Er du klar til at betale op til 4% af din omsætning i bøde?

25. maj 2018 træder den nye EU persondataforordning i kraft. Det lyder enormt kedeligt, men faktum er, at det bl.a. kommer til at berøre alle danske virksomheder, der i dag markedsfører produkter på internettet, både fordi opsynet med overholdelse af loven skærpes, samtidig med at bøderne for manglende overholdelse øges i en grad, at det kan komme til at ændre markedsvilkårene markant for os alle, især små og mellemstore virksomheder.

Denne artikel er både skrevet som en indgående opfordring til alle, der arbejder med effektiv markedsføring, om at forberede jer allerede nu. Og som en velmenende advarsel til alle andre, der bliver berørt af den nye persondataforordning.

Jeg har netop været til et møde hos Dansk Erhverv om den nye persondataforordning fra EU, der træder i kraft pr. 25. maj 2018. Loven erstatter den tidligere persondatalov fra 2004. Og set ud fra både et forbruger- og et virksomhedssynspunkt, ved jeg ikke rigtig, om jeg skal grine eller græde?

Lad mig starte med at slå fast, at beskyttelse af borgenes data helt klart er nødvendig, og at gennemskueligheden, af hvad borgenes data bliver brugt til, sagtens kunne være langt mere transparant, end det er tilfældet i dag.

Årsagen til, at jeg alligevel sidder tilbage med et noget ”anstrengt” forhold til den nye lov, er primært en bekymring for, at loven i sin nuværende udformning kommer til at skade mere end den gavner.

Hvad går loven egentlig ud på?

Jeg er ikke jurist, så mit formål her er ikke at fortolke loven ud fra et juridisk synspunkt, men alene ud fra hvilken konsekvens jeg som markedsføringsspecialist ser, det kan have, set ud fra både et forbruger og professionelt perspektiv.

Loven erstatter som nævnt persondataloven fra 2004, som de fleste virksomheder nok må erkende, de ikke overholder til fulde i dag. En kraftig opstramning er derfor helt sikkert på sin plads.

Forordningens 7 grundlæggende principper er:

Lovlighed, rimelighed, gennemsigtighed

Formålsbegrænsning (specificeret og nødvendigt brug)

Dataminering (kun hvad der er relevant)

Rigtighed (korrektur og ajourføring)

Opbevaringsbegrænsning (kun så længe som nødvendigt – interesseafvejningsreglen)

Integritet (fortrolighed, datasikkerhed)

Ansvarlighed (opfør dig ordentligt – bevisbyrden er din!)

Ovenstående betyder bl.a., at især kravene til hvordan virksomheder opsamler, opbevarer, bruger og sletter data skærpes markant, således at du fx:

    • kun opsamler data, der er strengt nødvendige ift. at kunne betjene kunden
    • kan dokumentere, at du har kundens utvetydige samtykke til at opbevare netop de persondata, du har registreret
    • data bliver slettet, så snart de ikke længere er strengt nødvendige for at kunne betjene kunden

Det der for alvor gør den nye persondataforordning anderledes end den forrige, er desuden, at straffen for overtrædelse hæves markant, så virksomheder fremover risikerer bøder på op til 4% af deres samlede omsætning, hvis loven ikke overholdes. Det står i skarp kontrast til de op til 25.000 DKK, der er givet i bøder indtil nu.

Hvad er problemet?

Hvis hensigten med persondataforordningen er helt reel, hvorfor har jeg så, så store forbehold mod den?

Den første udfordring, jeg ser med den nye persondataforordning, er, at de nye krav til bl.a. formålsbegrænsning og opbevaringsbegrænsning (jf. punkt 2 og 5 ovenfor) meget vel kan komme til at betyde, at selvom vi som borgere rigtig nok får større beskyttelse og en smule større gennemsigtighed omkring brugen af vores persondata, så mister vi også rigtig meget.

Loven vanskeliggør nemlig at virksomheder fx kan tilbyde adgang til ”gratis” services mod, at vi, som det er tilfældet i dag, netop betaler med personlige data i form af at oplyse vores e-mail-adresse eller tillade IP-tracking af vores brugeradfærd på nettet!

