Af Birgitte Kofod Olsen og Daniel Ingemann
Stat og kommuner er godt med i forhold til at sikre frivilligt og oplyst samtykke til cookies på deres hjemmesider. Det samme er uddannelsesinstitutionerne. Men det halter hos både NGO-er og mediehuse, hvis de skal leve op til nuværende og kommende lovkrav til placering af cookies.
Vi ser dem næsten hver dag, når vi er online og besøger hjemmesider: En cookiedeklaration popper op og beder om vores samtykke til, at udbyderen placerer cookies på vores udstyr.
Denne placering af cookies tjener mange formål. Og nogle af disse har en karakter, der gør, at vi som brugere både skal give vores samtykke til, at der placeres cookies, og at de oplysninger, de indsamler, anvendes af udbyderen eller tredjeparter.
Det franske datatilsyn, CNIL, pålagde den 31. december 2021 Google og Facebook bøder på henholdsvis 150 og 60 mio. euro for bl.a. at gøre det for besværligt at vælge cookies fra. Det gjorde os nysgerrige på, hvilke typer af cookiedeklarationer, der anvendes i Danmark.
Samtidig med DataEthics undersøgelse af brugen af Google Analytics undersøgte vi derfor cookiedeklarationerne hos de samme hjemmesider hos stat og kommuner, uddannelsesinstitutioner, NGO-er og medier.
Undersøgelsen omfatter 281 danske statslige og statsstøttede organisationers og virksomheders anvendelse af cookiedeklarationer. Vi har vurderet, om de kan betegnes som opt-in og dermed som løsninger, der efterlever GDPR og cookiebekendtgørelsen.
Den gode nyhed er, at 81% af de undersøgte hjemmesider har opt-in cookiedeklarationer. Omvendt er der altså stadig en femtedel af siderne, der med cookiebekendtgørelsens ord ikke i utilstrækkelig grad formår at indhente samtykke fra brugeren, og ikke fuldt ud opfylder GDPR’s krav til et frivilligt og specifikt samtykke.
Brug af cookies
Men lad os lige se på cookies, deres formål og reguleringen af dem. Cookies benyttes til statistik over besøg på en hjemmeside, til registrering af brugerens præferencer, når de bruger siden og til markedsføringsformål. For at opfylde disse formål registrerer de persondata. Det er data som IP-adresse, geolokation, tidspunkt og oplysninger, der kan bruges til profilering af brugeren. Det er derfor GDPR og cookiebekendtgørelsen, der sætter rammen for, hvordan samtykket skal indhentes for at være gyldigt.
Hjemmesiderne sætter også tekniske eller funktionelle cookies. De bruges til at sikre hjemmesidens drift, fx at man kan registrere sine køb i indkøbskurven og foretage betaling. De tekniske cookies slettes, når brugeren afslutter sin session på hjemmesiden. Da de tekniske cookies ikke indsamler oplysninger om brugerens søgninger og bevægelser på siden og på nettet, er der ikke krav om, at der skal indhentes samtykke til placering af dem.
Samtykke og frivillighed
Når man møder cookie-deklarationer på hjemmesider, ser de forskellige ud. De kan være baseret på, at man selv vælger cookies til eller fra, det kan ske på flere niveauer, og man kan let blive lokket til at vælge til på grund af de anvendte farver. En rød knap for ”vælg alle fra” kan fx påvirke den hurtige beslutning, så man kommer til at give sit samtykke til alle cookies, fremfor at vælge dem fra.
Kravene til samtykke i både GDPR og cookiebekendtgørelsen betyder imidlertid, at samtykket – for at være gyldigt – skal være frivilligt, specifikt og informeret. Man skal med andre ord let kunne gennemskue, hvad det er, man giver samtykke til og forstå konsekvenserne af det, fx at ens data videregives til en tredjepart, som bruger dem til sine forretningsformål. Det skal ske uden unødig påvirkning af ens valg.
Med den kommende EU Digital Service Act vil det også blive anset som urimelig påvirkning af brugeren, hvis man som udbyder anvender et design, som påvirker eller nudger brugerne til et bestemt valg.
Samtykke i cookiedeklarationer
De cookiesamtykker, der anvendes i praksis, kan opdeles i fem kategorier:
- Opt-in Cookies til statistiske-, markedsføringsmæssige- og præferenceformål er per automatik fravalgt. Brugeren kan vælge de cookies til, som vedkommende ønsker at bruge, ved at sætte kryds ved de forskellige cookies til og herefter trykke OK.
