å tenke litt tilbake på hvordan adressene i e-postlisten er blitt samlet inn. Forsøk å skaffe deg oversikt over hvor abonnentene kom fra, og gjør en ærlig evaluering: Hører de hjemme på listen din? For å være i tråd med GDPR må du ha gjort deg en vurdering om hvorfor du skal beholde abonnentene på listen. GDPR sier at du må kunne begrunne dine vurderinger og dokumentere hvilke tiltak du har gjort som følge av disse vurderingene.

Ettersom GDPR vil påvirke bedriftene ulikt, kan vi bare snakke generelt. 

Men her er det et par viktige ting å merke seg:

  • Alle abonnenter som selv har meldt seg på via MailMojos påmeldingsskjema er i tråd med GDPR, fordi slik påmelding oppfyller kravene til samtykke.
  • Hvis adressen i første omgang er hentet inn ved bruk av søkerobot, fra lister du har fått, lånt eller kjøpt av tredjepart eller selv har hentet fra nettet, er bruk av disse adressene – som det alltid har vært – i strid med vår antispam-policy, som du som MailMojo-kunde har godtatt.
  • Har du importert lister fra andre systemer, gå igjennom dem og fjern inaktive abonnenter. Undersøk om du har abonnenter på listen som ikke har åpnet nyhetsbrevene på en god stund, og fjern dem. Dette betyr kanskje kortere lister, men med mye bedre kvalitet. I MailMojo har vi utviklet et verktøy som hjelper deg med dette.
  • Dersom abonnenten har interagert med nyhetsbrevet ditt over lenger tid, kan du legge til grunn at det finnes et gyldig behandlingsgrunnlag. Avhengig av måten adressen ble hentet inn på vil det enten være legitim interesse eller samtykke.
  • Det er ikke fastsatt noen nedre eller øvre grense for hvor lenge et samtykke varer. Bruk skjønn. Abonnenten har dessuten anledning til å melde seg av når som helst.
  • Hvis adressene er blitt samlet inn for et formål, f.eks. informere om et arrangement, og arrangementet er over, kan du i fremtiden ikke uten videre fortsette å bruke denne listen til å sende reklame. Dersom du skal bruke personopplysningene fra e-postlistene dine på en ny måte, må du be om fornyet samtykke. Lag deg en rutine.

Noen vil melde seg av

Abonnentene dine har sikkert også fått med seg at GDPR står for døren. Som et tips du kan vurdere for å rydde litt ekstra i listene, og sende en e-post til eksisterende abonnenter der du gir dem muligheten til å ta stilling til om de vil fortsette som å motta e-poster fra deg. Det kan hende at du får noen avmeldinger. Men til gjengjeld vet du at de som blir med videre, virkelig er interesserte abonnenter – og det er potensielt bedre butikk.

Vi i MailMojo har utviklet en enkel mal som du kan tilpasse og bruke til en slik utsendelse, om du vil. Du finner den i mal-oversikten, under kategorien GDPR.

Gjelder de samme reglene for B2B?

Selv om dagens markedsføringslover skiller mellom privat og profesjonell korrespondanse, vil GDPR gjelde alle e-postadresser som inneholder personlig informasjon. Det gjelder også eksempler som janne.haugen@bedrift.no eller jh@butikk.no. Det spiller ingen rolle at det bare dreier seg om kontakt i profesjonell sammenheng. 

Når det gjelder upersonlige e-postadresser, som post@bedrift.no, tillater ikke MailMojo å sende til slike, i tråd med vår antispam-policy.

Summa summarum er det tryggest å gå ut fra at GDPR også gjelder for business to business på alle punkter. Dette med mindre du selv får annen informasjon spesielt for din bedrift fra egne advokater på god kompetanse på GDPR.

Gratis sjekkliste for e-postmarkedsføring

18 ting du bør sjekke før du sender for å sikre en optimal e‑postkampanje

Hva er ellers viktig å merke seg?

Slutt på automatisk oppføring i e-postlister

Et godt prinsipp for e-postmarkedsføring, som vi i MailMojo praktiserer med vår antispam-policy, er å henvende seg til folk som allerede har meldt sin interesse.

