En dejlig solskinsfyldt augustmorgen på Aaboulevarden. Jeg er på vej til GDPR-seminar hos Delacour i selskab med Loyalitetsbureauet, Heyloyalty – og en række af vores fælles nysgerrige kunder fra Molslinjen, Davidsen, Webapoteket, BTX m.fl.
Under overskriften ’GDPR – hvad betyder det for dig?’ havde Heyloyalty og Loyalitetsbureauet i samarbejde med Delacour inviteret og opfordret kunderne til at blive klogere på den hidtil største ændring i måden vi behandler persondata på. Der er op til 25. maj og ikke mindst i tiden efter, blevet investeret enorme ressourcer hos både landets virksomheder (og det offentlige for den sags skyld) på at blive compliant, som det så fint hedder, og derfor var det oplagt at blive opdateret på ændringer og status.

Med lækre rundstykker, croissant, kaffe og juice i maven, var vi rustet til at tage imod en solid strøm tips fra eksperten på området, Delacour’s advokat Reza Ahmadian, der havde taget turen fra hovedstaden for at møde det gode selskab.

Reza indledte med en kort intro til loven. Persondatareglerne. Før Persondataforordningen trådte i kraft 25. maj i år, var det ikke noget der kunne trække mange overskrifter, men sanktioner og bøder i sværvægterklassen har det med at rokere lidt rundt på dagsordenen…

I følge Reza er den gode nyhed, at de nye regler er i bredt omfang de samme som de gamle. Derfor burde det ikke være det store issue… – men den dårlige nyhed er så, at mange ikke overholdte de gamle… Det betyder så, at rigtigt mange virksomheder bør have en lang række opgaver på to do-listen.

Og guleroden for at kaste endnu flere ressourcer efter GDPR er, at sanktionerne er skærpede. Det betyder store bøder og risici for at forretningens omdømme skades i stort omfang. En solid motivation til at møde op fx til seminar som i dag.

Må man gemme nummerpladeoplysninger? IP-adresser?

Spørgelysten fra deltagerne er vakt, og mange interessante emner vendes. Indsamling og opbevaring af personoplysninger er noget mange er usikre på. De vil gerne gøre det rigtigt, men tvivler på hvad der er korrekt og ’nok’.

Reza gjorde det lidt mere klart for os på bænkene. Når en oplysning er personhenførbar (dvs. kan du sammenkæde en oplysning til person), træder en række regler i kraft.

Når spørgsmålet fra salen lyder på, om nummerpladeoplysninger hører under en personhenførbar oplysning er svaret JA. Via Tingbogen og via Politiet kan man finde personen bag. Det samme gælder faktisk IP-adresser og Mac-adresser. Også selvom opslaget skal foregå via retskendelse hører den under samme regelsæt.

Er det ok at samle oplysninger ind til fremtidige formål?

Spørgsmålene kommer i en lind strøm. Og yderst relevant – hvad med oplysningerne til fremtidigt brug? Som udgangspunkt, nej. Du må ikke indsamle sådanne oplysninger… medmindre (sådan er det tit i juraland) du kan argumentere og retfærdiggøre årsagen.

Er der derimod sammenhæng med de oplysningerne du i forvejen har og det er foreneligt med loven, er lyset mere grønt. Det er en ny ændring i loven.

Husk – du skal kunne dokumentere det, hvis nogen ønsker data udleveret.

Persondatalovens § 5 – som har stort set samme indhold som tidligere – siger at der skal være tale om god databehandlerskik. At du ikke må samle flere oplysninger ind, end det er nødvendigt. Og det er jo lidt noller når vi marketingfolk elsker rigelige mængder af data. Jo flere jo bedre, så vi kan målrette og bruge algoritmerne til at skræddersy budskaberne. Til alles glæde.

Men.

Oplysningerne må ikke afvige radikalt fra dem, du normalt samler ind. Dvs. har du kun kontaktoplysninger i dag, bliver du udfordret når du skal retfærdiggøre hvorfor du mener du kan bede om religiøs orientering, helbredsoplysninger osv.

Skal man slette – hvor ofte og hvad?

Der er ingen dukse blandt deltagerne. Og dog, for Molslinjen er med fremme. De har fx fjernet brugere med mailadresser uden aktivitet. Reza siger, at man indfører sletning med fast interval. Loven siger, at efter tre år skal oplysningerne slettes. Er der fx efter to år ingen aktivitet, så fjern dem.

Sletter du alt personhenførbart, giver du den bare gas med generelle data. Dvs. bevar data, der fortæller noget om generelt brug af kategorier brugerne kunne lide, købsstørrelser osv., som kan bruges på tværs. Anonyme data it is.

Facebook – hvad gør vi her som virksomhed?

