Kald e-post: den komplette guiden for å overholde regelverk og beste praksis (og oppnå resultater!)

Er kald e-post og e-postmarkedsføring lovlig?

Er det forskjeller mellom land?

Dette er bare noen av spørsmålene vi vil besvare i denne artikkelen, med to hovedmål: for det første å hjelpe deg med å forstå regelverket som gjelder, og for det andre å veilede deg om nøyaktig hva du bør gjøre hvis du sender kommersielle e-poster.

Lovligheten av kald e-post og gjeldende regelverk

Er kald e-post lovlig i alle land?

Ja, i de fleste land er kald e-post tillatt under spesifikke betingelser.

Men… (vi vet at du ikke liker når det kommer et “men”!) Noen land, som Canada og Danmark, har ekstremt strenge regler for kald e-post.

Videre er det avgjørende å skille mellom e-poster sendt til B2C-mottakere, som nesten alltid krever eksplisitt samtykke (opt-in), og de som sendes til B2B-mottakere, som kan være tillatt under visse betingelser avhengig av lokal lovgivning.

Er det fortsatt uklart? Ikke bekymre deg, vi vil bryte alt ned med omfattende sjekklister for å sikre at du er fullt forberedt.

Hva er hovedregelverkene?

Utsending av kommersielle e-poster er styrt av flere regelverk rundt om i verden. Avhengig av hvilket land du retter deg mot, kan reglene variere fra å være mer til mindre strenge. Her er en oversikt over de viktigste lovene som er i kraft i dag:

• GDPR (Den europeiske union)

• CAN-SPAM Act (USA)

• CASL (Canada)

• PECR (Storbritannia)

• Spam Act (Australia)

De følger alle de samme grunnleggende prinsippene:

1. De gjelder meldinger med et kommersielt eller salgsfremmende formål (salg av produkter, tjenester, partnerskap).

2. De dekker ulike kommunikasjonskanaler, som e-post, SMS, direktemeldinger, telefonsamtaler og meldinger på sosiale medier.

3. De gjelder for enkeltpersoner eller selskaper som sender meldinger til innbyggere i et gitt land, uavhengig av avsenderens opprinnelse.

⚠️ Men vær forsiktig, ulike regelverk kan overlappe! Hvis et amerikansk selskap sender kommersielle e-poster til mottakere i land med strengere lover, kan disse strengere lovene også gjelde.

Eksempler

• Et fransk selskap sender e-poster til potensielle kunder i USA → CAN-SPAM Act er gjeldende.

• Et amerikansk selskap sender e-poster til potensielle kunder i Frankrike → Både CAN-SPAM Act og GDPR er gjeldende.

CAN-SPAM Act (USA)

Hva er CAN-SPAM Act?

Controlling the Assault of Non-Solicited Pornography And Marketing Act (CAN-SPAM) pålegger flere forpliktelser. Her er de viktigste:

• Avsenderen må være tydelig identifisert i feltene “Fra”, “Til”, “Svar-til”, og e-posthodene må ikke være villedende.

• Emnefeltet i e-posten må gjenspeile innholdet nøyaktig.

• Avsenderen må være transparent om meldingens kommersielle natur. Det er imidlertid ikke obligatorisk å eksplisitt oppgi at e-posten er en reklame, så lenge innholdet ikke er villedende.

• Hver e-post må inneholde postadressen til det sendende selskapet (hovedkontor, kontor eller registrert postboks).

• E-posten må inneholde en brukervennlig avmeldingslenke. Avsenderen har 10 dager på seg til å behandle avmeldingsforespørsler. Avmeldingsalternativet må være gratis og skal ikke kreve annen informasjon enn en e-postadresse. For eksempel kan ikke avsenderen kreve at mottakeren logger inn på en konto eller fyller ut et skjema for å melde seg av.

• Når en person har meldt seg av, skal de ikke lenger motta kommersielle e-poster fra den avsenderen.

Hva er straffen for manglende overholdelse?

Den primære straffen er at selskaper kan få bøter på opptil 51 744 dollar per e-post som bryter reglene. I tillegg kan selskapsledere og ansvarlige personer holdes personlig ansvarlige. Videre kan uredelige eller villedende e-poster også behandles som straffbare forhold.

Sjekkliste for beste praksis for kald e-post for å overholde CAN-SPAM Act

1️⃣ Identifiser avsenderen korrekt

• Bruk et tydelig og verifiserbart navn og e-postadresse i feltene “Fra”, “Til” og “Svar-til”.

• Ikke skjul eller forfalsk avsenderens identitet.

• Oppgi en gyldig fysisk adresse der selskapet kan kontaktes (kontor, hovedkontor eller registrert postboks i USA).

2️⃣ Lag en CAN-SPAM-kompatibel e-post

• Emnefeltet må være ærlig og gjenspeile meldingsinnholdet nøyaktig (ingen villedende titler).

