Markedsføring med epost etter GDPR Markedsføringsdagen Nina Furu 26. april 2018
Nina Furu Jobber med kommunikasjon og markedsføring i digitale kanaler Partner i Webgruppen Driver Nettredaktørskolen Kurs- og konsulentvirksomhet Foredragsholder Lærebokforfatter Med mer www.webgruppen.no www.ninafuru.no
Søk juridisk bistand Det som sies i denne presentasjonen i forhold til GDPR er korrekt så langt vi har klart å bringe det på det rene på det nåværende tidspunkt. Den norske lovteksten foreligger enda ikke, og det kan komme justeringer i denne som gjør at det vil bli nødvendig å gjøre andre, flere eller færre grep enn de som er nevnt i denne presentasjonen. Det er bedriftens eget ansvar å tolke og tilpasse seg GDPR, og vi anbefaler å søke kompetent juridisk rådgivning i forhold til bedriftens konkrete og spesifikke situasjon
X * OR * CTR * CR = $
X * OR * CTR * CR = $ GDPR påvirker X-faktoren
X * OR * CTR * CR = $ GDPR påvirker X-faktoren GDPR vil gjøre at X synker dramatisk
X * OR * CTR * CR = $ GDPR påvirker X-faktoren GDPR vil gjøre at X synker dramatisk... men også at de andre elementene stiger dramatisk
GDPR flytter epostmarkedsføring fra å være en head -kanal og en breddekanal til å bli en long tail -kanal og en nisjekanal
Det betyr ikke at kanalen vil slutte å virke - det betyr bare at vi må jobbe litt annerledes med den
GDPR ny personvernlov General Data Protection Regulation EU-regulasjon vedtatt i april 2016 Skal gjøres til norsk lov uten endringer (bare oversettelse) Trer i kraft i EU 25. mai 2018 Norsk lovbehandling kan ta litt lenger tid Datatilsynet varsler skarp håndhevelse Det estimeres at 75 % av verdens kundedatabaser/epostlister blir ulovlige etter GDPR
28 dager igjen (eller noe lenger avhengig av hvor lang tid det tar å behandle dette i departementet) Les proposisjonen her:
Hva er personopplysninger? Epostadresse knyttet til person (per.hansen@bedriften.no) Bilde Mobilnummer IP-adresse Bilnummer Bluetooth Wi-Fi-adresse Autopass-brikke-ID og mye mer
Proposisjon 56 (Lovtekst) https://www.regjeringen.no/contentassets/1a36e88f124d 4a1ea92a9c790be2d69a/no/pdfs/prp201720180056000d ddpdfs.pdf
GDPR noen hovedprinsipper Alle bedrifter vil trenge Databehandleravtaler med leverandørene sine Noen bedrifter vil trenge personvernombud (offentlige virksomheter, og de som behandler sensitive data) Du må fortelle hvilke personopplysninger du samler inn og hvorfor, og kunden må kunne motsette seg dette Kunden må kunne forlange å se på alle de dataene du har om ham
GDPR handler om persondata Hva som samles inn av personopplysninger Hvordan opplysningene oppbevares, bearbeides og håndteres
eprivacy Act handler om privatliv Hvordan persondata samles inn, og hvor forstyrrende dette er for kunden Faktaark om eprivacy Act: http://ec.europa.eu/newsroom/document.cfm?doc_id=41 238
Markedsføringslovens 15: I næringsvirksomhet er det forbudt, uten mottakerens forutgående samtykke, å rette markedsføringshenvendelser til fysiske personer ved elektroniske kommunikasjonsmetoder som tillater individuell kommunikasjon, som for eksempel elektronisk post, telefaks eller automatisert oppringningssystem (talemaskin). ( ) Krav om forhåndssamtykke etter første ledd gjelder heller ikke markedsføring ved elektronisk post i eksisterende kundeforhold der den næringsdrivende avtaleparten har mottatt kundens elektroniske adresse i forbindelse med salg. Markedsføringen kan bare gjelde den næringsdrivendes egne varer, tjenester eller andre ytelser tilsvarende dem som kundeforholdet bygger på. Når den elektroniske adressen samles inn, og eventuelt ved hver enkelt senere markedsføringshenvendelse, skal kunden enkelt og gebyrfritt gis anledning til å reservere seg mot slike henvendelser.