Alt der postes på jeres Facebook-side, er jeres ansvar – og slet derfor de oplysninger, I ikke har brug for. Fx også hvis brugere skriver følsomme oplysninger på siden eller i en gruppe. Det er ikke sikkert de er opmærksomme på det.

Status i dag – hvor er vi?

Reza vurderer, at 80% virksomheder er compliant med de nye regler. Meget er nået, men mange er ikke ”i mål”.

Men hvordan undersøger man, hvor langt man selv er i virksomheden? Et godt sted at starte er dér hvor risikoen er størst. Hvad kan man risikere af bøder? Af sanktioner?

Bødestørrelserne kan være massive. Op til 4% af omsætningen eller EUR 20 mio.

Pause på toppen af byen

Efter en fin indføring i lovens lange arm og mange passuser, kom pausen mere end velkommen. En tur på tagterrassen gav luft til hjernen og blod til benene. Med udsigt over til Dokk1, havnen, Salling Rooftop og de mange flotte hustage kunne næste stræk let fordøjes. For pokker hvor er der mange facetter i loven. Godt man ikke er advokat men har eksperter til den slags 😉

Kollegaerne fra BTX Group med bl.a. brands som Brandtex var meget enige i udbyttet. Der var mange detaljer og viden, de kunne bruge til noget.

”Vi meldte os til, fordi vi gerne vil være sikre på, at vi gør det rigtigt. Der er ingen tvivl om, at vi har fået meget med os – …og at vi så også skal hjem og tjekke nogle ting“.

Til venstre: Susanne Rasmussen, Webmaster & Shop og Coordinator og Camilla Koustrup Vium, Retail Koordinator.

Masser af databrud og store bøder forventes – men det er ikke det hele…

Veloplagt og med en nyåbnet Coca Cola i hånden starter Reza anden halvleg med at fortælle om databrud og bøder.

Der har siden 25. maj 2018 været anmeldt 1.300 databrud. Før denne dato var det 4(!). Nordea nåede kun 11 timer ind i 25. maj, inden den var gal. Reza forventer at en bøde i millionklassen ikke er utænkelig. Men hvad værre er, kan ’Velkommen på forsiden’ koste mange meget mere. Når først troværdigheden er på spil, ruller hovederne.

Der er en lang række risici man skal forholde sig til, og bøderne er kun én blandt mange.

Man kan dog medvirke til at nedbringe sanktionerne, ved at samarbejde og have processer og dokumentation parat. Lidt som du kender det fra (nej, det gør du nok ikke men alligevel) fra hvis en person har begået noget kriminelt og hjælper politiet med sagen.

Behavioral Marketing og spamregler

Når du bruger retargeting i din markedsføring, overholder du så reglerne? Har du mon husket som alle os andre (not – endnu) at informere tydeligt om, at du bruger cookies til at tracke adfærden og ramme den enkelte?

Det bør fremgå af din persondata- og din cookiepolitik, forklarer Reza. At du fortæller hvilke kanaler du bruger. Det er ok du nævner ”andre sites, samarbejdspartnere, sociale medier m.m.”, og ikke lister alt op. Der er lagt op til, at man skærper reglerne på området for bannerreklamer herunder retargeting, men det er ikke vedtaget endnu.

Vidste du, at din mailsignatur faktisk også kan takseres som spam, hvis du som mange har et salgsbudskab fx i form at et banner i signaturen? Bum. Den er også en del af markedsføringslovens § 10. Og minimumsbøderne starter ved 10.000 kr., så det kan godt løbe op.

Lasse Roth, projektmedarbejder hos byggemarkedskæden Davidsenshop.dk

Lasse var især interesseret i de nye opdateringer og lempelser. Ikke mindst blive klædt bedre på, for at kunne håndtere hverdagens udfordringer – fx i forhold til de 10 lokale afdelinger, der er blevet sluppet løs på Facebook. Det er vigtigt for Davidsenshop.dk, at man er fuldt på højde med GDPR, for at man ikke kommer i klemme.

”Seminaret var super godt. Stemningen var god og afslappet, og der var masser af plads til spørgsmål. Det var helt klart værd at tage turen herop efter det. ”

Har du samtykke til e-mails, må du så bruge custom audiences på Facebook?

Endnu et spørgsmål fra salen. Et godt af slagsen, noterede Reza sig.

Sagen er, at det er god markedsføringsskik at skrive i sin permissiontekst, at retargeting fx via Facebook er en del af det, man giver samtykke til. Du må også gerne markedsføre samarbejdspartnere, hvis du specifikt har fortalt om det. Husk under alle omstændigheder at nævne kanalerne du bruger – mail, sms, SoMe etc.