• Hvis e-posten er en reklame eller kampanje, bør den være tydelig identifiserbar som dette. CAN-SPAM Act krever ikke en eksplisitt “Reklame”-merking, men enhver form for bedrag er forbudt i presentasjonen av meldingen.

• Unngå å bruke falsk informasjon eller villedende e-posthoder.

3️⃣ Inkluder et tydelig og enkelt avmeldingsalternativ

• Legg til en synlig og brukervennlig avmeldingslenke.

• Ikke krev at mottakeren logger inn på en konto eller oppgir tilleggsinformasjon for å melde seg av, og sørg for at forespørselen behandles innen 10 dager.

4️⃣ Sikre god leveringsdyktighet og unngå å bli markert som søppelpost

• Bruk en profesjonell e-postadresse, unngå generiske adresser (f.eks. no-reply@, info@).

• Konfigurer DKIM-, SPF- og DMARC-innstillinger korrekt.

• Unngå å sende store mengder e-post samtidig; velg heller gradvise og målrettede utsendinger.

5️⃣ Håndter svar og spor sendte e-poster

• Sørg for at “Svar-til”-adressen er funksjonell og overvåket (mottakere skal kunne svare på e-posten din).

• Hold oversikt over avmeldte kontakter og sørg for at de ikke lenger mottar kommersielle meldinger.

Eksempel på en CAN-SPAM-kompatibel kommersiell e-post

Før vi ser på et godt eksempel, la oss undersøke et moteksempel.

❌ Hvorfor er denne e-posten ulovlig?

• Den hevder falskt at brukerens konto er suspendert når det faktisk er en markedsføringse-post.

• E-posten later som om den kommer fra Amazon, selv om den ikke gjør det.

• Den skaper inntrykk av å være et sikkerhetsvarsel fremfor en kampanjemelding.

• Det er ingen fysisk adresse eller avmeldingsalternativ inkludert.

Her er et eksempel til etterfølgelse.

✅ Hvorfor er denne e-posten kompatibel?

• Emnefeltet gjenspeiler innholdet i meldingen nøyaktig.

• Avsenderen er tydelig identifisert (navn og profesjonell e-postadresse).

• E-posten oppgir tydelig at det er et kommersielt tilbud.

• Den inkluderer en fysisk adresse for kontaktformål.

• Avmeldingsalternativet er tydelig og fungerer.

GDPR (Den europeiske union)

Hva er GDPR?

General Data Protection Regulation (GDPR), som trådte i kraft i 2018, har som mål å beskytte personopplysningene til europeiske borgere ved å pålegge strenge regler for selskaper og organisasjoner som samler inn og behandler dem.

📌 I motsetning til CAN-SPAM Act, som kun regulerer utsending av kommersielle e-poster, gjelder GDPR for alle former for behandling av personopplysninger.

GDPR er basert på to hovedprinsipper:

1. Eksplisitt samtykke (Opt-In): Generelt påkrevd for innsamling og bruk av personopplysninger, spesielt for utsending av markedsføringse-poster. I noen tilfeller kan et selskap påberope seg et annet rettslig grunnlag, som “berettiget interesse”, spesielt for B2B-kommunikasjon.

2. Retten til sletting (“Retten til å bli glemt”): Enhver person kan be om sletting av sine personopplysninger, med mindre oppbevaring er nødvendig (f.eks. juridiske forpliktelser, pågående kontrakter, allmenn interesse).

💡 Nyttig definisjon: GDPR definerer personopplysninger som enhver informasjon som direkte eller indirekte identifiserer en fysisk person:

• Direkte identifikatorer: Navn, fornavn, e-post, telefonnummer…

• Indirekte identifikatorer: IP-adresse, informasjonskapsler, geolokaliseringsdata…

• Sensitive data: Helseopplysninger, etnisk opprinnelse, politisk oppfatning, seksuell orientering… (beskyttet strengere).

Hovedprinsipper pålagt selskaper som håndterer personopplysninger:

• Data må samles inn og behandles lovlig og transparent (ingen skjult eller villedende innsamling).

• Data må samles inn for et spesifikt, legitimt og tydelig definert formål (f.eks. nyhetsbrevabonnement).

• Kun strengt nødvendige data skal samles inn (ingen overdreven datainnsamling).

• Data skal ikke oppbevares på ubestemt tid, kun så lenge det er nødvendig for å oppnå det opprinnelige formålet.

• Selskaper må beskytte data mot uautorisert tilgang, tap og brudd.

Straff for manglende overholdelse av GDPR

Selskaper som ikke overholder GDPR, er underlagt strenge bøter: opptil 20 millioner euro eller 4 % av den globale årsomsetningen, avhengig av hva som er høyest.

Eksempel:

Meta/Facebook (2023): 1,2 milliarder euro i bot for ulovlig overføring av data til USA.

