GDPR og sandhederne om tracking
En undersøgelse af hjemmesidesporing fra 2020 understreger de alarmerende fakta, som de fleste hjemmesideejere ikke er klar over –
99% af cookies bruges til at tracke brugere eller til at tilbyde målrettet annoncering
72% af cookies bliver sat af fjerde parter, der hemmeligt loades af tredjepartscookies – også kendt som trojanske heste.
18% af cookies stammer fra femte, sjette, syvende eller ottende parter – dvs. dybere trojanske heste.
50% af de trojanske heste, der hemmeligt loades af tredjeparts cookies, vil forandre sig mellem besøg.
Den alarmerende sandhed er, at de fleste hjemmesideejere ikke er klar over i hvilken voldsom grad deres domæner bliver brugt af ukendte virksomheder til ulovligt at høste privat persondata, ofte fra steder udenfor beskyttede regioner som Europa.
Undersøgelsen blev lavet af forskere fra Ruhr Universitet og Institute for Internet Security. De målte 10.000 hjemmesider for skjult tracking og de ovenstående resultater gør det klart i hvor høj grad, der er behov for privatlivsbeskyttelse på internettet i dag.
Din hjemmeside har brug for omfattende og grundig cookie-teknologi for at sikrer fuld compliance med Databeskyttelsesforordningen (GDPR) og ePR (ePrivacy Direktivet).
Uden en samtykkeløsning på din hjemmeside er dine chancer for at beskytte dine slutbrugeres privatliv meget små, næsten nul.
Studiet, konkluderer undersøgelsens forskere, ”understreger det store behov for privatlivsbeskyttende mekanismer der kan begrænse cookie-baseret tracking.”
Læs den fulde undersøgelse Beyond the Front Page her (PDF)
GDPR og cookies
Cookies blev opfundet i 1994 for at give internettet en hukommelse. Disse små tekstfiler har til formål at give hjemmesider evnen til at tilbagekalde information og huske brugere.
Verden har ikke været den samme siden.
I dag lever vi i hyper-cookie tider.
Hjemmesider er ofte værter for hundredevis af tredjeparts cookies, der baner vejen for massiv indsamling af persondata og efterfølgende kombination med henblik på at skabe såkaldte ”psykografer” om hvert individ, som kan bruges til at målrette adfærdsreguleret reklame.
Som de store privacy-skandaler har vist os, kan disse også våbenliggøres for at forstyrre demokratiske valg i Amerika og Storbritannien.
Engang var cookies internettets evne til at huske. I dag er det blevet dets evne til at forudsige.
Med Databeskyttelsesforordningen (GDPR) har Europa tagen udfordringen op imod disse privatlivskrænkende metoder og tegnet et kort over fremtidens balancerede og respektfulde behandling af persondata på vores digitale veje.
GDPR om cookies og trackere
GDPR er et sæt af EU-regler, der udgør det vigtigste initiativ om databeskyttelse i 20 år.
Formålet er at beskytte “fysiske personer i forbindelse med behandling af personoplysninger og […] fri udveksling af sådanne oplysninger”, f.eks. brugeren af hjemmesiden.
Cookies omtales én gang i det 88 sider lange regelsæt. Disse få linjer har dog en betydelig indflydelse på, hvordan cookies fremover skal behandles:
(30): “Fysiske personer kan tilknyttes onlineidentifikatorer […] såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer […]. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.
Med andre ord: når cookies kan bruges til at identificere en konkret person, anses de for at være personoplysninger.
Hvad er egentlig cookies?
Cookies er små filer som automatisk anbringes på din computer, mens du browser på nettet. I og for sig er de harmløse stykker tekst som gemmes lokalt og nemt kan ses og fjernes.
Men cookies kan afgive mange oplysninger om dine aktiviteter og præferencer, og de kan bruges til at identificere dig uden dit udtrykkelige samtykke. De operer “i kulissen” og sporer dig uden dit udtrykkelige samtykke.
Fra et retligt synspunkt er dette en væsentlig overtrædelse af privatlivet, og da datateknologierne kun bliver mere og mere sofistikeret, forringes brugernes privatliv i stadig højere grad.
Ofte stammer Cookierne ikke engang fra det website, du besøger, men fra tredjeparter der sporer dig til markedsføringsformål.
