<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=117639612409760&amp;ev=PageView&amp;noscript=1">

Usikker på om du fortsatt kan sende ut nyhetsbrevene dine etter GDPR? Slik påvirker det din e-postmarkedsføring og her er våre anbefalinger.

Som bedriftsleder og markedsførere har vi kollektivt sendt ut nyhetsbrev til kundelister og kontakter i en årrekke. «Vi» fordi dette nettopp gjelder så og si alle norske bedrifter i dag (med mindre de har ligget under en stein i de siste tiårene). Dermed er det mange som nå undrer seg over hvordan den nye hverdagen vil bli. Du har hørt om noe GDPR-greier og kanskje til og med fått presentert noe av regelverket i en eller annen sammenheng. Problemet er bare at når du kommer på jobb dagen etter så venter din sedvanlige busy’e hverdag.

Så la oss først berolige deg her. Først og fremst skal det veldig mye til for at du må slette alle dine eksisterende lister og be om nye samtykker.

Når det er sagt så kommer de nye reglene til å påvirke oss alle, så la oss kort forklare litt om hva GDPR er og hva det vil bety spesifikt for deg som e-postmarkedsfører.

Les også: Komplett guide til å lage nyhetsbrev

GDPR: Du tvinges til å rydde

GDPR, eller General Data Protection Regulation, som forkortelsen egentlig står for er et nytt EU-regelverk som trer i kraft 25. mai i år som handler om personopplysninger og hvordan disse brukes i digital markedsføring. Regelverket betegnes som en forordning, noe som vil si at de nye reglene automatisk blir direkte gjeldende for alle EU-medlemsland og EØS-medlemsland. Det betyr at GDPR-forordningen blir gjeldende norsk lov i 2018.

Spesifikt for e-postmarkedsføring blir det fremover viktig å få en oversikt over listene dine. For let’s face it: «winter is coming», uansett om du vil det eller ei.

GDPR er egentlig gode nyheter for alle e-postmarkedsførere. Hvorfor? Fordi endringene og reguleringene faktisk heller vil hjelpe deg med å ta den ryddesjauen i listene dine og oppgraderingen som du burde gjort for en stund siden. Dette vil på sikt forbedre dine utsendelser ved at du etter oppryddingen har kvalitetssikrede kundelister, og slikt sett fremstår mer tillitsvekkende. Til tross for at store bøter brukes som skremselspropaganda er ønsket tross alt at loven skal forbedre tilliten til dagens digitale samfunn.

Hva gjør jeg med eksisterende lister?

Ok så det store spørsmålet blir: "Hva (i huleste) gjør jeg med mine eksisterende lister?" "Kan jeg bruke disse som før eller risikerer jeg å bli bøtelagt nå?". Det generelle svaret er at du sannsynligvis vil kunne operere tilnærmet likt som før.

Vurderingen du må ta blir et spørsmål om hvilket rettslig grunnlag (i GDPR-terminologi oftest kalt «gyldig behandlingsgrunnlag») din bedrift har for å ha disse listene med navn og e-postadresse (evt flere personopplysninger). Vi minner om at vi ikke er advokater eller juridiske eksperter, men vårt ønske med denne artikkelen er å gi deg den veiledning vi selv har jobbet frem for Make sin egen virksomhet. Viktige områder innenfor GDPR er fremdeles noe uklare. Er du i tvil om det du gjør vil være lovlig, anbefaler vi deg å ta kontakt med en advokat for å kartlegge tvilstilfellene for din virksomhet.

Legitime interesser vs. personvern

Det mest relevante gyldige behandlingsgrunnlaget for å unngå innhenting av samtykke er bestemmelsen om legitime interesser. Som bedrift med kundeforhold vil man alltid ha behov for å behandle personopplysninger for å oppfylle avtalen om å levere en vare eller tjeneste.1

Hvis du kan hevde at kontaktene på bakgrunn av et eksisterende eller tidligere kundeforhold ønsker å høre fra deg (legitime interesser), så vil du være innenfor GDPR-kravene. Dermed trenger du ikke å hente inn nytt samtykke. I Norge trenger du heller ikke samtykke for å maile om varer og tjenester der du har mottatt kundens elektroniske adresse i forbindelse med salg.2 Varigheten på et kundeforhold er fortsatt noe uklart. Her må du bruke skjønn. Abonnenten har uansett alltid mulighet til å melde seg av når som helst hvis de ikke lenger er interessert.

