Din virksomheds dialogboks til accept af cookies lever højst sandsynligt ikke op til Datatilsynets krav, som understreges i deres kritik af DMI

 

De fleste danske hjemmesider skal ændre den måde, de indsamler samtykke til databehandling på, i forbindelse med deres information om cookies

Datatilsynet offentliggjorde deres afgørelse i klagen over DMI mandag den 17. februar 2020. Sammen med afgørelsen er der udarbejdet en 40 siders lang vejledning - og Datatilsynet har udgivet podcast-episode nr. 16 i deres 15 episoders podcast med information om GDPR.

Læs Datatilsynets artikel, afgørelse og vejledning her

Hør podcast fra Datatilsynet her

Politikken-vs-buzzfeed-ikke-ok


OBS! Hvis du kun indsamler data til ét formål - og det ene formål er beskrevet tilstrækkeligt i teksten over knapperne til at acceptere eller afvise, så er BuzzFeed løsningen formentlig OK!

Det fremgår blandt andet af det opdaterede eksempel på et "cookiebanner", som Erhvervsstyrelsen har offentliggjort (men iøvrigt ikke selv anvender...) - her er det "cookiebanner" som Erhvervsstyrelsen bruger (med link til at sige nej i teksten i stedet for en knap):

Erhvervsstyrelsens-cookiebanner

De bruger kun cookies til statistik, og behøver derfor ikke forskellige checkboxe - og indsamler altså heller ikke persondata, hvorfor kravene til samtykket er anderledes.

Her får du mit bud på nogle af de vigtigste konsekvenser af afgørelsen og den nye vejledning

Det skal siges, at der allerede er rigtig mange meninger om både afgørelsen og konsekvenserne, så ligesom så meget andet der vedrører GDPR, må du desværre selv lytte til de forskellige meninger og fortolkninger, og så - sammen med din egen virksomheds juridiske rådgivere træffe de nødvendige beslutninger.

1. Vær opmærksom på, at afgørelsen og ændringerne IKKE handler om cookies, men om behandling af persondata!

Afgørelsen handler om det samtykke der indhentes til at dele persondata med f.eks. annonceplatforme som Facebook og Google.

At samtykket på de fleste hjemmesider indhentes via den boks, hvor den besøgende på hjemmesiden også giver accept til at hjemmesiden må gemme cookies på den besøgendes computer, har egentlig ikke noget med sagen at gøre.

Cookiedirektivet hører hjemme under Erhvervsstyrelsen, mens behandling af persondata hører under Datatilsynet - og det er behandling af persondata, som afgørelsen vedr. DMI handler om.

2. Afgørelsen betyder, at Datatilsynet betragter data opsamlet om besøgende på websitet som persondata - selvom der ikke opsamles navn, e-mail eller tilsvarende

Eftersom der er tale om persondata, så er der samme krav til indhentning af samtykke som når der f.eks. indhentes samtykke til markedsføring via e-mail. I det konkrete tilfælde handler det især om at samtykker skal afgives:

  • Frivilligt og aktivt

  • Informeret - i klart og enkelt sprog, letforståeligt for en person i målgruppen

  • Med separat samtykke til hvert formål

3. I praksis betyder det, at de fleste skal informere bedre om, hvad data bruges til, og gøre det lettere at sige nej til behandling af data

Lige nu er der to danske bud på hvordan samtykkerne kan indsamles lovligt:

Cookieinformation-vs-Cookiebot

Bemærk, at i eksemplet fra Cookiebot til højre, er det kun den nederste hvide box, der er selve "cookiebanneret". I den til venstre fra Cookieinformation er hele billedet "cookiebanneret".


Når jeg kun forholder mig til indholdet i de to boxe med afgivelse af samtykke - og altså ikke sammenligner de to platforme, så hæfter jeg mig ved følgende forskelle:

  • Den tekst der står over knapperne til accept, er længere på Cookieinformations løsning.

  • På Cookieinformations løsning er "Accepter alle" knappen mere tydelig end "Afvis alle" knappen. Desuden kan man ikke med det samme se at man får mulighed for at gemme sine valg på knappen til venstre, hvis man tilvælger flere i bunden af boksen.

  • På Cookiebot boxen er de to knapper lige tydelige - og knappen til venstre har samme tekst "Accepter valgte" uanset om man har valgt flere end de nødvendige til.

