<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=847228605309050&amp;ev=PageView&amp;noscript=1">

GDPR: Nå må du kreve inn nye samtykker fra kundene dine

samtykke-gdpr-omg-bisnode

EUs nye retningslinjer for personvern stiller strengere krav til å hente inn samtykke fra kundene dine. Hans A. Borgen, partner i OMG, tror det nye regelverket kan by på store utfordringer for en del norske bedrifter. Dette bør du orientere deg om – her og nå.

hans-borgen-omg-samtykkeNye regler som også påvirker deg

I mai 2018 trer EUs nye personvernforordning – den mye omtalte GDPR (General Data Protection Regulation) – i kraft. Tidligere har vi tatt for oss hva disse nye regelendringene innebærer, hvordan de kan påvirke din virksomhet og hvilke muligheter GDPR bringer med seg.

Slik oppleves endringene
Ja, hvordan opplever norske bedrifter prosessen med å tilpasse seg de kommende lovendringene?

Vi spør Hans A. Borgen hos vår samarbeidspartner OMG, som jobber både med store og små aktører – alt fra selskaper med en kundebase på fire millioner kunder og ned til tre tusen. Borgen har derfor god innsikt i hvordan de nye regelendringene oppleves i selskaper av ulik størrelse.

GDPR omfatter alle

– Den første utfordringen er at dette regelverket omfatter alle – fra de aller største selskapene, som Google og Facebook, og ned til norske selskaper med en medlemsmasse eller kundemasse på bare tre – til fire tusen. Det EU egentlig er ute etter er jo å hindre at de store tar over kontinentet fullstendig, men løsningen deres er å innføre et system som gjelder alle, uten hensyn til størrelse og markeder, kommenterer Borgen.

Han har inntrykk av at denne nye one size fits all-løsningen, som han selv beskriver den, vil vise seg å være krevende for mange norske bedrifter.

Les også: GDPR – en unik mulighet til å rydde i boden

Norske selskaper – ikke spesielt store

– Ja, vi opplever at dette kan være krevende for mindre bedrifter, sier Borgen. – Norge er en nasjon med fem millioner innbyggere, og kundedatabasene til norske selskaper er naturlig nok ikke spesielt store i europeisk målestokk. Likevel må relativt små bedrifter forholde seg til at de samme rutinene og prosedyrene gjelder enten du har femti, tusen eller tre millioner kunder i databasen, påpeker han. – Det er et stort paradoks.

facebook-samtykkeRegelverket spiller de store gode
Borgen ser det som en selvfølge at handlekraften og evnen til å tilpasse seg GDPR er langt større i de store selskapene enn i små, norske bedrifter.

EUs nye regelverk er i bunn og grunn med på å spille de store gode. Facebook kommer jo ikke til å ha noen problemer med å etterleve det nye regelverket. De har jo massevis av ressurser til å jobbe med nettopp slike ting.

Bør likevel være gjennomførbart

Borgen er likevel rask med å påpeke at det nye GDPR-reglementet absolutt bør være gjennomførbart også for norske bedrifter:

– De vil nok trenge litt ekstern hjelp, enten fra organisasjonene som bestemmer bransjestandarder eller fra advokater som kan vurdere kritiske forhold. Men selvfølgelig er det gjennomførbart, konstaterer han. I bunn og grunn handler det om å innføre fornuftige rutiner og å oppføre seg skikkelig i håndtering av kundeinformasjon og bruk av markedsføringstiltak.

Les også: BDO: Slik kan mellomstore bedrifter møte endringene i personvernregelverket

Har hatt et avslappet forhold til reglene

En annen utfordring Borgen trekker frem er at norske selskaper nå må venne seg til en hverdag med høyere krav til – og strengere kontroll av etterlevelse av regelverket.

– I Norge har vi hatt en personopplysningslov som ikke er så langt unna GDPR i mange år. Problemstillingen som oppstår nå kommer som en følge av at norske bedrifter i realiteten har hatt et litt avslappet forhold til reglene – blant annet fordi det ikke har vært så mange tilsyn. I tillegg har man ikke hatt spesielt strenge straffereaksjoner, forklarer han. OMGs ekspert mener at denne avslappede holdningen kan skyldes at norske bedrifter i stor grad har oppført seg ordentlig mot kundene sine.

Les også: Hva betyr EUs nye personvernregler for ditt foretak?

gdpr-lås-bisnodeHelt annet nivå på bøtene
– For virksomheter som i liten grad har forholdt seg til Personopplysningsloven, vil det nok by på en betydelig forandring når de nå må forholde seg til GDPR. Vi snakker om et helt annet nivå på bøtene, og mange er blitt mer oppmerksomme på at dette er noe man må forholde seg aktivt til, sier han. Styret og selskapsledelsen får også et helt annet ansvar.

Viktig informasjon om samtykke

Et nøkkelspørsmål OMG har fått ofte den siste tiden er: Må vi hente inn nye samtykker fra kundene våre?

