Lenegunvaldsen.no

Strategiene du trenger for bedre resultater

Stor guide til GDPR for bloggere – alt du må vite og gjøre!

Hvis du følger med på Facebook og i nyhetene, har du kanskje fått med deg den nye personvernloven GDPR som trer i kraft 25. mai 2018? Kanskje du også er litt stressa over det, og hvor komplisert det er?

Oppdatering oktober 2019: Les alt du som blogger trenger å vite om GDPR!

Når jeg nevner GDPR i e-post eller på Facebook, opplever jeg at mange er både forvirret og bekymret. Det går mye rykter, og det har vært mye uklarhet. Det skaper frykt. Noen tror de må slette hele e-postlisten sin, andre dropper å starte e-postliste fordi de tror at det ikke er noe poeng lenger.

Men du? Ikke stress. Det kommer til å gå helt fint!

Det virker komplisert, og rykter om 20 millioner euro i bot hvis man ikke følger loven gjør det selvfølgelig ikke akkurat mindre skummelt.

Men når man tar et steg tilbake og ser på det, så er det faktisk ikke så komplisert eller skummelt som man skulle tro.

Vet du ikke hva GDPR er? Les mer: 10 spørsmål og svar om GDPR

Det viktigste er at du prøver

Ja, du som blogger MÅ følge loven. Og ja, du kan risikere bot hvis ikke du gjør det. Men sjansen for at det skjer er ganske liten.

Det aller viktigste er at du viser at du forsøker. At du har satt deg inn i loven og forsøker å gjøre det riktige, og har rutiner for hvordan du behandler dataen du lagrer. Om du skulle få ettersyn og det viser seg at du ikke har gjort alt helt riktig, vil det sannsynligvis gå helt fint, så lenge du kan vise at du prøver.

Det finnes fortsatt litt uklarhet rundt enkelte temaer fordi loven ikke har trått i kraft ennå. Men det meste er klart, og her går jeg igjennom prinsippene, og hvordan du som blogger må forholde deg til GDPR.

En liten advarsel:

Dette innlegget er LANGT og omfattende. Jeg forsøker å forklare alt så forståelig som mulig, og det krever litt plass. Jeg vil anbefale deg å lese hele, ettersom alle punktene er viktige. Men ta deg gjerne en kaffepause innimellom, slik at du ikke blir overveldet. Ta også gjerne notater underveis på hva du må fikse.

Aller først: Hva er egentlig data?

Hele poenget med den nye loven, er å beskytte folks data bedre.

Data betyr i denne sammenhengen all informasjon som kan identifisere noen.

Altså all slags informasjon som gjør at man kan finne ut hvem en enkeltperson er. Det kan være navn, e-post, mobilnummer, adresse og fødselsnummer. Det kan også være hvis du sporer og lagrer cookies eller IP-adressene til personer. Kan du identifisere noen ved dataen du har, faller den inn under GDPR.

Det er også noe som heter sensitiv informasjon. Det kan være helseinformasjon, religion, politisk tilhørighet, seksuell legning og slike detaljer. Hvis du for eksempel driver en helserelatert business eller blogg og samler informasjon om folks helse (for eksempel allergi), er det ekstra viktig at den er godt oppbevart og at du har rutiner for behandlingen av sensitiv data.

Nå må du ha samtykke for å sende e-post

Hovedprinsippet i GDPR er at man skal ha samtykke til:

  • Å oppbevare en persons data, for eksempel e-postadresse
  • Hvordan man kan bruke den informasjonen

Kravet for hva som faktisk er samtykke, blir nå strengere. Samtykket skal ifølge Datatilsynet være både informert og frivillig.

Det vil si at alle leserne dine skal vite nøyaktig hva de sier ja til når de gir deg privat data, og hvordan du behandler informasjonen.

Hvis de for eksempel gir deg e-posten sin, skal de vite hva du gjør med den.

Da skal de få vite at du kommer til å sende dem e-poster. De skal også få vite det hvis du gir eller selger e-posten til andre, for eksempel annonsører eller samarbeidspartnere.

Og: De skal ikke bare vite det. De skal godkjenne det.

Du kan altså ikke bare informere om at du gir e-posten til annonsører, de må samtykke i at du gjør det. Ellers kan du ikke gjøre det.

