INNSIKT

Dypdykk i personvern:

De tre studentene ved Høyskolen Kristiania har tatt for seg det nye personverndirektivet i en ny studentoppgave. Fra venstre: Mats-Eskil Opsalhagen, Hanna Sandström og Helene Wulff-Pedersen. Foto: Hilde Nyman

- Folk bryr seg ikke om GDPR

Hvilke selskaper står best rustet for å møte den nye personvernloven?

Publisert / Oppdater

Hilde Nyman
Hilde Nyman Journalist

Kampanje skrev fredag om et nytt varsel landets største mediekonsern har sendt ut til sine samarbeidspartnere på byrå- og annonsørsiden der mediekonsernet gikk langt i å beskrive en uavklart situasjon mellom Schibsted og Google. Men enn så lenge avventer Schibsted og de fleste andre store norske selskapene å starte opp kommunikasjonen med brukerne sine. Kampanje kunne før helgen fortelle at ny dato for GDPR i Norge er satt til 1. august. 

Les også: Ny utsettelse av GDPR i Norge – Schibsted-topp tror på Google-løsning

Da Kampanje snakket med Schibsteds personverndirektør, Ingvild Næss, i forbindelse med selskapets presentasjon av førstekvartalstallene tidligere denne måneden sa hun mediekonsernet er i rute.

- Vi er godt forberedt. Samtidig så er vi veldig tydelig på at arbeidet med GDPR ikke er en engangsforpliktelse. Dette er noe vi må jobbe med kontinuerlig i årene fremover, og det vil bli en integrert del av produktutviklingen vår og måten vi jobber på. For oss er ikke juli noe magisk tidspunkt, sier hun til Kampanje.

Vil det si at dere er klare til å etterkomme reglene når det nye regelverket trer i kraft?

- Vi er godt forberedt, og har jobbet hardt nå i lang tid, med utgangspunkt i de nye reglene fra GDPR. Vi ser at dette er noe vi vil jobbe med kontinuerlig da det er viktig å tilpasse hva vi gjør utifra feedback fra brukerne våre. Her kommer det til å skje mye i tiden fremover, både på kort og lang sikt. Det vi introduserer utover våren nå, er en start som vi bygger videre på, svarer Næss.

For selskaper som sogner til EU er imidlertid fristen 25. mai og en av dem som har sendt ut sine personvilkår er MTGs strømmetjeneste Viaplay. 

- Vi sender ut en e-post til alle eksisterende kontohavere med informasjon om de nye vilkårene. All informasjon om hvordan vi behandler personopplysninger ligger i vår oppdaterte personvernerklæring. Vi vurderer også i nær framtid å legge til en spørsmål og svar-seksjon på nettsiden som belyser GDPR og hva det betyr for deg som kunde, sier pressesjefen i Norge, Fredrik Olimb.

- GDPR er jo et buzzord i tiden

Men for det store flertall av norske selskaper gjenstår fortsatt jobben med å sende ut sine oppdaterte personvernvilkår. En studenttrio fra Høyskolen Kristiania som studerer markedsføring og merkevareledelse har derfor truffet spikeren på hodet med timingen til sin bachelor-oppgave. For det er det brennhete temaet GDPR som Helene Wulff-PedersenHanna Sandström og Mats-Eskil Opsalhagen har tatt for seg. De har sett spesielt på betydningen av GDPR for den vanlige forbrukeren (se faktaboks om undersøkelsen i bunn av saken).

- Hvorfor valgte dere dette som tema for oppgaven?

- GDPR er jo et buzzord i tiden, og vi hadde lest mye om det, men det meste som var skrevet, hadde fokus på hva det ville bety for bedrifter. Vi ville teste hvordan det ville være for forbrukeren, sier Sandström.

De tre satte seg som mål å finne ut om informasjon om det nært forestående personvern-direktivet (GDPR) ville slå ulikt ut for kjente og ukjente merkevarer. For de tre hadde merket seg at det var gjort lite forskning på dette feltet.

- Folk har nok litt lite kunnskaper om dette og bryr seg ikke. Det er ikke så lett å se det store bildet og mange tar det nok for gitt at det går bra, sier Opsalhagen.

Fakta: Hva er GDPR?

  • GDPR er EUs forordning for personvern, og står for The General Data Protection Regulation.
  • GDPR har som hovedformål å gi innbyggerne i EU og EØS større kontroll over sine egne personopplysninger og sikre at informasjonen beskyttes.
  • GDPR trer i kraft i EU-landene 25. mai 2018. I Norge vil GDPR tre i kraft tidligst 1. august 2018 etter at datoen har blitt utsatt en rekke ganger. 

Ble skuffet over tallene

Den første delen av bachelor-oppgaven besto av eksperimentet der de laget en objektiv tekst om GDPR som halvparten av de 252 respondenter fikk lese. Deretter skulle de svare på om de aksepterte cookies eller ikke – fra to ulike banker. Banksektoren ble valgt fordi dette er en bransje som tradisjonelt nyter høy tillit i befolkningen.

- På forhånd var tesen vår at kunnskap om GDPR kom til å gjøre forbrukeren mer reflektert rundt godtagelse av cookies. I forhold til merkekjennskap så trodde vi at både ukjente og kjente merkevarer kom til å komme godt ut av GDPR, forteller Sandström.

- Og var resultatene som forventet?

- Nei, og akkurat det syntes vi var kjipt. Vi ble skuffet fordi tallene ikke var som vi trodde, sier Sandström, og Opsalhagen legger til;

- Ja det ble litt dårlig stemning da vi forsto at nesten ingen bryr seg om dette.

