Hvis du følger med på Facebook og i nyhetene, har du kanskje fått med deg den nye personvernloven GDPR som trer i kraft 25. mai 2018? Kanskje du også er litt stressa over det, og hvor komplisert det er?

Oppdatering april 2018: Datatilsynet bekrefter nå at innføringen av GDPR er utsatt til juli. Det betyr ikke at du ikke må gjøre det, men at du nå får litt lengre tid på deg til å gjøre de tingene jeg forteller om i dette innlegget.

Når jeg nevner GDPR i mail eller på Facebook, opplever jeg at mange er både forvirret og bekymret. Det går mye rykter, og det har vært mye uklarhet. Det skaper frykt. Noen tror de må slette hele epostlisten sin, andre dropper å starte epostliste fordi de tror at det ikke er noe poeng lenger.

Men du? Ikke stress. Det kommer til å gå helt fint!

Det virker komplisert, og rykter om 20 millioner euro i bot hvis man ikke følger loven gjør det selvfølgelig ikke akkurat mindre skummelt.

Men når man tar et steg tilbake og ser på det, så er det faktisk ikke så komplisert eller skummelt som man skulle tro.

Vet du ikke hva GDPR er? Les mer: 10 spørsmål og svar om GDPR

Det viktigste er at du prøver

Ja, du som blogger MÅ følge loven. Og ja, du kan risikere bot hvis ikke du gjør det. Men sjansen for at det skjer er ganske liten.

Det aller viktigste er at du viser at du forsøker. At du har satt deg inn i loven og forsøker å gjøre det riktige, og har rutiner for hvordan du behandler dataen du lagrer. Om du skulle få ettersyn og det viser seg at du ikke har gjort alt helt riktig, vil det sannsynligvis gå helt fint, så lenge du kan vise at du prøver.

Det finnes fortsatt litt uklarhet rundt enkelte temaer fordi loven ikke har trått i kraft ennå. Men det meste er klart, og her går jeg igjennom prinsippene, og hvordan du som blogger må forholde deg til GDPR.

En liten advarsel:

Dette innlegget er LANGT og omfattende. Jeg forsøker å forklare alt så forståelig som mulig, og det krever litt plass. Jeg vil anbefale deg å lese hele, ettersom alle punktene er viktige. Men ta deg gjerne en kaffepause innimellom, slik at du ikke blir overveldet. Ta også gjerne notater underveis på hva du må fikse.

Du kan også laste ned en sjekkliste og en forenklet oppsummering jeg har laget:

Aller først: Hva er egentlig data?

Hele poenget med den nye loven, er å beskytte folks data bedre.

Data betyr i denne sammenhengen all informasjon som kan identifisere noen.

Altså all slags informasjon som gjør at man kan finne ut hvem en enkeltperson er. Det kan være navn, epost, mobilnummer, adresse og fødselsnummer. Det kan også være hvis du sporer og lagrer cookies eller IP-adressene til personer. Kan du identifisere noen ved dataen du har, faller den inn under GDPR.

Det er også noe som heter sensitiv informasjon. Det kan være helseinformasjon, religion, politisk tilhørighet, seksuell legning og slike detaljer. Hvis du for eksempel driver en helserelatert business eller blogg og samler informasjon om folks helse (for eksempel allergi), er det ekstra viktig at den er godt oppbevart og at du har rutiner for behandlingen av sensitiv data.

Nå må du ha samtykke for å sende epost

Hovedprinsippet i GDPR er at man skal ha samtykke til:

  • Å oppbevare en persons data, for eksempel epostadresse
  • Hvordan man kan bruke den informasjonen

Kravet for hva som faktisk er samtykke, blir nå strengere. Samtykket skal ifølge Datatilsynet være både informert og frivillig.

Det vil si at alle leserne dine skal vite nøyaktig hva de sier ja til når de gir deg privat data, og hvordan du behandler informasjonen.

