Dataprivatlivets Tilstand i 2024

Marketing var engang en relativt ligetil profession. Ikke let, og heller ikke enkel, men der var en vis klarhed over, hvad rollen indebar. Dette galdt især inden for kommunikation. Før opkomsten af online og digital kommunikation var antallet af kommunikationskanaler ret begrænsede. I de seneste årtier, og især i de sidste fem til ti år, har der været en hurtig udvidelse af mulighederne for marketingprofessionelle, især inden for området for databeskyttelse.

Indførelsen af EU’s Generelle Databeskyttelsesforordning (GDPR) den 25. maj 2018 var på mange måder et svar på denne teknologiske ekspansion. Europæiske lovgivere søgte at fastlægge en række principper, der ville beskytte borgernes data. GDPR har siden sat tonen for andre regioner i verden til at overveje deres egen tilgang til regulering af data.

Som nogle af de flittigste brugere af persondata i vores virksomheder, er det op til os marketingfolk at sikre, at vi har en solid forståelse for de bedste praksisser inden for databeskyttelse. Især er det vigtigt, at vi får det grundlæggende på plads. I denne korte artikel vil jeg identificere nogle af de nøgleområder, som marketingledere og deres teams bør være opmærksomme på lige nu.

Pro-tip: lyt til Steven Roberts dække Data Protection 101 på DMI-podcasten.

“Gennemsigtighed er et grundlæggende princip, der understøtter GDPR. Marketingfolk, der bruger AI-værktøjer til at behandle persondata, skal være i stand til at forklare med klare og enkle termer, hvordan denne data anvendes. ”

Steven Roberts

Et hurtigt skiftende privatlivsøkosystem

GDPR har ført til en række lignende lovgivninger rundt omkring i verden, med nye love i lande som Kina, Singapore og Sydafrika.

California Consumer Privacy Act (CCPA) er den mest kendte af en række lokale og statslige love i USA. Dette har bidraget til et mere komplekst internationalt databeskyttelsesøkosystem.

I Storbritannien overvejer den britiske regering en revision af UK GDPR med en ny databeskyttelseslov, der aktuelt er under udvikling (pr. september 2023). Forretninger, der handler med Storbritannien, bliver nødt til at følge nøje med i denne udvikling, især hvis den påvirker adekvatbeslutningen mellem EU og Storbritannien*.

I Europa er en række tilstødende EU-lovgivninger i gang med at blive indført. Dette inkluderer:

• Den Digitale Markedslov (DMA)
• Den Digitale Tjenestelov (DSA), som blev anvendt for første gang i december i en undersøgelse mod X.
• En AI-forordning. Sidstnævnte er især presserende i en tid med hurtig udvidelse af rækkevidden og anvendelsen af AI-teknologier som ChatGPT.

Der foregår også diskussioner om en revision af den nuværende ePrivacy-direktivet, som generelt betragtes som ikke længere formålstjenligt. Alt denne lovgivning har potentialet til at påvirke de dataforarbejdningsaktiviteter, som marketingfolk, der opererer inden for Den Europæiske Union, udfører. Læs mere om Den Digitale Markedslov og Den Digitale Tjenestelov på Usercentrics.

Databeskyttelse skal inkluderes fra starten

Ifølge Chiefmartec.com findes der mere end 11.000 marketingteknologiplatforme; et tal der vokser år for år. Mange af disse teknologier bruger persondata til mere effektivt at nå ud til og målrette forskellige forbrugergrupper.

Marketingfolk, der overvejer en ny platform, eller faktisk enhver ny strategi, der involverer brug af persondata, bør sørge for, at databeskyttelse overvejes fra begyndelsen. GDPR’s princip om databeskyttelse ved design og som standard er nøglen her. En af de bedste måder at overholde dette princip på er ved at foretage det, der kendes som en Vurdering af Databeskyttelseskonsekvenser (DPIA).

Dette indebærer en totrinsproces. Først foretages en for-DPIA, hvor en række overordnede spørgsmål stilles for at vurdere, om projektet potentielt udgør væsentlige privatlivsrisici. Hvis sådanne risici identificeres, skal en fuld DPIA udføres. På dette tidspunkt finder en detaljeret analyse af projektet sted, inklusive konsultation med nøgleinteressenter. En sådan tilgang gør det muligt for en omjustering af et projekt, hvis privatlivsrisikoen er for høj, eller vedtagelsen af afbødende foranstaltninger for at reducere risikoniveauet.