– Ifølge GDPR har du kun samtykke til å kommunisere akkurat det du har bedt om.

Har kunden din takket ja til å abonnere på et nyhetsbrev er det akkurat det, og kun det du har samtykke til, forteller Borgen.

Det betyr at mange norske bedrifter må hente inn oppdaterte samtykker, som spesifiserer hva slags kommunikasjon de ønsker å nå ut til kundene sine med.

Her er løsningen

Løsningen kan være å benytte seg av mer generelle samtykker om kommunikasjon. Det viktige er at du forteller kundene dine hva du ønsker å kommunisere til dem, og gjennom hvilke kanaler du har planer om å gjøre dette. Her må man være mye mer presis enn tidligere.

Les også: Personvern: 8 av 10 ledere er uvitende om ny lov

butikk-ansatt-gdprNytt, viktig krav: Samtykke
Et annet nytt krav som innføres når GDPR trer i kraft, er at man må ha samtykke til å bruke mye av den informasjonen man har om kundene sine i kommunikasjonen med dem.

Bruker du kundeprofiler eller kundesegmenter basert på data fra kunder, må de bli informert og gi samtykke til dette.

Ironisk balansegang

– Ironien her er jo balansegangen i det at kundene må samtykke til at man bruker informasjonen man har om dem, når dét alle kunder først og fremst ønsker er at aktørene man har et kundeforhold til skal komme med så relevant og god kommunikasjon som mulig. Og dét er bare mulig ved å bruke kundedata, sier Borgen.

– Noe av det viktigste norske selskaper bør gjøre snarest, er å få kundene til å forstå at bruk av kundedata er til fordel for dem selv.

Vært Norwegian-kunde i ti år

– Jeg har vært Norwegian-kunde i ti år, og fire-fem ganger i året reiser jeg til Malaga der jeg har en leilighet. Da vil det jo være helt absurd om jeg hele tiden skal motta tilbud om London-reiser, for det er ikke dit jeg reiser. Det jeg vil er å reise til Malaga så ofte som mulig, og da må jo Norwegian få bruke den informasjonen de har om meg for å sende meg gode tilbud på denne strekningen. Nå kan de ikke lenger gjøre det, uten å få samtykke fra meg, eksemplifiserer Borgen.

Han mener det er helt logisk at selskaper bruker persondata og mener det er liten grunn til å frykte at norske bedrifter vil misbruke dataene eller selge dem til en tredjepart.

Les også: Nye personvern-regler: Disse grepene må din bedrift ta nå

Også fordeler ved strengere samtykkekrav

Til tross for utfordringene tror Borgen at det også kan være enkelte fordeler ved å innføre strengere krav til samtykke fra kundene.

kunder-på-gata-gdpr

– Når du lar kundene styre selv, ved for eksempel å innføre en Min side-funksjonalitet, kan de selv dirigere kommunikasjonen inn i de kanalene og med den frekvensen de selv ønsker. I stedet for å melde seg helt av et nyhetsbrev, kan de velge å motta dette én gang i måneden, i stedet for én gang i uken, forklarer han.

Oppfør deg ordentlig!

Borgen er fornøyd med at det rettes et sterkere fokus på viktigheten av å ha en god personvernpolicy. – Det å oppføre seg ordentlig mot kunder er kjempeviktig, og mange norske bedrifter trenger et spark bak for å bli mer relevante i kommunikasjonen med kundene sine, fastslår han.

Gråsoner gir rom for ulike tolkninger

– Utfordringen med GDPR er at det kommer en rekke nye bestemmelser uten at det er fastlagt noen formkrav.

En lov i seg selv kan aldri være konkret nok, og derfor må virksomhetene selv definere hvordan de skal operasjonalisere og fortolke betydningen av GDPR, forklarer han. – Og det er der vi ser at våre kunder sliter litt. Når det er gråsoner, gir det rom for ulike tolkninger – avhengig av det juridiske miljøet.

Ønsker du mer informasjon om samtykke?

Vennligst kontakt Hans O. Borgen i OMG. E-post: hans.anders.borgen@omg.no. Tlf.: 90 06 09 66.

eirik-gundersen-bisnode-gdprSeminar 21. november i Oslo: GDPR for ledere
Hva betyr EUs nye regler (GDPR) for norske toppsjefer og styreledere? Over halvparten av norske ledere tror ikke at den nye personvernforordningen gjelder deres virksomhet. I realiteten angår regelverket de fleste. På dette seminaret vil blant annet Eirik Gundersen (bildet) i Bisnode holde foredraget "GDPR - en fantastisk mulighet". Les mer om seminaret her

Last ned gratis GDPR-infografikk.
Dette er hva de nye GDPR-reglene betyr for deg og din bedrift. LAST NED

GDPR infografikk

Motta våre nyeste blogginnlegg!