LOADING

Største endring på 20 år: Dette betyr GDPR for din bedrift

av Rebecca Andersson Publisert: 18 januar, 2018
GDPR: Slutten på nettmarkedsføringen slik vi kjenner det i dag? | Right Brain

Siden den digitale verdenen har blitt en så stor del av vår hverdag, er også tiden moden for å oppdatere reglene for innsamling av personopplysninger på nett. Dette skjer i mai 2018 med den nye EU-personvernforordningen General Data Protection Regulation (GDPR).

GDRP er den desidert største endringen innen personvern de siste 20 årene. Det nye lovverket har blitt utviklet nettopp for å beskytte persondata.

 

Følger du dagens lovverk har du et forsprang på GDPR

GDPR trer i kraft allerede den 25. mai 2018. Har du ikke satt deg inn i dette, bør du virkelig få opp tempoet nå! Følger du dagens personopplysningslov kan du senke skuldrene noe. Det er nemlig et godt utgangspunkt, ifølge Datatilsynet.

Da er det ikke så mye som gjenstår for å komme à jour med endringene som GDPR fører med seg. Vet du knapt hva personopplysningsloven er, har du faktisk et skikkelig problem. Da er også veien mye lenger for å møte alle kravene som stilles i GDPR.

 

Datatilsynet | Right Brain

 

Det som kanskje virker mest skremmende for mange med den nye ordningen er de alvorlige konsekvensene regelbruddene kan få.

 

Det handler nemlig om bøter på opptil fire prosent av bedriftens totale omsetning. Eller opp til 20 millioner euro for dem som ikke følger lovverket.

 

Hva er egentlig persondata?

Ordet persondata nevnes nesten 600 (!) ganger i de ulike GDPR-lovtekstene.
Det betyr at det er en hel del opplysninger som inngår i denne kategorien.
Vi skal ikke gå gjennom alle former for persondata i detalj. Her ser vi heller på noen opplysninger du kanskje ikke er klar over at karakteriseres som persondata.

 

IP-adresser, GEO-tagger, e-postadresser og navn

Identifisering av nettbesøkende og data om hvor de befinner seg klassifiseres av GDPR som persondata, ifølge Piwik. Det vil si at både en IP-adresse og en GEO-tagg kan havne i kategorien persondata. Til og med e-postadresser og navn vil mest sannsynlig bli plassert i denne kategorien.

Tar du vare på denne informasjonen i dine cookies, må du helt enkelt oppdatere eller anonymisere dette før loven trer i kraft.

 

Hva kan du gjøre rent praktisk?

Akkurat nå sirkulerer det mange blogginnlegg om GDPR. Dessverre har få av disse konkrete forslag til hvordan du skal kunne løse de eventuelle problemene som oppstår som følge av det nye lovverket.

Derfor tenkte vi, så greie som vi er, å liste opp noen viktige momenter du bør vurdere før de nye reglene trer i kraft i 2018.

 

1. Endre eller ta bort dine såkalte cookies-popup

Dette handler om de små sprett-opp-boksene med tekster som “Ved å bruke denne nettsiden aksepterer du våre cookies” og lignende. Under GDPR må disse boksene mest sannsynlig bort eller endres. Det at man besøker en nettside vil nemlig ikke lenger være nok for å kunne forsvare innsamling av data.

For så lenge brukerne ikke gjør et aktivt valg der de godkjenner at det samles inn persondata, vil heller ikke en cookies-boks gjelde som samtykke. I punkt 32 i GDPR står det blant annet følgende (fra Datatilsynets foreløpige oversettelse):

“Samtykke bør gis i form av en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger… Dette kan innebære å krysse av i en boks under et besøk på et nettsted, velge tekniske innstillinger for informasjonssamfunnstjenester eller en annen erklæring eller handling… Taushet, forhåndsavkryssede bokser eller inaktivitet bør derfor ikke utgjøre et samtykke.”

 

Cookieinfo GDPR | Right Brain

 

Våre undersøkelser viser at selskaper som Platekompaniet, Maxbo, Fjellsport og Enklere Liv mest sannsynlig må gjøre noen tiltak fremover for å overholde reglene i GDPR.

 

Hvordan kan en dialogboks for cookies se ut etter at GDPR har trådt i kraft?

PageFair har skrevet et veldig interessant innlegg om hvordan en dialogboks for datainnsamling kan utformes for å tilfredsstille GDPR-prinsippene.

De foretok også en undersøkelse for å se hvor mange som faktisk hadde klikket på de ulike alternativene når dialogboksen så ut som følgende. Tallene var dessverre ikke videre oppløftende, der bare 21 prosent av de spurte stilte seg positivt til sporing.

 

2. Innstillingene i din nettleser vil mest sannsynlig regnes som et samtykke eller et avslag

Installerer eller oppdaterer du en nettleser etter 25. mai 2018 vil du måtte svare på noen spørsmål om hvordan du stiller deg til sporing av dine nettaktiviteter.
Dette er en del av det nye kommunikasjonsverndirektiv, ePrivacy Regulation, som fremdeles er under arbeid i EU.