Selvom det ikke er alle cookies, der anvendes på en måde, der kan bruges til at identificere brugere, gælder det for de fleste (og for dem, der har mest værdi for ejere af hjemmesider,) og de er derfor omfattet af GDPR.
Cookies til brug for analyser, reklamer og funktionelle tjenester, så som undersøgelses- og chatværktøjer, er allesammen eksempler på cookies der kan identificere brugere.
Problemet med cookies er både et spørgsmål om beskyttelse af privatlivet: Hvad er det der bliver registreret? – Og om gennemskuelighed – hvem sporer dig, til hvilke formål, hvor går oplysningerne hen, og hvor længe varer cookien?
Krav: Hvordan sikrer du, at dit website opfylder GDPR?
Som ejer af et website gør du det ved at træffe foranstaltninger, så de personlige oplysninger behandles svarende til de nye regler.
Personoplysninger er eksempelvis et navn, et foto, en e-mailadresse, bankoplysninger, opslag på sociale netværkssider, medicinske oplysninger eller en IP-adresse.
Hvis din hjemmeside eller din virksomhed behandler oplysninger som (a) er direkte personlige eller (b) kan kombineres eller specificeres så de kan henføres til et individ, skal procedurerne opdateres, så kravene respekteres.
Kortlæg og evaluer de følsomme oplysninger i din virksomhed, gennemgå din sikkerhedspolitik og sørg for, at oplysningerne er sikrede.
De to vigtigste aspekter du skal være opmærksom på er:
– hvordan kunde- og brugeroplysninger opbevares i din virksomhed, og
– cookierne på dit website (både førsteparts og tredjeparts).
Tilpasningen af din cookiepolitik og dine cookiesamtykker er en væsentlig del af denne proces.
Hvad bør et cookiesamtykke indeholde for at opfylde reglerne?
Et af de mest konkrete krav i GDPR er definitionen af, hvad der udgør et korrekt cookiesamtykke, dvs. at samtykket skal være:
- Informeret. Hvorfor, hvordan og hvor anvendes personoplysningerne? Det skal være klart for brugeren, hvad han/hun samtykker i, og det skal være muligt at til- og fravælge de forskellige typer af cookies.
- Baseret på et ægte valg: Det betyder f.eks. at brugeren skal have adgang til hjemmesiden og dens funktioner, selv om alle andre end de absolut nødvendige cookies er blevet afvist.
- Givet i form af en bekræftende, positiv handling som ikke kan fejlfortolkes.
- Givet forud for behandlingen af personoplysningerne.
- Muligt at tilbagekalde. Det skal være nemt for brugeren at skifte mening og tilbagekalde samtykket.
Endvidere
- Har brugeren ret til at blive glemt. På brugerens anmodning skal alle hans/hendes personoplysninger slettes på en korrekt måde.
- Alle givne samtykker skal gemmes som dokumentation.
Hvad er en cookiemeddelelse der opfylder kravene?
Ovenstående krav gør de fleste cookiemeddelelser som blev anvendt før GDPR blev indført ugyldige. F.eks. er implicit samtykke og samtykke givet alene ved at besøge et websted ikke tilstrækkelige.
Det samme gælder for pop-ups og bannere hvor der står “Ved at bruge denne hjemmeside accepterer du cookies”.
En simpel OK-knap er heller ikke tilstrækkelig.
F.eks. er nedenstående ikke en compliant cookiemeddelelse:
Cookiebots samtykkebanner opfylder GDPR/ePR kravene:
Hvilken indflydelse har GDPR på min cookiepolitik?
Persondataforodningen betyder, at du skal tilpasse din cookiepolitik og sikre, at den opfylder kravene.
EU’s forordning om e-databeskyttelse (ePrivacy) kræver forudgående, informeret samtykke af brugeren af dit website, mens den Generelle forordning om databeskyttelse (GDPR) kræver, at du dokumenterer hvert samtykke.
Samtidig skal du være i stand til at gøre rede for, hvilke brugeroplysninger du deler med integrerede tredjeparts-tjenester på dit websted, og hvor i verden disse oplysninger bliver sendt hen.
