KLUMME: Jeg forestiller mig, at en del online marketingfolk gik på ferie med et punkt på to do-listen, der har stået der et godt stykke tid: Få styr på GDPR (General Data Protection Regulation).

Vi har jo alle hørt om de skyhøje bøder, man er i risiko for at modtage, hvis man forbryder sig mod reglerne.

Hos Falcon.io har vi også fulgt den kommende persondataforordning. Vi arbejder med store mængder personoplysninger, og det gør vores kunder selvsagt også. Vores take er, at marketing med GDPR er ved at blive en reguleret industri.

Søren Dam Hansen er vores Legal & Privacy Counsel, og han står både for, at vi lever op til reglerne i GDPR og hjælper vores kunder med spørgsmål relateret til GDPR. Jeg har sat ham stævne for at høre, hvad marketingfolk bør være opmærksomme på.

- Helt grundlæggende handler det om, at personer har en ret til beskyttelse af deres personoplysninger. Derfor skal personer blandt andet kunne få oplyst, hvilke personoplysninger en virksomhed har på personen, og hvad de bruges til. Jurister vil nok sige, at der ikke er den store forskel på den gældende og kommende lovgivningen – men der er nok øget opmærksomhed på grund af de mulige konsekvenser, siger Søren Dam Hansen.

Oplysningsforpligtelsen og samtykke

Hvad er det vigtigste, man som online marketeer skal tænke på, når det kommer til GDPR?

Det første, man skal være meget opmærksom på er lidt en “gammel traver” - nemlig oplysningsforpligtelsen. Der er ikke så meget nyt under solen, men det er blandt andet virksomhedens forpligtelse at oplyse brugeren om, hvem der indsamler data, til hvilke formål, og retsgrundlaget for at behandle dem.

Særligt formålet og retsgrundlaget er essentielle punkter at tage stilling til, før man påbegynder behandling af personoplysninger.

Mange virksomheder er ikke opmærksomme på, at hvis I har systemer, der registrerer, hvem der bevæger sig rundt jeres side, hvor de klikker henne og så videre, så kan det også være indsamling af personoplysninger - også hvis det “bare” er IP-adressen. Hvis det kan henføres til en person, så skal brugeren oplyses om indsamlingen af personoplysninger.

Mange glemmer også, at når du har en interaktion med brugere på sociale medier, bør du også fortælle, at du bruger disse personoplysninger til andre ting (såsom analyser) - selvom de informationer er offentlige tilgængelige.

Derfor tror jeg, vi kommer til at se flere og nye måder, virksomheder kan oplyse brugerne på. Det vil ikke være nok at have et afsnit af hjemmesiden, hvor alting er skrevet med småt - for en bruger på sociale medier går ikke nødvendigvis forbi siden.

Derudover skal virksomheder ikke glemme at revidere deres samtykke til direkte markedsføring. Det er vigtigt at det er formuleret meget tydeligt, og i henhold til kravene i GDPR, da man ellers sidder med et ugyldigt samtykke, som ikke kan bruges som basis for direkte markedsføring.

Hvilke personoplysninger har vi og hvem har adgang?

Og når man har styr på oplysning og samtykke – hvad så?

Overordnet skal man kunne dokumentere, at der er styr på brugernes personoplysninger. Og det sted, hvor det typisk er sværest for online marketingafdelinger, er omkring værktøjer – hvad bruges personoplysninger til i alle vores værktøjer?

Generelt skal man bl.a. dokumentere hvilke typer oplysninger man indhenter, hvad de bruges til, hvem de indhentes fra, om de videregives og kommer uden for EU og hvornår de forventes slettet.

De fleste bruger mange forskellige værktøjer og leverandører. Dem skal man gennemgå og sikre, at alt er dokumenteret, og at der er dækkende aftaler med leverandøren, der stemmer overens med kravene i GDPR.

Man skal bl.a. kunne svare på følgende: Hvilke personoplysninger håndterer vores underleverandører? Har de taget de nødvendige sikkerhedsforanstaltninger? Sender vi automatisk personoplysninger videre via et program (og hvilke)? Og ligger de leverandører uden for EU - for så er det omgivet af yderligere krav i GDPR.

Og hvad med dine plugins i din browser eller mailklient? Sender eller registrerer de personoplysninger automatisk?

Det er klart den største opgave for marketingfolk, der ikke allerede har gjort det.

Det rette svar

Hvad hvis man får en besked fra en bruger, der gerne vil vide, hvilke personoplysninger, man har liggende om dem?

Så har man pligt til at svare.

Det inkluderer alle personoplysninger i virksomheden, også dem i skyen eller hos en leverandør. Det stiller nye krav til virksomhederne, at de får behov for at kunne samle og tilgå de informationer på en relativt simpel og effektiv måde.

Derfor handler det om at lave procedurer for, hvordan man tager hånd om forespørgsler fra brugerne. Det gælder også, hvis en myndighed vil inspicere ens forhold, eller hvis din virksomhed eller underleverandørs datasikkerhed bliver kompromitteret så personoplysninger er ulovligt tilgængelige – der skal man også have effektive og efterprøvede procedurer, som sikrer hurtig handling.

Større legitimitet

Mange steder er man nok lidt frustreret over alt arbejdet med GDPR. Men er der gevinster ved lovgivning?

Jeg forstår godt, hvis virksomhederne ser det her som besværligt. Men i sidste ende tror jeg, at brugerne kun bliver mere fokuserede på beskyttelse af personoplysninger, og det vil skabe en større legitimitet for virksomhederne i det hele taget, at man har styr på dem.

Samtidig tror jeg også, at efterhånden som GDPR kommer tættere på og endda efter anvendelsesdatoen, vil leverandørerne blive bedre til at imødekomme virksomhedernes behov for dokumentering. For som det er nu, kan jeg godt forstå, hvis det fremstår som lidt af en jungle for mange.

De gode leverandører vil mindske kompleksiteten

Hos Falcon har vi arbejdet hårdt med at være en af “de gode leverandører”, så vi tager kompleksiteten ud af GDPR for vores kunder i størst muligt omfang.

Det skal være plug‘n’play for kunderne, så vi vil være klar til at give dem de informationer, de skal bruge - eller hjælpe dem på andre måder.

Nogle kunder har svært ved selv at sætte ord på, hvad softwaren helt objektivt gør. Der kan vi hjælpe med information - så det ikke kun taler til folk, der sidder med markedsføring, men også med juridiske og IT-briller på.

Så vi kan kun sige - tag hul på forberedelsen til GDPR, hvis I ikke allerede er i gang. Det er komplekst, men det er ikke umuligt - og selvom GDPR vil stille nye krav til online marketeers vil den ikke gøre dem arbejdsløse.