Provisobloggen: Bloggen som hjelper deg å lage enda bedre møter mellom mennesker

GDPR og e-postutsendelser: Hva må du være obs på?

Skrevet av Fredrik Kilde | 15.03.2024

Når du planlegger og gjennomfører arrangementer, sender du ut et høyt antall e-poster, alt fra invitasjoner og påmeldingsbekreftelser til betalingsdokumenter. All e-postkommunikasjon – og alle personopplysninger som e-postene inneholder – omfattes av GDPR-regelverket.

Det innføres stadig nye krav og restriksjoner rundt utsendelse av e-post. 

  • Hva må du gjøre for å sikre at personopplysninger i dine e-poster behandles i samsvar med GDPR?
  • Hvilke fallgruver må du unngå når du sender ut e-post, slik at e-postene faktisk blir levert? 

 

De viktigste tiltakene

Her er de viktigste punktene du må ta hensyn til i forbindelse med e-postutsendelser og etterlevelse av GDPR-regelverket:

Informasjon

  • Ha et tydelig definert formål med e-postutsendelsene, og begrens bruken av data til disse formålene. 
  • Gi tydelig informasjon om hva slags personopplysninger du samler inn, og hvordan den skal brukes. 
  • Informer mottakerne dersom det tas automatiske beslutninger basert på deres personopplysninger.

 

Samtykke

  • Husk å innhente et tydelig samtykke om administrasjon av hver enkelt deltakers påmelding, før du sender ut e-post. (Dersom det ikke foreligger et tydelig samtykke fra deltaker, vil du i prinsippet bryte GDPR-reglene ved utsendelse av e-post.)
  • Sørg for at mottakerne når som helst kan trekke tilbake sitt samtykke. 

Les mer: Arrangementsdeltakere og samtykke – slik gjør du det riktig

 

Databehandleravtaler

Inngå databehandleravtaler med eventuelle tredjeparter som er involvert i e-postutsendelsene.

 

Sikkerhet

  • Innfør tiltak for å sikre e-postkommunikasjon og beskytte mot uautorisert tilgang eller datalekkasjer. Slike tiltak kan være bruk av kryptering og passende sikkerhetsprotokoller.
  • Bruk segmentering for å sikre at e-poster er relevante for mottakerne og reduserer risikoen for misbruk av personopplysninger.
  • Vurder behovet for å utnevne en Data Protection Officer (DPO) for å håndtere personvernspørsmål knyttet til e-postutsendelser.

Les også: GDPR: Når bør du slette deltakerdata fra avholdte arrangementer?

 

Potensielle konsekvenser av masseutsendelser

Når du sender ut invitasjoner på e-post, ønsker du naturligvis at flest mulig av disse skal bli levert. Derfor må du unngå å gjøre som mange arrangementsplanleggere – nemlig å sende ut flere tusen invitasjoner om gangen, ofte fra importerte lister som ikke er kvalitetssjekket. Dette er potensielle konsekvenser av en slik praksis:

  • Store utsendelser kan oppfattes som spam av mange e-postleverandører og kan bli delvis stoppet, spesielt hvis mottakere kommer fra lister med mange ugyldige adresser.
  • Ratingen på domenet det sendes fra, blir forringet. Følgelig er det mindre sannsynlig at fremtidige e-poster blir levert – selv ved små utsendelser. Det tar ganske lang tid å få gjenopprettet “omdømmet” dersom domenet ditt først har blitt merket som ‘spamutsender’.

 

Vår anmodning til deg som bruker Proviso

  • Vær mer påpasselig ved utsendelser. Ikke send ukritisk til gamle lister med mange ugyldige adresser, ikke kjøp eksterne lister, og husk alltid først å innhente samtykke. 
  • Ikke still deg ukritisk til gamle lister. Husk at også disse skal inneholde et aktivt samtykke fra deltakere til utsendelse og bruk.
  • Vær klar over at også reklameinnhold kan gjøre at e-poster blir oppfattet som spam.

 

Googles og Yahoos nye krav til e-postutsendelser

Fra og med 1. februar 2024 har Google og Yahoo begynt å iverksette endringer for alle som bruker Gmail og Yahoo. Det som tidligere har vært beste praksis for e-postutsendelse, blir nå krav.

I dette innlegget fra Mailmojo får du en detaljert gjennomgang av hva de nye kravene går ut på. Alt tyder på at også andre e-postleverandører kommer til å innføre tilsvarende krav.

Hensikten med endringene er å skape en tryggere og bedre opplevelse for vanlige e-postbrukere, slik at dine mottakere kan stole på at e-postene de får, faktisk kommer fra deg.

 

Oppsummert

Som arrangør må du etterleve GDPR-regelverket når du sender ut e-post i forbindelse med påmelding og håndtering av deltakere. 

Ved å gjøre gode sikkerhetstiltak og følge GDPR-prinsippene for e-postkommunikasjon, sørger du for at bedriften din oppfyller kravene og beskytter deltakeres personopplysninger. Dessuten sikrer du at e-postene du sender ut, faktisk blir levert.

Dette bidrar til at du bygger tillit hos deltakere og samarbeidspartnere, og til at du reduserer risikoen for brudd på personvernet.