En cookiepolitik i overensstemmelse med GDPR- og e-databeskyttelse skal overholde følgende krav:
Gennemskuelig cookiepolitik
Cookiepolitikken skal være i overensstemmelse med kravene og bør give brugeren et klart billede af cookiernes anvendelse på hjemmesiden til enhver tid.
Oversigt og ansvarlighed for cookierne på din hjemmeside
Du kan blive udsat for kontroller og skal være i stand til at redegøre for alle dataprocesserne i forbindelse med din hjemmeside.
Dette er lettere sagt end gjort, fordi de fleste hjemmesider har et stort antal tredjeparts-cookies i omløb i deres system.
Samtykke i form af en bekræftende handling
Den største ændring med hensyn til cookies og online-sporing er, at samtykket skal gives i form af en klart bekræftende handling.
EU-borgere har vænnet sig til – selv om de muligvis er lettere trætte af det – bannere på alle hjemmesider, som advarer om brugen af cookies og som i nogle tilfælde beder om at klikke OK, uden dog at præsentere brugeren for et reelt alternativ, ud over at forlade siden.
Med de nye regler er dette ikke længere godt nok. Samtykket skal gives i form af en bekræftende, positiv handling, og der skal være en reel mulighed for at afvise cookies og stadig gøre brug af hjemmesiden.
Mulighed for at tilbagekalde samtykket til enhver tid
Brugeren skal have mulighed for at tilbagekalde sit samtykke.
Det er derfor vigtigt at sikre, at brugere altid har adgang til deres aktuelle samtykketilstand og kan ændre indstillingerne eller tilbagekalde deres samtykke helt eller delvis.
Fornyelse af samtykket
Hver 12. måned bør samtykket fornys ved brugerens første besøg på hjemmesiden.
Brugervenlig og klar dialog
Det er en udfordring stillet af GDPR, at brugere på den ene side skal have en udtømmende beskrivelse af, hvordan deres oplysninger bliver anvendt.
På den anden side skal kommunikationen være klar og nem at forstå, så brugeren ikke drukner i teknik- og juralingo, men har et ægte valg.
Forudgående samtykke
Brugerens samtykke skal gives forud for at cookierne placeres. Kun de absolut nødvendige cookies må installeres inden samtykket er blevet givet.
Alle samtykker skal opbevares som bevis
Alle samtykker skal gemmes på en sikker måde, så de kan bruges som bevis i tilfælde af kontrol.
Den enkle måde at gøre dine cookies og online-sporing GDPR-compliant
For at opfylde kravene kan du enten udvikle din egen samtykke-opsætning baseret på GDPR. Eller du kan abonnere på Cookiebot, en løsning for cookies og online-sporing som fuldstændigt opfylder kravene i GDPR.
Cookiebot integrerer cookiepolitikken med overvågningen af cookie-aktiviteterne på dit website, og sikrer derved at politikken altid er opdateret og korrekt.
En gang om måneden genereres en rapport over cookieaktiviteten og databehandlingen i forbindelse med dit website, så du altid har fuld kontrol.
Brugersamtykket indhentes ved hjælp af et forståeligt og brugervenligt banner, hvor man nemt kan til- og fravælge de forskellige typer af cookies.
Dine brugere kan altid tilgå samtykke-indstillingerne og administrere eller tilbagekalde samtykket.
Hver 12. måned fornys samtykket automatisk ved brugerens første nye besøg på websitet.
Kommunikationen i samtykke-banneret er brugervenligt og klart, med fokus på ægte transparens, uden overload af informationer.
Brugersamtykket indhentes forud for placeringen af cookies, undtaget de absolut nødvendige og derfor også lovlige.
Alle samtykker indsamles automatisk via en sikker forbindelse og gemmes i form af stærkt krypterede data.
Ressourcer
GDPR
Hvad EU’s Generelle forordning om databeskyttelse betyder for websteders opfyldelse af reglerne
Hvordan får du dit websted til at opfylde GDPR-reglerne og hvad er den Generelle forordning om databeskyttelse
Opfyldelse af GDPR-regler i 6 trin” i Information Age Digital Edition
Et informativt blogindlæg om opfyldelse af GDPR-kravene
Hvilken indflydelse har GDPR på cookiepolitikken?
GDPR: Hvornår skal du anmode om samtykke