GDPR for markedsføring - Holdt på Oslo GDPR-meetup sammen med Tina Ertzeid Asla i desember 2017

1. Hvordan justere markedsføringen til GDPR?

2. Carl Christian Grøndahl
o 2008 Master om mobilisering i sosiale
medier
o 2009 Konsulent, Fjord Norge
o 2009-2011 Prosjektleder sosiale medier,
Synlighet AS
o 2009 Startet og drev kampanje-
organisasjonen Stopp Datalagringsdirektivet
o 2012 Konsulent i Bouvet Kundeopplevelse

3. Tina Ertzeid Asla
o 2010 Bachelor Markedsføring,
Handelshøyskolen BI
o 2013-2017 Konsulent, DigitasLBI
o 2017- Digitalrådgiver, Bouvet

4. Hvorfor GDPR?

5. Personvern
Forordningen kommer som resultat av et EU-politikere
har tatt noen viktige personvernutfordringer i et
moderne samfunn på alvor.
o Det siste EU direktivet som omhandler datasikkerhet
stammer fra 94
o Dagens lovverk er fra 2007
o Mye har skjedd siden 2007

6. ”
MENNESKERETTIGHET Nr. 12
Retten til privatliv
Ingen må utsettes for vilkårlig
innblanding i privatliv, familie, hjem og
korrespondanse, eller for angrep på
ære og anseelse. Enhver har rett til
lovens beskyttelse mot slik innblanding
eller slike angrep.

7. Vi har så mye data
o 90% av dagens data har blitt generert de to siste
årene*
o 31,25 millioner meldinger sendes og 2,77 millioner
sees hvert sekund på Facebook
o Det legges ut 46,740 Instagram bilder per minutt

8. ...og får enda mer
o Hver husholdning hadde ca 4 enheter koblet til nett
i 2016
o I 2020 er det anslått at man har ca 8 enheter koblet
til nett

9. Tillit må bygges opp igjen

10. GDPR skal gi forbrukere kontroll på
o Hva som lagres av data
o Hvem som lagrer dem
o Hva de bruker dem til
o Hvem de deler det med

11. Yay!
CC BY 2.0: Katie Thomas https://flic.kr/p/o5Dp8y

12. Forbrukerne har makten
o Som forbruker skal du og jeg vite hva, hvordan og hvorfor mine persondata
brukes
o Vi skal ha gitt et aktivt og informert samtykke til hvordan persondata brukes
o Vi skal kunne få innsyn i hva slags informasjon som finnes om oss og hvor den
er brukt
o Vi skal kunne tilbakekalle/endre samtykke og kunne kreve at data skal slettes
o Vi skal kunne nekte at data overføres til andre systemer
o Vi skal kunne motsette oss profilering (analyse av atferd for å avdekke
preferanserog behov)
o Vi skal kunne få like godt tilbud uten å gi fra oss persondata – med mindre
det er en del av tjenesten
CC BY 2.0: Chris & Karen Highland https://flic.kr/p/qKcmR2

13. I store trekk, hva endrer
seg?
o Vi må ha en klar tanke om hvorfor vi trenger dataen,
og personene vi samler opplysninger om må også
forstå dette
o Vi kan ikke lenger samle inn mest mulig data, vi må
begrense oss til det vi faktisk trenger – altså kan vi
ikke spørre om «unødvendig» informasjon
o Vi må ta en vurdering på hvor dataen skal leve,
hvordan den skal behandles, hvordan den skal deles,
slettes, overføres og eventuelt utleveres til kunden
o Det må være like enkelt for en kunde å si «ja takk»
som «nei takk»
o Tilbudet skal ikke være dårligere eller begrenses
dersom man velger å ikke dele data

14. Ta ansvar – tenk på kunden først
o Compliance er et arbeid som involverer alle på arbeidsplassen
o Ta ansvar for at dine samarbeidspartnere også er compliant
• Tredjeparter som Google, Facebook, Mailchimp, HubSpot
o Husk... dersom du følger dagens lovverk er ikke veien så lang
o Det er et kontinuerlig arbeid som skal være fokus hver dag
etter mai 2018
o Dersom man leter godt nok kan det alltid finnes avvik/feil

15. Vi må fokusere på mulighetsrommet
"Det er irriterende når
jeg får reklame som jeg
ikke er interessert I"
"Jeg liker ikke når
reklamen "følger
etter meg"
Nye
muligheter