GDPR erstatter ikke Markedsføringsloven Men GDPR og eprivacy Act supplerer den
Tre viktige begreper Behandlingsansvarlig = Deg (det enkelte firma/organisasjon) Databehandler = Leverandører som bearbeider dine kundedata Den registrerte = din kunde/bruker
Databehandleravtalen Avtale som du er lovpålagt å ha med alle leverandører som er i kontakt med dine kunders og medlemmer persondata Det er ditt ansvar at avtalen er på plass (Men de fleste leverandører lager ventelig slike avtaler, fordi de må ha dem med alle kunder)
Handlingspunkter Lag en liste over hvilke leverandører som du trenger Databehandleravtale med Mas på disse for å få utkast til databehandleravtaler Sjekk utkastene opp mot sjekklisten Signer når du er fornøyd
Personvernombud Ta ombudsomaten: https://www.datatilsynet.no/regelverk-ogskjema/personvernombud/hvem-ma-hapersonvernombud/
Disse må ha ombud Offentlige virksomheter De som driver med regelmessig og systematisk monitorering av enkeltpersoner De som behandler sensitive opplysninger Helse, religion, fagforening, legning De som behandler opplysninger om straffbare forhold Datatilsynet har kurs: https://www.datatilsynet.no/regelverk-ogskjema/personvernombud/kurs/
Handlingspunkter Finn ut om du trenger personvernombud Velg person Søk om godkjennelse Send personen på kurs
Hvem gjelder GDPR Alle som har kunder Alle som har ansatte Alle som har medlemmer GDPR regulerer personvernet til enkeltpersoner, også når de agerer i profesjonell sammenheng (for eksempel per.hansen@bedriften.no)
Bruker skal informeres om: Hvilke data som samles inn Hvordan de skal brukes Hvem som har tilgang til dataene Om data overføres ut av landet Om dataene blir oppbevart på en sikker måte
https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/hva-blir-nytt-med-forordningen/
De 10 bud for overgangen til GDPR/ePrivacy Act
1. Sørg for at du har Databehandleravtaler Mas på epostleverandør, CRM-leverandør, medlemssystem-leverandør, personalsystem-leverandør mm DET ER DITT ANSVAR
Tenk på brukers beste GDPR er 40% IT og 60% holdninger Christian Torp, generalsekretær i DND Ikke samle inn mer data enn du absolutt trenger Oppbevar dataene sikkert Slett det som ikke trengs (lenger)
2. Fortell hva du samler inn Lag en skikkelig personvernerklæring Forklar enkelt og tydelig hva du samler inn av info og hvordan du behandler det
Hvem har ansvaret? Hva er grunnlaget? Hvem er databehandler? Hvor lagres dataene? Hvem har tilgang? https://www.datatilsynet.no/om-datatilsynet/personvernerklaering-nettsidene/
3. Snakk norsk! Klar og tydelig måte Lett forståelig språk
Bitte lite utdrag fra https://twitter.com/en/tos
Lite utdrag fra https://www.facebook.com/about/basics/privacy-principles
4. Gå gjennom alle epostlistene dine Gjør en inndeling: Beholde Gjøre lovlige Slette
5. Behold det du kan
Du kan beholde Eksisterende kunder i pågående kundeforhold etter dagens lovgivning Opt-in lister der akseptene er i henhold til GDPR/ePrivacy Act
Eksisterende kundeforhold Du vil fortsatt kunne maile til kunder i eksisterende kundeforhold så lenge du har overholdt dagens lovverk så lenge du gir dem muligheten til enkelt og gebyrfritt å kunne frabe seg nye henvendelser... og ikke samler inn data eller tar uttrekk basert på sensitive eller ulovlige opplysninger Kravet om fornyelse hver 12 måned er falt bort
