GDPR för marknadsförare – tre råd från experten

Wilhelm von Sydow

Lövfällningen är i antågande, men det är inte bara höstrusket som påminner oss om att 2018 står för dörren – införandet av GDPR närmar sig med stormsteg. Vi på Crescando har fått flera frågor från läsare som på ett eller annat sätt känner sig rådvilla inför det nya regelverk som ska komma att ersätta personuppgiftslagen. Det skrivs mycket om GDPR, men trots detta tycks omfattningen av det arbete som måste göras före 25 maj 2018 vara svårt att greppa och konkretisera. För att få svar tog vi kontakt med Anders Hilmansson, bolagsjurist på APSIS.

Ändra ditt tankesätt och kartlägg dina data

Mest grundläggande i förarbetet inför GDPR är att du som marknadsförare ändrar ditt synsätt gällande data som lagras i dina system. Hittills har de flesta betraktat de mailadresser som matas in i CRM- och marketing automation-systemen som ”data” i största allmänhet. Enligt Anders Hilmansson är det många företag som har bristande kunskap om och kontroll över hur dessa ”data” verkligen hanteras, såväl internt som mot tredje part.

– Vi måste tänka steget längre än vad vi gjort tidigare och inse att det är individer som ligger bakom de data vi behandlar. Individer med rättigheter, som vi har skyldigheter gentemot.

Nästa steg är att kartlägga alla personuppgifter. Hur och vad är det för data vi samlar in? Vilka av dem utgör personuppgifter? Och var lagrar vi dessa data? Ta även reda på om kontaktuppgifter och liknande information enbart används internt eller om ditt företag använder tredjepartstjänster. Om sådana tjänster används är det viktigt att säkerställa att det inte innebär att personuppgifter lagras i länder utanför EU utan att detta är ett medvetet val och är reglerat på ett ändamålsenligt sätt.

Vi måste tänka steget längre än vad vi gjort tidigare

Se även till att det finns en tydlig process för hantering av data, som alla på marknads- och säljavdelningen är medvetna om, och som du ska kunna redogöra för. På Datainspektionens begäran måste du nämligen kunna visa vilka åtgärder företaget vidtagit för att efterleva dataskyddsförordningen. Anders ger exempel:

– Om du skickar kontaktlistor via mejl bör du överväga att kryptera dessa, så att ingen obehörig kan få tillgång till en öppen fil, i det fall du exempelvis mot förmodan råkar skicka filen till fel mailadress.

Vill dina kontakter verkligen ha kontakt?

En utmaning som många nu står inför är att kunna bevisa samtycke för att använda en individs personuppgifter – en central del i den nya dataskyddsförordningen. Huvudregeln är att personuppgiftsansvarig (dvs. den som samlar in personuppgifter och bestämmer hur dessa ska behandlas) ska kunna påvisa att ett samtycke skett vid ett specifikt tillfälle, som innebär att kontaktens personuppgifter är godkända att behandlas av företaget för exempelvis reklamutskick eller lagring i ett CRM-system.

För att säkerställa samtycke kan det finnas anledning att använda en bekräftad opt-in (även kallad dubbel opt-in). Det innebär att den som registrerar och lämnar ifrån sig sin mailadress och andra kontaktuppgifter även får ett bekräftelsemail med en förfrågan om det verkligen är personen bakom adressen som har registrerat dessa och om hen verkligen vill ha utskick och sina personuppgifter sparade och behandlade av ditt företag. Först efter en sådan bekräftelse inkluderas personen i CRM-systemet och marknadsföringsmail och dylikt skickas till personen. Ett säkert sätt att bekräfta samtycke alltså. Anders, igen:

–  Gällande nyhetsbrev till individer är det i huvudsak marknadsföringslagen som är relevant och här gäller samma regler som tidigare tillsvidare – även om man på EU-nivå har för avsikt att göra ändringar även på marknadsföringsområdet. Eventuell behandling av personuppgifter som används vid utskick kommer dock att regleras av GDPR. För befintliga mottagare av mailutskick kan det vara en idé att skicka ut ett mail för att informera om aktuella processer och eventuellt ånyo inhämta ett samtycke som speglar hur företaget behandlar dessa uppgifter idag – om detta är mer långtgående än vad personen samtyckt till tidigare. Oavsett om det finns ett samtycke bör du efter viss tid ställa dig frågan: Ska jag verkligen behandla de här uppgifterna och finns det någon motiverad anledning till att uppgifterna ska fortsätta att lagras? De kanske helt enkelt borde gallras ut och raderas.

Uppgifterna borde kanske helt enkelt gallras ut och raderas

En svårighet i fråga om lagring av personuppgifter är just att det kan vara svårt för många företag att härleda ett samtycke bakåt. Många gånger har ju kontaktuppgifter genom åren samlats in på olika sätt – genom visitkort på mässor och evenemang, exempelvis. Ifall samtycke saknas kan problem uppstå, att hantera allt digitalt ger större trygghet, framhåller Anders:

– Det är upp till den som påstår att samtycke existerar att bevisa att så är fallet och därför hjälper det helt klart att ha allt sparat digitalt – allt är arkiverat för framtiden.

Det finns utöver samtycke även andra lagliga grunder för personuppgiftsbehandling, som du kan läsa mer om i förordningstexten här.

Skapa förtroende hos dina kunder

Precis som inför millennieskiftet täljer juridiska rådgivare och IT-säkerhetsföretag nu guld på skrämselpropaganda inför införandet av GDPR. Det talas mycket om vilka konsekvenser det nya regelverket får – i negativ bemärkelse – och mörka scenarion målas upp. Fokus hamnar på detta sätt fel eftersom själva tanken med GDPR är att skapa ett harmoniserat regelverk inom hela EU som leder till en bättre inre marknad och ökade gränsöverskridande transaktioner. Det förtroende som företag har att vinna genom ökad transparens är betydligt mer intressant än skräckexemplen.

Det företag som har mest förtroende får tillgång till mer data från kunderna

– Företag som på ett öppet sätt kommunicerar hur de avser att hantera kundernas personuppgifter kommer att vinna deras förtroende. Jämför man två företag som i alla övriga avseenden är likvärdiga, får alltid det företag som har mest förtroende tillgång till mer data från kunderna. Mer data innebär bättre anpassad och mer uppskattad kommunikation och dina tjänster och produkter kommer att uppfattas som bättre än dina konkurrenters, poängterar Anders Hilmansson.

Om du vill få mer information om GDPR kan du alltid besöka Datainspektionens sajt. De har även en frågetelefon dit du kan ringa och ställa dina specifika frågor om den nya dataskyddsförordningen. Anders Hilmansson har även sammanställt en snabbkurs för marknadsförare om personuppgifter som du kan ladda ner här.

Hur förbereder ni er för att möta marknadsföringsutmaningarna med GDPR? Kommentera gärna i fältet här nedan eller maila mig direkt: wilhelm@crescando.se