Slik løser e-postleverandørene GDPR for e-postlister

GDPR og e-postlister listebygging

OBS! Dette innlegget er ikke oppdatert siden april 2018, men lenkene kan likevel være nyttige. 

Status per [19.04.18]: Ingen er GDPR-klare

Etter hva jeg ser så langt, så spiller det ingen rolle hvilken leverandør du bruker til å sende ut nyhetsbrev og kampanjer  - ingen har laget gode verktøy du kan bruke for å innfri kravene etter GDPR (General Data Protection Regulation) ennå! PS: Dette er status per 19.04.18. Leverandørene legger ut mer informasjon fortløpende på sidene sine, så pass på at du alltid sjekker der for siste nytt.

I dette innlegget kan du lese hva de største leverandørene innen e-postlister og e-postmarkedsføring gjør i forhold til GDPR. Få også med deg lenker til ekstra ressurser, f.eks. Facebook GDPR & MailChimp som har mye nyttig informasjon. (Og ikke gå glipp av dagens mest sjokkerende uttalelse, fra Ontraports CEO!)

Til nå har jeg sjekket hva følgende e-postleverandører gjør / har gjort - les mer om hver av de lenger ned:

  • ConvertKit
  • MailChimp
  • Hubspot
  • AWeber
  • ActiveCampaign
  • Drip
  • SendGrid
  • Ontraport
  • Infusionsoft
  • Kajabi

ConvertKit har kommet lengst

Her kan du følge med på hva ConvertKit gjør for å hjelpe kundene sine med GDPR. De har laget en side du kan sende abonnenter til, der de kan krysse av for samtykker. Den er imidlertid ikke god nok når du aktiverer den for nye abonnenter som vil laste ned en freebie. De får da ikke mulighet til å få freebien uten å godta en av samtykkene, noe som klart er i strid med GDPR. Etter at jeg gjorde ConvertKit oppmerksom på dette (i går), jobber de nå intenst med å forbedre løsningen.

De har også lagt til tjenesten "GDPR Audit Concierge", som du kan bestille om du får ettersyn for GDPR (f.eks. om Datatilsynet ber om innsyn for å sjekke at du etterlever kravene). Dette skiller de fra alle de andre leverandørene, der hovedproblemet er at de ikke har en løsning for å dokumentere samtykke.

Til slutt har de fått opp en egen FAQ (ofte stilte spørsmål) for GDPR. Jeg følger nøye med på hva de gjør fremover, og både CEO og ConvertKit-teamet er aktive i Facebook-grupper og oppdaterer oss løpende.

ConvertKit er sertifisert under Privacy Shield, som er veldig viktig dersom du bruker systemleverandører i USA!

MailChimp gjør mye, men ikke nok

MailChimp var relativt tidlig ute, i begynnelsen av mars, med nye verktøy for å løse GDPR-utfordringene til sine kunder. Det var likevel svært begrenset hva man kunne gjøre, så tittelen på hjelpesiden, "New MailChimp Tools to Help with the GDPR", levde ikke opp til forventningene.

For få dager siden kom de imidlertid med en ny oppdatering, med det de kaller for "GDPR-friendly forms". I en hjelpegruppe for MailChimp og GDPR på Facebook var folk lettet over endelig å ha fått et verktøy de kan bruke for å innhente nye samtykker fra e-postlistene sine.

Men, senest i går ble det klart at løsningen er dårlig satt opp av MailChimp. Resultatet er at samtykker som flere har innhentet, ikke vil være i samsvar med de nye GDPR-kravene. Problemet er at man ikke kan bevise at en person virkelig har samtykket til det man ber om, fordi du som administrator av MailChimp-kontoen din enkelt kan endre på samtykkene (!). På skjermdumpen kan du se hva MailChimp selv har svart på dette (sakset fra Facebook-gruppen).

Det er ditt ansvar å sørge for at du har riktige samtykker

Ja, det ER vårt ansvar å sørge for at vi innhenter samtykker for GDPR på riktig måte. Vi MÅ sette oss inn i hva GDPR betyr, og hva vi må gjøre i egen virksomhet. Kravene øker om du har ansatte, hvor mange typer data du håndterer, om du håndterer sensitive data osv.