Hvis de for eksempel gir deg eposten sin, skal de vite hva du gjør med den.

Da skal de få vite at du kommer til å sende dem eposter. De skal også få vite det hvis du gir eller selger eposten til andre, for eksempel annonsører eller samarbeidspartnere.

Og: De skal ikke bare vite det. De skal godkjenne det.

Du kan altså ikke bare informere om at du gir eposten til annonsører, de må samtykke i at du gjør det. Ellers kan du ikke gjøre det.

Det er viktig å huske hvis du for eksempel arrangerer konkurranser eller give aways i samarbeid med en annonsør.

Du kan ikke gi bort PDF, for så å sende epost

GDPR betyr at vi må tenke litt annerledes når det kommer til opt ins. Altså det å gi bort en guide, sjekkliste, eller noe annet gratis, i bytte mot epostadressen.

Tidligere har vi kunne legge inn skjema på bloggen, hvor vi sier «last ned gratis guide», i bytte mot eposten. Så har leseren lagt inn eposten, fått filen, og vi har fått adressen. Så har vi sendt dem nyhetsbrev, salgsmailer og annen markedsføring.

Det er ikke lenger lov.

Hvis leseren velger å legge igjen eposten sin for å laste ned en guide eller noe annet du gir bort, er sjansen stor for at de er interessert i andre ting du har å tilby. For eksempel et kurs du selger, eller en bok.

Men, den nye loven betyr at du ikke bare kan anta det og begynne å markedsføre kurset eller boken til dem. Du må få tillatelse til det.

Det finnes enkelte tilfeller hvor du kan komme unna med å si at de teknisk sett har godkjent det fordi det du sender dem er så likt det de lastet ned, at det er legitim interesse.

Men det vil være vanskelig å bevise, og du må kunne bevise det ved ettersyn eller hvis en abonnent påstår de ikke har gitt samtykke. Så det beste er å gjøre det ordentlig, og få et reelt samtykke.

Det vil si at hvis de laster ned en gratis PDF, må de kunne motta PDF-en uten å automatisk havne på epostlisten din. De skal selv velge om de vil motta eposter fra deg, og må altså godkjenne at du legger dem til i epostlisten din.

Det gjelder ikke bare gratis PDF, det gjelder alt. For eksempel hvis du har en quiz, må de kunne få svaret uten å havne på epostlisten din. Eller hvis du arrangerer et kurs og har påmeldingsskjema, skal de kunne melde seg på kurset, uten at du automatisk legger dem til i nyhetsbrevet ditt.

Facebookannonser påvirkes også

Akkurat dette punktet må jeg si jeg synes er vanskelig å godta, men det må vi bare. Mange av oss bruker Facebooks annonseverktøy, og custom audiences påvirkes også av GDPR.

Det vil si at vi må få samtykke fra hver person til at det er greit å målrette annonser mot dem. Filen vi laster opp for å lage publikummet, kan da kun bestå av de som har godkjent det.

Slik får du samtykke

Den enkleste måten er å ha en sjekkboks der du skriver hva du ønsker å gjøre med dataen, og så kan de krysse av hvis de gir samtykke.

Leseren skal gi aktivt samtykke. Det vil si at du kan ikke sette boksen til å være avkrysset på forhånd. Den må være tom, og så må leseren selv krysse av hvis de sier ja.

Det finnes forskjellig ordlyd du kan bruke på boksene, avhengig av hva du faktisk vil med eposten.

Du kan for eksempel skrive «Jeg vil gjerne motta informasjon om tjenester og produkter som kan være av interesse for meg», hvis du ønsker å sende markedsføringseposter om et kurs, produkt eller noe annet du selger.

Eller du kan skrive «Jeg ønsker å motta ukentlig epost med relevant informasjon» hvis du ønsker å sende dem nyhetsbrev.

Så må de altså krysse av i boksen(e) hvis de er enige. Er de ikke enige, må du sende dem det de vil ha, uten å legge dem til i epostlisten din.

