Indlæg

POV: Erhvervsstyrelsen seneste udmelding omkring ændret tilgang til tilsyn af statistikcookies

/i , , /af

Erhvervsstyrelsen har på kort tid meldt to større nyheder ud; De vil inden afslutningen på 2021 føre tilsyn med de 100 mest besøgte hjemmesider i Danmark, samt sundhedshjemmesider og obligatoriske selvbetjeningsløsninger i det offentlige. Samtidig har Erhvervsstyrelsen meldt ud at de ikke længere vil prioritere tilsyn af statistikcookies, grundet de aktuelle forhandlinger af en ny forordning om e-databeskyttelse, hvor der lægges op til, at simple statistikcookies til trafikmåling undtages fra samtykkekravet.

Udmeldingerne har naturligvis skabt en delt både uro og optimisme blandt danske virksomheder, som Erhvervsstyrelsen jo ellers forsøger at hjælpe.

Taler Erhvervsstyrelsen og Datatilsynet sammen?

I forhold til digital måling og marketing, så arbejder man som virksomhedsejer af et website i den sammenhæng med to individuelle love som vi skal overholde:

  • Cookiebekendtgørelsen (Cookielovgivningen)
    For at man som virksomhed må sætte cookies på brugerens enhed, skal man sikre sig den korrekte hjemmel hertil. Vejledningen fra myndighederne er, at alle andre cookies end nødvendige kræver samtykke som hjemmel.
  • Databeskyttelsesforordningen (GDPR)
    For at man som virksomhed må behandle persondata, skal man sikre sig den korrekte hjemmel hertil. Vejledningen fra myndighederne er, at behandling af persondata med formålet at kunne levere statistik og marketing kræver samtykke som hjemmel.

Desværre er det to forskellige myndigheder i Danmark, som fører tilsyn med de to love. Erhvervsstyrelsen fører tilsyn med cookiebekendtgørelsen, og Datatilsynet fører tilsyn med persondataforordningen.

Historisk set har det givet en del udfordringer med fortolkning og adaption af samtykkeværktøjer hos de danske virksomheder. I februar i år udgav de to myndigheder en fælles quickquide, hvor de skrev følgende:

”Efter ePrivacy-direktivet skal brugerens samtykke indhentes, før der må sættes cookies. I det omfang der også sker behandling af personoplysninger ud over de oplysninger, der gemmes i cookies, eller der i øvrigt efterfølgende behandles personoplysninger, skal der også gives samtykkes hertil i henhold til persondataforordningen. Principielt set er der derfor tale om to forskellige samtykker.”

Vi har altså en situation, hvor den ene af de to tilsynsførende myndigheder (Erhvervsstyrelsen) har meldt ud, at de lukker deres øjne, men det betyder altså ikke, at det også er tilfældet for den anden tilsynsførende myndighed (Datatilsynet).

Vi har skrevet til begge myndigheder, for høre om de har afstemt tilgang til tilsyn med hinanden, men har endnu ikke hørt fra dem.

Erhvervsstyrelsens seneste udmelding efterlader flere spørgsmål end svar

Derudover er udmeldingen fra Erhvervsstyrelsen desværre både ganske kort og vag. Skåret ind til benet har Erhvervsstyrelsen meldt følgende ud

  • Vil ikke prioritere tilsynet med indhentning af simpel statistik
    Erhvervsstyrelsen skriver følgende i deres meget korte nyhed: ”Hjemmesider har i stigende grad behov for at kunne gennemføre trafikmålinger. Derfor vil Erhvervsstyrelsen fremadrettet ikke prioritere tilsynet med samtykkereglen for simple statistikcookies.” 

    Simpel statistik defineres ikke yderligere. Er det Google Analytics uden remarketing funktioner og med anonymisering af IP-adresse? Hvad skal man som virksomhed foretage af tilpasninger til sin Google Analytics opsætning før, at den kun indsamler simpel statistik, som det defineres af Erhvervsstyrelsen og Datatilsynet?

