Sådan overholder du cookiereglerne i 2020 

Vi skriver 2020 og er begyndt på et nyt årti, men cookiereglerne, der har sin historie tilbage fra begyndelsen af det sidste årti, giver til stadighed anledning til spørgsmål og usikkerhed for web-ansvarlige.

Senest har Erhvervsstyrelsen i december 2019 opdateret vejledningen for overholdelsen af cookiereglerne. Baggrunden for denne opdatering skal findes i databeskyttelsesforordningen (GDPR) og en tysk domstols afgørelse omkring hvad et ”aktivt samtykke” i forhold til cookiereglerne er.

Denne artikel gennemgår de 3 vigtigste punkter i den opdaterede vejledning og giver vores anbefaling til hvordan du bedst overholder cookiereglerne - samtidigt med at du også kan drive en moderne online forretning.

I anden sektion af artiklen går vi et spadestik dybere i lovgivningen og hvordan den bliver håndhævet.

Men først stiller vi skarpt på den opdaterede vejledning til cookiereglerne.

3 præciserede råd fra erhvervsstyrelsens vejledning fra december 2019

  1. Samtykke kræver en aktiv handling fra brugeren. Det anses ikke længere som et gyldigt samtykke at brugeren klikker sig videre på websitet - ligesom forud afkrydsede felter ikke anses som gyldigt samtykke
  2. Brugerne skal sige OK (give samtykke) før der sættes statistikcookies
  3. Der skal oplyses om cookiernes funktionsvarighed (udløbsdato)

3 anbefalinger for hvordan du overholder loven med den nuværende vejledning

Kort fortalt kan du følge nedenstående 3 anbefalinger så reglerne overholdes. Men læs videre og bliv klogere på, hvad konsekvenserne for din forretning kan blive og hvordan du kan fortolke reglerne og vælge hvordan din forretning får det rigtige cookie-banner setup.

  1. Anvend et cookie-banner i et overlay, der fylder hele skærmen
  2. Find en teknisk løsning på at sætte de rigtige cookies, efter brugeren har givet samtykke
  3. Brug et automatisk værktøj til din cookiedeklaration, der selv aflæser udløbsdatoen på alle de cookies dit website har

Cookie-banner i et overlay afkræver kunden at tage stilling til cookies

Vi anbefaler et cookie-banner i et overlay - der fylder hele eller det mest af siden - hvor brugeren med et klik kan give samtykke til cookies. Vores data viser at op imod 40 % af brugerne ikke klikker hverken OK eller nej tak til et cookie-banner der kun ligger i bunden eller toppen af siden. Fordelen ved et cookie-banner i et overlay, at du med stor sandsynlighed får indhentet et samtykke, og du derved får flest mulige besøg registeret korrekt i dine statistik- og marketingsværktøjer.

 

(Illustration fra CookiePro)

Sæt cookies efter samtykke

Det er kun de teknisk nødvendige cookies, som du må sætte uden et samtykke. Dvs. f.eks. indkøbskurv eller i forbindelse med udfyldelse af formularer. For at overholde cookie-reglerne må du først sætte statistik- og markedsføringscookies efter at brugeren har givet sit samtykke. Det er selvfølgelig ikke uden konsekvenser for dine markedsføringsaktiviteter.

Når du sætter statistik- og trackingcookies efter brugeren har givet samtykke, risikerer du at miste data til dine marketingværktøjer – f.eks. retargeting. På de brugere der ikke aktivt klikker på en knap, vil du f.eks. ikke registrere brugerne i Google Analytics eller andre marketingværktøjer. Din kampagnesporing og størrelsen af din retargeting målgruppe vil derfor blive forringet.

Vi anbefaler netop derfor cookie-banneret i et overlay, da det markant øger sandsynligheden for at du får et samtykke, og at din statistik- og markedsføringsdata bliver så god som mulig.

Automatiser din cookiedeklaration med standardværktøjer

Det kræver både teknisk indsigt og en indsats at holde din cookiedeklaration opdateret. Med præciseringen af at udløbsdatoen også skal fremgå, er det nu vores klare anbefaling at du finder et værktøj, der kan automatisere dette arbejde.

