
Gorm Kunøe er tidligere førstelektor ved Handelshøyskolen BI og jurygeneral i årets Kundeservice Awards.
Her skriver han om kundens samtykke og hvilke regler som gjelder for å kommunisere med kunder, formidle kundedata og ikke minst hva som ikke er lov.
Uten samtykke – ingen lojalitet
Vårt skandinaviske flyselskap SAS er i spill. Nye eiere har meldt seg, men ikke for å kjøpe brukte fly. Sentralt i kundenes bevissthet er lojalitetsprogrammet. Det er medlemmene av EuroBonus man vil kjøpe. Og uten korrekt samtykke til kommunikasjon er lojalitetspro- grammet verdiløst. For det er rikelig med halvgamle fly å få, men ikke lojale kunder.
Egentlig er det ganske enkelt for de ledere og eiere som forstår lojalitet. Beklageligvis er vår grunnleggende forretningsmodell: ditt og mitt personvern er truet av amatører, som tror, at de uten tillatelse eller foranledning kan anvende og selge informasjon om kundene, som de vil. Da tar de feil, for risikoen er at de begår kriminalitet! Du kan ikke anvende kundenes data uten samtykke. Og heller ikke selge stamdata og transaksjonsdata uten å få lov. Resultatet av ulovlighetene er underminering av lønnsomhet, ødeleggelse av merket og tilliten i markedet og media.
Det er jo ganske naivt å tro, at når du som leverandør åpenlyst misbruker kundenes tillitsbaserte forretningsmodell, oppdager vi det ikke. Det er feil. Mange interesserer seg: kundene som får uventet kommunikasjon med selgere de ikke kjenner, pressen lever av slikt misbruk, sosiale media fylles med den slags, konkurrentene og forbrukermyndighetene interesserer seg levende for kundene dine. For å nevne de viktigste.
Foretar kunden en enkel handel «over disken» med deg, trenger du ikke samtykke. Men vil du ta imot og lagre kundens personlige data må du ha samtykke til det. Den som registreres må få vite, at hun er registrert, og hvorfor hun registreres. Har leverandøren fått en ny, god ide til salg og markedsføring, og vil bruke kundenes data til et nytt formål, ja, da må det et annet og nytt samtykke til. Og informasjonen om kunden må lagres på en sikker måte, så det er til å finne ut hvilket samtykke hører til hvilket formål. Den registrerte har lov til å få innsyn i de personopplysninger det er samlet inn om vedkommende. Og den registrerte kan uten videre trekke sitt samtykke og forlange å få slettet de personlige opplysninger leverandøren har lagret. Firmaet med kundekontakten er «behandlingsansvarlig» for den lovlige og rette databehandling av kundens personopplysninger. Vær klar over, at ansvaret for kundens data ikke kan skyves over på en ekstern IT-bedrift, som tar seg av den praktiske delen av databe- handlingen.
Forordningen, kravene til samtykke og personvernet
Forordningen i «Lov om personopplysninger» er interessant lesning. I avsnitt 70 står det:
Dersom personopplysninger behandles med henblikk på direkte markedsføring, bør den registrerte, uansett om det dreier seg om innledende behandling eller viderebehandling, ha rett til når som helst og gratis å protestere mot nevnte behandling, herunder profilering så lenge dette er knyttet til direkte markedsføring. Den registrerte bør uttrykkelig gjøres oppmerksom på denne retten, og informasjonen bør presenteres på en tydelig måte og atskilt fra all annen informasjon.
Forordningen setter klare regler for spesielt direkte markedsføring. Ofte må man som kunde lete lenge på leverandørens webside for å finne stedet, hvor man kan melde seg ut eller reservere seg mot mer påvirkning. Det er jo litt rart, for kunder som ikke vil være kunder lenger, bør man ikke ønske å ha. «Tvangskunder» har kun det offentlige.
Kravene til samtykke er ifølge forordningen i personverndirektivets artikkel 4: Et samtykke er enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte, der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende.
Samtykket må altså leve opp til samtlige kriterier i definisjonen. Det holder ikke med «så godt som frivillig», «ganske generelt» eller «noe informert». Og det er kundens syn og forståelse som er viktig. Her er det lett å gå feil, for de fleste kunder oppfatter forskjellig. Noe som den ene kunde begriper kan være ubegripelig for en annen. Derfor må leverandørens kommunikasjon være enkel, forståelig og krystallklar. Kunden må personlig krysse av. Det betyr, at forhånds- utfylte felter med «Ja, takk» er ulovlige.
Her er mine tre trinn til å få aksept for samtykket:
- Samtykket må være kommunisert
- Samtykket må være forstått
- Samtykket må være akseptert
Kan en leverandør vise til, at disse tre trinn har vært gjennomført med suksess, er det vanskelig å forfølge et samtykkeproblem juridisk.
Utgangspunktet for leverandørens lagring og behandling av kundedata er kundens personvern, og at det er et lovlig grunnlag for å gjøre noe med personopplysninger. Avtalegrunnlaget må være i orden, skal du bruke noe som helst av dine kunders personlige data. For eksempel «navn» og «adresse», til å levere det kunden har bestilt og lagrer informasjonen, må du ha kundens samtykke til det. Har du behov for mer informasjon, som «kjønn», «alder» og diverse «preferanser» for å gjøre din markedsføring mer individualisert og personlig, må du ha et annet samtykke. Det er ikke bare å kjøre i vei, og tro at har kunden gitt sitt samtykke gjelder det for alt, og at det er fritt frem å kommunisere om alt mulig, sette sammen informasjon og aldri spørre kunden igjen. Glem det. Du må kunne samle inn samtykker for forskjellige formål og lagre dem sikkert. De som har svart deg, kan trekke tilbake sitt samtykke når det passer dem. Vet du ikke at det eksisterer forskjellige former for samtykke, er du kriminell om du mailer eller sender fine tilbud i mail eller post. Så her er det noe å være oppmerksom på.
Riktig anvendt er samtykket «gull» verdt
Riktig anvendt kan samtykket være det nye «gull» i salg og markedsføring. Markedsføring og direkte salg blir stadig mer digitalisert og avansert. Ikke kun for de etisk bevisste. Men også for de som kan regne ut, hva det koster å tape en kunde. Det store nye er kunstig intelligens (AI), som setter sammen forskjellig informasjon til nye måter å komme tett på kunden. Hvor godt man lykkes med det kan diskuteres. Men her er et felt, hvor vi må ha øyne og ører åpne. Så hva gjør den «kloke»?
- For det første må man ha et såkalt «behandlingsgrunnlag». Detbetyr hvilke lovlige grunner du som leverandør har for å behandle personopplysninger i det hele tatt. For eksempel et varekjøp eller returrett, som krever persondata ut over en innbetaling.
- For det andre må leverandøren forstå at hvert nytt formål hun vil anvende persondataene til endrer «behandlingsgrunnlaget». Det vil si, et nytt, annerledes prosjekt overfor kundene betyr et nytt samtykke.
Ønsker kunden å trekke sitt samtykke, er leverandøren forpliktet til å slette de data hun har på kunden. Og bekrefte at så har skjedd. Innhenting av samtykker kan være en glimrende og relevant måte å komme i dialog med kunden på. Ved å vise at vi bryr oss, at vi er seriøse, at vi tenker på kundens personvern, og at vi er oppdatert på den seneste lovgiving.