Mange betaler imidlertid for tjenester som lar oss sende nyhetsbrev, kampanjer og annen informasjon til følgere og kunder. Da bør man kunne forvente at disse leverandørene også tar GDPR på alvor.

I tilfellet med MailChimp så er det veldig synd når de tilsynelatende har et verktøy som hjelper kundene å innhente samtykker fra sine kunder igjen.

Mitt råd til deg er derfor å vente med å bruke slike verktøy, til det er helt klart hvordan de fungerer. Sett deg godt inn i GDPR og hva GDPR innebærer for din virksomhet. Og sett av god tid fremover til å jobbe med å få bedriften din helt i samsvar med GDPR!

MailChimp er også sertifisert under Privacy Shield.

HubSpot lanserer sin GDPR-løsning i begynnelsen av mai

HubSpot starter bra med god oversikt over GDPR og hva loven innebærer, både for deres egen del, og for din del som kunde av HubSpot. I tillegg har de lagt ut et veikart (product roadmap) for hva de gjør for å hjelpe kundene sine å implementere GDPR-kravene innen fristen 25. mai. De sier blant annet:

In HubSpot, we're adding features to make collecting, tracking, and managing consent in a GDPR-compliant way as straightforward as possible. Once [a subscriber] submits her information, we will store a copy of the notice that [she] was provided, information about which consent she provided, and the timestamp of the interaction.

HubSpot jobber nå med å lage funksjonalitet som vil gi deg mulighet for å bevise at du har innhentet samtykker fra kundene dine, samt innfri andre GDPR-krav. Ifølge veikartet skal dette bli tilgjengelig i begynnelsen av mai.

PS: Nederst på siden, under FAQ, ligger det mye nyttig informasjon som du kan sjekke ut. Se spesielt lenkene under spørsmålet What else is HubSpot doing to prepare customers and partners for the GDPR?

AWeber og GDPR: God informasjon, men ingen verktøy

AWeber gir en god innføring i GDPR på sine nettsider, med konkrete eksempler på hvilke samtykker du trenger:

For example, imagine you have a weekly blog newsletter. Once a person subscribes, they’ll receive a weekly newsletter from you, as well as an occasional email promoting your product. To be compliant with the GDPR, you must explain on your signup form that subscribers will receive both educational newsletter emails and promotional emails.

AWeber sier imidlertid ingenting om hvordan de skal hjelpe kundene sine å bli GDPR-compliant.

Dvs. at om du bruker AWeber for å sende ut nyhetsbrev, må du finne ut selv hvordan du teknisk skal løse det med skjemaer og samtykker. Og igjen så er det dokumenteringen av samtykker som kan bli en hodepine.

ActiveCampaign overlater all jobben med GDPR til kundene sine

Jeg tester også ActiveCampaign, og det er heller skuffende hva de sier - eller, ikke sier - om GDPR. Veldig mange etterlyser mer informasjon på forumene deres og i Facebook-gruppen forbeholdt kunder. ActiveCampaign har laget en samleside for GDPR, men er svært sparsomme med å si noe om hva du som kunde trenger å gjøre for å gjøre listen din GDPR-klar.

De virker å være en av de som har valgt å lukke øynene for GDPR. I et blogginnlegg fra desember skriver de faktisk:

You can add whatever verbiage you want to an ActiveCampaign form using an HTML block. We’re unable to supply the verbiage you should include because it’s highly dependent on how you’re using the data. We recommend seeking the counsel of a qualified legal professional.

De overlater med andre ord all jobben til kundene sine, og har ikke tatt noen steg siden desember for å hjelpe de å med GDPR-tilpassede skjemaer eller måter å dokumentere samtykke på!

Drip og GDPR: "Bare slett de"

Jeg har nesten ikke ord for hva jeg synes om fremgangsmåten til Drip. De sjokkerte mange da de i februar oppfordret kundene sine til å blokkere abonnenter fra EU, for å slippe å forholde seg til GDPR. Nå har de moderert seg noe på sidene sine, men det skinner fortsatt tydelig gjennom hvilke holdninger de har til GDPR.