Det er viktig å huske hvis du for eksempel arrangerer konkurranser eller give aways i samarbeid med en annonsør.

Du kan ikke gi bort PDF, for så å sende e-post

GDPR betyr at vi må tenke litt annerledes når det kommer til opt ins. Altså det å gi bort en guide, sjekkliste, eller noe annet gratis, i bytte mot e-postadressen.

Tidligere har vi kunne legge inn skjema på bloggen, hvor vi sier «last ned gratis guide», i bytte mot e-posten. Så har leseren lagt inn e-posten, fått filen, og vi har fått adressen. Så har vi sendt dem nyhetsbrev, salgsmailer og annen markedsføring.

Det er ikke lenger lov.

Hvis leseren velger å legge igjen e-posten sin for å laste ned en guide eller noe annet du gir bort, er sjansen stor for at de er interessert i andre ting du har å tilby. For eksempel et kurs du selger, eller en bok.

Men, den nye loven betyr at du ikke bare kan anta det og begynne å markedsføre kurset eller boken til dem. Du må få tillatelse til det.

Det finnes enkelte tilfeller hvor du kan komme unna med å si at de teknisk sett har godkjent det fordi det du sender dem er så likt det de lastet ned, at det er legitim interesse.

Men det vil være vanskelig å bevise, og du må kunne bevise det ved ettersyn eller hvis en abonnent påstår de ikke har gitt samtykke. Så det beste er å gjøre det ordentlig, og få et reelt samtykke.

Det vil si at hvis de laster ned en gratis PDF, må de kunne motta PDF-en uten å automatisk havne på e-postlisten din. De skal selv velge om de vil motta e-poster fra deg, og må altså godkjenne at du legger dem til i e-postlisten din.

Det gjelder ikke bare gratis PDF, det gjelder alt. For eksempel hvis du har en quiz, må de kunne få svaret uten å havne på e-postlisten din. Eller hvis du arrangerer et kurs og har påmeldingsskjema, skal de kunne melde seg på kurset, uten at du automatisk legger dem til i nyhetsbrevet ditt.

Facebookannonser påvirkes også

Akkurat dette punktet må jeg si jeg synes er vanskelig å godta, men det må vi bare. Mange av oss bruker Facebooks annonseverktøy, og custom audiences påvirkes også av GDPR.

Det vil si at vi må få samtykke fra hver person til at det er greit å målrette annonser mot dem. Filen vi laster opp for å lage publikumet, kan da kun bestå av de som har godkjent det.

Slik får du samtykke

Den enkleste måten er å ha en sjekkboks der du skriver hva du ønsker å gjøre med dataen, og så kan de krysse av hvis de gir samtykke.

Leseren skal gi aktivt samtykke. Det vil si at du kan ikke sette boksen til å være avkrysset på forhånd. Den må være tom, og så må leseren selv krysse av hvis de sier ja.

Det finnes forskjellig ordlyd du kan bruke på boksene, avhengig av hva du faktisk vil med e-posten.

Du kan for eksempel skrive «Jeg vil gjerne motta informasjon om tjenester og produkter som kan være av interesse for meg», hvis du ønsker å sende markedsføringse-poster om et kurs, produkt eller noe annet du selger.

Eller du kan skrive «Jeg ønsker å motta ukentlig e-post med relevant informasjon» hvis du ønsker å sende dem nyhetsbrev.

Så må de altså krysse av i boksen(e) hvis de er enige. Er de ikke enige, må du sende dem det de vil ha, uten å legge dem til i e-postlisten din.

Du må altså også ha en boks som sier noe ala «Jeg godtar at informasjonen min brukes til å målrette annonser på Facebook».

Nøyaktig hvordan dette vil fungere og se ut, vil avhenge av hvilken e-postleverandør du bruker.

ConvertKit, MailChimp og de andre leverandørene jobber nå med å tilrettelegge for GDPR, og de gjør også endringer i skjemaene vi legger på bloggen vår. Det vil si at det kommer funksjonalitet som ikke er der nå, for eksempel muligheten til å lage sjekkbokser.

Du kan lese hvordan ConvertKit løser det, litt lenger nede i denne saken. Du kan lese MailChimps plan her.