Sjekkliste for tilfeller der nytt samtykke ikke vil være nødvendig:

  • Hvis du kan, på bakgrunn av avsnittet over, argumentere for at du har en legitim interesse for å sende nyhetsbrev til kontaktene på dine lister.
  • Fylte kontakten ut et skjema med en «abonner her»-knapp da de meldte seg på? Hvis ja, så har de allerede blitt informert om at de vil motta nyhetsbrev på e-post, og de er da klar over at de vil motta disse nyhetsbrevene fra deg. Du plikter å oppfylle dette ønsket. Som utsender må du sørge for at mottakerne enkelt kan melde seg av tjenesten.
  • Dersom abonnenten har hatt muligheten til å melde seg av nyhetsbrevet i lengre tid, men ikke har gjort det, og du i tillegg kan dokumentere at størstedelen av kontaktbasen har åpnet nyhetbrevet (altså interagert med det), så vil du også kunne bruke dette som gyldig behandlingsgrunnlag for å sende nyhetsbrevet ved at interessen fra kontakten er tilstede.

Beroliget nå? Oppsummert så handler det om å skaffe seg den rettslige oversikten.


1 Dette er regulert under bestemmelsene om legitime interesser, i dagens markedsføringslov §15, personopplysningslov 8F - og GDPR 6 «legitime interesser».
2 Markedsføringsloven paragraf 15

For de aller fleste som ikke sender personaliserte e-poster og som i tillegg i årevis har hatt en avmelding-knapp i bunnen av nyhetsbrevet, vil du kunne fortsette å sende disse nyhetsbrevene som før.

Det er først når du sender personaliserte e-poster at forberedelsesprosessen blir litt mer omfattende for å møte kravene om GDPR-kompatibilitet.

Nye (tekniske) tiltak som må på plass:

Det som er sikkert, er at det med innføringen av GDPR-regelverket gir individer (altså forbrukeren) en del nye rettigheter. Her er noen av endringene du må legge til rette for. Hvis du er bruker av Make, har vi gjort denne jobben for deg.
For våre kunder passer vi i Make alltid på at den tekniske siden av nyhetsbrevet er innenfor gjeldende praksis, men også ved at kundene av oss må bekrefte å godta beste praksis for bruken av vårt nyhetsbrev. Denne bekreftelsen ser slik ut:

På den måten sørger vi for at gjeldende standard innen e-postmarkedsføring følges for å utelukke spam og misbruk av vår tjeneste. Dette gjelder også for import av e-postadresser.

La brukerne administrere sine data

SkjemaGDPR krever at forbrukeren får rett til informasjon og innsyn, rett til å bli slettet, rett til dataportabilitet og rett til å kreve begrensning. Tekniske funksjoner må på plass for å oppfylle disse kravene og et av dem er at du trenger et sted der kontaktene selv kan administrere sine data. Du trenger altså en portal for dine kontakter.

Her vil kontakten selv kunne administrere sine data (altså begrense tilgangen), de vil få innsyn i hva som er lagret om dem (rett til innsyn), de vil kunne eksportere dataen om seg (retten til dataportabilitet) og ha mulighet til å slette hele sitt kontaktkort (retten til sletting). Make sin portal er i tråd med GDPR-kravene for brukerrettigheter.

I Makes portal kan kontakter også slette hele sitt kontaktkort hos deg.

Sletting innebærer at kontakten fjerner all sin statistikk og historikk. Derfor vil kontakten, etter å ha klikke «slett meg», se et siste varsel sammen med en endelig bekreftelse før slettingen utføres.

Som en obligatorisk funksjon inkluderes det også en avmeldingslenke i alle nyhetsbrev send ut fra Make. Denne lenken lar kontakten reservere seg fra å motta mer informasjon fra deg.

Du må holde orden på godkjennelsene dine

Det som er viktig her er at når kunder krever begrensninger i behandling av personopplysninger, kan opplysningene i henhold til loven lagres, men de kan bare brukes til angitt begrensede formål.