Lovlige aksepter Personen har gitt uttrykkelig, informert og separat tillatelse (opt-in, ikke opt-ut) til å sende epost Du har ikke gitt noe for å få tillatelsen (for eksempel gratis rapporter) eller hvis du brukte slike teknikker, hadde du egen avkryssing for å sende mail Du kan dokumentere når og hvordan aksepten ble gitt
https://gdpr-info.eu/art-7-gdpr/
Ja takk, jeg vil også motta nyhetsbrev fra Webgruppen
Dobbel opt in? Nei, det er strengt tatt ikke nødvendig så lenge Markedsføringslovens paragraf 15 overholdes
6. Redd det du kan redde Prosesser for godkjennelse av eksisterende kunder (hvis grunnlaget du har i dag ikke er tilstrekkelig) Prosesser for å gjøre ulovlige aksepter lovlige
Slik gjør du ikke-godkjente aksepter lovlige Aksepter som du ikke har lovlig grunnlag for å bruke, kan du gjøre grep med for å gjøre dem lovlige. Det involverer å spørre om lov til å fortsette å sende mail. DETTE MÅ GJØRES INNEN 25. MAI 2018
Flytte akseptene Tapt? Mail? Mail 2? Ja Mail 3 Ja 1 Ja Nei Nei Nei Tapt Tapt
Må man gjøre dette? Nei, ikke med eksisterende kunder kanskje Nei, ikke hvis man allerede har lovlige godkjennelser Nei, man kan se det som en sjanse til å vaske listene og bli kvitt irrelevante adresser Nei, man kan gjøre en dokumentert risikovurdering og konkludere med at ulempen for kunden ved å motta epost er så liten at man velger å fortsette som før
7. Slett det som ikke er lovlig Epost-adresser som ikke tilhører eksisterende kunder eller lovlige opt-ins må slettes Benytt anledningen til å få gjort en skikkelig listevask Husk at informasjon som du ikke har lov til å ha må slettes i alle andre systemer også (CRM-system, ansattedatabaser, fellesdisker )
8. Sett opp nye måter å høste epostadresser på Rett alle skjemaer Høst på alle relevante sider Tenk på hva du sier og hvordan Sett opp gode inbound-prosesser
Rett alle skjemaer Ja takk, jeg vil også motta nyhetsbrev fra Webgruppen
Husk å gjøre det fristende! Gjør nyhetsbrevet ditt til noe som kunden faktisk ønsker å få i innboksen sin.
Høst på alle relevante sider Pop-ups (husk: on exit intent) Skjemaer i globalt element på websiden
9. Lag et pålogget kundesenter GDPR krever at kunden skal kunne Administrere egne aksepter Se den informasjonen du har om ham Endre informasjon som er feil Be om sletting av informasjon Kunne ta med seg informasjonen til andre Dette krever for de fleste et pålogget kundesenter Mas på leverandører
I utvikling hos Netlife Dialog (IDA): Profilside for mottaker slik at de kan se hva som er lagret, slette og endre dette Egne felter for samtykketekst i skjemabygger Alle samtykker lagres med samtykketeksten, timestamp etc. i en samtykke logg. Funksjon for å sende lagret data til en mottaker ved forespørsel. Ved import vil man kunne legge inn kilde og også importere tidligere gitt samtykke. Mulighet for double opin for de som ønsker det.
10. Dokumentér alt Dokumentér vurderinger du gjør ifm GDPR/ePrivacy Act Dokumentér prosesser for å samle inn, oppbevare og sikre personvernopplysninger Dokumentér akseptene du har (når og hvor du har fått dem)
Oppsummering av de 10 bud 1. Sørg for Databehandleravtaler 2. Fortell hva du samler inn og hvorfor 3. Snakk norsk! 4. Gå gjennom epostlistene dine 5. Behold det du kan 6. Redd så mye som mulig av det du ikke kan beholde 7. Slett det som ikke er lovlig 8. Få på plass nye prosesser for å høste lovlige adresser 9. Lag et pålogget kundesenter 10.Dokumentér alt!
Generelle ressurser GDPR (EU sin side) GDPR-info.eu (enklere å forstå) Datatilsynets infoportal Proposisjon 56 LS
Lykke til! Nina Furu www.webgruppen.no Mobil 92208015 nina@webgruppen.no