GDPR (General Data Protection Regulation) er en ny personvernlov som gjelder for EU, og som trer i kraft 25. mai i år - altså om ca 2 måneder.

Denne lovgivningen er ikke ment å slå ned på bedrifter som driver med salg og markedsføring online, men å gi makten og rettighetene til persondataene til enkeltindividet.

Noe som jo absolutt ikke er en så dum tanke!

GDPR er en lov som vil påvirke alle områder i hvordan du håndterer informasjon fra dine kunder og besøkende slik som salg, epost lister, sikkerhet osv..

Men det finnes mye informasjon der ute som beskriver alle kravene til GDPR, så i dette innlegget vil jeg fokusere på hvordan dette vil påvirke din nettside.

I korte trekk betyr GDPR blant annet at du må være veldig spesifikk med hva dine besøkende godtar å motta på epost.

Frem til nå har du kunnet bruke en kundemagnet, et skjema, eller en popup for å samle epost adresser fra dine besøkende. Så når du først hadde deres epost kunne du sende ut epost rundt alt mellom himmel og jord. Dette er ikke lengre mulig.

Du må fremover være helt åpen om hva du vil sende ut på epost til den som legger igjen sin epost adresse. For eksempel om du vil sende brukeren informasjon og nyheter rundt dine tjenester så må dette stå spesifikt på knappen brukeren trykker, eller brukeren må huke av et felt for å velge å motta akkurat denne informasjonen.

Her kommer litt mer spesifikt hva du må tenke på ved tilpassing av din nettside til GDPR.

Bruk av Skjema:

Skjemaer som inviterer brukere til å abonnere på nyhetsbrev eller angi kontaktpreferanser må være standard på "nei" eller være tomme. Du må sjekke skjemaene dine for å sikre at dette er tilfelle.

Som et eksempel, forkortes det nåværende Boots-registreringsskjemaet for opt-in-boksen, noe som tvinger brukeren til å aktivt avvike. Veldig slemt, og ikke lovlig etter 25 Mai.

(Beklager at eksemplene er på engelsk, men tror ikke det skal være noe problem å se hva jeg mener)


 

Klare oppdelte opt-ins:

Samtykket du ber om, bør spesifiseres separat for å godta vilkår og betingelser og godkjenning av samtykke til andre måter å bruke data på.

I dette eksemplet angir Sainsbury klart aksept av deres vilkår og betingelser og angir separat den aktive opt-in for deres kontaktrettigheter.

Det er synd Sainsbury har ikke muligheten til å være mer granulær når det gjelder kommunikasjonsoptimalinnstillinger (e-post, SMS, post).

Dine valg må også være delt opp og ikke ligge under en og samme godkjenning.

 

Klare valg:

Brukere bør kunne gi eget samtykke til ulike typer behandling.

I dette eksemplet ber ABC Awards for spesifikk tillatelse for hver type behandling (post, e-post, telefon) og spør også tillatelse til å oversende detaljer til en tredjepart.

Prøv å være så åpen som mulig i valgmulighetene du tilbyr. Jo mere godkjenninger du mottar jo bedre for GDPR.

 

 

 

Enkle muligheter til å bli fjernet om brukeren ønsker dette:

Det må være like lett å fjerne samtykke som det var å gi det, og enkeltpersoner må alltid vite at de har rett til å trekke tilbake samtykket.
Når det gjelder din brukeropplevelse, betyr dette at oppsigelsen kan bestå av å selektivt trekke samtykke til bestemte strømmer av kommunikasjon:

 

Eller lett endre kommunikasjonsfrekvensen, eller stopp all kommunikasjon helt:

 

 

Bruken må ha muligheten til å velge hvilke eksterne kilder de vil motta informasjon fra.

Din webskjema må tydelig identifisere hver part som samtykket er gitt til. Det er ikke nok å si spesifikt definerte kategorier av tredjepartsorganisasjoner. De må bli navngitt.

I dette eksemplet kan du se at John Lewis gir muligheten til å velge hvem brukeren vil motta informasjonen fra.

Men det er synd at det er opt-out i stedet for opt-in.

 

Du må tydelig informere om hva informasjonen brukes til og hvor lenge den vil bli tatt vare på.

Du må også oppdatere vilkårene på nettstedet ditt for å referere til GDPR-terminologi. Spesielt må du gjøre det gjennomsiktig hva du vil gjøre med informasjonen når du har mottatt den, og hvor lenge vil du beholde denne informasjonen både på nettstedet ditt og også av kontorsystemene dine.

