Sådan indhenter du et gyldigt cookie-samtykke

Skrevet af Tobias Thaastrup-Leth Digital strategichef, d. 21.02.2020

Mandag d. 17. feb. 2020 blev dagen, hvor Datatilsynet udgav en opdateret guide til behandling af personoplysninger for besøgende på et website. Opdateringen er lavet som følge af en aktuel sag om DMI og deres behandling af personoplysninger på dmi.dk. Websitet satte bl.a. 3. parts marketing-cookies fra Google på den besøgendes enhed uden brugerens samtykke. Politiken har lavet en fyldestgørende artikel om sagen.

Guiden har været længe ventet, da marketingbureauer og webmasters landet over har haft meget delte meninger om, hvad der var tilladt, og hvad der ikke var – specielt efter at GDPR trådte i kraft d. 25. maj 2018.

Udover at forholde sig til de gældende samtykkeregler for cookies, som stammer helt tilbage fra 2011, og senere cookie-bekendtgørelsen fra Erhvervsstyrelsen i 2013, har der også været spekuleret i, hvor meget man kunne tillade sig at overtræde reglerne, da der som virksomhed ikke har været nogen nævneværdige konsekvenser ved ikke at følge reglerne for indhentning af cookie-samtykke.

Hvad betyder Datatilsynets nye cookie-vejledning for mig?

Datatilsynets nye guide til behandling af personoplysninger om hjemmesidebesøgende beskriver detaljeret, hvad persondata egentlig er, samt hvordan man indhenter et gyldigt samtykke til brugen af cookies, som netop indsamler disse personoplysninger.

Og ja, hvis dit website benytter Google Analytics, så behandler du persondata – også selvom du i din Google Analytics-opsætning har aktiveret anonymisering af IP-adresser. Indtil forrige år var det muligt at benytte anonymisering af IP-adresser i Analytics for at undgå at skulle indhente cookie-samtykke dertil, men det er altså ikke muligt længere. Dette skyldes ikke GDPR, men ePrivacy-direktivet, som Erhvervsstyrelsen forlanger overholdt (det er Datatilsynet som har tilsyn med GDPR).

Det er derfor langt de fleste websites/virksomheder, der skal forholde sig til den nye og helt konkrete guide til indsamling af gyldigt cookie-samtykke.

Bemærk at reglerne på området ikke er blevet ændret, men det er nyt, at Datatilsynet nu specifikt tager stilling til forskellige teknikker og metoder og dermed danner grundlag for best-practice og fuld compliance på området inden for cookie-samtykke.


Hovedpunkterne fra Datatilsynets nye cookie-vejledning:

  • Tilladelse til alt andet end teknisk nødvendige cookies skal gives ved et aktivt tilvalg fra brugeren på et velinformeret grundlag.

  • I samtykkeboksen skal det tydeligt fremgå, hvilke formål de forskellige cookies gives til, og hvilke kategorier de hører under.

  • Brugeren skal nemt kunne til- og fravælge de forskellige formål/kategorier af cookies samt senere ændre sit samtykke.

  • Du må ikke nudge brugeren til at give det samtykke, som du vil foretrække, og det skal være lige så let at afvise, som at acceptere cookies.

  • Du skal kunne dokumentere, hvad brugeren har givet samtykke til, samt hvornår og hvordan samtykket er givet.

Udover ovennævnte hovedpunkter fra den nye cookie-guide, er de øvrige regler for cookies naturligvis stadig gældende. For eksempel skal der i cookiedeklararionen (oversigten over samtlige benyttede cookies) fremgå navn på hver cookie og udbyderen deraf, samt udløbsdato for de enkelte cookies, m.m.

Tidshorisont for tilpasning af cookie-samtykke

Datatilsynet oplyser, at deres kommende tilsynsplan giver marketingbureauerne og webmasterne tid til at få implementeret nye cookie-samtykkeløsninger, som kan leve op til den nye guide. Citat: ”De dataansvarlige skal have en fair chance for at læse vejledningen og indarbejde evt. ændringer”.
Hvad 'en fair chance' helt konkret indebærer ved vi endnu ikke. Hos Søgemedier afventer vi i øjeblikket en reaktion i branchen, for at se, hvordan diverse større medier forholder sig til den nye cookie-guide.

Dog har der som før nævnt ikke været nogle konsekvenser her i Danmark, ved ikke at have overholdt cookie-samtykke reglerne. Så om der går en måned eller to, før du får ajoutført din cookie-løsning, gør formentlig ikke den store forskel. Endvidere kan det i skrivende stund konstateres, at flertallet af de største webshops og medier i DK fortsat ikke lever op til de nye guidelines, som Datatilsynet nu groft sagt har skåret ud i pap.

