JUSS OG SAMFUNN

På tide med forenkling av cookies

Max Schrems er på krigsstien igjen.

Av Eva Jarbekk og Jeppe Songe-Møller fra Schjødts techlaw avdeling mener det er på tide å se gjennom hvordan din bedrift bruker cookies.
Av Eva Jarbekk og Jeppe Songe-Møller fra Schjødts techlaw avdeling mener det er på tide å se gjennom hvordan din bedrift bruker cookies. Montasje: Opera/Schjødt
Av Eva Jarbekk og Jeppe Songe-Møller, Schjødts techlaw avdeling
1. juni 2021 - 16:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Den ideelle personvernorganisasjon Noyb ("None of Your Business") med base i Wien får nok en gang oppmerksomhet på grunn av sine litt utradisjonelle metoder. Grunnleggeren Max Schrems, jurist og internettaktivist, har ledet an flere søksmål som har ført til viktige rettsavgjørelser, sist i den såkalte Schrems II-saken.

Noyb har nå har utviklet en ny programvare. Den skanner nettsider og finner de som har ulovlige cookie pop-ups. Programvaren finner nettsider som gjør det unødvendig tungvint å si nei ("opt out") til å bli sporet av cookies. Deretter laget programvaren automatiserte klager til Datatilsynet. Noyb regner med å sende til sammen 10 000 klager.

I første runde har Noyb sendt ut 500 varsler til selskaper som har ulovlige cookie pop-ups. Av disse hadde 81% ingen nei-knapp på forsiden, og brukeren måtte gjennom flere klikk for å avslå cookies. 73% av nettsidene oppgis å ha brukt lokkende farger for å få brukeren til å akseptere cookies. Hele 90% hadde ingen enkel måte for brukeren for å trekke tilbake et samtykke. Disse bedriftene har nå fått anledning til å endre løsningen sin innen en måned. Hvis ingenting blir endret på nettsiden, vil klagen bli sendt direkte til Datatilsynet.  Det er kanskje ingen grunn til å tro at andre nettsider har bedre løsninger for cookies enn dem Noyb har identifisert.

To regelverk gjelder

Cookies har lenge skapt en del hodebry fordi to regelsett gjelder samtidig: Både GDPR og ePrivacy direktivet. I Norge forvaltes disse av to ulike myndigheter, henholdsvis Datatilsynet og Nkom. Lenge hadde disse myndighetene noe ulikt syn på hvordan samtykker til cookies skulle innhentes. Nkom aksepterte for eksempel at forhåndsinnstillinger i nettleseren kunne utgjøre et gyldig samtykke til å sette cookies, mens det etter GDPR kreves et mer aktivt samtykke.

Etter den såkalte Planet49-saken, hvor EU-domstolen presiserte samtykkekrav til cookies, endret dette seg. Både det engelske datatilsynet (ICO) og det franske datatilsynet (CNIL) konkluderte med at forhåndssamtykke i nettleserinnstillingene ikke lenger kan anses som et gyldig samtykke. Det europeiske personvernrådet har også lagt til grunn at samtykke til cookies må oppfylle kravene til GDPR for å være gyldig. Nkom har oppdatert sin veiledning tilsvarende, slik at samtykket som innhentes nå skal være i tråd med GDPR. På grunn av Nkoms tidligere tolkning, har Norge lenge tillatt cookies på en måte som ikke har vært lovlig i EU, men dette har endret seg. Alle som er ansvarlig for nettside som setter cookies bør følge med på hva Noyb gjør nå.

Årsakene til at mange selskaper har unødig tungvinte cookie pop-ups kan være lette å forstå. Det handler om penger. Jo mer informasjon et selskap vet om en bruker, jo mer verdifull er informasjonen. Dette har medført at noen aktører med hensikt gjør det tungvint for brukere å si nei til cookies. Typisk legger et selskap muligheten til å si nei til cookies ikke lett synlig på forsiden, men lenger bak eller i en undermeny slik at det krever mange klikk. Det er slike ulovlige mekanismer Noyb vil til livs.

Bortfallet av Privacy Shield kan fort gi GDPR-hodepine for mange norske virksomheter.
Les også

Dette må du vite om overføring av personopplysninger til utlandet og amerikanske selskaper

Manipulativt design

Noyb referer til undersøkelser som viser at bare 3% av brukere ønsker å bli sporet på nettet, mens manipulativt design kan få over 90% til å samtykke. Det norske Forbrukerrådet har vært opptatt av det samme i sin rapport om såkalte "Dark patterns".

Noyb understreker at det er galt når en del nettaktører hevder at det er GDPRs "feil" at man må ha så tungvinte cookie bannere. Noyb presiserer at det er tilstrekkelig med et enkelt ja eller nei på førstesiden. Personvern skal være enkelt, ikke vanskelig.

Det er ingen tvil om at det Noyb gjør er bra fra et forbrukerståsted. Mange opplever cookie pop-ups som en plage. Men om det bare var et enkelt ja eller nei på førstesiden, ville det ikke være fullt så irriterende, og de som ønsker å bli sporet slik at de kan få tilpasset reklame, kunne få det.

Uansett er det på tide å se over hvordan nettsidene dine gir informasjon om cookies. Selv om du kanskje ikke har fått et brev fra Noyb. Enda.

Det skal godt gjøres å være internettbruker i dag uten å ha etablert et nært (og temperamentsfullt) forhold til «cookies». Nå går det mot store endringer i  bruken av teknologien, men det er mer usikkert om dette i praksis vil endre stort.
Les også

Google varsler cookie-revolusjon. Vil det endre noe?

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.