Hvad betyder GDPR for marketing?

Hvad betyder EU's persondataforordning – GDPR – egentlig for marketing i B2B-virksomheder? Her får du Publicos research – råt for usødet.

Hvis du kun skal læse to sætninger om GDPR's betydning for marketing, så kunne det godt være følgende: Spørg om lov, indhent, opbevar og brug kun det, der er nødvendigt for at kunne give dine interessenter en god oplevelse. Og dokumentér, hvordan du gør det.

Hvis du tænker "der må være mere i det end det", har du ret. Læs med her om, det du skal vide om EU's persondataforordning.

En stensikker måde at skræmme enhver læser væk er ved at indlede sin artikel med et forbehold. Det prøver jeg lige – jeg håber, du alligevel bliver hængende:


Ingen af os i Publico er jurister, og nedenstående ikke er en facitliste, men et foreløbigt resultat af Publicos research og erfaringer. Persondataforordningen er forfattet af jurister, der ikke nødvendigvis tænker meget på marketing, og hvad de opdaterede regler reelt betyder for vores område, er derfor i nogen grad uklart. Her må vi vente og se, hvordan der bliver dømt i eventuelle sager efter 25. maj.  


Er du her stadig? Fedt!

GDPR

EU's opdaterede persondataforordning – eller GDPR (General Data Protection Regulation) – "truer" i horisonten og giver lige nu virksomheder og organisationer i hele – ja, EU – sved på panden. Med god grund, for der er rigtig mange ting at forholde sig til og mange processer at ændre. Men for sådan en som dig, som har med marketing at gøre, er det faktisk en god ting – en kærkommen understregning af, at det er bedst at opføre sig ordentligt. 

Ja, der er en del arbejde at gøre – også i marketing-afdelingen – frem til 25. maj 2018, hvor forordningen træder i kraft, men hvis du allerede er en flink content marketer eller måske er gået all in på inbound marketing, så er opgaven slet ikke så uoverkommelig. Så er du nemlig helt på det rene med, at du skal spørge om lov og levere værdi.

 

 Hent e-bogen om inbound marketing lige her

 

Lad os lige først få rammen på plads

HVEM gælder GDPR for?

GDPR gælder for "enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for." (Datatilsynet) Oversat betyder det, at hvis du som virksomhed på nogen som helst måde sender, opbevarer eller håndterer en e-mailadresse, et telefonnummer eller et navn, så skal retningslinjerne i GDPR overholdes. Så... det gælder for alle.

HVAD er persondata?

Persondata er ikke blot personfølsomme data som cpr-nummer, religiøsitet eller seksuelle præferencer. Persondata kategoriseres af Datatilsynet som "enhver form for information om en identificeret eller identificerbar fysisk person." Det gælder altså også billeder, telefonnumre, e-mailadresser, ip-adresser og endda krypterede oplysninger.

HVORFOR skal jeg bekymre mig om det?

Formålet med stramningen af persondataforordningen er dels at ensarte databeskyttelsesreglerne på tværs af EU og dels at give individer bedre kontrol over deres personlige data. 

Rigtig meget af den kommende persondataforordning gælder faktisk allerede i dag i dansk markedsføringslov. Det helt afgørende nye – og grunden til svedperlerne i hele EU's erhvervsliv – er, at reglerne fra maj i år bliver håndhævet med bødestørrelser, som ingen har råd til at ignorere. Bøder på op til 4 pct. af en virksomheds globale omsætning eller 20 millioner Euro kan blive langet ud til de, der fortsætter en skødesløs omgang med persondata.

4 principper og 3 fokusområder

GDPR kan koges ned til fire principper for marketingafdelingen:

  1. Nødvendighed: Indhent, brug og opbevar kun de oplysninger, der er nødvendige for at opfylde et legitimt formål (marketing er et legitimt formål).
  2. Information: Informer helt præcist om, hvad du indhenter, og til hvad du vil bruge det.
  3. Sikkerhed: Persondata skal opbevares og behandles sikkert, og kun de nødvendige personer skal have adgang til dem.
  4. Transparens: Vær klar til at udlevere, flytte eller slette en persons data, hvis denne måtte ønske det.

