GDPR och Marketing Automation

så förbereder du din marknadsorganisation…

GDPR ställer nya krav på insamling och hantering av personuppgifter och innebär ett nytt tankesätt kring data med kännbara konsekvenser för organisationer som inte uppfyller kraven. Som CMO gäller det att driva igenom en attitydförändring kring data som genomsyrar hela organisation.

GDPR (General Data Protection Regulation, eller Allmänna dataskyddsförordningen) träder i kraft den 25 maj 2018. Direktivet innebär en skärpning av tidigare regler i Personuppgiftslagen, och på många sätt även ett helt nytt sätt att se på personuppgifter och deras användning, och relationen till tidigare kunder, leads och andra kontakter.

Som CMO gäller det att förstå vad ändringarna innebär och redan nu börja ställa om din organisation till det nya tankesättet.

Privacy by default

Grundprincipen “Privacy by default”, eller “dataskydd som standard” handlar om att gå från slentrianmässig insamling av personuppgifter till att endast samla in och lagra de personuppgifter som krävs för den specifika behandlingen. Det gäller mängden data som samlas in, hur den behandlas, vilka som har tillgång till uppgifterna samt hur länge de sparas. Varje insamling, lagring och behandling måste ha ett syfte. För företag och organisationer innebär det att man går från att tänka på data som något man äger, till något man lånar, med ett specifikt syfte och under en begränsad tid.

Bredare definition av personuppgifter

Med GDPR införs en bredare definition av “personuppgifter”. Det är inte längre bara namn, adresser, emailadresser, telefonnummer och liknande som berörs, utan allt som kan användas för att identifiera en individ, inklusive IP adresser och cookie IDs, räknas numera till personuppgifter och måste behandlas med samma försiktighet. Därmed krävs aktivt samtycke för användning av cookies – som alltså måste vara inaktiverade som standard fram till dess att användaren aktivt accepterar att de används och i vilket syfte. (Däremot har EU kommit med förslag till nytt e-privacy direktiv som bland annat gör det lättare att använda cookies för att mäta statistik och hantera en varukorg vid e-handel.)

Marknadsförare måste också söka samtycke innan de lagrar och behandlar en individs IP adress.

Aktivt samtycke

GDPR ställer nya och tuffare krav på samtycke. För-kryssade samtyckesrutor är inte längre tillåtna, samtycke måste kunna ges för delar av användningen, och det måste vara lika lätt att helt eller delvis dra tillbaka sitt samtycke som att ge den.

Ett samtycke måste ges aktivt, dvs individen måste själv kryssa i en ruta eller på annat sätt själv ange vilken information den vill ta emot. Det måste också vara tydligt för användarna vad det är de samtycker till – man måste explicit informera om vilken typ av information de samtycker till att ta emot eller vilken typ av användning av deras personuppgifter som de godkänner. Till exempel ska man kunna välja att godkänna cookies för inloggningsuppgifter men inte för riktad reklam. Organisationen måste även dokumentera samtycket och kunna visa upp när och var användaren har samtyckt och vad de har samtyckt till.
Här blir ditt Marketing Automation upplägg viktigt för att kunna visa att inträdespunkten är registrerad i tillräcklig detalj.

Lika snabbt och tydligt som det är att ge sitt samtycke, ska det vara att dra tillbaka det. För att inte förlora kontakterna helt blir ert “Preference Centre” viktigt. Här kan individer välja vilka kontakter de vill ha och vilka typer av utskick de är öppna för.

Det måste också vara möjligt att begära att bli helt och hållet “bortglömd” av en organisation, och då ska alla personuppgifter om individen omedelbart raderas permanent. Det är därför viktigt att det finns processer för snabb behandling av en sådan begäran, och rutiner som säkerställer att datan raderas i alla delar av datalagringen, inte bara i Marketing Automation system. Däremot är det viktigt att gå igenom dataflöde i företagets olika system (t.ex. mellan CRM och Marketing Automation)

Även uppgifter som samlats och lagrats innan GDPR trätt i kraft, men som saknar godkänt samtycke, måste raderas permanent. Däremot behöver inte nytt samtycke införskaffas för personuppgifter som redan finns i databasen, så länge det tidigare inhämtade samtycket och dess omgång har dokumenterats och uppfyller GDPR:s krav.


Kontakta oss
 om du vill veta mer om hur du skulle kunna förbereda dig inför GDPR.