- Tilpas Brugeren kan ved et ekstra klik åbne en menu, hvor vedkommende kan tilpasse sine valg i forhold til anvendelsen af cookies til statistik, markedsføring og præference-tracking.
- Opt-out Cookies til statistiske-, markedsføringsmæssige- og præferenceformål er slået til som standardindstilling. Brugeren skal selv vælge cookies fra ved manuelt af fjerne afkrydsningen.
- Afvis alle Brugeren kan med et tryk vælge alle cookies eller afvise dem alle på en gang. To knapper viser ”OK” og ”Afvis alle”.
- Ingen Brugeren mødes ikke af en cookiedeklaration ved ankomst til hjemmesiden – eller får blot oplysning om, der anvendes cookies ved fortsat brug af siden.
Det kan diskuteres, om cookiedeklarationer, der er defineret under ”Tilpas” eller ”Afvis alle” efterlever cookiebekendtgørelsen og GDPR. Det afgørende element er, om brugeren skal tage et aktivt valg, før der lagres cookies på brugerens enhed, og om det er et oplyst valg. Det betyder, at de deklarationer, der indeholder ”Tilpas” og ”Afvis alle”-mulighederne, ikke må lagre cookies, der er i strid med brugerens valg, heller ikke når denne ikke foretager et valg. I den anden af spektret er de sider, der fx har en oplysning om, at der placeres cookies ved fortsat brug af hjemmesiden. De opfylder ikke kravet om et aktivt valg.
Cookiedeklarationer i stat og kommuner
88% af de statslige og kommunale hjemmesider anvender en cookiedeklaration, der kan betegnes som opt-in. Derudover muliggør 1% af statens hjemmesider manuel tilpasning.
Samtykke baseret på opt-ud ses hos 6% af statslige og kommunale hjemmesider.
Der er 4% af de statslige og 3% af de kommunale hjemmesider, der ikke har en cookiedeklaration. Årsagen til det kan være, at hjemmesiden kun anvender tekniske sessionsbegrænsede cookies.
Cookiedeklarationer hos uddannelsesinstitutioner
Hos uddannelsesinstitutionerne anvender 79% af hjemmesiderne opt-in, hvor de resterende 21% benytter andre deklarationstyper. Af disse indeholder 7% mulighed for at afvise alle cookies. 11% af hjemmesiderne anvender opt-ud, mens 4% ikke har en cookiedeklaration.
Cookiedeklarationer hos danske medier og NGO’er
Kun 58% af de undersøgte danske mediehuse og 50% af de undersøgte NGO’er indhenter opt-in baseret samtykke. ”Afvis-alle”-knappen findes på 17% af mediehjemmesiderne.
Hos NGOerne er der mulighed for selvstændig tilpasning på 21% af hjemmesiderne.
Mest markant er det, at 17% af de undersøgte medier ikke har en cookiedeklaration på deres hjemmeside. For NGO-erne er denne andel 14%, ligesom 14% benytter en opt-ud samtykkemodel.
Der er plads til forbedringer
De danske offentlige hjemmesider, som drives af stat og kommuner, er godt med i forhold til en cookiepraksis, der opfylder lovgivningens krav. Det er især opnået med brugen af opt-in deklarationer, der sikrer, at brugeren træffer et frit og oplyst valg, når der gives samtykke.
De anvendte deklarationer er dog ret forskellige. Det kunne derfor overvejes, om en vejledning eller anbefaling kunne få stat og kommuner helt i mål i forhold til at sikre korrekt og ensartet indhentning af samtykke på tværs af offentlige og statslige hjemmesider i forbindelse med lagring af cookies på borgernes udstyr.
Hos Mediehusene og NGO’erne er der plads til forbedringer. Selvom halvdelen har fået indført opt-in deklarationer, er der stadig mange, der slet ikke har en cookiedeklaration eller benytter en opt-ud model.
Måske er opmærksomheden på lovkravene til cookiesamtykke ikke høj nok. I så fald ligger der en opgave hos medievirksomhederne og NGO-erne i forhold til at blive klædt på til at navigere i GDPR-krav og cookiebekendtgørelsen og stille de rigtige krav til leverandører af cookiedeklarationer.
Læs mere om cookie-reglerne her:
Erhvervsstyrelsen
Datatilsynet
Birgitte Kofod Olsen er medstifter og forperson i DataEthics og partner i Carve Consulting.
Daniel Ingemann er ansat i Carve Consulting og læser cand.merc. jur. på CBS.
Sådan har vi gjort: Åbn hjemmesiden i et inkognitovindue. Aflæs cookiedeklarationen og kategoriser på baggrund af de fem typer af cookiedeklarationer.