Men du kan ikke lenger kombinere samtykker, dvs. bruke bare én avkryssingsboks for å godkjenne flere handlinger. Et godt eksempel på noe som ikke er lovlig er å be kunden krysse av for å motta e-post og SMS samtidig.

Det er heller ikke lov å automatisk føre opp folk som abonnenter lenger. Om du for eksempel tilbyr gratis innhold til nedlasting eller kjører en konkurranse, må du passe på at du har en separat avkrysningsboks for nyhetsbrevet, slik at samtykket blir aktivt.

Bare be om relevant informasjon

Du kan ikke lenger be om flere opplysninger enn det som regnes for absolutt nødvendig for å gjennomføre transaksjonen eller tjenesten du leverer. I MailMojos påmeldingsskjema er det kun lagt opp til å be om det rent nødvendige, men dersom du likevel samler inn mer data, må du være tydelig overfor abonnenter på hvorfor du ber om denne informasjonen, og hva den skal brukes til.

Datainnsyn, endring og sletting av lagrede data

Et prinsipp i GDPR er at abonnenten enkelt og kostnadsfritt skal kunne trekke tilbake samtykke til enhver. I alle MailMojos maler ligger det en fast avmeldingslenke, som gir abonnenten mulighet til å melde seg av e-postlisten og i praksis trekke samtykket om å motta e-poster fra deg. 

Abonnenten har også rett til å forlange å få innsyn i hvilke persondata bedriften din lagrer, og når du fikk tillatelse til det. Dette kravet berører bare delvis MailMojo. Det er jobben du må gjøre med å samle og vurdere lagret data som beskrevet i kjøreplanen under.

Til sist kan abonnenten kreve at alle dataene om dem selv, blir slettet. Vi i MailMojo jobber med å utvikle funksjonalitet som kan hjelpe deg å oppfylle dette kravet på en god måte.

Puh.

Dette var mye informasjon. Men her er en oppsummering i form av en kjøreplan, som vi håper er nyttig for deg.

Kjøreplan:

  1. Samle og gå gjennom e-postlistene dine. Luk ut inaktive abonnenter. Pass på at alle nye abonnenter aktivt samtykker til databehandlingen knyttet til MailMojo. Se at de eksplisitt takker ja til å motta informasjon på e-post fra deg.
  2. Finn ut hvilke personopplysninger bedriften behandler knyttet til MailMojo. Pass på at du bare lagrer opplysninger som er helt nødvendige for e-postmarkedsføringen din. Hvis du ikke vet hvorfor du tar vare på informasjon, slett den!
  3. Alle data du har fått tillatelse til å lagre, skal lagres sikkert. MailMojo oppfyller kravene til trygg lagring. Dersom du henter ut informasjon fra systemet, for eksempel laster ned lister, må du selv sørge for sikker lagring.
  4. Oppdatér alle sider der du i dag legger nye abonnenter automatisk til listene dine (f.eks. gratis innhold eller konkurranser). Sørg for at de har mulighet til å aktivt krysse av for å motta nyhetsbrev fra deg.
  5. Pass på å informeree om hva oppgitte data skal brukes til, alle steder du samler inn e-postadresser til listene dine.
  6. Sørg for at du har tydelig informasjon om rutiner og rettigheter for persondata og kontaktinformasjon til behandlingsansvarlig lett tilgjengelig for abonnentene. MailMojo har funksjonalitet som sletter en abonnent, men noen i bedriften skal ha ansvaret for at informasjonen slettes over alt.  

Hva gjør vi i MailMojo for å hjelpe deg?

For å hjelpe deg med stegene til å oppfylle GDPR, har vi pønsket ut en del funksjonalitet:

  • Mer detaljert info om samtykketidspunkt og -kilde for abonnenter
  • Enklere opprydding av gamle og inaktive abonnenter
  • Anonymisering av persondata for statistikk ved sletting av abonnenter
  • Veiledninger for påmeldingsskjemaer

Vi er også klare til å hjelpe deg med spørsmål om dette – eller andre ting – i kundeservicesenteret.