 

Oppdatere en nettleser etter 25. mai | Right Brain

Illustrasjon: PageFair 

 

Ikke nødvendig å informere

Når fokuset flyttes fra enkeltnettsider til nettleserinnstillinger vil det etter all sannsynlighet ikke være nødvendig å informere om at det samles inn data ved hjelp av cookies. I alle fall ikke hvis det er bare du som skal benytte deg av denne informasjonen.

Dette forutsetter at nettlesere til dem som besøker siden din er innstilt på å godkjenne eller avvise cookies. Da har nemlig brukeren allerede tatt et aktivt valg til sporing på nettleser-nivå. Denne typen kommunikasjon har Stormberg (som virkelig burde fikse feilen som dukker opp i Safari på iPhone 6) og BliVakker allerede satt i gang med.

 

 

Nettleserinnstillinger GDPR | Right Brain

 

Utfordringen med disse innstillingene direkte i nettlesere ser du i følgende undersøkelse, gjennomført av PageFair.

 

 

Tracking Preferences | Right Brain

Illustrasjon: PageFair

 

Disse valgmulighetene kan føre til at langt færre aksepterer alle typer sporing. Det kan være mer naturlig for brukerne å tillate bare det som er nødvendig for å kunne bruke nettsiden eller tjenesten de oppsøker.

Det positive for oss, som jobber med konverteringsoptimalisering, er at denne regelendringen sannsynligvis ikke vil påvirke vårt arbeid i noe særlig stor grad. Vi jobber nemlig med å gjøre mest mulig ut av trafikken som allerede er inne på siden.

Det blir nok langt verre for dem som jobber med å få inn denne trafikken til nettsiden gjennom annonsering. Dette gjelder Facebook, Google Adword og andre plattformer for annonsering som benytter seg av tredjepartscookies for å innhente nødvendig data.

 

3. Forklar hvorfor du samler inn persondata og hva denne informasjonen skal brukes til

Så og si alle nettsider benytter seg av ulike typer cookies for å samle inn data om sine besøkende. Disse opplysningene kan være personlige som en e-post-adresse eller stedet der brukeren befinner seg. Dataene kan også være upersonlige, for eksempel informasjon om hvilken type nettleser brukeren benytter seg av.

GDPR vil gjøre det spesielt viktig å forklare hva cookies på nettsidene dine brukes til. En måte å løse dette på er å tilgjengeliggjøre denne informasjonen på en landingsside, for eksempel på dine sider om personvern eller brukeravtale.

Lag en liste over alle cookies brukerne får med seg, hvilke persondata du samler inn og hva denne informasjonen brukes til. Da har du laget et godt alternativ for dem som ønsker å vite mer om din behandling av persondata.

 

4. «Cart abandonment»-tjenester

I punkt 32 i GDPR står det også følgende:

 

“Et samtykke bør omfatte alle behandlingsaktiviteter som utføres med henblikk på samme formål. Dersom det er flere formål med behandlingen, bør det gis samtykke til alle.”

 

Vi tror at akkurat denne formuleringen kan komme til å påvirke leverandører av “cart abandonment”-tjenester, som mange nettbutikker benytter seg av i dag. Disse tjenestene genererer automatiske e-post til kunder som har lagt noen varer i den digitale handlekurven uten å fullføre kjøpet.

For selv om de besøkende har lagt igjen en e-post-adresse på nettsiden, har de ikke aktivt bedt om eller samtykket til denne typen kommunikasjon. Slike vennlige påminnelser kan derfor bli et reelt problem fra mai 2018.

Benytter du deg av en slik tjeneste, bør du fremover sette deg inn i hvilke rutiner leverandøren har for lagring og håndtering av data. Sjekk gjerne også med de samme hvilke planer leverandøren har for at tjenestene deres skal bli GDPR-klare.

Skal du fortsette å bruke disse tjenestene etter at GDPR er innført, må du mest sannsynlig opplyse en bruker om dette og gi dem mulighet til å samtykke eller avslå å få slike varsler.

 

5. Begynn å kommunisere slik at vanlige folk faktisk forstår deg

GDPR vil ikke lenger tillate juridisk tåkeprat, som til nå gjerne har preget slike samtykkeerklæringer. Du må skrive enkelt og lettforståelig. Ansvaret for at brukerne forstår hva de gir samtykke til flyttes nå faktisk over til deg.

Dette må du tenke på når du oppdaterer informasjonen på dine personvernsider, hvis du skal være samstemt med GDPRs punkt 58:

 

“Prinsippet om gjennomsiktighet krever at all informasjon som er rettet mot allmennheten eller den registrerte, skal være kortfattet, lett tilgjengelig og enkel å forstå, at det skal benyttes et klart og enkelt språk og ved behov visualisering.”