 

Betalingsløsinger:

Hvis du er en e-handelsvirksomhet, vil du sannsynligvis bruke en betalingsgateway for finansielle transaksjoner. Din egen nettside kan samle inn personlige data før du sender detaljene til betalingsgatewayen.

Hvis dette er tilfelle, og nettstedet ditt lagrer disse personlige opplysninger etter at informasjonen er sendt videre, må du endre webprosessene dine for å fjerne personlig informasjon etter en rimelig periode, for eksempel 60 dager. GDPR-lovgivningen er ikke eksplisitt om antall dager, det er din egen vurdering om hva som kan forsvares som rimelig og nødvendig.

Tredjeparts sporingstjenester:
Ting begynner nå å bli vanskelig når det gjelder sporing av tredjeparts programvare.

Mange nettsteder bruker programvare for tredjeparts markedsføring automatisering på deres nettsted. Disse kan være sporingsspørsmål som Lead Forensics, Leadfeeder eller CANDDI. Eller de kan være anropssporingsprogrammer som Infinity Call Tracking eller Ruler Analytics.

Bruken av disse sporingstillatelsene gir noen svært interessante spørsmål når det gjelder GDPR-samsvar, og etter min mening forblir dette et grått område. Ved første øyekast sporer disse programmene brukere på måter de ikke ville forvente og som de ikke har gitt samtykke til. For eksempel sporer den oppførselen hver gang jeg går tilbake til nettstedet ditt, eller ser en bestemt side på nettstedet ditt.

Leverandørene av disse programmene forsikrer oss imidlertid om at de er GDPR-kompatible.

Hva med Google Analytics og Google Tag Manager?

Hvis du er interessert i Googles forpliktelse til GDPR, er et godt sted å starte dette nettstedet: Hvordan Google overholder databeskyttelseslovgivningen

Mange nettsteder er konfigurert til å bruke Google Analytics til å spore brukeradferd. Google Analytics har alltid vært et anonymt sporingssystem. Det er ikke samlet noen "personlige data", så jeg tror at GDPR ikke påvirker bruken.

Med hensyn til Google Tag Manager; det er et kraftig verktøy som gjør at nettstedet ditt kan sende informasjon til tredjeparts applikasjoner ved å sette inn små mengder kode. Du kan integrere interne databeholdere, samt eksterne remarketing- og retargetingssystemer, og en rekke andre tjenester. Problemet for bedrifter med hensyn til Tag Manager er å sikre at du har en kontrakt på plass med de som har tilgang til Tag Manager (som kan være din webdesigner eller digital markedsføring byrå) for å sikre at de forstår deres juridiske ansvar som en dataprosessor på vegne av deg som datakontroller.

Så det underliggende problemet med den nye GDPR er å identifisere og ha på plass kontrakter med tredjeparts dataprosessorer for å beskytte både dine egne interesser.

 

Og til slutt ... Det er ikke bare ditt nettsted som trenger å være GDPR-kompatibelt

Endringene som blir introdusert med GDPR, vil gjennomsyre hele virksomheten din, og i denne serien av artikler fokuserer vi rent på din digitale markedsføring.

 

Når du begynner å planlegge detaljene på nettstedet ditt, vil du avdekke en Aladdins hule av problemer du må vurdere. Informasjonskommissæren har gitt et utmerket sett med ressurser for din referanse, men her er noen viktige spørsmål som skal vurderes nå når vi nærmer oss fristen for mai:

Du har sannsynligvis mange personlige data lagret på forskjellige steder rundt virksomheten. Har du en god forståelse, og dokumentert oversikt over dataene du holder?

Trenger du enten å vinne eller oppdatere samtykke til dataene du holder?

Har du en definert politikk for hvor lenge du beholder personopplysninger, slik at du ikke beholder det unødvendig, og sørger for at den holdes oppdatert?

Blir dataene dine holdt i orden, med tanke på både teknologi og de menneskelige faktorene i datasikkerhet?

Enten du er datastyring eller dataprosessor (eller begge deler), har du de riktige juridiske ordninger på plass?

Obs. Dette innlegget er delvis hentet og oversatt fra https://www.hallaminternet.com/how-to-make-your-website-gdpr-compliant/

Legg igjen en kommentar

Lukk meny
Share
Tweet
Pin