Spørgsmålet er derfor, om det vi vinder, står mål med det vi mister.

Lad mig give et par eksempler:

EKSEMPEL 1: Behavioral-targeting og cookie-baseret annoncering:

I ”gamle” dage blev vi overdynget med alle mulige reklamer på internettet, når vi fx gik ind på DMI’s eller tv2’s hjemmesider for at se vejret eller læse gratis nyheder.

Det gør vi selvfølgelig også i dag, men forskellen er, at annoncering i højere grad er tilpasset den enkelte bruger. Hvis jeg fx surfer rundt på nettet efter skiferie, er der en stor sandsynlighed for, at jeg også bliver præsenteret for produkter, der relaterer sig til skiferier, når jeg surfer rundt andre steder på nettet. Da skiferie og ski interesserer mig, synes jeg faktisk at det er en fordel, frem for at blive eksponeret for alverdens bilannoncer eller andet, der overhovedet ikke har min interesse lige pt.

Og ja, det ikke er optimalt at få præsenteret skiferier de næste 4 uger, når jeg nu allerede har købt skiferie. Men mon ikke der meget snart findes en løsning på det –  jeg kan i hvert fald ikke forestille mig, det er i annoncørens interesse at fortsætte med at bruge annoncekroner på mig, hvis jeg allerede har købt.

Hvis udbyderne af diverse websites ikke længere må registreret min adfærd på nettet, eller rettere hvis omstændighederne for at kunne gøre det bliver så dyre eller besværlige), så er det selv sagt ikke muligt at vide, hvad der interesseret mig.

Efter d. 25. maj 2018 kræves det, at jeg på hver eneste hjemmeside, jeg går ind på, skal læse og godkende lange juridiske forklaringer, inden jeg kan få lov at se indholdet. Og hvis jeg ikke accepterer, kommer jeg enten ikke til at kunne bruge servicen, eller jeg bliver præsenteret for et væld af ligegyldige annoncer.

EKSEMPEL 2: E-mails og lead scoring:
I ”gamle” dage blev man som B2B virksomhed ringet op af sælgere hver 3. måned for at høre, om man nu var klar til at købe.

I dag kan virksomheder, ved at registrere om du åbner deres mails, kigger på deres hjemmeside, deltager på deres seminarer mv., se, om du overhovedet er interesseret i deres produkter. Så kan de tilpasse deres markedsføring og salg efter, hvad jeg finder relevant. Og hvis jeg ikke synes, det er relevant, kan jeg i de fleste tilfælde bare sig nej tak med et enkelt klik.

Og ja, der er helt sikkert enkelte virksomheder, der gør det lidt svært at afmelde sig, eller takke nej, men det hører alligevel til sjældenhederne.

Efter d. 25. maj 2018 kræves det, at alle virksomheder skriftligt skal kunne dokumentere, at de har kundens utvetydige accept til at bruge e-mail-adresse, IP-oplysninger mv. over længere tidsperiode og til helt specifikke formål. Det er ikke præcist defineret endnu, hvor lang perioden er, men i princippet er det kun i en meget begrænset periode – sandsynligvis nogle uger eller måneder.

Forstil dig, at virksomheder, hvor du har sagt ok for at modtage e-mail, skal indhente permission fra dig hver 3. måned, for at få lov at skrive til dig. Personligt ville jeg foretrække, at de blev ved med at skrive, indtil jeg bad dem om ikke at skrive mere!

Paradis for advokater

Den persondataforordning, der er lagt op til at virksomhederne (store som små) skal efterleve, er bestemt ikke nogen kvikfix. Stort set al markedsføring er i dag baseret på en eller anden form for digitale kundedata med henblik på at kunne målrette og skabe øget relevans for den enkelte kunde.

Det er både til fordel for forbrugeren, som får mulighed for at se mere relevante reklamer, men naturligvis også for virksomhederne, der opnår langt mere effekt i forhold til skulle bruge den mere traditionelle markedsføring, hvor der skydes med spredehagl til en større gruppe forbrugere eller kunder på en gang.