Derfor ga de seg i kast med fase to nokså umiddelbart - med et annet utvalg og med et justert opplegg. Blant annet ble det lagt inn ett nytt element der respondentene ble delt i to og den ene halvparten ble eksponert for en GDPR-tekst som var «normal», mens den andre halvdelen ble eksponert for en tekst som var skrevet mer som en «skremselstekst».

- Bankbransjen er en statlig regulert og nøye overvåket bransje. Vi ville være sikre på at det ikke var dette som var årsaken til at vi fikk de resultatene vi gjorde, sier Helene Wulff-Pedersen.

Mange tar det nok for gitt at det går bra. Mats-Eskil Opsalhagen

Kjente merkevarer står sterkere

I runde nummer to valgte de derfor en annen bransje; nemlig reiselivsbransjen; der den relativt kjente aktøren Momondo ble sammenliknet med den mindre Skyscanner. Momondo har så langt ikke hatt anledning til å kommentere funnene i undersøkelsen til studentene når Kampanje tar kontakt. 

- Det vi fant, var at ved liten kunnskap om GDPR, godtok man å dele informasjon om seg selv. Vi fant også at de store og kjente merkene kommer best ut i denne sammenlikningen. Og de store merkevarene får lettere samtykke enn ukjente, sier Sandström.

Av andre ting de spurte respondentene om, var i hvilken grad de var villige til å dele sin e-post adresse eller om de noen gang hadde oppgitt en falsk e-post.

- De som oppga det som mest sannsynlig at de ville gi ut en falsk e-post adresse, var de som hadde blitt utsatt for skremselsinformasjon.

Veien videre etter at datainnsamlingen er ferdig er å fortsette analysefasen samt skrive et kapittel om metodevalgene de har gjort, før oppgaven skal leveres inn. Fristen er tidlig juni.

- Hvordan har responsen vært så langt?

- Fra skolen har det vært veldig positivt. Vi har også fått god respons fra byråer, forteller de tre. Ryktene om oppgaven har spredd seg og de tre har allerede blitt bedt om å snakke på flere konferanser og for byråer.

Av de tre er Opsalhagen og Wulff-Pedersen på jobbjakt, mens Sandström til daglig jobber i mediebyrået Mediacom.

- Kan få store bøter

Konsernsjef Bjørn Forslund i Target EveryOne, minner om at store bøter kan bli ilagt bedriftene for brudd på de nye EU-reglene som trer i kraft 1. august for norske selskaper.

Ni av ti uvitende

De nye personvernreglene som trer i kraft fra EU er ifølge selskapet TargetEveryone, er spesialist innen multikanal en-til-en markedsføring, de største endringene i privat datasikkerhetsregulering på 20 år.

- Kunder ringer daglig for å få hjelp til å bli kompatibel med de nye reglene, sier konsernsjef Bjørn Forslund i Target EveryOne.

I en undersøkelse fra InFact har gjort på oppdrag fra Target EveryOne kommer det frem at ni av ti nordmenn, eller 87,9 prosent av nordmenn, er uvitende og kjenner ikke til disse store regelendringene som kommer fra EU.

- Folk er redde for å gjøre feil rundt disse regelendringene, men om kort tid trer disse reglene i kraft og det gjelder å være kompatibel, sier han.

- Hva synes dere om de nye personverntekstene og erklæringene som sendes ut nå? 

- Det er liten tvil om at mange selskaper tar personvernet mer alvorlig enn tidligere. Samtidig er det tydelig at tolkningen av forordningen er noe forskjellig i ulike virksomheter og det er naturlig når det fortsatt er en ny forordning.  Generelt kan vi si at det er et større problem at for mange bedrifter fortsatt ikke har tatt GDPR inn over seg og ikke har endret personvernerklæringene enn at ulike selskap at tolket forordningen forskjellig i sine personvernerklæringer.

- Er det mye bra kundekommunikasjon som sendes ut fra selskapene nå?

- De større selskapene som har aktiv en kommunikasjons mot sine kunder, har i stor grad tatt inn over seg GDPR. Men det er alt for mange som «sitter på gjerdet» og er rådville med tanke på hvilke tiltak de skal iverksette.  I forhold til det generelle bildet av markedsføring syns vi at mye av kommunikasjonen fortsatt ikke er relevant og har feil timing, sier Forslund til Kampanje. 

Fakta: Bacheloroppgaven om GDPR

  • Bachelor-oppgave skrevet ved Høyskolen Kristiania - institutt for markedsføring og merkevareledelse.
  • Tittel på oppgaven: «Ignorance is bliss»
  • Skrevet av de tre studentene Helene Wulff-Pedersen, Hanna Sandström og Mats-Eskil Opsalhagen.
  • Problemstilling: 1) Hvor stor betydning har merketillit på samtykke til deling av personlig informasjon på nett og 2) Kommer GDPR til å påvirke oppfattet risiko
  • Eksperiment 1: 252 respondenter. Sammenliknet én kjent bank (DNB) og én mindre kjent bank (BN-bank) og undersøkte om merkekjennskap og GDPR har effekt på samtykke til godtagelse av cookies.
  • Eksperiment 2: 350 respondenter. Sammenliknet én kjent bookingside (Momondo) og én mindre kjent bookingside (Skyscanner) og undersøkte om merkekjennskap og GDPR har effekt på samtykke til godtagelse av cookies.

 

Les også

- Folk bryr seg ikke om GDPR