For å unngå at noen får feil e-poster fra deg, har vi i Make laget et innebygget sikkert system i back-end’en for våre nyhetsbrev. Hvis en bruker for eksempel ikke lenger ønsker å være abonnent på et nyhetsbrev, beholder vi vedkommendes e-postadresse i vårt system slik at vi kan foreta en automatisk “vasking” av fremtidige opplastede lister. På denne måten unngår du enkelt å sende ut e-poster til individer som har bedt om å bli meldt av.

Hva krever GDPR for behandling av persondata?

Hva krever GDPR for behandling av persondata?

Det kan likevel hende at du bør innhente noen nye samtykker. Siden du fremdeles ikke har sluttet å lese denne artikkelen, er du kanskje litt i tvil om du bør det.

For å gjøre det enklest mulig for deg å innhente nytt samtykke, har vi i Make laget en e-postmal for dette. Kravet til samtykke etter GDPR er nesten det samme som vi har i dag, nemlig at et samtykke skal være uttrykkelig, frivillig og informert. Uttrykkelig betyr at et samtykke må være en aktiv handling fra personens side, man må aktivt si «ja takk». Informert betyr at det må være enkelt for meg å forstå hva jeg har sagt/sier ja til. Deretter er det frivillig - det skal være frivillig for meg å si ja.

Så hvem anbefaler vi at du sender ut denne samtykke-posten til?

  • De i kontaktbasen du ikke har legitim grunn til å sende e-poster til. Du må kunne argumentere for at ditt nyhetsbrev er i abonnentens interesse.
  • De i e-postlistene som er inaktive abonnenter. Ta en oppryddingen, luk ut disse eller send dem en samtykkepost. Hvis de ikke samtykker innen 25. mai, må de slettes (men de er jo uansett inaktive, så kanskje like greit?)

Hva annet omtales som beste praksis?

Lagre bare data du har fått tillatelse til å sitte på og som er nødvendig for å levere e-postmarkedsføringen din som en tjeneste. Ikke lagre informasjon du ikke vet hvorfor du lagrer - slett dette. Et viktig prinsipp i GDPR er at all informasjon skal være på minste nødvendige nivå. Altså kan du ikke lagre eller spørre om mer informasjon enn det du faktisk trenger for å oppfylle behovet til å levere.

Ha et system for sikker lagring av IP-adresser, tidspunkt for samtykke og navn. Det skal ikke kunne hackes, og blir du likevel det og informasjon kommer på avveie, plikter du å melde ifra om dette til de brukerne det gjelder innen 72 timer fra angrepet skjedde. Ikke bekymre deg, Make-portalen oppfyller kravene til trygg lagring.

Oppdater skjema

Oppdater skjema som følge av GDPROppdater alle dine abonnere på nyhetsbrev-skjema med en ekstra «ja takk»-samtykkeboks, som ikke er forhåndsutkrysset. Sørg for at du har et system som lagrer tidspunktet for når dette ble gjort.

Sørg for å ha på plass en personvernerklæring på nettsiden, som omtaler dine rutiner for behandling av persondata, kontaktinfo til behandlingsansvarlig og hva dataene skal brukes til. Denne skal være lett tilgjengelig for dine abonnenter. Slik kan den se ut hvis du bruker oss i Make:

(Ditt firmanavn) sender ut nyhetsbrev cirka 2-4 ganger per måned via e-post. For at vi skal kunne sende e-post må du registrere en e-postadresse. Make AS (www.make.as) er databehandler for nyhetsbrevet. E-postadressen lagres i en egen database, deles ikke med andre og slettes når du sier opp abonnementet. E-postadressen slettes også om vi får tilbakemelding om at den ikke er aktiv. Du kan velge å oppgi om du representerer en virksomhet, er privatperson, en journalist eller annet. Dette gjøres for at vi kun skal sende relevant informasjon.

Og du: Det kan hende noen av kontaktene dine vil bli slettet eller at du får noen avmeldinger som følge av GDPR. Men vit at jobben du nå må igjennom vil gagne deg på sikt. Pust ut. Du kommer deg helskinnet gjennom vinteren. I andre enden venter en ny og bedre vår.

New call-to-action