GDPR och Marketing Automation

5 fallgropar att undvika!

Det är hög till att se över din organisations GDPR-förberedelser.

Marketing Automation har blivit ett naturligt verktyg för många av de mest framgångsrika marketing organisationerna, inte minst inom B2B.

Men GDPR ger oss anledning att se över många av de processer som har automatiserats och identifiera riskområden där vi har hög exponering. Nästa steg är att åtgärda brister innan deadline den 25 maj 2018.

Här lyfter vi fem fallgropar och hur du undviker dem.

1. Explicit samtycke för lead scoring och omvänd IP-spårning

Som bekant ställer GDPR krav på explicit, eller “aktivt”, samtycke till lagring och användning av personuppgifter. Men det gäller inte bara utskick av nyhetsbrev. Två Marketing Automation huvudfunktioner som många marknadsförare och säljteam använder dagligen kommer nu kräva explicit samtycke från personuppgiftsägaren, nämligen ip-spårning och lead scoring.

Ip-spårning – att använda en persons ip-adress för att få information om dess beteende – kräver explicit samtycke enligt GDPR, både för lagring och bearbetning.

Lead scoring– att bedöma och betygsätta hur varma och köpklara olika leads verkar vara baserat på deras beteende online – är nyckeln till ett tidseffektivt och produktivt samarbete mellan marknad och sälj. Processen räknas dock som “profilering” enligt GDPR och utgör en bearbetning av personuppgifter som kräver explicit samtycke. Likaså krävs samtycke för köpbenägenhetskalkyler via Sales Force Automation system i de fall där kalkylen, eller profileringen som den innebär, ligger till grund för uppföljning av en säljare.

Lead scoring och IP-spårning är två vanliga processer som används flitigt av många organisationer men där explicit samtycke sällan har efterfrågats och getts av personuppgiftsägaren. Organisationer som vill fortsätta använda de här processerna bör genast se över sina databaser och säkra att de har de samtycken de behöver. Dessa bör vara dokumenterade så att organisationen kan visa var och när samtycket har getts och vilket omfång samtycket har.

2. Datafokus – begränsad datainsamling och lagring av personuppgifter

Som marknadsförare är nog många av oss skyldiga till att ha samlat in och behållit lite mer personlig data från en person, än vad vi egentligen har användning för. Där man tidigare slentrianmässigt har samlat in nice-to-have data (som man kanske tänkt att man någon gång i framtiden eventuellt skulle kunna få användning för), gäller det nu att ställa om till att, vid varje insamling, fråga sig vilken data som verkligen är nödvändig att ha. Bara för att din Marketing Automation Plattform ger dig möjlighet att lagra kompletta profiler över dina kontakter, behöver du inte göra det.

Se därför över alla era formulär och kontrollera att all information som efterfrågas faktiskt är nödvändig. Inom B2B behövs ofta inte mer än namn, epost adress och företagsnamn. Se även över era databaser och rensa ut och radera alla uppgifter som inte är klart nödvändiga.

3. Se över ert systemstöd och synkning mellan MA och CRM

Om det inte har gjorts tidigare är det nu hög tid att gå från Excel-filer och andra manuella system för lagring av kunddata till att centralisera alla personuppgifter i ett robust CRM-system. För de som redan har tagit det steget är det dags att se över hur CRM systemet fungerar ihop med Marketing Automation-plattformen för att inte riskera att någon som har dragit tillbaka sitt samtycke ska bli kontaktad ändå. Böterna är kännbara för den som slarvar.

CRM och MA-systemen måste vara helt synkade så att en opt-out i ett system automatiskt gäller för all marknads- och säljkommunikation med mottagaren. Det gäller att vara helt säker på att varje namn i CRM-databasen och varje epost adress i MA-systemet har gett explicit samtycke till att ta emot marknadsföringsmaterial.

I samband med centraliseringen av personuppgifter i ett CRM system, ska det även vara möjligt för användare att få tillgång till sina uppgifter, se över den tilltänkta användningen av dem, och själva ändra i sina preferenser.

4. Explicit samtycke för återaktivering av inaktiva kontakter

Där man tidigare kunde kontakta gamla kontakter för att uppdatera eller utöka samtycke som tidigare getts, kräver GDPR att man har ett explicit samtycke som täcker varje typ av kommunikation (tex nyhetsbrev, erbjudanden eller inbjudningar kräver explicita medgivanden), även om kontakten tas för att förnya en opt-in. Återaktiveringskampanjer riktade mot personer som varit inaktiva i månader eller till och med år, för att förnya en databas, är alltså inte längre tillåtna.

Även datahanteringskampanjer där gammal data används för att skapa ny data, begränsas av samtyckeskravet. Gammal data måste ses över och kasseras där den inte uppfyller de nya kraven, och marknadsförare hålls ansvariga för alla aktiviteter vare sig de bygger på nya eller gamla automatiska processer.

5. Bortskaffande av data

Sist men inte minst gäller det alltså att all data som man inte har explicit samtycke till att lagra, bearbeta och använda, måste raderas. Det gäller både gamla personuppgifter där aktivt samtycke aldrig gavs (eller ens efterfrågades), och uppgifter tillhörande individer som har dragit tillbaka sitt samtycke.

Till detta hör nya rätten att bli bortglömd, som innebär att ett företag måste radera all data som man innehar om en individ, om individen begär det. Även här är det fördelaktigt med ett centraliserat system för alla personuppgifter så att samtycken (eller dess återtagande) kan hanteras på en plats men få genomslag i hela organisationen. Det gör det också möjligt för individer att lätt slå på och av sina olika samtycken vilket ger företag större möjligheter att rikta rätt typ av marknadsföring till rätt personer.

Ett undantag, som utgör ett “berättigat intresse” enligt GDPR, är lagring av den data som behövs för att kunna verkställa en individs begäran om att bli bortglömd. Det är alltså tillåtet att lagra en epost-adress för att markera den som blockerad för organisationen.

GDPR är lite av en djungel men ingen kan Marketing- och Sales Automation som vi och vi guidar dig gärna genom era förberedelser och ser till att ni kommer ut starkare på andra sidan. Hör av dig så kan vi berätta mer om hur vi jobbar och vad vi kan göra för dig.

*Innehållet i denna artikel ska inte tolkas som juridiska rekommendationer eller råd kring juridiska eller regulatoriska frågor. Skäliga åtgärder har vidtagits för att säkerställa att innehållet inte är osant eller missvisande, men inga garantier om riktigheten eller fullständigheten lämnas och inget ansvar kan göras gällande för felskrivningar eller utelämnanden. Utgivaren tar inget ansvar för eventuella åtgärder som vidtagits enbart på grundval av informationen på denna hemsida.


Kontakta oss
 om du vill veta mer om hur du skulle kunna förbereda dig inför GDPR.