Jeg skal styre unna de generelle spørsmålene rundt GDPR og markedsføring. Tusenvis av artikler rundt dette er bare et Googlesøk unna. I denne artikkelen vil jeg i stedet se nærmere på hvordan GDPR og inbound marketing spiller sammen.
Kontroll på egne personopplysninger
Med GDPR skal vi alle få kontroll på hvordan personopplysningene våre behandles, og dette skal gjøres med nye regler som gir økt transparens og fokus på rettferdig byttehandel. Varene som byttes i denne byttehandelen er gjerne tilgang til en tjeneste eller en ressurs mot tillatelse til å behandle dine personopplysninger.
Byttehandelen skal frem i dagen
I dag foregår det meste av denne byttehandelen i det skjulte. Til nå har de fleste av oss klikket samtykkende på bruksvilkårene til sosiale nettverk uten å tenke videre over konsekvensene for hvordan våre personopplysninger blir behandlet.
Vi har også hatt mulighet til å lete frem bedriftenes Privacy Policy, hvor det i en eller annen form for klartekst kan finnes informasjon om bruk av personopplysninger. Dette har vært innenfor regelverket, men det har i liten grad hatt fokus på at du skal ha kontroll på hvordan dine personopplysninger behandles.
Når GDPR trer i kraft, vil ikke lenger denne praksisen være god nok. Nå skal informasjonen gjøres mer tilgjengelig, behandlingen av personopplysninger skal beskrives på en forståelig måte, og bedrifter må belage seg på innhente samtykke før de behandler personopplysninger.
Les også: Hvordan komme i samsvar med GDPR i 2018
Relevant innhold er godt grunnlag for å få samtykke
For å få samtykke må vi først opparbeide tillit, og for å få tillit må vi som markedsførere ha kunden og kundereisen i fokus. Vi må være ærlige og hjelpende, ikke lukkede og selgende.
Vent, dette begynner jo å ligne på praksisen i inbound marketing!
Det er nettopp disse prinsippene inbound marketing bygger på. Dette kom tydelig frem i Christian Kinnear, Managing Director EMEA i HubSpot, sitt foredrag på Inbound-dagen 2018, den 14. mars. «We’re huge fans of GDPR. We designed our product based on that philosophy from day one», uttalte han, og viste hvordan det er klare paralleller mellom hvordan GDPR krever at vi setter den enkeltes personvern i fokus, og samtidig hvordan inbound marketing har de samme verdiene med kunde og kundereise i fokus.
Vi jobber hardt for å være relevante i markedsføring og salg for å vinne tillit, og ved å etterfølge GDPR vil dette tillitsforholdet forsterkes.
Samtykke eller interesseavveiing?
Catharina Nes i Datatilsynet holdt et godt foredrag om GDPR og konsekvenser for markedsførere på Inbound-dagen. Slik jeg oppfatter det, kan mye av dagens praksis hos markedsavdelingen gjennomføres uten samtykke som behandlingsgrunnlag. Catharina Nes forteller at samtykke ikke er det eneste gyldige behandlingsgrunnlaget for markedsførere. I en del tilfeller vil markedsførere kunne belage seg på en interesseavveiing hvor verdien for bedriften og omfanget av behandlingen av personopplysninger veies opp mot hverandre.
Det er fremdeles en del som må avklares – hvor går skillet for hvilken behandling som kan gjennomføres basert på en interesseavveiing, og hvilken behandling som krever aktivt samtykke? Jeg venter spent på at Datatilsynet skal komme med flere konkrete eksempler på dette.
Kanskje kan en matrise som denne brukes i interesseavveiingen? I denne matrisen kan behandlingen vurderes basert på grad av identifisering, og hvor inngripende behandlingen oppleves å være. I matrisen under har jeg lagt inn noen eksempler basert på mine vurderinger.
Uansett hvor skillet mellom samtykke/interesseavveiing vil gå, vil bedrifter som gir tydelig informasjon og som er relevante for sine målgrupper ha klare fordeler.
Ytterpunktene kan være langt mer inngripende og langt mer identifiserende enn hva matrisen over viser. Sett i et større perspektiv vil jeg påstå at behandlingen de fleste markedsførere utfører er lite inngripende. Andre aktører har langt større datasett, langt mer sensitive opplysninger og mer avanserte verktøy for sammenstilling.
Noen eksempler på behandling som vil oppleves som mer inngripende:
- Årsaker til at du ikke fikk kreditt
- Din helsetilstand
- Lokasjonshistorikk (stort volum, sensitive lokasjoner og tider for opphold?)
- Familiens sykdomshistorikk (sammenstilling av data)
- Samling av enorme mengder data for bygging av «psykografiske profiler»
Både detaljnivået, hvor sensitive opplysningene er i seg selv og hvordan opplysningene sammenstilles med andre datasett spiller inn. Hvilket av disse eksemplene mener du er over grensen?
- «han har kjøpt rødvin»
- «han kjøper rødvin hver fredag»
- «han kjøper rødvin hver fredag når mannen i nabohuset er i utlandet»
En utvidet matrise kan se slik ut - de fleste markedsførere opererer godt innenfor det rødmerkede området:
Sentralisering av personopplysninger
Med GDPR kommer også nye krav til utlevering, retting og sletting av personopplysninger, og med det potensielt også hodebry for den aktive markedsfører. Det er nemlig slik at mange av oss har mange systemer og verktøy hvor data om leads og kunder er lagret.
Hvordan skal vi effektivt fremskaffe, oversende og vedlikeholde opplysningene når de er lagret i en rekke systemer? Og hvorfor er det egentlig slik?
Mange benytter spesialiserte verktøy, også i tilfeller hvor et sentralisert system kunne håndtert de samme oppgavene. Ved å være kritisk til å gå til anskaffelse av nye systemer, og samtidig lete etter muligheter til redusere antall aktive systemer, vil hverdagen etter at GDPR trer i kraft bli mer oversiktlig, og bedriften vil være bedre rustet til å håndtere de nye kravene.
For meg er det helt naturlig å vise til HubSpot som et eksempel på et system som kan sentralisere personopplysningene. Jeg mener at mange bedrifter vil ha store fordeler av å samle funksjonalitet for CRM, marketing automation, e-postutsendelse og mer i ett og samme system.
Så, hva betyr GDPR for inbound marketing?
Jeg synes det virker som om mange av de gode tankene bak inbound marketing også er grunnlaget for GDPR.
For hva skjer dersom vi etterlever følgende tre punkter?
- Etterstreber å skape verdi og vinne tillit
- Jobber aktivt for å være relevante
- Gjør gode vurderinger om systemvalg, innsamling og bruk av personopplysninger
Da vil vi både praktisere inbound marketing etter beste praksis, samtidig som vi etablerer grunnpilarene for å etterleve reglene som kommer med GDPR.