  • Det manglende tilsyn er betinget af krav til trafikmåling, brugerprofiler og deling med tredjeparter
    Erhvervsstyrelsen skriver yderligere: ”Erhvervsstyrelsen har derfor besluttet ikke at prioritere tilsynet med statistikcookies, såfremt der er tale om cookies og lignende teknologier, der indsamler statistik til hjemmesideejerens egen brug, fx i form af trafikmåling, som ikke bygger en brugerprofil af den besøgende, eller hvor data gives videre til en tredjepart.” 

    Erhvervsstyrelsen definerer ikke om ovenstående f.eks. dækker over et forhold med en dataansvarlig og databehandler. Må vi ikke måle på brugere(brugerprofiler) og dermed kun sessioner?

Vi har ligeledes rakt ud til Erhvervsstyrelsen for at få dem til at uddybe ovenstående, men har endnu ikke hørt fra dem.

Dansk Erhverv, der ligeledes har fulgt op på Erhvervsstyrelsens seneste udmelding, har følgende tolkning af denne:

  1. Oplysningerne indsamles til hjemmesideejerens eget brug
    Det er Dansk Erhvervs vurdering, at Google Analytics lever op til Erhvervsstyrelsens krav om cookies til eget brug og simpel statistik.
  2. Videregivelse af data til 3. part.
    Der er efter Dansk Erhvervs opfattelse ikke tale om videregivelse af data, så længe der er indgået en databehandleraftale imellem den dataansvarlige (hjemmesideejere) og databehandleren (f.eks. Google)
  3. Behandling af persondata
    Interesseafvejningsreglen kan efter Dansk Erhvervs vurdering anvendes som behandlingsgrundlag, ved måling af den besøgendes færden på siden, hvis en række krav er opfyldt.

Læs mere om Dansk Erhvervs tolkning her.

Indtil vi hører fra begge myndigheder, må danske virksomheder nøjes med de forskellige interessenters tolkninger, samt deres egen fortolkning. Tendensen er dog ret tydelig – vi bevæger os hen mod en verden, hvor statistik sandsynligvis bliver lovligt uden samtykke.

Få styr på din hjemmel

En vigtig pointe er dog, at hvis en dansk hjemmeside vælger at sætte statistikcookies og behandle persondata med statistik som formål, så skal der være 100% styr på den valgte juridiske hjemmel. Det nytter altså ikke at spørge om samtykke til at sætte cookies eller til at behandle persondata med statistik som formål, hvis det ikke efterleves.

Er det ønsket, kunne en løsning f.eks. være at dokumentere den valgte hjemmel som værende legitim interesse og fjerne statistik som mulighed i samtykkeværktøjet.

Hvordan tilretter du Google Analytics og dit samtykkeværktøj?

Hvis vi antager, at den mest optimistiske tolkning af Erhvervsstyrelsens udmelding er korrekt, så kunne en implementering af Google Analytics fremadrettet se således ud:

  • Der udarbejdes en risikoanalyse / interesseafvejning for eksekvering af Google Analytics
  • Google Analytics eksekveres uanset samtykke.
  • Remarketing funktionerne i Google Analytics aktiveres først efter samtykke til marketing cookies og behandling af persondata til markedsføringsformål.
  • IP-adressen anonymiseres, hvis der ikke er givet samtykke til behandling af persondata til markedsføringsformål.
  • Indsamling af eventuelle bruger id’er i Google Analytics, samt integration med CRM aktiveres først efter samtykke til behandling af persondata til markedsføringsformål.
  • Fjern muligheden for at give samtykke til statistikcookies, samt behandling af persondata til statistikformål

Er du stadig i tvivl?

Er du, med rette, stadig i tvivl om hvordan du skal forholde dig til de seneste udmeldinger omkring cookies, persondata og samtykker, så ræk ud til Resolution.