16. Hovedbegreper
o Registrert: Den som en personopplysning kan knyttes opp til
o Behandlingsansvarlig: Den som bestemmer formålet med
behandlingen av personopplysninger og hvilke hjelpemidler
som skal brukes
o Databehandler: Den som behandler personopplysninger på
vegne av behandlingsansvarlig

17. BILDE
HER
Dette betyr
At vi kan gå fra....
Hello Kitty

18. Og utfordringene med dagens praksis
• Nyhetsbrev
• Remarketing
• Målrettet facebookannonsering
• Dataoverflod
• Hyppige endringer i markedsaktiviteter
• Lange og uklare samtykketekster
• Vanskelig avmelding
• Datainnsamling uten tanke på behandlingsgrunnlag
• Tidvis ukritisk deling/salg av data
• Slurvete målretting
• Spesielt mot utsatte målgrupper
• Forhåndstickede bokser

19. til

20. Muligheter
• Redusere tiltak som ikke fungerer
• Levere bedre markedsføring
• Dataminimalitet
• Bevissthet rundt behandlingsgrunnlag og
databehandling
• Forståelige samtykketekster
• Enkel opt-out
• Bedre personalisering

21. ...og med det bedre markedsføring

22. Hva sier de store aktørene?

23. ”You can count on the fact that Google is committed to
GDPR compliance across Google Cloud services. We
are also committed to helping our customers with
their GDPR compliance journey by providing robust
privacy and security protections built into our services
and contracts over the years.
Goolge
Foto: achinthamb/Shutterstock.com

24. ”We have now assembled the largest cross-functional
team in the history of the Facebook family of
companies. Dozens of people at Facebook Ireland are
working full time on this [GDPR] effort.
Facebook
Foto: tuthelens/Shutterstock.com

25. ”
Dropbox
Privacy by design
This means that organizations handling personal data need to think about data protection
when designing systems, not just review privacy implications after a product or process is
developed. If you process a lot of data or deal with sensitive information, in many cases
you'll also need to conduct data protection impact assessments to meet the privacy by
design principle.

26. Samtykke
Noen muligheter og tenkte caser for bruk av samtykke

27. Hvordan be om samtykke?
o Samtykke kommer til å handle om å forklare
kunden hvordan tilgang på deres data tilfører
dem verdi. Denne verdien kan være i form av
tilpasset og målrettet markedsføring
o Det etableres et tillitsforhold som raskt kan
brytes
o Når tilliten eventuelt brytes skal det være
enkelt for kunden å
• Trekke tilbake samtykke
• Dataportabilitet: Overføre sine data til en
konkurrent
• Kreve at all data skal slettes
• Få full innsikt i hvilke data som finnes – uten
ugrunnet opphold innen én måned

28. o Google og Facebook kan kanskje fortsette å tilby løsningen med
remarketingannonser
o Men kan vi bruke den?
o IP-adressen som vi bruker for å identifisere brukere på nettsiden vår
er persondata. – Som krever samtykke å bruke til noe.
o Så da må vi hente inn dette
o Når skal vi gjøre det?
Remarketing med Google og Facebook

29. Muligheter med Facebook
o Facebook vil mest sannsynlig oppdatere/lage
nye samtykkeavtaler
o Annonser innenfor Facebook vil kunne
fungere mye som før
o Men remarketing i Facebook basert på e-
postlister?
o Hvordan skal vi gjøre det?
o Hva med lookalike audience for en e-postliste
vi vil laste opp?

30. Nyhetsbrev
o Når jeg signerer på at jeg vil
motta et nyhetsbrev – så må det
gjøres langt tydeligere enn i
eksempelet her
o Hva skal eposten min brukes til?
o Kun nyhetsbrev
o Fra denne aktøren – eller også
andre?
o Til andre formål?