Sjekkliste for beste praksis for kald e-post for å overholde GDPR

1️⃣ Opt-in eller ikke?

• Forhåndssamtykke (“Opt-In”) påkrevd for B2C: Innhent eksplisitt samtykke før du sender markedsføringse-poster til enkeltpersoner (B2C).

• Ingen obligatorisk opt-in for B2B: Sørg imidlertid for at det foreligger en berettiget interesse og at meldingen er relevant for mottakerens profesjonelle aktivitet.

2️⃣ Hvilken e-postadresse skal brukes?

• For mottakeren: ikke kontakt fagfolk ved å bruke deres personlige e-postadresse (f.eks. Gmail, Yahoo). Bruk alltid en profesjonell e-postadresse (f.eks. [email protected]).

• For avsenderen: bruk en profesjonell e-postadresse og unngå generiske adresser (f.eks. no-reply@, info@).

3️⃣ Utforming av en GDPR-kompatibel e-post

• Oppgi avsenderens identitet tydelig: Inkluder avsenderens navn og selskap.

• Forklar årsaken til kontakten: Avklar den legitime profesjonelle koblingen.

• Legg til en erklæring om åpenhet: Forklar hvor kontaktinformasjonen kom fra (f.eks. “Vi fant kontaktopplysningene dine på [LinkedIn / offisiell nettside]”).

• Ingen villedende emnefelt: Emnet må gjenspeile innholdet i e-posten nøyaktig.

• Inkluder en lenke til personvernerklæringen: Forklar tydelig hvordan personopplysninger håndteres.

• Tilby et tydelig avmeldingsalternativ. For eksempel: “Hvis du ikke lenger ønsker å motta e-poster fra oss, klikk her.”

4️⃣ Sikre god leveringsdyktighet og omdømme

• Konfigurer DKIM, SPF og DMARC korrekt for å unngå å bli flagget som søppelpost.

• Foretrekk individualiserte utsendinger: Unngå masseutsendelser for å opprettholde et godt omdømme.

• Tilpass hver e-post: Inkluder mottakerens for- og etternavn for å øke engasjementet.

5️⃣ Håndter mottakernes rettigheter

• Behandle avmeldingsforespørsler umiddelbart: Senest 30 dager etter forespørselen.

• Ikke kontakt personer som har bedt om sletting på nytt: Når noen har bedt om sletting av data, respekter forespørselen permanent.

• Hold oversikt over avmeldinger: Oppbevar bevis på avmeldinger for å dokumentere samsvar ved kontroll.

6️⃣ Håndter og beskytt innsamlede data

• Lagre data kun så lenge det er nødvendig: Unngå å beholde utdaterte eller unødvendige e-poster.

• Sikre data korrekt: Implementer kryptering og begrenset tilgang for å beskytte data mot uautorisert bruk.

• Etabler en GDPR-prosedyre: Sikre samsvar ved å sette opp prosesser for forespørsler om tilgang, endring og sletting av data.

PECR (Storbritannia)

PECR og UK GDPR er uadskillelige når det kommer til kald e-post i Storbritannia. Og nå tenker du kanskje: hva? To regelverk? 🫨

Ikke bekymre deg! PECR regulerer markedsføringse-poster, mens UK GDPR regulerer håndteringen av personopplysninger som brukes i disse e-postene. Når det gjelder personvern, er UK GDPR like streng som EU GDPR. Så hvis du har mestret GDPR-samsvar, er det ingen forskjell her. Når det gjelder PECR, er det mer lempelig i B2B, men like strengt i B2C som GDPR.

👉 Oppsummert: Hvis du fullt ut overholder GDPR, er du automatisk i samsvar med PECR og overgår til og med noen av kravene.

Hovedforskjellen fra GDPR: Utsending av B2B-markedsføringse-poster

• Generiske adresser (f.eks. [email protected]): PECR tillater utsending uten forhåndssamtykke.

• Personlige adresser (f.eks. [email protected]): Berettiget interesse er vanligvis tilstrekkelig, så lenge meldingen er relevant for mottakerens rolle.

CASL (Canada)

Hvis du trodde GDPR var strengt, gjør deg klar: Canada tar kald e-post på alvor!

Hva er CASL?

Canadian Anti-Spam Legislation (CASL), vedtatt i 2014, er en av de strengeste lovene i verden når det kommer til kommersiell e-post. I motsetning til CAN-SPAM Act og GDPR, krever CASL eksplisitt samtykke (opt-in), med få spesifikke unntak.

Grunnleggende prinsipp: OBLIGATORISK OPT-IN. I motsetning til CAN-SPAM Act (hvor en enkel opt-out er tilstrekkelig), krever CASL forhåndssamtykke (opt-in) i nesten alle tilfeller. Implisitt samtykke er svært snevert regulert.