Datatilsynet trækker mørke skyer ind over danske medier og virksomheder

/i , /af

Datatilsynets kritik af Dansk Meteorologisk Instituts (DMI) behandling af personoplysninger om hjemmesidebesøgende, og den samtidige vejledning fra Datatilsynet omkring samme emne, kommer til at trække mørke skyer ind over det digitale økosystem på tværs af medier og virksomheder i Danmark.

Den nylige udmelding fra Google omkring den kommende nedlukning af tredjeparts cookies i Chrome browseren gav anledning til mange bekymringer og varslede nye tider for den digitale markedsføring, men den praktiske implementering af den nye vejledning fra Datatilsynet vil få meget hurtigere og større effekt.

Kravene til det samtykke, der indhentes på et website, er grundlæggende de samme som hidtil, men vejledningen fra datatilsynet indskærper nu en række forhold omkring fortolkning og håndhævel

Med udgangspunkt i den nye vejledning fra Datatilsynet må man konkludere, at stort set ingen danske medier eller virksomheder opfylder kravene for et gyldigt samtykke til cookies og behandlingen af personoplysninger. Når medierne og virksomhederne opdaterer samtykker og den teknologi, som de bruger til indsamling af disse, så vil antallet af data opsamlet på websites uden tvivl falde dramatisk, og det vil påvirke hele det digitale økosystem og herunder den digitale markedsføring.

Du kan her læse mere om, hvordan din virksomhed skal forholde sig til vejledningen fra Datatilsynet, og hvilke konsekvenser det kan forventes at få for din virksomhed og den digitale markedsføring.

Datatilsynets principielle afgørelse på DMI

Kort opsummeret har den danske tilsynsmyndighed Datatilsynet offentliggjort en principiel afgørelse omkring DMIs behandling af personoplysninger om hjemmesidebesøgende, hvor DMI får ’alvorlig kritik’ for at behandle personoplysninger i strid med databeskyttelsesforordningen (GDPR).

”Datatilsynet har lagt vægt på, at det ikke er muligt for en besøgende på hjemmesiden at afslå behandling af personoplysninger ved det indledende besøg på dmi.dk. Det kræver, at den besøgende vælger ’Vis detaljer’ for derefter at vælge ’Opdater samtykke’. En sådan ’et klik-væk’ fremgangsmåde er efter Datatilsynets opfattelse ikke gennemsigtig.”

Der er i afgørelsen samtidig nogle ganske interessante og helt nye perspektiver i forhold til dataansvar mellem DMI, og de anvendte tredjeparts teknologier der opsamler personoplysningerne, men dem vil vi først følge op på i et kommende indlæg. For nu fokuserer vi på samtykket og indhentningen af dette.

Den nye vejledning fra Datatilsynet

Kravene til det samtykke, der indhentes på et website, er grundlæggende de samme som hidtil, men vejledningen indskærper nu en række forhold omkring fortolkning og håndhævelse, som potentielt vil få meget store konsekvenser for det digitale økosystem.

Et samtykke er som hidtil en frivillig, specifik, informeret og utvetydig viljetilkendegivelse. Men det indskærpes med afgørelsen og vejledningen, at brugerens mulighed for enten at acceptere cookies og behandling af andre personoplysninger eller for at afvise samme skal gives ligeværdigt og med samme meddelelseseffekt. Det skal altså med andre ord være lige så let at sige ‘ja’ som at sige ‘nej’ til cookies.

Det er langt fra tilfældet på danske mediers og virksomheders websites i dag. Her er muligheden for at afvise cookies ’et-klik-væk’ (eller mere), og det er nu præciseret at en sådan løsning ikke fungerer efter hensigten.

Når danske websites i praksis implementerer en løsning, hvor en accept eller en afvisning præsenteres ligeværdigt og med samme meddelelseseffekt, vil det få stor effekt. Det vil naturligvis først og fremmest sikre et meget bedre og informeret samtykke for brugerne af websitet. I dag er det ganske givet få procentdele, som gør sig den umage at klikke igennem og afvise placeringen af cookies på et website. Når det præsenteres ligeværdigt, må man alt andet lige forvente, at mange flere vil afvise.