Skærpet praksis vedr. krypteret e-mail med følsomme oplysninger fra 1. januar 2019

Datatilsynet skærper kravene for, hvordan private virksomheder skal opbevare fortrolige og følsomme personoplysninger i e-mails. Der er bl.a. tale om race og etnisk oprindelse, genetiske og biometriske data mv.

Det betyder, at du fremover skal bruge e-mail kryptering, når sådanne følsomme oplysninger sendes via mail. På den måde sikrer du, at det kun er den tiltænkte modtager, som læser mailen.

DanDomain har i øvrigt skrevet mere om emnet her.

Se dukserollen indenfor GDPR som din konkurrencemæssig fordel

Er du branchens duks der har styr på data og processer, kan du få en konkurrencemæssig fordel. Signalerer du tydeligt hvordan I håndterer data og personoplysninger – både internt og eksternt – vise du tydeligt at troværdigheden er afgørende for virksomheden.

Derfor er det et smart træk på flere plan at være forrest i GDPR-bussen. Også selvom det tager tid at mase sig forbi alle de andre undervejs. Alternativt kan du blot stå på bussen, når du har bagagen i orden.

Seminaret er ved at løbe tør for tid. Nicolaj Ladiges runder af sammen med Reza. Takker for tiden, og folket pakker de mange mentale og skriftlige noter ned og drager ud i trafikken igen. Vi håber, at dørkarmen de rammer ikke nulstiller al den fine viden, vi netop har fået optanket. Det er jo tit sådan det går. At bøderne så kan være en ussel reminder om det, gør om ikke andet at vi bedre husker. Størrelsen på bøden skal nok give blå mærker.

Bonusinfo: To dage efter vi lagde vores GDPR-Summary på sitet her, henvendte et stort rejsebureau sig og ville gerne i dialog. De nævnte specifikt Summary’et som interessant, idet deres marketing automation-system ikke på samme niveau skabte tryghed omkring behandling af persondata. Så Reza’s råd om at se det som en konkurrencemæssig fordel selvom det er tids- og ressourcekrævende, må siges at bære frugt. Ikke dumt.

Vi er internt enige om, at det har været en vigtig dag, hvor vi også i Heyloyalty har fået mindst tre opgaver med hjem, som vi skal have løst. Og det endda på trods af, at vi føler det store arbejde vi har gjort, så ikke helt er “nok”.

Tak for inputtet og deltagelsen. Det er formentligt ikke sidste gang, en advokat kan trække os til truget. Og få os til at drikke – lytte og lære.

Tommelfingerregler – et udpluk

  • Du skal kunne dokumentere, hvad du ønsker at bruge oplysningerne til, og hvornår du har fået dit samtykke
  • Du har ansvar for din egen virksomheds Facebookside – dvs. også de evt. personhenførbare oplysninger, som dine brugere lægger op
  • Deler dine kunder personfølsomme oplysninger, bør du gøre dem opmærksomme på det så de kan slette dem
  • Har du ingen grund til at opbevare oplysninger, skal de slettes
  • Sørg for at have processer – fx hvad skal der ske, hvis en medarbejder glemmer en pc i en taxa
  • Du har fælles dataansvar på sociale medier – sørg for at oplyse brugerne om jeres privacy policy
  • Sanktioner og bøder er en ting – konsekvensen ved dårlig omtale kan være langt mere omfattende
  • Spørg ALTID en ekspert hvis du er i tvivl – indlægget her står for egen regning!

Hvordan kommer DU videre?

Så skriver du til Reza. Han og Delacour (eller DLA Piper, som de kommer til at blive en del af) hjælper dig gerne videre – og  i mål. De har i øvrigt lavet tre GDRP-pakker, som er tilpasset forskellige behov. Se mere på delacour.dk.

Du er selvfølgelig også altid velkommen til at kontakte både os hos Heyloyalty og Loyalitetsbureauet.

Skrevet af

Skrevet af

Ole Dalgas, Marketing Manager i Heyloyalty. Han er optaget af at formidle budskaber digitalt og forståeligt. Har arbejdet med e-commerce, loyalitet og e-mail marketing siden 2011… men marketingkufferten indeholder goodies fra starten af 90’erne, hvor han bl.a. var partner på reklamebureau. Det var dengang floppydisks og cykelbudene var en del af kommunikationen 😉

Vi bruger cookies til at forbedre din oplevelse. Når du bruger sitet, accepterer du brugen af cookies. Se mere

Cookie indstillingerne på denne hjemmeside er aktiveret for at give dig den bedste oplevelse. Hvis du fortsætter med at bruge hjemmesiden uden at ændre dine cookie indstillinger eller du klikker Accepter herunder, betragtes dette som din accept

Luk