GDPR påvirker alle bedrifter. Uansett hvilken nettside du går på i dag, så finner man en eller annen opt-in som sier at du får en PDF, du får en sjekkliste, du får en rabattkode eller hva som helst. I bytte mot e-postlisten din. Den beste variabelen i markedskommunikasjon.  

Så dukket GDPR opp. Den nye personvernloven som skal verne om innbyggere i EEA (European Economic Area), og er det beste som har skjedd norsk personvern siden 1995. Vet du hva det betyr? At personvernet vi har levd under, har vært siden en måtte koble fra telefonen for å bruke internett. Man kan si det er en smule utdatert.

 

Hvorfor er det tvil?

Blant målgruppen min så er det veldig mange som bruker opt-ins for å få potensielle kunder på e-postlisten. Deler ut PDFer, gratis ressurser eller bibliotek som jeg selv gjorde. I mange forum rundt om kring så hører man (og som jeg selv trodde på) «NEI, NEI, NEI! Du kan ikke gjøre det mer, ikke slik du har gjort. Du kan ha en opt-in, men folk må kunne få den uten å melde seg på i det hele tatt.» I bunn og grunn gi den bort, uten e-post.

Men som alt annet GDPR, så er ingenting sort-hvitt. Ei heller dette.

 

Hva sier GDPR?

Om man skal begynne å bryte ned teksten, så kan vi begynne i punkt 43. Teksten sier: «(…) consent should not be regarded as freely given if the data subject has no genuine or free choice or is unable to refuse or withdraw consent without detriment.»

Brutt ned så blir dette:
1. Data subject = den som ønsker å få den gratis tingen du har på nettsiden din = den du vil samle informasjon om
2. Free choice = de kan velge, uten å bli straffet for det
3. Withdraw consent without detriment = at de ikke kan skades av å trekke tilbake samtykket de har gitt deg, eller å ikke melde seg på.

Dette vil si i grove trekk si… at så fremt du ikke har noe helt fantastisk eksepsjonelt som vil gjøre at vedkommende vil gå glipp av tidenes sjanse i livet. Så blir de hverken straffet eller skadet av å ikke ta i mot. Det betyr dog ikke at du kan være vag i hva som skjer når de putter inn e-postadressen sin i feltet, og trykker på knappen.

Rett over dette punktet, under punkt 32, så sier teksten: «Consent should be given by a clear affirmative act establishing a freely given, specific, informed and unambiguous indication of the data subject’s agreement to the processing of personal data relating to him or her, (…)«

Vær tydlig i hva du ber om

Fokus-ordene her er clear affirmative, freely, specific, informed og unambiguous. Aktivt samtykke, frivillig, spesifikt, informert og entydig. Hvor kjekt er det ikke å ha dette som en huskeregel, for alt som handler om personvern? For det kan føles som en ordentlig tungvindt greie. Men for alle oss som driver med dette og faktisk noe lunde vet omfanget av dette, så vet vi viktigheten av det. Og vi burde være glad at vi kan føle oss trygg(ere) i andres systemer også.

Praktisk vil dette si at når du sier at noen skal få denne gratis ressursen eller fordelen, så må du være klar angående hva som skjer videre. Det holder ikke si «du havner på nyhetsbrevet mitt» om du eksporterer listen for markedsføring. Derfor er det viktig å legge ved lenke til personvern erklæringen og sette opp avkryssingsbokser for aktivt samtykke. Om du ønsker å gjøre mer ut av den e-postadressen.

La oss gå gjennom det, i en litt mer praktisk setting:

Aktivt samtykke: ved å fylle inn e-posten og trykke på knappen, gjerne også en dobbel opt-in, ved å godta handlingen i mailen.
Frivillig: det må ikke være noe enten eller, ingen tap for personen, ingen straff eller skade
Spesifikt: personen sier ikke ja til noe mer enn det som kommer frem
Informert: personen vet nøyaktig hva de sier ja til
Entydig: de kan ikke feiltolke det som står der (dette nevnes gjennom hele GDPR, at språket skal være forståelig.

 

Er denne bra?
hvordan ikke gjøre GDPR

 

Ta en nærmere titt….

utydelig informasjon innen GDPR, feil.

Liten tekst en hverken får med seg eller skjønner omfanget av sånn egentlig…

 

Et alternativ kan være dette…

eksempel på tydelig GDPR vennlig opt in

… men det er alltid rom for endringer. Her gir man et aktivt samtykke ved å fylle inn mail, det er frivillig. Det er veldig spesifikt hva som kommer til å skje. Personen er informert og det kommer entydig frem at denne aksepten kun omhandler direkte kontakt over mail.

Retail eksempel

For å sette det i en annen setting, for de som for eksempel er innen retail. La oss si du har en kundeklubb (som for de i min bransje kan være nyhetsbrev), hvor en får rabatter, kuponger og invitasjoner til kundekvelder OM EN MELDER SEG PÅ, og når man melder seg på så må man godta for eksempel personvernerklæringen og markedsføring mot deg som nå går inn i klubben. Det vil vanligvis være fordeler ved å melde seg på slikt, som vil være en «opt in» til kundeklubben. Fordeler, avslag og kuponger.

Men – nøkkelen i forhold til GDPR – de straffes ikke. Det er ikke slik at «om du ikke melder deg inn i kundeklubben, så får du aldri handle oss igjen, før du melder deg inn». Ta Coop Obs som eksempel – du kan melde deg inn i kundeklubben og få rabatter, tilbud og lignende som er eksklusivt for deg. Basert på din informasjon. Hvor ofte du kjøper cola, for å si det sånn… jeg har alltid en gratiskupong i appen. Det er ikke slik at om jeg ikke melder meg inn, så får jeg aldri handle hos de igjen. For ordens skyld, siden loven ikke er sort-hvitt og åpen for tolkning, så kan det hende at ikke alle tilbudene Coop Obs kjører havner under dette «grønne lyset». 

Så ja, det er lov å ha opt-in.

Det er dog fortsatt nødvendig med samtykke for å videre kunne markedsføre til de på e-postlisten din, men de har takket ja til å være med på listen og hva den innebærer – det er her de berømte avkryssingsboksene kommer inn i bildet.