31. Oppsummering

32. Åpent for tolkning
o Selv om det arbeides for å komme frem til en bransjestandard
og gode tolkninger av reguleringen er det mange punkter som
er åpne for tolkning. Hvordan skal vi forholde oss til dette?
o Vær konsekvente i tolkningene av reguleringen og dokumenter
hvordan dere har tolket utvetydigheter. Dette gjør det enklere
å dokumentere valgene i ettertid og viser at dere har gjort så
godt dere kan innenfor rammene
o Dokumentasjon av hvordan persondata håndteres/er tenkt
håndtert er viktig om/når man får kontroller

33. Anbefalinger
Vi gjør det enklere for oss selv dersom vi:
o Tenker forbruker og rettigheter først
o Tenker godt igjennom behandlingsgrunnlaget, databehovet og behov
for lagring. Dette trenger du for dokumentasjon og samtykketekster
o Deretter utforme samtykketekster og se på behandling
o Ser på dette som en kontinuerlig prosess der behandlingsgrunnlag og
behov for samtykke er i stadig utvikling
o Informerer kunden om hva slags informasjon vi ønsker, hvorfor vi
trenger den, hvem vi skal dele den med og hvor lenge vi beholder
dataene

34. BILDE
HER
1. Tenk på forbrukeren først
Ha alltid forbrukernes rettigheter i
bakhodet fra start

35. 2. Definer hva du ønsker
Definer behandlingsgrunnlag for å
bestemme data- og lagringsbehov

36. 3. Tilrettelegg for samtykke
Salgsargumentet for hvorfor du skal få
tilgang til data og hvordan du skal
bruke det

37. 4. Gjenta prosessen
Bedre løsninger og mer fornøyde kunder

40. Annet

41. o General Data Protection Regulation: Bygger videre på et EU-direktiv fra 95, gammelt og laget før første Iphone kom – trengs
oppdatering
o Retten til et privatliv er en menneskerett.
o I 2016 hadde vi fire enheter, i 2020 er det anslått at man har 8, om ikke mer mener Torgeir (kanskje 10 gangern)
o Forordningen har som hensikt å gi forbrukerne mer kontroll over hva som lagres av data, hvem som lagrer dem, hva de bruker
dem til og hvem de deler det med
o Forbruker må gi et AKTIVT samtykke for at vi skal kunne bruke dataene. Dersom de sier at vi kan bruke dataene kreves
transparens. Det må gis tydelig beskjed som kunden kan forstå om hva dataene skal brukes til, hvem de skal deles med og hvor
lenge de skal lagres. De har også rett til å bli glemt der data skal slettes.
Fra MFO

42. o Hvem har egentlig ansvar og hvordan blir ansvarsfordelingen?
o Dette er en prosess, det handler om å lykkes med gdpr og være compliant ikke bare på «dommedagen» men hver dag etter
det
o Vi snakker om en endring i markedet og bruken som blir mer digital. Hvert hjem kommer til å ha utrolig mange devicer koblet
til hjemme, man må bare definere devicer riktig. Kan være lyspærer koblet til nett så vel som nettbrett.
o Regulering er en strengere form en directive – altså REGEL. EU ønsker å gjøre noe for menneskene i Europa. Hvor befinner
dataene seg
o Under 18: Har sluppet unna markedsføring mot barn. Markedsføring mot de under 18 med å skylde på dekke om at man ikke
vet går ikke lenger
o 13 år kan få samtykke til en del deling av data men mest sannsynlig ikke sensitive data.
o Dette komme pga alle datalekkasjene som har vært i Norge og andre land
• Æ
• Ashley Madison
• Yahoo
• Uber: Betalte noen for å ikke snakke om det
• Norges Idrettsforbund: Obligatorisk å ha profiler men det er ikke lukket info.
▪ Alle skylder på andre, «det er ikke vårt problem»
o Vi har ikke hatt databehandlingen så lenge, men nå kommer reguleringene.
o Mye av det man skal regulere har vært utenom scopet, derfor kommer også e-privacy regulation som kommer i 2019 som tar
for seg det som ligger utenfor forordnignen i dag
Torgeir Waterhouse: IKT Norge