De principper kan du tage med dig, når du går i gang med følgende tre fokusområder, hvor marketingafdelingen bør koncentrere sin indsats: Indsamling, håndtering og dokumentation.

1. Indsamling af persondata

Fx i form rekruttering af abonnenter til nyhedsbreve og lead-generering.

Informeret samtykke er den absolut vigtigste huskeregel i forhold til indsamling af persondata. Og det er der jo ikke noget nyt i. Det har altid været lovpligtigt at indhente samtykke for at kunne markedsføre sig elektronisk fx via nyhedsbreve. Men da konsekvenserne for ikke at overholde reglerne hidtil har været ret beskedne, så har alt for mange set stort på det informerede samtykke og lystigt indlæst hele kontaktdatabasen eller kundekartoteket på nyhedsbrev-listen. Eller endnu værre – købt adresser, som de aldrig har haft kontakt med.

Pause...sug luft ind

KØB ALDRIG LISTER OG SEND IKKE TIL ADRESSER, SOM DU IKKE UDTRYKKELIGT HAR SPURGT OM LOV!

Det nye er, at der er ret mange krav til, hvad der skal informeres om i forbindelse med samtykket. Kort fortalt handler det om hvad, hvorfor og hvor længe du indsamler persondata, hvordan du håndterer og opbevarer data, og hvilke rettigheder den registrerede har i forhold til de indsamlede oplysninger.

Her en omfattende, men ikke nødvendigvis udtømmende liste over, hvad du skal oplyse, når du indsamler persondata:

  • hvad du indsamler
  • hvorfor du indsamler dette
  • hvor længe du opbevarer data
  • hvem har adgang til data
  • om det videregives til tredjepart
  • at man altid kan afmelde sig
  • om retten til at fortryde samtykke
  • om retten til at flytte data
  • om retten til at blive glemt
  • om retten til at få data udleveret
  • om retten til at få data til gennemsyn
  • om retten til at klage

Det er rigtig meget information at putte ind i en formular eller i den ellers lækkert designede landing page, og det gør intet godt for konverteringsraten – er mit gæt...

Der er ingen, der ved præcist hvordan reglerne vil blive håndhævet, og persondataforordningen er ikke formuleret med lead-generering og gode konverteringsrater for øje. Men Publicos tolkning er – indtil vi ved bedre – at det vil være ok at formulere en kortere disclaimer i forbindelse med formularer og i den linke videre ind til en egentlig samtykkeerklæring, hvor informationen uddybes.

Informeret samtykke

 

 

2. Opbevaring og håndtering af persondata

Er din abonnentliste et Excel-ark, der ligger lokalt i flere versioner på et par computere. Eller håndteres dine data af en udenlandsk service som fx MailChimp eller CampaignMonitor?

Du må kun opbevare persondata, som du har fået via informeret samtykke, og som rent faktisk er nødvendige for at kunne opfylde det formål, du fik samtykke til. Og du må kun opbevare data så længe, du har brug for det. Du må i øvrigt også kun bruge data til det, som du fik lov til i samtykket. Hvis du finder på nye måder at benytte dit leads oplysninger på, skal du spørge om lov igen.

Det betyder også, at du nu skal i gang med at gennemgå gamle mapper for lister, som du ikke længere bruger. Og dem du bruger, skal du samle et sted, hvor kun de nødvendige har adgang til dem. Hvis du i lang tid har været struktureret med et CRM-system eller email marketing-software, hvor alle dine marketing-kontakter gemmes, kan du spare en del tid på denne oprydning. Så består opgaven i at slette dem, du ikke har samtykke fra samt dem, som du ikke længere bruger. Slet alle inaktive kontakter, og gør det gerne en gang om året.

Men inden da kan du benytte anledningen til at genaktivere nogle af de "sovende" leads med gode lead-kampagner.

