GDPR for deg som jobber med web og markedsføring

For oss som jobber med web og eksternkommunikasjon kan det være greit å følge denne sjekklista

  1. Få oversikt over hvilke personopplysninger dere behandler
    1. Dere må vurdere og beskrive enhver personopplysning, og har strengt tatt ikke lov å samle inn informasjon dere ikke har behov for. “Kjekt og ha”-informasjon om kunder må med andre ord fjernes fra lister. Er du i tvil om hva som er en personopplysning kan du lese om det her: https://www.datatilsynet.no/om... bedriften din har en nettside skal det ligge en personvernerklæring på siden som beskriver alt av data som samles inn. Mange samler inn mer enn de tror, for eksempel gjennom påmeldingsknapper til nyhetsbrev, arrangementer, kurs og konferanser og lignende. Det er også vanlig at nettsider har cookies (sporingskapsler) liggende på siden for å gjøre nettsiden best mulig brukervennlig, og for å kunne spore handlinger og lage analyser. Alle slike cookies skal beskrives i personvernerklæringen. Hva en personvernerklæring skal inneholde (og kan inneholde) kan du lese mer om på datatilsynets sine sider.
  2. Lag rutiner for å følge det nye regelverket.
    1. På samme måte som i dagens personvernlov skal enhver person kunne få oversikt over hva slags informasjon dere sitter på om vedkommende, og kunne få denne slettet på forespørsel. Dere må derfor ha en enkel måte å finne igjen denne informasjonen dersom noen tar kontakt og lurer på hva dere vet om dem.
    2. Det er også krav om at man har sletterutiner for all data man samler inn. Her er det nok endel bedrifter som ikke har gode nok rutiner i dag, så det er greit å minne om dette.
  3. Databehandleravtaler med leverandører:
    1. Dere er ansvarlig for å opprette en databehandleravtale med alle som på en eller annen måte behandler persondata på deres vegne. For eksempel: Dersom vi drifter nettstedet ditt og du har noen form for skjema, påmeldingsknapp eller lignende på den siden har vi tilgang på personopplysninger på deres vegne, og skal ha en skriftlig avtale om hvordan vi behandler de dataene. Det gjelder uavhengig av om vi lagrer dataene hos oss, det at vi er i kontakt med noens personopplysning på din bedrifts vegne er nok til at en avtale er nødvendig.
    2. Det samme gjelder når man bruker 3. partsløsninger som MailChimp, Google Analytics eller for eksempel et CRM - system som håndterer ulike former for kundekontakt. Du skal både ha en rutine for å slette informasjon, og sikre at de som lagrer data på dine vegne har gode sikkerhetsrutiner.
    3. Samtykke.
      1. Etter 25. mai er det ikke lov å kommunisere med folk som ikke har bedt om det. Det vil si at dersom du for eksempel sitter på store kundedatabaser som du sender ut informasjon til kan du ikke lenger bruke de listene etter 25. mai.
      2. Det er ikke lenger godt nok med et forhåndsutfylt felt der det står “jeg godtar… go en rekke ting listet opp”. En person skal aktivt ha samtykket til å motta informasjon fra deg, og hver ulike form for kontakt skal ha et eget samtykke. Gamle nyhetsbrev-lister eller kundebaser knyttet til et arrangement for eksempel kan derfor IKKE brukes til å ta kontakt etter 25. mai. Vi anbefaler derfor våre kunder å kjøre samtykke-kampanjer for å få med seg så mange som mulig av kundene sine over i nye lister som er GDPR-sikret.
      3. Det flotte med dette er at framtidige epostlister vil ha mye høyere kvalitet ettersom man ikke lenger kan ta kontakt med de som ikke ønsker det, og man enklere kan skille på hvem som ønsker nyhetsbrev, hvem som er interessert i kurs og konferanser og hvem som for eksempel gjerne mottar markedsføring av nye produkter og tjenester.
      4. For eksisterende kunderelasjoner gjelder ikke dette, så du kan som bedrift selvsagt fortsatt kommunisere med de du har et aktivt kundeforhold til der det å ta kontakt er nødvendig for å yte den tjenesten/servicen kunden har bedt om.
    4. Skjemahåndtering:
      1. I praksis vil dette si at dersom du har et skjema eller en påmelding på nettsiden din for eksempel, så må dette skjemaet nå inneholde informasjon om hva som samles inn av informasjon, en lenke til deres personvernerklæring og et eksplisitt samtykke som kunden/brukeren må huke av for. Dersom du har en opt in-løsning (det vil si at brukeren sender inn, og mottar en epost der man bes om å bekrefte at man vil stå på en nyhetsbrevliste for eks) trenger du ikke ha en avhukingsboks, da blir samtykket gitt ved at vedkommende svarer bekreftende på eposten som sendes.
    5. Hva slags type systemer inneholder ofte personopplysninger:
      1. Påmeldingsknapper på nettsiden og i nyhetsbrev.
      2. Skjema-løsninger
      3. Chat-systemer, som eksempelvis LiveChat.
      4. Nyhetsbrev-systemer, som eksempelvis MailChimp
      5. Kundehåndteringssystemer
      6. Nettsiden
      7. Epost. Er ofte her man mottar info om en kunde eller en henvendelse.


Trenger du hjelp?

Har din bedrift behov for hjelp til dette med GDPR så ta gjerne kontakt med oss for kartleggingssamtale. Vi kan hjelpe deg å utforme avtaler som eksempelvis databehandleravtaler eller personvernerklæring. Vi leverer også foredrag, halvdagskurs eller andre former for GDPR-bistand, avhengig av bedriftens størrelse og behov.

Vennligst fyll ut ditt navn.
Vennligst fyll ut din e-postadresse som vi kan kontakte deg på.
Vennligst skriv en kort og beskrivende forklaring på hva henvendelsen gjelder.