Eksempler for marketingfolk kunne inkludere indførelsen af en ny førstepartsdatastrategi eller indførelsen af en CRM-platform. Det betragtes generelt som bedste praksis, at eventuelle nye marketingværktøjer, der kan udnytte persondata, underlægges en DPIA.

AI og Databeskyttelse

Kunstig intelligens (AI) platforme bliver stadig mere populære blandt marketingfolk, og understøtter aktiviteter såsom automatiserede websitechatbots. Introduktionen af ChatGPT og andre store sprogmodeller (LLMs) giver betydelige muligheder for marketingfolk til at øge deres produktivitet. For eksempel ved generering af blogs og artikler som en del af en indholdsmarkedsføringsstrategi.  

Marketingfolk, der overvejer sådan teknologi, skal være opmærksomme på de databeskyttelsesrisici. Gennemsigtighed er et grundlæggende princip, der understøtter GDPR. Marketingfolk, der bruger AI-værktøjer til at behandle persondata, skal være i stand til klart og enkelt at forklare, hvordan denne data anvendes. Dette er en betydelig udfordring, da det ofte ikke er let at identificere præcis, hvordan data behandles af AI-teknologi.

Desuden giver Artikel 22 i GDPR enkeltpersoner retten til at gøre indsigelse mod automatiserede beslutninger, der kan have en retlig effekt. For eksempel ‘automatisk afvisning af en online kreditansøgning eller e-rekrutteringspraksisser uden nogen menneskelig intervention. I disse tilfælde har de ret til at opnå menneskelig intervention som en del af beslutningsprocessen.

Med henblik på de potentielle databeskyttelsesbekymringer, der opstår ved brugen af AI, var Google nødt til at udskyde introduktionen af en ny AI-chatbot, Bard, efter en intervention fra Irlands Databeskyttelseskommission (DPC). Kommissionen udtalte, at techgiganten behøvede at levere yderligere information om, hvordan EU-borgeres privatlivsrettigheder ville blive beskyttet. Google lancerede efterfølgende Bard i EU, efter hvad DPC beskrev som ‘en række ændringer, især øget gennemsigtighed og ændringer i kontroller for brugere.

“Dataoverholdelse er en løbende rejse. Den oprindelige prioritet er at få det grundlæggende på plads. ”

Steven Roberts

Øgede Bøder og Forbrugerbevidsthed

Som marketingfolk er vi forbrugernes stemme, ansvarlige for at beskytte vores virksomheders brand og omdømme. Forbrugerne har større bevidsthed om deres databeskyttelsesrettigheder. Meget af dette drives af den opmærksomhed, der har omgivet store bøder.

Ifølge advokatfirmaet DLA Piper udstedte EU’s tilsynsmyndigheder €1,6 milliarder i bøder i de 12 måneder fra den 28. januar 2022. Denne tendens fortsatte i 2023, mest bemærkelsesværdigt med den irske DPC’s udstedelse af en bøde på €1,2 milliarder mod Meta for overførsel af EU-brugeres persondata til USA uden at have tilstrækkelige databeskyttelsesmekanismer på plads.

I april 2023 udstedte UK Information Commissioner’s Office (ICO) en bøde på £12,7 millioner til TikTok for overtrædelser relateret til misbrug af børns data. EU fulgte trop og hævede indsatsen gennem DPC’s bøde i september 2023 på £296 million mod TikTok for ikke at beskytte mindreårige brugere og bryde GDPR-reglerne.

Imens har databeskyttelse i USA set flere politiske stillingstagelser, med forsøg på at forbyde TikTok på statsniveau, såsom i Montana, og en mærkbart hårdere ny ledelse ved FTC sagsøger Amazon for at tilmelde kunder til Prime uden samtykke, mens Justitsministeriet indledte en epokegørende antitrustretssag mod Google i september 2023. I Irland er medarbejdere ved regeringen og statslige agenturer påkrævet at fjerne TikTok-appen fra officielle enheder; mens der også er indført restriktioner i jurisdiktioner såsom Storbritannien og Holland.