Indhent databehandleraftaler

Hvis du benytter tredjeparts-software som fx Hubspot, CampaignMonitor eller MailChimp til markedsføring, skal du desuden være bevidst om rollefordelingen, som den nye forordning tager ret alvorligt.

Du er – som den der indsamler persondata – den dataansvarlige. Sender du data videre til tredjepart som fx en af ovennævnte tjenester, opfattes disse som databehandlere. Da du er den ansvarlige, er det dig, der skal dokumentere, at behandlerne overholder loven. Langt de fleste af de store software-udbydere har udarbejdet databehandleraftaler, som du kan få tilsendt fra dem. Databehandleraftalerne er databehandlernes garanti for, at de overholder GDPR. Se fx MailChimps databehandleraftale (Data Processor Addemdum) her.

databehandleraftaleDu er dataansvarlig, når du sender persondata videre til tredjepart

Skærmbillede 2018-02-06 15.40.25Du skal kunne dokumentere, at behandlingen af persondata følger reglerne

 

3. Dokumentation for korrekt håndtering

Hvor og hvad gemmer du, hvem har adgang, er det sikkert, hvor længe gemmer du?

Det kræver et omfattende dokumentationsarbejde at leve op til GDPR. Opret et dokument, hvori du i detaljer beskriver:

  • alle databehandlere og kilder til persondata
  • hvordan du sikrer, at databehandlere overholder GDPR (henvis til databehandleraftaler)
  • hvilke tiltag og processer du har sat i værk for at leve op til de nye regler
  • hvilke processer du har klar for at imødekomme fx anmodning om sletning mv.
  • hvor lang tid du opbevarer data – og hvordan du sletter, flytter og udleverer dem
  • dit beredskab i tilfælde af sikkerhedsbrud

Der findes ikke præcise retningslinjer for, hvad denne dokumentation skal indeholde, men du vil være et godt stykke vej, hvis du kaster dig over disse punkter. Dokumentet kan du putte i en skuffe, indtil den dag, hvor Datatilsynet kommer forbi og spørger, hvad du har gang i.

It-sikkerhedekspert i Bdr. A&O Johansen, Henning Mortensen, har udarbejdet et omfattende Excel-ark, der hjælper virksomheder med at blive klar til GDPR. Arket er ikke specifikt henvendt til marketing, men mange af punkterne fungerer som en god guide til at komme rundt om de nødvendige overvejelser. Hent guiden her.

Du kan også læse Datatilsynets egne vejledninger til den kommende persondataforordning her.


Forpustet? Her er en huskeliste 

Ja, der er pænt meget at forholde sig til – også mere, end jeg har valgt at tage med her. Og det bliver ikke mindre uoverskueligt af, at der ikke findes en udtømmende liste over to do's for marketingafdelingen. I mangel af bedre får du her Publicos huskeliste til vejen mod GDPR compliance, som det så fint hedder:

  • Kortlæg alle kilder til persondata – software, lister i indbakken, lister i mapper, etc.
  • Indhent databehandleraftaler for alle relevante
  • Ryd op i lister/arkiver – kør evt. lead-kampagne for at genaktivere "sovende" leads
  • Indhent evt. nyt samtykke
  • Slet inaktive, unødvendige og dem uden samtykke
  • Udarbejd landing page med samtykkeerklæring/datapolitk
  • Gennemgå formularer og indsæt samtykke-tekst + link
  • Beskriv proces for behandling af kontaktoplysninger i detaljer til Datatilsynet – nu og fremadrettet (Protection by design).

 

Content marketing for konsulenter

Content marketing er en populær markedsføringsstrategi for virksomheder i alle brancher – ikke mindst i konsulentbranchen. Jo mere videnstung din organisation er, desto mere bør du overveje content marketing.

Her i denne e-bog giver vi dig en række gode råd til at komme i gang med at bruge din virksomheds bedste kort på hånden – konsulenterne – og deres viden til at opbygge relationer, opvarme leads og (på sigt) hæve salgstallene.

 

content marketing guide for konsulenter