I en ny undersøgelse fra Aarhus Universitet, som er foretaget i samarbejde med Massachusetts Institute of Technology og University College London, har forskerne konkluderet, at kun 1 ud af 10 af de mest populære hjemmesider i Storbritannien overholder de tre centrale punkter i lovgivningen for brugen af cookies. Det skriver DR.
I en udtalelse til DR udtaler en af forskerne bag undersøgelsen, Midas Nouwens, ph.d. ved Aarhus Universitet, at et lignende billede gør sig gældende i Danmark. Han siger:
”Vi tilgik siderne fra en dansk IP-adresse, og der er et stort overlap mellem populære sider i Storbritannien og Danmark. Så der er absolut ingen grund til at tro, at det her ikke også er noget, danske netbrugere står overfor”.
Men hvad er op og ned på de retningslinjer, som virksomhederne bør følge, når det kommer til cookies? Og hvad betyder det for dig som forbruger, når du svarer ”ok” til sidernes cookiepolitik?
Hvad bruges de digitale småkager til?
En cookie er en lille tekstfil, der bliver gemt på din computer, tablet eller smartphone første gang, du besøger en hjemmeside. Denne tekstfil eller cookie, som de populært kaldes, bliver gemt i webbrowseren og husker den besøgendes data såsom geo-lokation eller loginoplysninger, og når den besøgende så vender tilbage til hjemmesiden, beder web-serveren om de oplysninger, der er gemt i cookien. På den måde får virksomhederne bag hjemmesiderne informationer om f.eks. hvilket sprog den besøgende foretrækker, eller hvilke varer der er lagt i indkøbskurven.
Du har sikkert også prøvet at lægge nogle varer i kurven på en webshop uden at afslutte købet, og efter du vender tilbage, selv flere dage efter, husker webshoppen, hvilke varer du lagde i kurven. Dette er takket være cookies.
Man skelner mellem førstepartscookies og tredjepartscookies, hvor førstepartscookies typisk bruges til at opretholde hjemmesidens funktioner, som netop nævnt, hvor hjemmesiden formår at holde brugeren logget ind eller husker hvilke varer, der ligger i indkøbskurven. Tredjepartscookies er tjenester, der er implementeret på en hjemmeside af tredjeparter – det kan f.eks. være Google Analytics, Facebook, YouTube eller andre reklamenetværk – og de bruges normalt til statistik og marketingsformål.
Cookies beskrives ofte af hjemmesiderne som ”nødvendige til at forbedre den samlede brugeroplevelse på et websted”, men i mange tilfælde bruges cookies også til at spore de besøgendes digitale færden på tværs af internettet med formål som enten drejer sig om at føre statistikker over brugeradfærd eller marketingsformål. Netop denne sporing kan overtræde de besøgendes ret til privatliv og være et brud på Databeskyttelsesforordningen, hvis de ikke optræder på den rette måde.
Cookies skaber en form for ”online brugerprofiler”, idet de gemmer oplysninger om, hvem brugerne er, hvad deres interesser er, og hvad de er mest tilbøjelige til at købe næste gang. Baseret på den viden kan tjenesterne vise personlige annoncer til dig som forbruger, og heri opstår der nogle spørgsmål i forhold til anvendelsen af cookies, som er reguleret af EU-lovgivning som GDPR og ePrivacy (cookieloven).
Cookiereglerne regulerer selve indsamlingen af oplysningerne fra en brugers terminaludstyr (f.eks. computer, tablet eller smartphone), og GDPR regulerer en eventuel viderebehandling af de indsamlede oplysninger, hvis der er tale om personoplysninger.
Fire forskellige småkager
Ifølge cookiereglerne skal en hjemmeside indhente et samtykke fra de besøgende, inden de anvender cookies til f.eks. statistik eller markedsføringsformål. Hvis hjemmesiden derimod kun anvender cookies til tekniske nødvendige formål såsom loginfunktioner eller den elektroniske indkøbskurv på en webshop, behøver de ikke indhente samtykke. Der findes overordnet set fire forskellige slags cookies, som stiller forskellige krav til at indhente samtykke fra brugeren:
- Tekniske cookies sørger for, at hjemmesiden fungerer rent teknisk f.eks., at de besøgende forbliver logget ind og at det, der lægges i indkøbskurven, bliver husket. Denne form for cookie indsamler ikke informationer om, hvad du som forbruger søger efter på nettet, og hjemmesiden behøver ikke at underrette dig om, at de anvender denne cookie.