Hva med e-postadresser vi allerede har?

Dette er kanskje det vi lurer mest på. Mange av oss har allerede e-postlister, og noen har mange tusen på dem.

Betyr GDPR at du like godt bare kan slette hele listen din? Nei.

Må de som er på listen din gi samtykke på nytt? Tja.

Akkurat dette punktet hersker det litt uenighet om. Noen sier at de du allerede har på listen din MÅ gi aktivt samtykke. Andre sier at så lenge du har gjort det klart fra før at de mottar e-poster ved å laste ned en PDF, trenger du ikke det.

Det avhenger altså litt av hvordan du har ordlagt deg tidligere da de meldte seg på. Uansett betyr det ikke at du automatisk bare sletter hele listen.

Om du velger å få samtykke fra dem eller ikke, er opp til deg og hvor komfortabel du føler deg med at de som er på listen vil være der. Og om du føler at du kan bevise at de har gitt samtykke, hvis du må.

Få dem engasjerte, og så be om samtykke

Jeg vil anbefale at du får samtykke, slik at du er sikker på at de vil høre fra deg. 

Det er det som kalles best practice, altså den anbefalte måten å gjøre det på.

Min anbefaling er at du lager en liten engasjerings-kampanje så fort som mulig for å varme dem opp, før du ber dem gi samtykke til å forbli på listen din.

Hvis du allerede sender ukentlige e-poster, er ikke dette punktet så viktig. Men om du normalt sett bare mailer listen din en gang i blant, er det lurt. Da har de gjerne ikke så tett forhold til deg, og hvis du ber dem bekrefte at de ønsker å forbli på listen din, er sjansen større for at de sier nei.

Send 3-5 e-poster i god tid før 25. mai til alle på listen din. Det kan være en e-post med en PDF, eller du kan stille et spørsmål, tipse om nytt blogginnlegg, eller noe annet.

Formålet er å sende noen e-poster slik at listen din blir «varm», og vil være interessert i å forbli på listen din. Da er sjansen større for at de sier ja når du ber om samtykke.

Deretter sender du så e-poster hvor du spesifikt ber om samtykke.

Slik løser jeg det for min business

Det er denne løsningen jeg har valgt å bruke for min business. Jeg tror nok de aller fleste på listen min vet at de vil motta e-poster fra meg, fordi jeg sier det på alle skjemaer hvor de kan laste ned noe. Men jeg ønsker å ha en så god liste som mulig, og velger derfor denne metoden.

Fordi jeg allerede sender e-poster hver uke, trenger jeg ikke å varme opp listen. Jeg gikk derfor rett til punktet om å be om samtykke. Men, jeg brukte en gratis PDF som lokkemiddel.

I mars sendte jeg først ut en e-post hvor emnefeltet handlet om at de fikk noe gratis, slik at de opplevde verdi. Det øker sjansen for at de åpner og leser e-posten. I e-posten forklarte jeg at jeg trenger samtykke til GDPR, og ba dem om å klikke på en lenke som sier at de samtykker til at jeg kan sende dem nyhetsbrev også etter 25. mai.

Så fikk de muligheten til å laste ned en vedlagt PDF med gratis guide som takk.

Deretter, i midten av april, skal jeg sende en ny e-post til alle som ikke allerede har gitt samtykke. Der kommer jeg til å ha emnefelt som handler om at jeg trenger samtykke. I e-posten ber jeg dem om å klikke på lenken, for å gi samtykke.

Så, i midten av mai, kommer jeg til å sende en e-post til. Emnefeltet vil si at de MÅ klikke for å fortsette å få e-poster fra meg. I e-posten vil det være samme lenken som de må klikke for å gi samtykke. De får frist til 24. mai 2018.

Den 24. mai kommer jeg så til å sende en siste e-post til dem som ikke har gitt samtykke, og si at i morgen blir de slettet fra listen min.

Når 25. mai kommer, vil jeg så slette alle på listen min som IKKE har gitt samtykke.

Det høres hardt og veldig skummelt ut, men det er slik det må bli hvis jeg ønsker at listen min skal være innenfor loven. Og det gjør jeg, jo.

