GDPR er like rundt hjørnet. Dette er tiltakene vi vil gjøre for å overholde de nye retningslinjene for personvern.
Er du kunde og nysgjerrig på hvordan vi beskytter oss og deg mot millionbøtene man risikerer etter at GDPR trer i kraft? Vurderer du et samarbeid med oss, men vil vite at vi har dette på det rene først? Eller er du bare ute etter tips til din egen bedrift?
Dette innlegget kan også være interessant for dem som føler at GDPR ofte virker litt abstrakt, og ønsker å se hva slags faktiske tiltak det vil føre med seg.
Uansett hvorfor du er her, håper vi at du vil være litt klokere etter å ha lest dette blogginnlegget.
Samtykke
Noe av det viktigste ved GDPR er at alle skal vite hva de samtykker til når de gir fra seg kontaktinformasjon. Det betyr at personvernerklæringen må ligge synlig på nettsiden, og det er noe vi jobber med å implementere i enda større grad enn tidligere.
En vanlig anbefaling er en slags smørbrødliste av sjekkbokser der man deler kontaktinformasjonen sin. Si for eksempel at du melder deg på som bloggabonnent. Da kan du huke av temaene du er interessert i å få tilsendt på e-post (for eksempel markedsføring, men ikke salg), og slippe dem du ikke vil ha.
Det betyr at vi treffer bedre, med den informasjonen kundene faktisk er interesserte i, og de slipper å bli nedrent av irrelevante blogganbefalinger.
LES OGSÅ: Betyr GDPR døden for digital markedsføring?
Double opt-in
Hubspot anbefaler å kjøre såkalt double opt-in på alle kunder. Det betyr rett og slett at hver gang noen krysser av for å dele kontaktinformasjon, abonnere på et nyhetsbrev eller lignende, vil de få en e-post med en lenke for å bekrefte det.
Nok en gang tjener begge parter på dette, siden det blir vanskeligere å melde seg på lister man egentlig ikke ville være med på, og vi får en bedre (om noe mindre) samling med leads.
Hubspot støtter foreløpig bare en standard double-opt-in-e-post, men de vil sannsynligvis utvide mulighetene etter de er ferdige med å gjennomgå GDPR-reglene best mulig.
Rett til å bli glemt
Alle som har blitt oppringt av telefonselgere etter å ha bedt om å bli fjernet fra listen, vil nok gå sammen om å mene at det er noe av det mest irriterende som finnes. Retten til å bli glemt står sterkt i GDPR-forordningene, og det skal være enkelt å melde seg av all sporing og e-post-abonnementer – såkalt opt-out – og vite at man ikke lenger finnes i noe system.
For å sørge for oppdaterte lister som overholder reglene, vil vi kjøre en permission pass campaign. Det vil si at vi sender ut en bekreftelses-e-post til alle vi har på listene våre, og fjerner alle dem som ikke svarer positivt.
Det er ingen begrensning for hvor mange man kan sende av disse, så det lar seg gjøre å sende én for hver liste, eller hvert tema. Likevel er vi opptatt av å ikke spamme kontaktene våre, så vi vil gjøre vårt beste for å samle så mye som mulig i én e-post.
Noen kunder vil også ønske å fjerne utdaterte kontakter, og i så fall kan vi manuelt bygge en liste ut fra sist gang det var aktivitet fra dem, og slette dem som ikke møter kriteriene.
Cookies og atferdstracking
Mye av inbound er basert på atferdstracking – altså lagring av informasjon om hvordan kontakten oppfører seg på nettsiden. Dette gjøres via cookies. Hubspot har enkel funksjonalitet for å informere om dette i forkant, slik at den besøkende kan velge å godta det eller ikke.
GDPR betyr først og fremst at vi må være enda tydeligere på hva cookiene brukes til, og vi kan heller ikke nekte bruk av siden dersom noen ikke samtykker.
Det står fremdeles ikke så altfor mye om cookies i GDPR, men det vil komme en ny forordning fra EU innen kort tid kalt E-privacy-forordningen. Vi skal selvfølgelig informere om hva denne fører med seg når den kommer, så hold utkikk etter nye blogginnlegg fremover.
Landegrenser og lokale regler
Mange land i EU har mye mildere personvernlovgivning enn Norge, så på mange måter er vi ganske heldige, siden GDPR ikke fører med seg like store endringer for oss. Hovedansvaret for å innføre GDPR i Norge faller på Datatilsynet.
Det viktigste for de fleste bedrifter i Norge blir å informere enda tydeligere om hva informasjonen vi lagrer brukes til.
Dersom sensitiv data blir nødt til å forlate Europa, er det viktig at endestoppet har personvernlovgivning som godkjennes av EU. For oss er det hovedsakelig snakk om at noe data kan bevege seg innom Hubspots hoveddatasenter i Boston. USA holder på med å revidere sine lover etter Edward Snowden-saken, men Hubspot har sitt eget godkjente rammeverk på plass for å oppfylle EU-kravene.
Innsyn
Dokumentasjonskrav er det siste man må huske på i forbindelse med GDPR. Alle skal ha rett til å få vite hva bedrifter har lagret om deg, presentert på en forståelig måte. Dersom det skulle bli nødvendig med granskning, kan også andre autoriteter fremme krav om innsyn.
Dersom bedriftens hovedvirke er å samle inn personopplysninger, skal ansvaret for personvern falle på et personvernombud (DPO på engelsk – Data Protection Officer) som er fast ansatt i bedriften. For dem som driver med informasjonssanking, men i en litt mindre skala, holder det å utnevne en behandlingsansvarlig blant bedriftens ansatte.
Vår behandlingsansvarlig er Andrea Grøndal Berg.
På oppfordring kan hvem som helst be om sin egen kontaktinformasjon fra oss, og Hubspot gjør dette veldig enkelt. Alt som trengs er å eksportere kunde/kontaktkortet fra verktøyet, med all tilknyttet informasjon. I utgangspunktet består denne informasjonen stort sett av IP-adresse, stedsinformasjon, og hva enn kontakten har delt frivillig gjennom skjemaer på nettsiden.
Videre lesning
- Hubspots privacy policy
- EUs GDPR-dokument (226 sider – du er advart!)
- EUs hjemmeside om GDPR