4. Vores meget foreløbige statistik viser stigning i opt-out fra ca. 0% til ca. 24% efter en uge i "flinkeskolen" (med Cookiebot versionen)

Når jeg sammenligner tal fra hele januar måned, med nogle få tusinde samtykker fra den sidste uge på et par sites, vi har adgang til, som den seneste uge har brugt den model hvor alle checkboxe er synlige, og ikke udfyldt på forhånd, og med ligevægt mellem knapperne til Ja tak og nej tak (med Cookiebot), så er der sket en markant stigning i antallet af besøgende, som siger nej tak til at få analyseret og delt deres data.

I januar (og tidligere) var det næsten 100 %, som accepterede alle cookies og datadeling.

Den sidste uge med Cookiebot modellen er der ca. 24 % som vælger kun at acceptere nødvendige cookies.

Ud af de 76% som accepterer cookies er det næsten alle som bare klikker på "Acceptér alle" knappen. Kun omkring 0,5% tilvælger funktionelle og statistik, men fravælger marketing.

Jeg har ikke adgang til tal fra sites, der bruger Cookieinformation modellen, men satser på at kunne få nogle tal herfra senere.

5. Burde vi ikke bare som virksomheder holde op med at indsamle og dele data. Når man spørger kunderne direkte, så vil de fleste helst være fri?

Politiken henviser til en undersøgelse fra Erhvervsstyrelsen fra 2015. Her svarer kun 3 % af de 2.000 adspurgte, at de anser "videregivelse af adfærdsdata til tredjeparter som et godt formål".

Data til at give personaliserede tilbud fra andre besøgte websites blev anset som "et godt formål" fra 10 %

Hvis man skal tro på de tal, så betyder det jo i praksis, at hvis de besøgende på hjemmesider blev spurgt ligeså klart og tydeligt, som lovgiverne egentlig gerne vil have, så ville langt de fleste sige nej.

Det svarer lidt til, hvis alle husstande blev spurgt om det var i orden at deres affald blev sorteret, for at annoncører kunne analyse, hvilke tilbudsaviser der så ud til at være blevet læst og hvilke der bare var smidt direkte ud, eller hvilke direct mail kuverter der var åbnet og hvilke der ikke var.

Så hvis virksomhederne reelt ville følge kundernes ønsker, så skulle vi lade være med at indsamle, dele og analysere så mange data. Problemet bare, at de der lader være, kommer til at betale dyrt i mistet indtjening!

Så længe vi må og kan optimere indtjeningen ved at indsamle data, analysere og dele dem med annoncenetværk - og så længe kunderne ikke fravælger virksomheder, der gør det, så vil de fleste gøre det.

De der vælger at følge kundernes reelle ønsker, må acceptere at konkurrenterne kan være meget mere effektive i deres annoncering, og dermed have råd til at annoncere mere, og få større markedsandele.

6. Der er (i min optik) ingen tvivl om at denne afgørelse vil sætte endnu større fokus på arbejdet med "First party data" - og at cookies i den nuværende form snart er en meget død sild

Lige nu er mange af standardløsningerne til at gemme samtykker givet i browseren baseret på cookies. Det betyder også, at så snart en besøgende har slettet sine cookies og besøger et site igen, så vil de igen blive bedt om at give samtykke - selv hvis de også gav deres samtykke ved sidste besøg.

Den proces med en meget forstyrrende pop-up vil være meget generende for sites der har en høj besøgsfrekvens, da en stor del af de besøgende her, risikerer at blive spurgt om samtykke alt for mange gange.

Jeg er derfor sikker på, at vi snart vil se en række andre løsninger end de løsninger, der lige nu er de mest udbredte.

Præcis hvor det ender, det må vi nok vente lidt endnu med at se - lige nu tror jeg vi vil se at alle de hjemmesider, der synes de har råd - eller som ikke tør andet - de vil skifte til en løsning, der er meget tæt på den FDIH anbefaler, uanset om man så laver den med Cookieinformation, Cookiebot eller en helt anden løsning.

Hvis du har kommentarer eller spørgsmål, er du altid velkommen til at skrive til os.

Læs Politikens artikel fra 16. februar her

Læs en af FDIH's artikler fra februar her

Torben Rasmussen
Torben Rasmussen
Direktør & stifter