Hva er GDPR?

Det er blitt skrevet side opp og side ned om EUs nye personvernlovgivning, også kjent under forkortelsen GDPR. Mange innen markedsførings- og kommunikasjonsbransjen har kanskje krisemaksimert, og tenker at denne lovgivningen er den store stygge ulven. Likevel er det ikke sikkert at du som leser dette har fått med deg hva dette dreier seg om. Det skal jeg prøve å forklare nå.

Ett viktig punkt å nevne er at dette ikke er en helt ny lovgivning. Det er en innstramming og en tydeliggjøring av et lovverk som allerede eksisterer. Da tenker du kanskje at bedriften din ikke trenger å tenke så mye på å skulle tilpasse seg etter det, siden dere sikkert har det meste på stell uansett?

Men, det er faktisk ganske viktig å tilpasse seg etter dette lovverket. Forordningen, som GDPR er, trer i kraft 25. mai i år. Etter det vil bedrifter som ikke har innrettet seg etter lovverket kunne få noen klekkelige bøter. Da er det faktisk snakk om bøter på så mye som 4 % av global omsetning, eller 20 millioner euro, alt etter som hva som utgjør det største beløpet. Det skal ikke lønne seg å bryte loven.

Mer ansvar til bedriftene

Vet du hvor personopplysningene som bedriften din samler inn ligger lagret?

 

En av de tingene den nye personvernlovgivningen gjør, er at den gir bedriftene mer ansvar. For eksempel vil det for mange bedrifter bli obligatorisk å ha et personvernombud. Lovverket fastsetter hvilken rolle og hvilke oppgaver personvernombudet skal ha. Derfor kan det være lurt å sette seg grundig inn i dette, og sjekke om din bedrift må ansette et personvernombud.

Den nye personvernlovgivningen stiller også strengere krav til måten personopplysninger blir innhentet, behandlet og oppbevart. Et av hovedmålene er at forbrukerne skal ha mer oversikt over hva opplysningene som blir samlet inn faktisk blir brukt til. Det blir også stilt strengere krav til at privatpersoner skal vite hvem som har tilgang til opplysningene, hvilke formål de blir brukt til, og hvordan de oppbevares.

Det er også slik at bedriftene bare har 72 timer på seg til å rapportere om datainnbrudd og advare brukerne sine om at opplysninger kan være på avveie. Jo raskere slik informasjon blir offentliggjort, jo raskere kan hver enkelt bruker ta grep for å beskytte seg selv.

Forbrukernes rettigheter

I tillegg til at forbrukerne skal vite hva opplysningene blir brukt til, skal de også være klar over hvilke rettigheter som er knyttet opp mot innsamlingen av personopplysninger. Det inkluderer at de skal være klar over at de har rett til å be om innsyn i opplysningene som er innsamlet, og å få opplysningene slettet om de ønsker det. Ethvert samtykke til innsamling av personopplysninger kan trekkes tilbake.

Disse reglene gjelder for personopplysninger. Det vil si alle opplysninger og vurderinger som man kan knytte opp mot en enkeltperson. Anonymiserte opplysninger er ikke omfattet av de samme reglene.

Hvem gjelder dette for?

Kanskje er du nå i tvil om dette gjelder for deg og din bedrift. Helt enkelt kan jeg si at alle virksomheter som har ansatte eller kunder i EU og EØS vil bli berørt av den nye personvernlovgivningen. Alle som samler inn og bruker personopplysninger er underlagt dette lovverket. Regelen er: om du samler inn, lagrer eller oppbevarer personopplysninger, er det en form for “behandling” av personopplysninger, og da har du plikt til å informere brukerne om hva de blir brukt til, hvem som har tilgang til opplysningene etc. Det kan for eksempel være at du sender ut et nyhetsbrev til folk du har på en e-postliste. Kanskje har du et medlemsområde på nettsiden din eller du sender ut tilpassede tilbud til folk som har handlet i nettbutikken din. Alt dette er en form for behandling av personopplysninger, og du er pålagt å følge lovverket.

Du er sannsynligvis godt på vei allerede

Det fine er jo, som nevnt, at dette ikke er et nytt lovverk du må forholde deg til, men en innstramming av et gammelt. Så lenge bedriften din følger de gjeldende reglene for håndtering av personopplysninger og markedsføring, er det ikke sikkert du trenger å gjøre så mye.

Det er de største bedriftene som vil få mest å gjøre, siden det også er de som samler inn mest data. Og den største utfordringen for de fleste, både store og små bedrifter, vil nok være ustrukturert data, altså data som for eksempel ligger lagret på en e-postkonto eller en av dine ansattes bærbare pc. Derfor vil du med stor sannsynlighet måtte rydde i databasene dine, og kanskje revurdere hvilke samtykker og opplysninger du ber om, men du har fortsatt litt tid.

Husk å undersøke hvor personopplysningene ligger lagret, og å sørge for at de ikke er lagret på pc-er eller e-postkontoer de ikke skal være lagret på.

Bare husk at alt må være på stell innen 25. mai. Når det kommer til innhenting og bruk av personopplysninger, er det viktig å ha visse systemer på hvordan dette blir gjort.
Det er smart å utarbeide gode rutiner for hvordan opplysninger blir innhentet, brukt og lagret. Du må også ha dokumentasjon på at bedriften har slike rutiner. Det er selvsagt nyttig for deg selv og de ansatte, men det er også nødvendig å kunne dokumentere hvilke rutiner dere har dersom bedriften får ettersyn av Datatilsynet.

Hvilke opplysninger ber du om?

Ikke be om personopplysninger du ikke trenger.

 

Når du ber folk om å legge igjen personopplysningene sine må du hele tiden tenke på hva de får igjen for det. Står mengden opplysninger de legger igjen i stil med den verdien de får for det? De fleste vil for eksempel synes det er helt greit å legge inn e-postadressen sin for å abonnere på nyhetsbrev eller få et hefte de kan laste ned helt gratis. Men om du ber om telefonnummer og personnummer for slike ting, da vil de stoppe opp og vurdere nøye om det du tilbyr har stor nok verdi for dem.

Noen flere eksempler: trenger du telefonnummeret til folk som vil abonnere på nyhetsbrevet ditt? Er det nødvendig å be dem om å lage en profil til medlemsområdet ditt når de bare vil ha et prisoverslag? Slike ting kan det være nyttig å spørre seg selv om, spesielt nå når regelverket blir strammet inn og tydeliggjort.

Fordeler med å etterfølge regelverket

Mange vil kanskje tenke at de kommer til å miste mange abonnenter, eller at færre besøkende blir konvertert til leads når de må be om samtykke til all bruk av opplysningene. Men, det er også flere fordeler med å etterfølge regelverket. For det første så vil de som fortsetter abonnementet sitt, eller som blir nye leads være oppriktig interessert i det du har å tilby. For det andre vil det at du følger regelverket bygge tillit, og være noe de setter pris på.

Nødvendig lovverk

Ettersom flere og flere handler mer og mer på nett, er et slikt lovverk veldig viktig. En ting er at det beskytter forbrukerne mot uønsket markedsføring. En annen ting er at det kan gjøre det vanskeligere å stjele disse opplysningene, og forhindre at slike opplysninger kommer på avveie.

Det beste tipset jeg kan gi deg er at du setter i gang med de endringene du må gjennomføre nå, og ikke å vente til i siste liten. Det er bedre å begynne tidlig enn å komme sent i gang og ikke være i mål før fristen går ut.

Du kan lese mer utfyllende om GDPR hos Datatilsynet.