Seneste for tre dager siden omtaler de GDPR i et nytt blogginnlegg på denne måten: "…dodging issues with the impending GDPR", og lenker igjen til artikkelen over som beskriver hvordan du kan blokkere EU-abonnenter.

Det er en lite smart strategi å gå for. For det første er det graverende at et selskap i det hele tatt anbefaler geoblokkering. For det andre er det umulig å gjennomføre 100% sikker blokkering av personer fra utvalgte land. Mange bruker verktøy og metoder som skjuler IP-adressen slik at det ikke er mulig å identifisere hvilket land de sitter i. Og hva med de som er på ferie?

Drips håndtering av GDPR er en pinlig affære, og de har fått mange reaksjoner på forumer og i Facebook-grupper. Det går ut over ryktet deres, og til slutt bunnlinjen. For personvern er ikke noe som kun kommer til å gjelde i EU. Mest sannsynlig kommer de andre regionene i verden etter, og kanskje først og fremst USA.

SendGrid og GDPR: Siste artikkel fra nov -17...

SendGrid er en annen stor e-postleverandør som kanskje er mindre kjent i Norge. Den siste artikkelen de har lagt ut på nettsidene sine, er helt fra 14. november i fjor. Det tyder på at GDPR ikke står høyt på agendaen! Hvis du bruker SendGrid vil jeg anbefale deg å sette deg godt inn i hvordan du skal håndtere GDPR og e-postlistene i din bedrift.

Ontraports CEO om GDPR: "I'd probably ignore the whole thing" (!)

Ja, hva skal man si? Om du trodde at Drip var ille, så tar Ontraport det til nye høyder. Dette er Ontraports CEO, Landon Ray, sitt svar på spørsmål om Ontraport kommer til å publisere en guide om GDPR og hva de som kunder bør og ikke bør gjøre:

Nå har han i etterkant sagt at "I was being funny", men ut fra hvordan han svarer på andre henvendelser, er det tydelig at Ontraport ikke kommer til å løfte en finger for å bistå de mange fortvilte kundene sine.

Ontraport er et selskap med over hundre ansatte, har drevet siden 2006 og er kanskje den største konkurrenten til Infusionsoft. Softwaren deres er imponerende og jeg har tidligere vurdert å bli sertifisert Ontraport-rådgiver.

At en så stor aktør som har drevet bedrift i så mange år, kan så lite om noe så vesentlig som GDPR, er sjokkerende. De opptrer som om GDPR bare er en irriterende flue på veggen som sikkert snart finner veien ut av vinduet igjen, men det skjer ikke. Tvert imot - jeg tipper at det ikke er snakk om mange årene før USA også pålegger samme personvern for sine borgere. Tiden vil vise!

Infusionsoft og GDPR: Lite informasjon

Infusionsoft har et par artikler på nettsiden sin om GDPR, men til å være en så stor aktør er det lite informasjon. De har heller ikke lansert verktøy ennå for å hjelpe kundene sine å håndtere GDPR. På nettsiden sin skriver de at de blant annet vil lansere "…features to help Infusionsoft users manage the basis of processing (such as consent management) for their contacts". Flere detaljer finner jeg ikke på nåværende tidspunkt.

Som så mange andre viser de hvordan du kan sette opp avkryssingsbokser på skjemaene dine, men så lenge man ikke også kan bevise det konkrete samtykket, hjelper det lite..

Kajabi og GDPR: Uklart hva de gjør

Kajabi tilbyr ikke bare verktøy for e-postmarkedsføring, men også nettkurs, webinarer, landingssider og mer. Spesielt kursportalen virker å være populær, både i Norge og utlandet. Kajabi stiller imidlertid med svært lite informasjon om GDPR. 

Foreløpig ser det heller ikke ut som at det går an å legge til flere avkryssingsbokser på skjemaer i Kajabi. Da kan man heller ikke be om "granular consent", som er nødvendig etter de nye GDPR-reglene. Det betyr at du må ha ettertrykkelig samtykke for ulike formål du ønsker å bruke noens data til; én boks for nyhetsbrev, én boks for å dele informasjon tredjeparter osv. Du kan ikke lenger sende abonnentene dine e-post om hva som helst.