Hvis kravet til dataopsamling, -brug, -opdatering og -sletning bliver som det er lagt op, kan det risikere at betyde, at:

  1. Store virksomheder kommer til at udfærdige flere siders lange samtykke klausuler, for at kunder kan få adgang til white papers, analyser, demoer, IT-platforme, sociale medier mv. – vel vidende at de fleste (og især den yngre generationer) ikke gider læse alle betingelserne, og i øvrigt er opvokset med at det er rimeligt at betale for gratis service med ”personlige oplysninger”.

    Og alle os andre er efterhånden også vant til at klikke ”cookie-vinduet” væk, så snart vi går ind på en ny hjemmeside, uden egentlig at læse hvad er står. I fremtiden bliver cookie-advarsler nemlig nødt til at erstattes af meget længere, juridiske forholdsregler, som du skal acceptere, før du kan anvende en bestemt service på nettet.

    cookie-advarsel

  2. Advokater får kronede dage, fordi de nu kan tilbyde dyre ”compliance” produkter til stort set alle virksomheder, der har kunder eller ansatte – dvs. alle. Det sker faktisk allerede i dag, hvor de fleste advokatkontorer turnerer rundt for at sælger diverse ”compliance-pakker”. Og når først loven er trådt i kraft, bliver der også rigeligt at se til med at rådgive og evt. afprøve princip-sager for de virksomheder, der bliver beskyldt for ikke at leve op til loven.
  3. Små virksomheder opgiver brugertilpasset markedsføring, fordi det ganske enkelt bliver for dyrt eller risikofyldt at opfylde kravene i den nye forordning. I stedet bliver virksomhederne i værste fald nødt til at ”outsource” den digitale markedsføring til de store mediebureauer, som har den fornødne juridisk indsigt og kapacitet til at håndtere data og opsamle samtykke løbende. Eller de kan gå tilbage til at benytte de mere traditionel markedsføring. Begge dele kan blive både for dyrt og ineffektivt for de små virksomheder.
  4. Forbrugeren får færre valgmuligheder, bl.a. fordi konkurrencen fra de mindre webshops reduceres, når kun de store aktører får adgang til den mere effektive form for målrettet markedsføring, mens de mindre virksomheder må nøjes med mindre ressourcekrævende markedsføringsløsninger, der til gengæld virker dårligere.

Løser den nye persondataforordning det egentlige problem?

Jeg anerkender naturligvis fuldt ud, at det bliver enormt rart, at data ikke længere må ligge og flyde på USB-sticks eller bliver sendt frit og kvit til Kina fra vores offentlige instanser.

Det er uden tvivl også nødvendigt, at virksomheder bliver nødt til at tage omgangen med andre menneskers persondata meget mere alvorligt, end det er tilfældet i dag.

Jeg anerkender også, at der er nødt til at være en sund etik omkring, hvad man kan tillade sig at bruge persondata til i forbindelse med bl.a. markedsføring.

Men jeg er som nævnt tidligere i artiklen også ret sikker på, at de store virksomheder og medievirksomheder (herunder Google og Facebook) nok skal finde en løsning, så de forsat kan spore vores IP-adresse, og lave automatiserede e-mail-flows mv., der holder sig inden for loven, uden at det nødvendigvis bliver mere transparant, hvad det er vi som forbrugere giver samtykke til.

Hvor mange læser egentlig de cookie-advarsler, der står i dag? Kommer vi til at læse pop-up-advarslerne, blot fordi de juriske forholdsregler for brug af et website bliver mange gange mere omfattende, end de er i dag? Bliver vi som forbrugere mere trygge? Giver det os mere kontrol og frihed?

Samtidig er jeg ret sikker på, at de kriminelle, der rundt om i verden bryder loven og hacker sig til vores persondata, nok stadig skal få fat i vores data – også de data der er langt mere kritiske end vores e-mail og IP-adresser, fx CPR-nummer eller private billeder.