 

6. Formen på hvordan du kommuniserer må endres

Selv om du må kommunisere slik at alle forstår hva du mener, betyr det likevel ikke at all denne informasjonen må oppgis på en og samme tid. Datatilsynet mener at man kan velge å gi informasjon om datainnsamling i såkalte ”Layered notices”.

Da deler man opp budskapet på nettsiden slik at det skal bli mer relevant. Innledningsvis kan man for eksempel synliggjøre hovedbudskapet på toppnivå. Samtidig kan man vise til at man tilbyr mer informasjon hvis besøkende selv ønsker å oppsøke det. For eksempel lenger ned på siden eller ved hjelp av en fakta- eller infoboks som kan utvides.

Informasjonen kan også gis i form av ”Just in time notices”. Da gir man informasjon i det øyeblikket en person skal gjøre en handling som krever at man gir fra seg persondata. Det kan for eksempel være i det man skal gjennomføre et kjøp.

 

Just in time notice GDPR | Right Brain

Illustrasjon: Econsultancy

 

7. Dine besøkere skal kunne trekke tilbake sitt samtykke akkurat når de ønsker det

Det er lov å ombestemme seg. Er ikke brukeren lenger fornøyd med at informasjonen om brukeratferd samles inn på en spesifikk nettside, skal vedkommende når som helst kunne trekke tilbake sitt samtykke.

Det skal faktisk være like lett å trekke tilbake samtykket som det er å gi det, kjent som opt-out.

 

8. Anonymiser opplysningene i dine innspilte brukersesjoner

Samler du inn data fra dine besøkende i et innspillingsverktøy, bør du virkelig sette av tid til å bli kjent med GDPRs alle kriker og kroker.

Selv om persondata som samles inn i dette tilfellet er vanskelig å identifisere (personlig vs. upersonlig), skader det likevel ikke allerede nå å sørge for at du anonymiserer denne informasjonen.

Hotjar anonymiserer for eksempel automatisk IP-adresser. Det er også mulig å skjule opplysningene som besøkende skriver inn på din side.

Dette kan du selv endre under innstillinger i Hotjar.

 

Hotjar anonymiserer IP-adresser | Right Brain

 

Vi ble også nysgjerrige på hva Hotjar selv har planlagt å gjøre med tanke på GPDR. Derfor tok vi kontakt med dem og fikk følgende svar:

 

“Starting in June 2017, we’ve kicked off a project to look into the new GDPR requirements. The project will determine what steps we need to do to ensure we are 100% GDPR compliant well in advance of next May. The project will also involve a 3rd party to evaluate our compliance.“

 

Vi ble i alle fall beroliget av dette svaret! Det betyr at de tar GPDR på alvor. Akkurat som alle andre burde gjøre (og ja, det gjelder også deg).

Etter at dette innlegget var skrevet, har Hotjar fått på plass sin GDPR-plan. Du kan lese mer om hvordan de jobber med å tilpasse seg den nye personvernloven her.

 

Sørg for å ha alt ditt på det tørre

Datatilsynets hjemmesider finnes det allerede masse informasjon for å guide deg gjennom GDPR-implementeringen i din bedrift. Har du rukket å glemme det allerede minner vi deg gjerne på det igjen. Husk at du risikerer skyhøye bøter hvis du bryter GDPR-regelverket!

Det er derfor ekstremt viktig at du finner ut av hvilke forpliktelser som gjelder for akkurat deg og ditt selskap.

 

Datatilsynet GDPR | Right Brain

Noen tiltak som Datatilsynet anbefaler:

  • Lag en oversikt over hvilke opplysninger dere samler inn og hvorfor
  • Sørg for at dere allerede oppfyller dagens personvern-krav
  • Sett deg godt inn i det nye regelverket
  • Etabler rutiner som skal sørge for at du følger de nye reglene
  • Utnevn et personvernombud på din arbeidsplass

Er du nysgjerrig på hvordan GDPR kommer til å påvirke Google og Facebook? Les PageFairs innlegg om dette her.

 

NB! Dette blogginnlegget er skrevet ut i fra Right Brains tolkning av GDPR. Det beste du kan gjøre for din virksomhet er å kontakte Datatilsynet. Eller en advokat for å finne ut hvordan denne lovendringen påvirker akkurat deg og ditt selskap.

 

Webkommunikatør og atferdsviter. Stor interesse for mennesker, internett og psykologi. De siste årene har hun jobbet som Project & Campaign Manager i Oslo, og som webredaktør hos leketøysgiganten Lekmer. I dag jobber hun som Konverteringsspesialist hos Right Brain.

Tags:
Deling

Få konverteringstips!

Lær deg mer om konvertering og få nyttige tips, direkte på e-post.

Relaterte artikler

Kommentarfelt

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket *

Største endring på 20 år: Dette betyr GDPR for din bedrift

av Rebecca Andersson lesetid: 11 min