Kategorier af cookies

Inden konsekvenserne af den nye cookie-guide kan beskrives nærmere, skal vi have styr på de forskellige kategorier af cookies, og samtykkekravene til disse. Der er 4 typer kategorier af cookies:

Nødvendige, Funktionelle, Statistik og Marketing.

Teknisk nødvendige cookies skal der ikke gives samtykke til af brugeren, og derfor vil du flere steder se, at checkbokse for denne kategori i samtykkebannere er forudafkrydsede eller inaktive, hvilket er fuldt ud lovligt. En teknisk cookie indeholder fx oplysninger om, hvorvidt brugeren netop har givet sit samtykke til cookies eller ej. En sådan cookie kaldes en 'consent cookie' og har som udgangspunkt en gyldighed/varighed på 12 måneder, hvorefter brugeren påny bliver adspurgt om samtykke til cookies.

Til de næste 3 kategorier skal der gives aktivt samtykke, og der må ikke kræves et fravalg i checkbokse men kun tilvalg. Eller eventuelt en accept af alle cookies på én gang, såfremt det fælles samtykke til alle kategorier af cookies er tydeligt informeret.

Funktionelle cookies (også kaldt præference-cookies) kan indeholde oplysninger om brugerens valg af sprog, indstillinger for websitets layout osv.

Statistik cookies benyttes af fx Google Analytics. Andre udbredte website statistik-tools benytter også statistik-cookies. Der findes dog nogle få yderst simple statistiksystemer, som udelukkende kan tracke antal ikke-unikke hits. De kan fungere uden at benytte statistik-cookies, men sådanne tools er meget sjældne og i øvrigt ikke særlig nyttige.

Marketing cookies fra 3. parter, som fx Google og Facebook, er den kategori af cookies, som bl.a. muliggør remarketing, hvor du eksempelvis eksponeres for produkter, du tidligere har set på diverse webshops. Denne type cookies har høj værdi for virksomhedsejere, da de kan målrette annoncering meget specifikt. Men det er også den type cookies, som indeholder rigtig meget personlig information om netop dig som forbruger. Og disse oplysninger om dig kan virksomhederne frit benytte selv, eller sælge videre til interesserede købere (annoncører som mener at du hører under en interessant målgruppe for deres produkt eller ydelse).

Min påstand er, at det er de færreste forbrugere, som kender de faktiske konsekvenser ved at give sit samtykke til brug af 3. parts marketing cookies. Derfor er det måske slet ikke helt dumt, når loven dikterer, at kun et aktivt tilvalg af marketing-cookies kan udgøre et gyldigt samtykke.

Fremgangsmåden for cookie-samtykke indtil nu

Grundet en markant øget andel af brugere, som fremover ikke accepterer samtlige cookies, herunder cookies til statistikformål og 3. parts marketing cookies, vil besøgstal i Google Analytics ikke længere være retvisende, og segmentering og remarketing på fx Google og Facebook bliver besværliggjort.

Årsagen til dette er, at mange websites indtil nu har placeret cookies på brugernes enheder uden deres accept. Typisk har man blot i et cookie-banner informeret brugeren om, at websitet benytter cookies, og dette uanfægtet om brugeren ønsker at give sin tilladelse eller ej. Du har uden tvivl set cookie-bannere med teksten ”Ved fortsat brug af dette website accepterer du cookies”. En sådan model er ifølge den nye cookie-guide en tydelig overtrædelse af reglerne for behandling af persondata, men alligevel har denne model været den absolut mest udbredte.

Mediet Version2.dk har tidligere undersøgt situationen, og afsløret at over 95% af de største mediers websites i Danmark benyttede denne model.

Konsekvenser af den nye cookie-guide

Hos Søgemedier har vi over den seneste tid undersøgt forskellige samtykkemetoder og lavet statistik over brugeradfærden og dermed fået påvist de eksakte konsekvenser heraf. Den mest fordelagtige metode for webstedsejere er naturligvis den, som får størst antal samtykker til alle kategorier af cookies.

Til undersøgelsen har vi benyttet en samtykkeløsningen fra Cookiebot, som nemt kan konfigureres til mange forskellige metoder. Også de ”ulovlige” og dem der befinder sig i gråzonerne. Altså dem, som ikke umiddelbart lever op til de 4 hovedkrav der er for et gyldigt samtykke - nemlig at samtykket skal være frivilligt, specifikt, informeret og en utvetydig viljestilkendegivelse.