43. o Reglene gjelder alle som behandler data for folk i Europa, ikke bare europeiske selskaper
o Myndighetene ønsker å gå fra å henge etter til å futureproofe.
o Man ønsker å si at feilbehandling av data foregår uansett
o Fokuser på artikkel 5: Dette er sjelen til GDPR – Hva de vil med dette. Det er ikke bare tekniske ting, men det handler også om
det organisatoriske. Det handler om hva dere faktisk gjør med selve jobben. Det er ikke et ansvar for ledelse, teknologi eller us,
men et ansvar for alle. Hvis det er data i bedriften så berører det alle.
o Noen nasjonale unntak: trossamfunn kan bli unntatt. Størrelse har noe å si, det er lettere å fikse hvis man er stor
o Rådene og dokumentene man skal følge kommer ikke til å være klare 25 mai og de er absolutt ikke klare i dag – dere må
begynne å lee, tenke og diskutere og forstå hva dere har av data og hvordan det etter hvert må behandles. Det handler heller
ikke bare om GDPR men også andre lovverk som for eksempel forbrukerkjøpsloven og markedsføringsloven
o GDPR er ikke PROBLEMET – det er kanskje løsningen? Det handler om å lykkes i samfunnet. Myndighetene ønsker et skifte.
Man skifter til å få en tillatelse up front til at man selv må passe på at man opererer ifølge lovverket til enhver tid. Dersom man
endrer løsningene eller hva man driver med må man revurdere dataene, behandlingsgrunnlaget og risikoen. Få inn den daglige
refleksjonen. Det handler om alle som behandler data, alle som er i kontakt med dataene.
o Personvern er ikke noe man skal dokumentere eller smøre etterpå – det handler om privacy by design. Du plikter å gjøre det
som er mest hensiktsmessig for brukeren og deres personvern – altså ikke default avhaking.
o Det gir makt tilbake til menneskene. Det handler om at det er et frivillig, fortløpende og informert samtykke
Torgeir Waterhouse: IKT Norge

44. o Hvis ikke menneskene forstår hva de samtykker til så kan de ikke gi samtykke og da får ikke vi bruke dataene
o Hvis vi ikke lykkes med GDPR kommer vi ikke til å lykkes med business modellen vi har eller på en datadreven økonomi.
o Vi må informere og være transparente dersom noe går galt. Hver person har rett til å vite dersom deres data har blitt
eksponert på noen måte, eller KANSKJE har blitt eksponert.
o Vi må selge ideen til noen om at de skal ha lyst til å ha dataen sine hos oss fordi det gir dem verdi på en måte
o Myndighetene har valgt å åpne opp for heftige gebyrer (4% av global omsetning) – kan ikke gjemmes i en global
konsernmodell – gjelder «de over» sin omsetning
o Tenk «jeg skal lykkes med å være en datadreven aktør»
o Forbrukeren gis mulighet til å bevege seg med dataene sine
o Dersom forbrukeren ønsker at du skal endre dataene deres så må man gjøre det
o Må dokumentere at data er slettet
o Det handles om tillitsbasert økonomi
o Hvordan passer vi på at alle rundt oss har tillitt til at vi behandler data på rett måte?
o Tenk risikovurdering hele tiden. Det kollektive har ansvaret
Torgeir Waterhouse: IKT Norge

45. o Man kan ende opp med å bli solidarisk ansvarlig dersom samarbeidspartnere eller kunder gjør noe som ikke er lov men man
ikke varsler
o Vi må klare å ha et fokus som handler om å jobbe kontinuerlig med å følge regelverket og at dersom man jobber hardt nok så
klarer man mest sannsynlig å finne en brist
o I en typisk bedrift er det 15-22 flere cloudløsninger i bruk enn det de ansvarlige er kjent med. Mange steder data ligger i som
ikke de ansvarlige er klar over
o Er arbeid på gang for å lage bransjenorm for markedsføring, men det er ingen fasit
Torgeir Waterhouse: IKT Norge

46. o Hva er egentlig en personopplysning? Alt som direkte eller indirekte kan knyttes til en person, f.eks:
• Navn, telefonnummer
• Observert adferd
• Sporingsdata og ip-adresser
• Vurderinger og profiler
o En del tilfeller der data til sammen kan bli knyttet til et enkelt individ. Dersom man er usikker, behandle dataene som om det er
personopplysninger, da er man sikker på at man ikke gjør noe feil
o Hva er en behandling? Absolutt all bruk av personopplysninger: Innsamling, lagring, deling, bearbeiding, beregninger,
profileringer. Hver gang dere behandler data trengs behandlingsgrunnlag
o Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysningene
o En forordning betyr at vi må ta teksten som den er. Det kan ikke endres og det må man forholde seg til.
o Prinsippene som ligger til grunn for GDPR:
• Lovlig, rettferdig og gjennomsiktig: Behandlingen dere gjør og behandlingsgrunnlaget skal være rettferdig og skal ikke krenke rettighetene. Personene skal skjønne hva dataene brukes
til og hvorfor dere trenger det
• Formålsbegrensning: Man skal bruke dataene kun til det man har sagt det skal brukes til. Hvis adresse skal brukes til frakt av en pakke kan det ikke brukes senere for å sende DM
• Dataminimalitet: Man skal lagre minst mulig data for å oppnå formålet.
• Korrekt og oppdatert: Dataene skal stemme med virkeligheten
• Løagringsbegrensning: Dataene skal ikke lagres lenger enn hva som er nødvendig
• Informasjonssikkerhet: Dataene må lagres sikkert
• Ansvarlighet: Man må selv vurdere om behandlingsgrunnlag er riktig, om behandlingen er lovlig osv
Gullik Gundersen: Datatilsynet