Du må altså også ha en boks som sier noe ala «Jeg godtar at informasjonen min brukes til å målrette annonser på Facebook».

Nøyaktig hvordan dette vil fungere og se ut, vil avhenge av hvilken epostleverandør du bruker.

Seva, MailChimp og de andre leverandørene jobber nå med å tilrettelegge for GDPR, og de gjør også endringer i skjemaene vi legger på bloggen vår. Det vil si at det kommer funksjonalitet som ikke er der nå, for eksempel muligheten til å lage sjekkbokser.

Du kan lese hvordan Seva løser det, litt lenger nede i denne saken. Du kan lese MailChimps plan her.

Hva med epostadresser vi allerede har?

Dette er kanskje det vi lurer mest på. Mange av oss har allerede epostlister, og noen har mange tusen på dem.

Betyr GDPR at du like godt bare kan slette hele listen din? Nei.

Må de som er på listen din gi samtykke på nytt? Tja.

Akkurat dette punktet hersker det litt uenighet om. Noen sier at de du allerede har på listen din MÅ gi aktivt samtykke. Andre sier at så lenge du har gjort det klart fra før at de mottar eposter ved å laste ned en PDF, trenger du ikke det.

Det avhenger altså litt av hvordan du har ordlagt deg tidligere da de meldte seg på. Uansett betyr det ikke at du automatisk bare sletter hele listen.

Om du velger å få samtykke fra dem eller ikke, er opp til deg og hvor komfortabel du føler deg med at de som er på listen vil være der. Og om du føler at du kan bevise at de har gitt samtykke, hvis du må.

Få dem engasjerte, og så be om samtykke

Jeg vil anbefale at du får samtykke, slik at du er sikker på at de vil høre fra deg. 

Det er det som kalles best practice, altså den anbefalte måten å gjøre det på.

Min anbefaling er at du lager en liten engasjerings-kampanje så fort som mulig for å varme dem opp, før du ber dem gi samtykke til å forbli på listen din.

Hvis du allerede sender ukentlige eposter, er ikke dette punktet så viktig. Men om du normalt sett bare mailer listen din en gang i blant, er det lurt. Da har de gjerne ikke så tett forhold til deg, og hvis du ber dem bekrefte at de ønsker å forbli på listen din, er sjansen større for at de sier nei.

Send 3-5 eposter i god tid før 25. mai til alle på listen din. Det kan være en epost med en PDF, eller du kan stille et spørsmål, tipse om nytt blogginnlegg, eller noe annet.

Formålet er å sende noen eposter slik at listen din blir «varm», og vil være interessert i å forbli på listen din. Da er sjansen større for at de sier ja når du ber om samtykke.

Deretter sender du så eposter hvor du spesifikt ber om samtykke.

Slik løser jeg det for Blogg Bedre

Det er denne løsningen jeg har valgt å bruke for Blogg Bedre. Jeg tror nok de aller fleste på listen min vet at de vil motta eposter fra meg, fordi jeg sier det på alle skjemaer hvor de kan laste ned noe. Men jeg ønsker å ha en så god liste som mulig, og velger derfor denne metoden.

Fordi jeg allerede sender eposter hver uke, trenger jeg ikke å varme opp listen. Jeg gikk derfor rett til punktet om å be om samtykke. Men, jeg brukte en gratis PDF som lokkemiddel.

I mars sendte jeg først ut en epost hvor emnefeltet handlet om at de fikk noe gratis, slik at de opplevde verdi. Det øker sjansen for at de åpner og leser mailen. I mailen forklarte jeg at jeg trenger samtykke til GDPR, og ba dem om å klikke på en lenke som sier at de samtykker til at jeg kan sende dem nyhetsbrev også etter 25. mai.

Så fikk de muligheten til å laste ned en vedlagt PDF med gratis guide som takk.