Vi i Novicell anbefaler CookieBot. Men flere andre værktøjer såsom CookiePro og Cookie Information kan også løse opgaven.

Typisk indeholder et cookie-værktøj også features til at hjælpe med, at du først sætter statistik- og trackingcookies efter brugerens samtykke.

Indtil videre skulle vores anbefalinger helst være lige til at forstå og følge, men der er to vigtige punkter, som vi er nødt til at gennemgå: GDPR og deling af data med en tredjepart.

Men jeg skal have statistik og lave re-targeting!

Som sagt risikerer du både at miste statistikdata og få dårligere kvalitet i dine data til dine marketingaktiviteter, når du sætter cookies efter brugerne har givet deres samtykke.

Hvis du anvender et cookie-banner i et overlay, kan du argumentere for, at alle brugere af websitet giver deres accept til at sætte cookies, inden de bruger websitet. Derved kan du aktivere analytics- og tracking-tags med det samme brugeren kommer ind på siden.

Hvis du vælger at gå med dette argument, skal du dog vide, at du i praksis sætter statistik- og tracking-cookies før, brugeren giver sit samtykke. Du overholder derfor hverken lovens bogstav eller intention. Du skal selv lave en vurdering, om dette er det rigtige kompromis mellem at overholde reglerne og drive forretning.

Følger jeg så reglerne 100%?

Nej, faktisk ikke 100%. Selv hvis du følger vores anbefalinger i ovenstående, og endda først sætter ikke nødvendige cookies efter samtykke, så er du på kant med både cookie-reglerne og GDPR.

I cookie-reglerne fremgår det, at det skal være lige så nemt at sige ”nej tak” som, det er er at sige ”ja tak”. Det anbefalede cookie-banner nedtoner ”nej tak” mulighederne bag et tekstlink til ”Indstillinger” og fremhæver ”ja tak” med en grøn knap. De eksperter Danmarks Radio har talt med i en rundspørge, kalder dette for en ”skønhedsfejl” i en vurdering af dr.dk.

Og endelig så kan man stille spørgsmålstegn ved, hvad et samtykke til at sætte cookies rent faktisk gælder i forhold til GDPR. Erhvervsstyrelsen skriver i deres vejledning fra december 2019 at ”eventuel viderebehandling af de indsamlede oplysninger” hører under GDPR og dermed Datatilsynet.

Men begge problemstillinger fører ud i en længere diskussion, og for dig, der bare gerne vil overholde cookiereglerne, så skal du følge vores tre anbefalinger.

For dig, der vil tage et spadestik dybere i reglerne og forskellen mellem teori og praksis, anbefaler vi at du læser videre.

Forskel på regler og praksis

Som vi beskrev tidligere, kan du ved at bruge et cookie-banner i et overlay, argumentere for, at dine brugere ikke kan bruge dit website uden at sige ”ja tak” til cookies. Og ved at nedtone ”nej tak” bag ved en tekstlink til ”Indstillinger” vil langt hovedparten af dine brugere give dig samtykke. Ved at følge denne argumentation, vælger nogle websites at sætte statistik- og tracking-cookies før brugeren har givet sit samtykke.

Som sagt er det i strid med reglerne. Men ikke desto mindre, ser vi denne praksis hos mange websites. En videnskabelig undersøgelse fra Aarhus Universitet og MIT beviser endda dette, da de efter en gennemgang af Storbritanniens 10.000 største websites, fandt at kun ca. 12% af de undersøgte websites overholdt lovgivningen. Et mønster som forskerne mener er repræsentativt for Danmark.

Vi ser heller ikke nogen håndhævelse af cookiereglerne fra Erhvervsstyrelsen. Vi har set enkelte eksempler på bøder i forbindelse med cookiereglerne i udlandet, men i Danmark er der ikke nogle kendte sager. Det er således forbundet med en minimal økonomisk risiko at bevæge sig på kanten af loven.

Med hvad så med GDPR?