47. o Behandlingsgrunnlag: Grunnlaget for når vi har lov til å behandle opplysningner. Mange ulike behandlingsgrunnlag:
• Samtykke:
• Nødvendig for avtale
• Rettslige plikter
• Beskytte den enkeltes uttalte interesser
• Offentlige oppgaver med hjemmel i lov
• Interesseavveining
o Mange tenker at nå kommer GDPR og man må ha samtykke for alt – NEI, du må ha behandlingsgrunnlag for alt. Eks, man
trenger ikke samtykke for å få kontonummeret til de ansatte for å få lønn, det er en forutsetning for arbeidsforholdet og for å
følge loven om å utbetale lønn
o Enda strengere krav om behandlingsgrunnlag når det kommer til sensitive personopplysninger
o Samtykke: skal være frivillig, spesifikt, informert, utvetydig og skje gjennom aktiv handling. Det stiller mange krav til
samtykketekst
o Man må kunne dokumentere at samtykke er gitt
o Skal være like lett å trekke tilbake samtykke som å gi det
o Dersom man ber om innsikt i opplysningene en bedrift har lagret om seg skal dette skje innen 30 dager uten ugrunnet
opphold. Det skal komme så fort man absolutt kan sende. Som hovedregel skal det være gratis. Dersom man ikke kan gi innsyn
i dataene må man gi en forklaring og fortelle at det finnes en klagemulighet.
Gullik Gundersen: Datatilsynet

48. o Rett til informasjon (hvordan)
o Personen skal vite hva bedriften gjør med deres opplysninger. Dataene skal være kortfattet, enkelt forståelig og ikke gjemt inne
i masse tekst
o Bruke layered notices: Kort intro der kan kan dukke ned i infoen dersom man ønsker
o Bruke just in time notices: man skal hele tiden få oppdatert informasjon slik at man forstår at når man samtykker til dette så
skjer dette
o Språket skal være klart og enkelt – samler man inn opplysninger om barn så skal barna forstå at det samles info og til hva. Et
forslag kan være å bruke bilder. Muntlig info er ikke godt nok
o Hvilken informasjon skal man gi? Hvem man er, hva man samler inn av opplysninger og hvorfor man gjør det og hvor
opplysningene kommer fra? Forklar behandlingsgrunnlaget eks om det er samtykke eller om det er nødvendig for å
gjennomføre samtalen. Hvem andre vil motta opplysningene? Hvor lenge skal man beholde dem? Hvilke rettigheter har
forbruker?
o Innsynsretten: Kan få en kopi av opplysningene. De skal bli gitt til personen slik at de forstår dem.
o Innsigelsesretten: Gjelder i tre situasjoner (det dere gjør med mine opplysninger ønsker jeg ikke):
• Gjelder alltid med direkte markedsføring. Ved innsigelser MÅ den behandlingen opphøre. Man trenger ikke slette alle opplysningene men markedsføringen må
slutte
Gullik Gundersen: Datatilsynet

49. o Man har plikter:
• Personvernombud
o Avvikshåndtering: Masse avvik. Alle avvik, mm det er usannsynlig at det medfører en risiko for personens rettigheter.
Første melding må komme innen 72 timer og inkludere:
• Avvikets art
• Antall berørte
• Kategorier av og antall oppføringer
• Kontaktinfo til Personvernombud
• Beskrivelse av trolige konsekvenser
• Beskrivelse av tiltak
o Krav til varsling av de berørte
Gullik Gundersen: Datatilsynet