Er det overhovedet muligt at regulere sig ud af problemet?

Jeg tror ikke på, at vi kan regulere os ud af alle tænkelige situationer med love – og da slet ikke på de digitale platforme, hvor udviklingen går så hurtigt, at selv kreative menneskers hjerne ikke har fantasi til at forestille sig, hvordan fremtiden ser ud. Og jeg frygter derfor, at de advokater, der har skrevet den nye persondataforordning ikke helt er klar over, hvilke konsekvenser forordningen reelt kan få for både borgere og virksomheder.

Er vi ikke længere i stand selv at bruge vores sunde fornuft? Kan vi slet ikke længere have tillid til, at vi selv er i stand til at vurdere, hvem vi opgiver vores e-mail-adresser til? Hvorfor må vi ikke længere benytte  vores e-mail-adresser, som ”betaling” for at få lov at deltage i konkurrencer? I hvert fald så længe vi til enhver tid kan kræve at trække vores samtykke tilbage igen, når vi ikke længere ønsker at bruge min e-mail-adresse.

Hvorfor ikke alene fokusere på det reelle problem, nemlig den lemfældige omgang med data internt i virksomhederne og mellem dataansvarlige og databehandlere, så data netop ikke ligger og flyder? Eller fokusere på de cases, hvor der reelt er tale om ondsindet eller overdrevet misbrug af persondata til fx profilering?

Måske jeg tager fejl. Måske har nogen tænkt tanken til ende og taget højde for, at det ikke blot bliver dem med flest advokater (og det er sjældent forbrugerne), der vinder. Det håber jeg i hvert fald – altså at jeg tager fejl. Det vil tiden de næste 2 år vise.

Selvom jeg var en af dem, der stemte nej til at beholde retsforbeholdet i 2015, så er jeg i dag glad for, at størstedelen af danskerne valgte at stemme anderledes. For det giver nemlig nu Danmark mulighed for at tilpasse loven, så balancen mellem at beskytte personers data og samtidig kan udnytte de muligheder, den nye teknologi giver for at skabe øget relevans og effektivitet til glæde for både borgere og virksomheder, vægtes fornuftigt.

Et par gode råd fra mig, til alle der arbejder professionelt med digital markedsføring?

Uanset om forordningen er gennemtænkt eller ej, så er faktum, at den rammer os alle om lidt over et år. Og den kan have meget vidtrækkende konsekvenser for de fleste, der arbejder med digital markedsføring, da det er de færreste, der (i hvert fald på markedsføringsområdet), i dag lever bare nogenlunde op til de nye regler – både når det gælder databeskyttelse, dokumentationskrav og transparens.

Så her kommer 4 gode råd til, hvad du bør prioritere allerede i dag, hvis du sidder med ansvaret for din virksomheds markedsføring:

  1. Få gennemgået loven af en uvildig advokat. IAA
    afholder d. 29. maj en konference specielt for marketingmedarbejdere hos Dansk Erhverv, hvor der netop sættes fokus på indhold og konsekvenser af den nye persondataforordning, der træder i kraft 25. maj 2018
  2. Få overblik over, hvordan du i dag bruger persondata – herunder IP-adresser og cookie-informationer ift. fx lead scoring
  3. Har du e-mail-adresser på kunderne, så find hurtigst muligt ud af, hvordan du sikrer, at du får opdateret dine data, så du har en skriftligt, utvetydigt og velbegrundet dokumentation for, ikke kun at bruge men også opbevare disse e-mail-adresser.
  4. Få dokumenteret dine processer for opsamling, brug, vedligeholdelse og sletning af kundedata på personniveau, herunder tracking af aktiviteter på IP-adresse (også dynamiske IP-adresser)

Det er i hvert fald det, jeg kommer til at gøre!

Hvis du ønsker at få besked, når der åbnes op for tilmeldinger til IAA-arrangementet (og ikke allerede er medlem af IAA), så kan du enten melde dig ind i IAA eller skrive dig op på min egen BetterBiz/House2Succeed email-service her.