Desværre er der ingen konkrete vejledninger fra hverken Erhvervsstyrelsen eller Datatilsynet, til at overholde databeskyttelsesforordningen (GDPR) i forbindelse med cookies og brugen af web analytics eller tracking tags. Datatilsynet skrev i marts 2019 at de er ”i fuld gang med […] at afklare samspillet mellem den nye databeskyttelsesforordning og de eksisterende [cookieregler]”. Og de forventer en afklaring i første halvår 2019… vi venter stadig.

Vi er derfor nødt til at spekulere i hvordan databeskyttelsesforordningen bliver fortolket i forbindelse med brugen af cookies. Først vil vi dog forklarer, hvorfor cookies bliver interessante i beskyttelse af privatlivets fred.

En cookie er ikke bare en cookie

Det store problem med cookiereglerne og myndighedernes vejledning er, at de blot omtaler indhentelsen af brugernes accept til brug af cookies som ét samtykke. Når du har fået samtykke til at sætte cookies, så kan du således sætte alle de cookies du vil – ligegyldigt hvad de bliver brugt til. Men sådan som internettet, analytics- og tracking-teknologi rent faktisk virker, er der stor forskel på, hvad en cookie bruges til.

Langt de fleste cookies bruges til funktionalitet, statistik eller andre formål hvor, de indsamlede data udelukkende bruges af websitets ejer. Under databeskyttelsesforordningen vil man betegne websitets ejer som den dataansvarlige. Den dataansvarlige skal have et juridisk grundlag for at behandle den data, som indsamles vedhjælp af cookies. Når det udelukkende er den dataansvarlige, der benytter sig af den indsamlede data, vil det juridiske grundlag typisk være legitim interesse. En dataansvarlig må med dette grundlag behandle data, hvis ikke brugerens frihedsrettigheder kan blive krænket. Cookies i sig selv er derfor ikke noget problem i forhold til at overholde databeskyttelsesforordningen.

Bemærk at ovenstående er en meget kort beskrivelse af forordningens behandlingsgrundlag, men yderligere detaljer er ikke nødvendige i denne sammenhæng.

Men som sagt er en cookie, ikke bare en cookie. Cookies fra f.eks. Facebook, LinkedIn eller Google Ads bruges ikke kun af websitets ejer. Disse cookies bruges af Facebook og de øvrige aktører i adtech industrien til bl.a. at målrette reklamer til brugerne. I og med at der sker en videregivelse af persondata til andre end websitets ejer og denne bruger persondata til formål der ikke kan gå ind under legitim interesse.

Samtykke til cookies og deling af data?

Hvis vi ser på intentionen med cookiereglerne og samtidigt tager databeskyttelsesforordningen med i betragtningen, er det vores vurdering at der skal indhentes både et samtykke til brug af cookies og til deling af data med tredjepart. Men hverken Erhvervsstyrelsen eller Datatilsynet har konkretiseret konsekvenserne af databeskyttelsesforordningen i forhold til cookies og tracking ved hjælp af cookies.

Som websiteejer er det derfor for tidligt at drage nogle konsekvenser endnu. Selvom vores vurdering af databeskyttelsesforordningens konsekvenser for brug af cookies til tracking er, at det kræver endnu et samtykke, er det ikke den praksis som vi ser på alverdens websites. Det er heller ikke praksis fra myndighedernes side. Samtidigt vil indhentelsen af endnu et samtykke, helt sikkert ske på bekostning af værdifulde data og brugen af marketingværktøj. Uden konkret vejledning fra Datatilsynet, vil vi derfor anbefale, at man kun indhenter et samtykke til brug af cookies.

Hvorvidt denne praksis ændres i fremtiden, vil vi således ikke spekulere i forhold til en anbefaling her og nu.

Ingen kan spå om fremtiden

Hvorvidt myndighederne ændrer praksis i fremtiden, vil vi ikke spekulere i forhold til vores anbefaling her og nu. Som websiteansvarlig står du derfor overfor valget mellem på den ene side at konkurrere på lige fod med det overvejende flertal af websites og dermed være på kant med loven. Eller på den anden side være bagud i brugen af statistik- og marketingværktøjer, men til gengæld være sikker på at overholde loven.