- Statistiske cookies bruges til at optimere en hjemmesides design, brugervenlighed og effektivitet. Dette gør den f.eks. ved at indsamle besøgsstatistik og samler altså ikke øvrige informationer om, hvad brugerne søger efter på nettet. Hjemmesiderne skal dog informere brugerne om, at de anvender statistikcookies og indhente deres samtykke hertil.
- Personaliserede cookies går under kategorien trackingcookies, fordi de indsamler brugerens interesser og digitale fodspor, hvilket ultimativt bruges til at personalisere indholdet på hjemmesiden. Oplysningerne bruges ikke til markedsføring, men hjemmesiderne skal informere brugerne om, at de anvender personaliserede cookies og indhente samtykke hertil.
- Markedsføringscookies, som også går under kategorien trackingcookies, indsamler brugeradfærd, og hvad brugeren interesserer sig for, hvilket bruges til at vise personrettede annoncer, når brugeren færdes andre steder på nettet. Denne cookie samler altså informationer om, hvad du som forbruger søger efter på nettet og anvender oplysningerne til markedsføringsindhold, som kan være interessant for dig. Hjemmesiderne skal informere om denne cookie og indhente samtykke fra brugeren.
Samtykke kræver en aktiv handling
I en dom afsagt af EU-Domstolen den 1. oktober 2019 blev det slået fast, at samtykke kræver en aktiv handling fra brugeren. Det vil sige, at et forudafkrydset felt ikke er et gyldigt samtykke. Ifølge dommen udspringer denne aktive handling af en fortolkning af begrebet samtykke, der defineres som ”en frivillig, specifik og informeret viljetilkendegivelse”.
I Danmark er det Datatilsynet, der håndhæver persondataforordningen, men når det kommer til lige netop opbygningen af bokse anvendt til cookies, er det Erhvervsstyrelsen, der har førertrøjen på (Kilde: DR). Efter EU-dommen blev afsagt har Erhvervsstyrelsen vurderet, at dommens fortolkning af ”aktiv handling” betyder, at formuleringer som: ”Ved at klikke gå videre accepterer du vores cookies”, som i øvrigt anvendes af mange hjemmesider i dag, kan sidestilles med et forudafkrydset felt og derfor ikke kan ses som et udtryk for brugerens aktive, specifikke samtykke til at anvende cookies. Derfor har Erhvervsstyrelsen ændret sin praksis til, at brugerens samtykke ikke længere kan indhentes på denne måde.
I dommen blev det også slået fast, at brugeren skal oplyses om cookies’ funktionsvarighed – altså hvor længe hjemmesiden indsamler oplysninger på brugerens udstyr. Erhvervsstyrelsen er fortsat i gang med at analysere dommens betydning – dvs. om den nuværende praksis er tilstrækkelig og om der er behov for at ændre reglerne.
Udover samtykkekravet skal virksomheder også opfylde kravet til information – dvs. at de skal oplyse brugeren om formålene med deres brug af cookies, hvem der står bag de anvendte cookies (f.eks. hjemmesidens ejer eller en tredjepart), oplyse om hvordan brugeren samtykker til eller afslår brugen af cookies og oplyse om hvordan brugeren kan trække sit samtykke tilbage.
Du skal have mulighed for at sige nej tak til kage
Ifølge persondataforordningen skal standard-indstillingen være, at du ikke får cookies – de skal tværtimod tilvælges aktivt. Hvis du vælger at sige nej tak til cookies må din brugeroplevelse ikke ændre sig, medmindre du siger nej til cookies, der er nødvendige for den funktionelle del af en hjemmeside, men det er et fåtal, der er det.
I undersøgelsen fra Aarhus Universitet viste det sig, at det ofte var besværligt at sige nej til cookies på de undersøgte hjemmesider og derudover at brugeroplevelsen blev værre, hvis de blev valgt fra, hvilket er imod lovgivningen.
I en ny artikel vil vi følge op på småkagelovgivningen ved blandt andet at beskrive to forskellige cases fra to virksomheder, der henholdsvis lykkes og mislykkes med at overholde cookielovgivningen på deres hjemmesider.