💡 Godt å vite: Et implisitt samtykke utløper etter 6 til 24 måneder hvis mottakeren ikke har videre interaksjon med selskapet.

Straff for manglende overholdelse av CASL

Botene er spesielt strenge: Opptil 10 millioner CAD for et selskap. Opptil 1 million CAD for en enkeltperson. I tillegg kan sivile søksmål bli reist.

Sjekkliste for beste praksis for kald e-post for å overholde CASL

For å være mer effektiv, anbefaler vi å bruke den GDPR-spesifikke sjekklisten beskrevet tidligere. Her er punktene som skiller seg fra GDPR for å sikre CASL-samsvar:

1️⃣ Opt-In

Opt-in er påkrevd for både B2C- og de fleste B2B-kommunikasjoner.

Eksempler:

Et skjema der personen merker av i en umerket boks for å samtykke til å motta e-poster.

Et frivillig abonnement på et nyhetsbrev.

En dobbel opt-in (bekreftelses-e-post etter påmelding).

2️⃣ Implisitt samtykke er unntaksvis og strengt begrenset:

• Eksisterende forretningsforhold: For eksempel har mottakeren kjøpt et produkt eller en tjeneste i løpet av de siste 24 månedene.

• Forespørsel fra potensiell kunde: For eksempel har en person fylt ut et kontaktskjema på nettsiden din i løpet av de siste 6 månedene.

• Forhold mellom ideelle organisasjoner eller medlemmer av samme forening.

3️⃣ Avmeldingsforespørselen må behandles innen maksimalt 10 dager (i stedet for 30 dager som kreves av GDPR).

Spam Act (Australia)

Hva er Spam Act?

Spam Act (2003) gjelder enhver person eller organisasjon som sender elektroniske meldinger til mottakere i Australia, uavhengig av avsenderens opprinnelsesland. Denne loven er svært lik CASL (Canada).

Sjekkliste for beste praksis for kald e-post for å overholde Spam Act

Vi anbefaler å følge den CASL-spesifikke sjekklisten beskrevet tidligere. To hovedpunkter skiller seg imidlertid ut:

For det første tillater Spam Act inferred consent (utledet samtykke) i B2B-situasjoner hvis et eksisterende forretningsforhold er etablert (f.eks. et kjøp gjort i løpet av de siste 24 månedene).

💡 Nyttig definisjon: Inferred consent er en rimelig tolkning av at mottakeren aksepterer å motta e-poster, basert på et eksisterende forretningsforhold eller en nylig forespørsel (vanligvis i løpet av de siste 6 månedene). Loven spesifiserer at det må være basert på et tidligere kommersielt forhold eller en nylig informasjonsforespørsel.

Videre må avmeldingsforespørsler behandles innen 5 virkedager i stedet for 10 dager som kreves av CASL.

Ekspertinnsikt: ta i bruk beste praksis for kald e-post med Mail Merge for Gmail

Tilby en enkel og synlig avmeldingslenke

Å la mottakere enkelt melde seg av er ikke bare et lovkrav, men også et tegn på respekt.

Videre tilbyr Mail Merge for Gmail to metoder for dette. Den første består i å sette inn en fullstendig, standardisert avmeldingsbunntekst. Den andre består i å sette inn en tilpasset avmeldingslenke.

💡 Vi forklarer alt i en dedikert dokumentasjon.

Håndter avmeldinger effektivt

Kontakt aldri noen som har meldt seg av. Det er viktig å holde seg kompatibel. Manuell håndtering er risikabelt og utsatt for feil.

Med Mail Merge for Gmail er det ikke nødvendig å opprette et ekstra dokument: Håndter alt direkte fra ditt Google Sheet, ved å opprette en spesifikk kolonne for avmeldinger.

Ikke overse sikkerhet

Sikkerhet er et avgjørende spørsmål ved kald e-post. Du må sikre at dataene dine om potensielle kunder er beskyttet mot uautorisert tilgang, inkludert både personopplysninger og interaksjoner i e-postkampanjer.

Med Mail Merge for Gmail:

• Dataene dine forblir sikre på Googles servere.
• Avanserte sikkerhetsprotokoller for å kryptere data under transport og ved lagring (AES 256-bit).
• Autentisering via Google Sign-In med 2FA.
• Ingen personopplysninger deles med tredjeparter.
• Mail Merge har ikke tilgang til e-postene dine.
• ISO 27001-sertifisering.
• CASA Tier 3-sertifisering.

💡 Vi testet 20 verktøy for kald e-post blant de mest anbefalte. 7 skilte seg ut, evaluert basert på 8 kriterier.

Avslutningsvis håper vi at du nå har en klar forståelse av de ulike regelverkene og beste praksis! Hvorfor ikke prøve Mail Merge for Gmail, det beste verktøyet for å møte samsvarskrav?