Det er værd at bemærke, at mens AdTech og adfærdsmæssig reklame var håndhævelsesprioriteter for DPC og andre tilsynsmyndigheder, er bøder blevet pålagt virksomheder på tværs af mange sektorer i økonomien; om end ikke på de svimlende niveauer, vi har set med teknologifirmaer.

Overførsel af Internationale Data

Internationale dataoverførsler har forårsaget væsentlige hovedpiner for virksomheder, der søger at overføre persondata ud af Den Europæiske Union. Det er et aspekt af databeskyttelse, der har oplevet betydelig forandring i de seneste år. I juli 2020 afgjorde Den Europæiske Unions Domstol, at den eksisterende Privacy Shield-aftale for dataoverførsler mellem EU og USA var ugyldig. Siden den beslutning, kendt som Schrems II, har begge jurisdiktioner søgt efter en alternativ mekanisme, der er GDPR-kompatibel.

En ny Data Privacy Framework blev godkendt af Den Europæiske Union i begyndelsen af juli. Mens det er velkomment, forbliver det at se, om det vil blive udfordret på samme måde som sine to forgængere af fortalere for privatlivets fred. I mellemtiden har virksomheder været nødt til at finde alternative tilgange, såsom brugen af Standard Contractual Clauses (kendt som SCCs)***.

For virksomheder, der handler med Storbritannien, har den britiske regering angivet sin hensigt om at strømline visse aspekter af UK GDPR med ambitionen om at gøre de nuværende regler mindre belastende for virksomheder ****.

Hvordan man holder sig informeret om Databeskyttelse

Mange marketingfolk kæmper med at holde trit med denne forandringsrate, især dem i SMV’er, der måske ikke har adgang til de samme ressourcer som teams i store multinationale firmaer.

Det er værd at minde os selv om, at dataoverholdelse er en løbende rejse. Den oprindelige prioritet er at få det grundlæggende på plads. Med dette i tankerne er en række aspekter afgørende som en del af enhver effektiv databeskyttelseskultur inden for en virksomhed:

1. Uddannelse er vital

Uddannelse skal være regelmæssig og løbende, både for nye og eksisterende medarbejdere. Det er især vigtigt givet de niveauer af churn, vi ser i mange marketingroller i øjeblikket, sammen med udviklingstempoet generelt inden for området overholdelse. Nogle eksperter anslår, at 90% af alle databrud skyldes menneskelige fejl. Uddannelse er afgørende for at afbøde denne risiko.

2. Kender de 6 lovlige grundlag og de 7 kerneprincipper i GDPR

Mange af de brud, vi har set i løbet af de sidste fem år, kunne have været reduceret eller fjernet, hvis virksomheder havde overvejet følgende spørgsmål;

• Først og fremmest, er der et klart lovmæssigt grundlag for at behandle disse persondata?
• For det andet, er behandlingen i overensstemmelse med GDPR’s principper?

3. Sæt tonen fra toppen

Alle virksomheder tager ledelse fra dem i seniorledelsen. Bestyrelsen og ledelsesteamet skal ses som åbent støttende og fortalende, gennem ord og handlinger, for en stærk databeskyttelseskultur gennem hele organisationen.

4. Implementér


OptiPrime – Global førende total-performance marketing “mate” for at drive virksomheders vækst effektivt. Løft din virksomhed med vores skræddersyede digitale marketingtjenester. Vi blander innovative strategier og banebrydende teknologi for at målrette din målgruppe effektivt og skabe effektfulde resultater. Vores datadrevne tilgang optimerer kampagner for maksimalt ROI.

OptiPrime strækker sig på tværs af kontinenter og strækker sig fra de historiske gader i Quebec, Canada til det dynamiske hjerteslag i Melbourne, Australien; fra den innovative ånd i Aarhus, Danmark til den pulserende energi i Ho Chi Minh City, Vietnam. Uanset om vi øger brandbevidstheden eller øger salget, er vi her for at guide din digitale succes. Begynd din rejse til nye højder med os!