Denne løsningen har flere fordeler

Formålet med å sende en slik mini-kampanje, er å gjøre at så mange som mulig gir samtykke. Jeg vil selvfølgelig ikke slette flere adresser enn jeg må.

Men, det er faktisk en positiv side ved å slette adresser også.

Akkurat som at du på sosiale medier ønsker engasjerte følgere som faktisk er interesserte i det du deler, ønsker du e-postmottakere som faktisk vil høre fra deg.

Ved å sende en slik kampanje vil du automatisk få luket ut de som egentlig ikke ønsker å være på listen din.

Hvis de ikke velger å gi samtykke, er det uansett like greit å ikke sende dem flere e-poster. Da er det bedre å bli kvitt dem.

Ved å slette de som egentlig ikke er interesserte, står du igjen med en liste som har meget høy kvalitet. De som samtykker, ønsker virkelig å være på listen din.

Det gir deg bedre feedback på e-postene du sender, og det vil gi deg bedre leveringsprosent og åpningsprosent. Det kan også redusere regningen din hos e-postleverandøren din. For hva er vel poenget i å betale for e-poster som ikke vil høre fra deg?

Dette gjør jeg faktisk allerede, cirka hver tredje måned. Da sender jeg et par ep-oster til det som i ConvertKit heter «cold adresses». Det er de som ikke har åpnet en e-post fra meg på 90 dager. I e-posten ber jeg dem bekrefte at de ønsker å fortsatt være på listen min, eller melde seg av. Klikker de ikke på «ja» i løpet av et par uker, sletter jeg dem.

Jeg har slettet flere hundre e-poster totalt, og det er noe av grunnen til at jeg har gjennomsnittlig åpningsprosent på over 50%.

Slik tilrettelegger ConvertKit

Jeg bruker og anbefaler ConvertKit til å sende e-poster, og tar derfor en kort gjennomgang av hvordan de tilrettelegger for GDPR.

PS: ConvertKit har byttet navn til Kit etter at jeg skrev dette innlegget. 

For ConvertKit påvirker GDPR både systemet utad for oss, og internt for dem. Altså hvordan de lagrer og behandler informasjonen vi gir dem om våre abonnenter. Det påvirker også vårt forhold til dem som kunde, vi dekkes også av loven med hvordan ConvertKit behandler vår informasjon.

Mange av disse tingene er allerede på plass, for eksempel at vi kan avslutte kontoen når som helst og be om at all data de har lagret om oss blir slettet.

De jobber også hardt med å lage nye tilpasninger.

  • Det blir mulig å se hvem av abonnentene som bor i EU, og du kan velge/sortere abonnenter etter land og region.
  • En kontrakt du kan signere og lagre, som viser at ConvertKit følger loven. Den må du kunne vise frem om du skulle bli kontrollert. Du må dokumentere at tjenestene du bruker følger loven.
  • En ny funksjon som gjør det mulig for oss å slette all data som er lagret om en abonnent.
  • Sjekkbokser på skjemaer. Alle skjemaer kan ha sjekkbokser hvor personen kan gi samtykke.
  • Hvis denne boksen forblir umarkert, vil personen automatisk motta for eksempel PDF-en de ba om, men de vil ikke legges til i e-postlisten din. ConvertKit sørger altså for at du ikke kan sende e-post til personer som ikke samtykker.

Du må dokumentere hvordan du behandler data

Det er Datatilsynet som er øverste myndighet for denne loven, og de kan gjøre ettersyn. Da kan de kreve flere ting av deg, blant annet må du kunne dokumentere at personene på listen din har samtykket.

I tillegg kan de forlange å se en rutinebeskrivelse av hvordan du behandler data. Det vil si at de vil se et dokument som forklarer:

  • Navn og adresse på den som er ansvarlig for behandlingen av dataen (sannsynligvis deg)
  • Hvilke data du samler inn og hvorfor
  • Hvordan du oppbevarer informasjonen
  • Om informasjonen blir utlevert til andre, og i så fall hvem
  • Hvor lenge opplysningene blir lagret. Dersom det ikke er mulig å angi nøyaktig tid, skal det opplyses om hvilke kriterier som bestemmer lagringstiden.
  • Hvordan du håndterer sletting

Hvis du for eksempel lagrer en fil med adresser på PC-en din, må du dokumentere hvem som har tilgang til den, og hvor lenge den blir liggende før den slettes.