Deretter, i midten av april, skal jeg sende en ny epost til alle som ikke allerede har gitt samtykke. Der kommer jeg til å ha emnefelt som handler om at jeg trenger samtykke. I mailen ber jeg dem om å klikke på lenken, for å gi samtykke.

Så, i midten av mai, kommer jeg til å sende en epost til. Emnefeltet vil si at de MÅ klikke for å fortsette å få mailer fra meg. I eposten vil det være samme lenken som de må klikke for å gi samtykke. De får frist til 24. mai 2018.

Den 24. mai kommer jeg så til å sende en siste epost til dem som ikke har gitt samtykke, og si at i morgen blir de slettet fra listen min.

Når 25. mai kommer, vil jeg så slette alle på listen min som IKKE har gitt samtykke.

Det høres hardt og veldig skummelt ut, men det er slik det må bli hvis jeg ønsker at listen min skal være innenfor loven. Og det gjør jeg, jo.

Denne løsningen har flere fordeler

Formålet med å sende en slik mini-kampanje, er å gjøre at så mange som mulig gir samtykke. Jeg vil selvfølgelig ikke slette flere adresser enn jeg må.

Men, det er faktisk en positiv side ved å slette adresser også.

Akkurat som at du på sosiale medier ønsker engasjerte følgere som faktisk er interesserte i det du deler, ønsker du epostmottakere som faktisk vil høre fra deg.

Ved å sende en slik kampanje vil du automatisk få luket ut de som egentlig ikke ønsker å være på listen din.

Hvis de ikke velger å gi samtykke, er det uansett like greit å ikke sende dem flere eposter. Da er det bedre å bli kvitt dem.

Ved å slette de som egentlig ikke er interesserte, står du igjen med en liste som har meget høy kvalitet. De som samtykker, ønsker virkelig å være på listen din.

Det gir deg bedre feedback på epostene du sender, og det vil gi deg bedre leveringsprosent og åpningsprosent. Det kan også redusere regningen din hos epostleverandøren din. For hva er vel poenget i å betale for eposter som ikke vil høre fra deg?

Dette gjør jeg faktisk allerede, cirka hver tredje måned. Da sender jeg et par eposter til det som i Seva heter «cold adresses». Det er de som ikke har åpnet en epost fra meg på 90 dager. I mailen ber jeg dem bekrefte at de ønsker å fortsatt være på listen min, eller melde seg av. Klikker de ikke på «ja» i løpet av et par uker, sletter jeg dem.

Jeg har slettet flere hundre eposter totalt, og det er noe av grunnen til at jeg har gjennomsnittlig åpningsprosent på over 50%.

Slik tilrettelegger Seva

Jeg bruker og anbefaler Seva til å sende eposter, og tar derfor en kort gjennomgang av hvordan de tilrettelegger for GDPR.

For Seva påvirker GDPR både systemet utad for oss, og internt for dem. Altså hvordan de lagrer og behandler informasjonen vi gir dem om våre abonnenter. Det påvirker også vårt forhold til dem som kunde, vi dekkes også av loven med hvordan Seva behandler vår informasjon.

Mange av disse tingene er allerede på plass, for eksempel at vi kan avslutte kontoen når som helst og be om at all data de har lagret om oss blir slettet.

De jobber også hardt med å lage nye tilpasninger.

  • Det blir mulig å se hvem av abonnentene som bor i EU, og du kan velge/sortere abonnenter etter land og region.
  • En kontrakt du kan signere og lagre, som viser at Seva følger loven. Den må du kunne vise frem om du skulle bli kontrollert. Du må dokumentere at tjenestene du bruker følger loven.
  • En ny funksjon som gjør det mulig for oss å slette all data som er lagret om en abonnent.
  • Sjekkbokser på skjemaer. Alle skjemaer kan ha sjekkbokser hvor personen kan gi samtykke.
  • Hvis denne boksen forblir umarkert, vil personen automatisk motta for eksempel PDF-en de ba om, men de vil ikke legges til i epostlisten din. Seva sørger altså for at du ikke kan sende epost til personer som ikke samtykker.