Det bedste resultat blev opnået med et samtykkebanner af overlay-typen (også kendt som en ”cookie wall”) og med layout og tekst som her:

 

Og herunder den samme overlay-samtykkeboks efter klik på "Vis detaljer". Bemærk, at der kan klikkes rundt på de forskellige kategorier, samt læses mere detaljeret info under "Om cookies":




Læg desuden også mærke til, at det kun er cookie-kategorien ”Nødvendige”, der er forudafkrydset, da dette er et krav i den nye cookie-guide. De 3 andre felter er ikke forudafkrydsede og derfor såkaldt opt-in og ikke det ugyldige opt-out princip. Kun opt-in princippet opfylder kravet om et aktivt tilvalg.

Tallene fra Cookiebots administrationspanel viser os, at 67% klikker på ”OK – Tillad alle kategorier”. Ved at klikke på denne knap accepteres selvsagt alle 4 kategorier af cookies.

De resterende 33% klikker på ”Tillad kun valgte kategorier”, hvor altså kun "Nødvendige" boksen er forudafkrydset. Under 1% i denne sidste gruppe tilvælger en eller flere valgfrie cookie-kategorier og klikker efterfølgende ”Tillad kun valgte kategorier”.

I en anden nært beslægtet variant af ovenstående, godkendte model, hvor brugeren får vist nedenstående samtykkeboks, blev resultatet, at 75% klikkede ”OK- Tillad alle typer af cookies, og de resterende 25% klikkede på den sorte knap med teksten ”Kun nødvendige cookies”.

Denne model anbefaler vi dog ikke som primær løsning, da det ikke uden yderligere klik tydeligt fremgår, hvilke kategorier af cookies, der gives samtykke til. Endvidere kan kategorier ikke til- eller fravælges enkeltvis. Dog vil Datatilsynet næppe råbe bål og brand, hvis de skulle støde på denne model.

For grundighedens skyld testede vi også en helt anden metode, som vi dog absolut vil fraråde, da den kun indbragte cookie-samtykke eller -afvisning fra under 10% af de besøgende. Metoden er et cookie-banner, som fremgår i bunden eller toppen af websitet. Banneret er altså ikke et overlay, som tvinger, at der tages stilling til cookies. Brugeren kan derfor navigere rundt på websitet uden at give sit samtykke overhovedet (ingen cookies placeres), og det gjorde altså over 90% af brugerne i vores test. Ved websites, hvor størstedelen af de besøgende er fra smartphones, vil en væsentlig højere procentdel af accept/afvisning af cookies være aktuel.

OBS: Klikraterne i.forb.m. test af alle de forskellige samtykkebannere er baseret på mindst 1.000 besøgende på sgme.dk pr model. Fordelingen pr enhedskategori er ca 65% desktop trafik, 33% smartphone og 2% tablets.

Konklusion efter test af cookie-samtykke modeller

Tager vi udgangspunkt i vores anbefalede model, hvor 67% giver sit samtykke til alle kategorier af cookies, kan vi konkludere, at konsekvensen i vores tilfælde har været, at Google Analytics-data er blevet reduceret 33%. Dette skal vi huske fremover, når vi ønsker at kende vores antal besøgende på sgme.dk. Kigger vi på konverteringsrater, er der ikke de store konsekvenser, da de 67% målbare brugere er repræsentative til at lave brugbar statistik på i procenter.

At mangle demografiske og interessemæssige informationer m.m. på 33% af vores besøgende på vores website betyder også, at vi nu har sværere ved at komme ligeså bredt ud med målrettet markedsføring og remarketing. Det er dog ikke en uoverskuelig konsekvens, så længe man blot er opmærksom på udfordringen og tænker alternativt for at nå ud til den nu reducerede målgruppe. For eksempel bør du ved bredt målrettet bannerannoncering i højere grad end før, bedre tydeliggøre i annoncens grafik og tekst, hvilket segment et givent produkt eller ydelse henvender sig til. 

En anden nævneværdig og alvorlig udfordring, som relaterer til 3. parts marketing-cookies, er Intelligent Tracking Prevention (ITP). Dette vil du kunne læse mere om i et kommende blogindlæg.

Sådan kommer du videre med tilpasning til den nye cookie-guide

Som før nævnt behøver du ikke umiddelbart at foretage dig yderligere, hvis du allerede er GDPR kunde hos Søgemedier - vi stiller forskellige værktøjer til rådighed, og følger situationen med et meget vågent øje.

Datatilsynets fulde guide kan du downloade her: PDF guide til cookie-samtykke

Erhverstyrelsens information finder du her: Cookieregler


Disclaimer:
Holdninger i blogindlægget er udelukkende et udtryk for Søgemediers aktuelle fortolkning af information, som vi er blevet gjort bekendt med via bl.a. Datatilsynets website. Vi anbefaler, at du selv kontakter en IT-juridisk rådgiver eller advokat for yderligere afklaring eller vejledning på området.