Hvis du pleier å skrive ut ark med navn (for eksempel påmeldingslister til kurs), skal det dokumenteres hvem som har tilgang til listen. De skal også makuleres når du er ferdig.

Regler for dataen du samler inn

Det finnes noen krav og regler rundt dataen du samler inn, som du må følge.

  • Du kan ikke oppbevare data lengre enn nødvendig. Hvis du for eksempel lagrer eller skriver ut et eget dokument med påmelding til et kurs, skal den listen slettes eller makuleres når kurset er over.
  • Du kan ikke samle inn mer data enn du trenger. Hvis du kun skal sende e-post, kan du ikke be om fysisk adresse eller mobilnummer, for eksempel. Hvis du derimot skal sende dem noe i posten eller trenger å vite hvor de bor av andre gyldige årsaker, kan du be om adresse.

Du må ha en side som forteller om personvern

Bloggen din må ha en egen side som forteller leserne hvordan du behandler persondata. Den siden må fortelle hvilken data du samler inn, og hva du gjør med dem.

Du kan se hvordan min personvernerklæring ser ut ut her. 

NB! Hvordan du behandler personopplysninger er unikt for deg. Du kan derfor ikke kopiere andres personvernerklæring.

Det er uansett trolig ulovlig fordi du risikerer å bryte lov om opphavsrett. Du bør aldri kopiere verken tekst eller bilder fra nettet uten at du er 100 % sikker på at du har lov til det.

Selv om du kanskje har hatt en før, må du oppdatere og tilpasse den til GDPR. Det nye lovverket stiller strengere krav til informasjonens form og innhold enn dagens lovgivning.

Du kan også lenke til den siden når du lager påmeldingsskjema. Da kan leseren se hva du gjør med dataen før de melder seg på en liste.

Les Datatilsynets liste over hva personvernerklæringen skal inneholde.

Puh, det var det. Så langt, i alle fall. Det er en veldig lang liste, men det er viktig og det må gjøres. Det er lurt å begynne nå, og ikke vente til 24. mai.

Fikk du en bedre forståelse av hva du må gjøre og hvordan?

BLOGGTIPS,

OM Lene Gunvaldsen

Jeg hadde en drøm. Jeg la en plan. Nå lever jeg det livet jeg ønsker.

Jeg bygde opp min egen business i løpet av 18 måneder, ved hjelp av effektive og konkrete strategier og hard jobbing. Nå er jeg min egen sjef, styrer dagene selv og gjør akkurat det jeg vil. Fra Thailand. #sommerheleåret

Du kan klare det samme. Derfor hjelper jeg gründere og fagbloggere som deg med å jobbe mer strategisk så du får bedre resultater.

Relaterte innlegg

GRATIS BRANDING CHALLENGE

Hvis du vil fremstå profesjonell, må du ha en god branding. Du må vite hvem målgruppen er, og lage en branding som treffer dem.

Vil du ha hjelp? Ta min gratis challenge og lag en sterkere merkevare på 5 dager.

Meld deg på e-postlisten, så sender jeg deg challengen.

Reader Interactions

4 Comments

  1. Kari says

    Wow, Lene. Dette var en skikkelig god gjennomgang, forklart på et forståelig nivå. Tusen takk!

    Svar

    • Lene Gunvaldsen says

      Så bra Kari! ? Jeg brukte ganske mange timer på å skrive det innlegget slik at det skulle bli enkelt og forståelig, så veldig glad for at du synes det.

      Svar

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

LAST NED GRATIS GUIDE!

Få kontroll på gründerhverdagen – med 5 enkle steg!

Føler du at du bruker mye tid på å jobbe, men at du alltid er på etterskudd, hopper fra oppgave til oppgave, og aldri helt får oversikten?

Det finnes en smartere måte å jobbe på. Som gir deg både mer frihet og kontroll. I denne guiden får du konkrete eksempler og steg du kan begynne å bruke allerede i dag.

Last ned guiden nå, og få en enklere hverdag med mindre kaos og mer kontroll.
LAST NED HER! 
close-link