Du må dokumentere hvordan du behandler data

Det er Datatilsynet som er øverste myndighet for denne loven, og de kan gjøre ettersyn. Da kan de kreve flere ting av deg, blant annet må du kunne dokumentere at personene på listen din har samtykket.

I tillegg kan de forlange å se en rutinebeskrivelse av hvordan du behandler data. Det vil si at de vil se et dokument som forklarer:

  • Navn og adresse på den som er ansvarlig for behandlingen av dataen (sannsynligvis deg)
  • Hvilke data du samler inn og hvorfor
  • Hvordan du oppbevarer informasjonen
  • Om informasjonen blir utlevert til andre, og i så fall hvem
  • Hvor lenge opplysningene blir lagret. Dersom det ikke er mulig å angi nøyaktig tid, skal det opplyses om hvilke kriterier som bestemmer lagringstiden.
  • Hvordan du håndterer sletting

Hvis du for eksempel lagrer en fil med adresser på PC-en din, må du dokumentere hvem som har tilgang til den, og hvor lenge den blir liggende før den slettes.

Hvis du pleier å skrive ut ark med navn (for eksempel påmeldingslister til kurs), skal det dokumenteres hvem som har tilgang til listen. De skal også makuleres når du er ferdig.

Regler for dataen du samler inn

Det finnes noen krav og regler rundt dataen du samler inn, som du må følge.

  • Du kan ikke oppbevare data lengre enn nødvendig. Hvis du for eksempel lagrer eller skriver ut et eget dokument med påmelding til et kurs, skal den listen slettes eller makuleres når kurset er over.
  • Du kan ikke samle inn mer data enn du trenger. Hvis du kun skal sende epost, kan du ikke be om fysisk adresse eller mobilnummer, for eksempel. Hvis du derimot skal sende dem noe i posten eller trenger å vite hvor de bor av andre gyldige årsaker, kan du be om adresse.

Du må ha en side som forteller om personvern

Bloggen din må ha en egen side som forteller leserne hvordan du behandler persondata. Den siden må fortelle hvilken data du samler inn, og hva du gjør med dem.

Du kan se min side som eksempel her!

Selv om du kanskje har hatt en før, må du oppdatere og tilpasse den til GDPR. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning.

Du kan også gjerne lenke til den siden når du lager påmeldingsskjema, hvis det er mulig. Da kan leseren se hva du gjør med dataen før de melder seg på en liste.

Les Datatilsynets liste over hva personvernerklæringen skal inneholde.

Puh, det var det. Så langt, i alle fall. Det er en veldig lang liste, men det er viktig og det må gjøres. Det er lurt å begynne nå, og ikke vente til 24. mai.

Fikk du en bedre forståelse av hva du må gjøre og hvordan?

Author: Blogg Bedre

Jeg lærer ambisiøse bloggere som deg hvordan du kan bygge en suksessfull blogg som kan hjelpe deg til å leve det livet du ønsker. På Blogg Bedre får du tips, råd, sjekklister, verktøy, hjelpemidler og masse annet som hjelper deg til å bygge en suksessfull blogg.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

4 thoughts on “Stor guide til GDPR for bloggere – alt du må vite og gjøre!

  1. Wow, Lene. Dette var en skikkelig god gjennomgang, forklart på et forståelig nivå. Tusen takk!

    Posted on 16. mai 2018 at 08:33
    1. Så bra Kari! 😊 Jeg brukte ganske mange timer på å skrive det innlegget slik at det skulle bli enkelt og forståelig, så veldig glad for at du synes det.

      Posted on 16. mai 2018 at 09:43
  2. Tusen takk for forståelig forklaring! Tydelig forklart hva vi må gjøre.

    Posted on 22. mai 2018 at 15:06
    1. Så bra, Wenche! Veldig glad for at jeg kan hjelpe 😃

      Posted on 22. mai 2018 at 17:22