Hvor mange der vil henholdsvis acceptere eller afvise, vil i sidste ende afhænge af de tekniske løsninger, og hvad brugeren skal acceptere i samtykket i forhold til cookies og behandling af personoplysninger. Et optimistisk bud er, at måske 50–70% vil acceptere, og et pessimistisk bud er, at måske helt ned til kun 20% vil acceptere. Det er for tidligt at konkludere, men det vil have en betydelig effekt. Det er utvivlsomt.

Datatilsynets vejledning rammer det digitale økosystem i Danmark

Datatilsynets afgørelse og vejledning vil i det omfang den praksis kun effektueres i Danmark være konkurrenceforvridende for danske virksomheder. Danske medier, e-handlere og virksomheder i almindelighed vil blive ramt meget direkte, og vil i forhold til virksomheder uden samme krav til samtykker have vanskeligere ved at optimere deres digitale forretning og markedsføring.

Det må dog alt andet lige forventes, at databehandlings-myndighederne på tværs af hele EU kommer til at udstikke retningslinjer på linje med vejledningen fra de danske tilsynsmyndigheder. Men for nu vil det altså særligt påvirke danske virksomheder.

Eksempler på måling og annoncering som bliver handicappet

Det er som sagt endnu for tidligt at konkludere på de endegyldige konsekvenser i forhold til drift, optimering og markedsføring af digitale virksomheder. Hvor omfanget måske er vanskeligt at forudsige, så er det lidt nemmere at spekulere i, hvad der nu bliver sværere fremadrettet. Her er et par eksempler.

For at kunne måle på brugernes adfærd på et website forudsætter det, at brugerne har accepteret cookies. Med en betydelig andel af afviste samtykker vil trackingen i form af eksempelvis Google Analytics eller Adobe Analytics kun afspejle en del af forretningen, og den vil derfor ikke længere kunne være den daglige virkelighed for forretningen, som virksomheden navigerer efter i dag. Den vil være en stikprøve.

Det bliver samtidig interessant at følge, om den stikprøve afspejler sammensætningen af hele din virksomheds forretning. Hvilke typer af kunder eller forbrugere i almindelighed, som vælger at acceptere eller afvise samtykkerne? Og kan man ekstrapolere erfaringerne fra de kendte til de ukendte? Det skal man forholde sig til i den nye virkelighed.

Det bliver med implementeringen af den nye vejledning fra Datatilsynet nu også fuldstændig evident, at alle attribueringer af digitale effekter gennem Walled Gardens, cookie eller ID-baserede teknologier er uanvendelige til en mere holistisk attribuering. Det kræver uafhængige og cookie-løse løsninger, som du kan læse meget mere om i dette indlæg her på OMD Dive.

I forhold til annonceringen vil der også være mange direkte konsekvenser. Din virksomheds remarketingaktiviteter og de tilhørende remarketingpuljer vil blive reduceret. Det var nu alligevel sket før eller siden med den fulde nedlukning af tredjeparts cookies med udmeldingen fra Google omkring Chrome.

Samtidig vil Google, Facebook og andre annonceteknologier såsom Adform blive handicappet både i forhold til profilering af brugere og dermed målretning af disse. Deres algoritmer til brug for optimering af indkøbet vil også blive påvirket. Samtidig vil dynamiske kreativer blive dårligere personaliseret.

Det er bare nogle af de begrænsninger, som man kan begynde at se ude i horisonten, når man som virksomhed implementerer de nye krav og løsninger til indhentning af samtykker. Det er stadig for tidligt at sige noget om omfanget, men det kommer vi selvfølgelig til at følge og opdatere dig på.

Hvad skal din virksomhed gøre i den nye situation?

Den nye vejledning fra Datatilsynet er en anledning til at kigge din virksomheds samtykke-løsning igennem og sikre dig, at der er en ligeværdig mulighed for at acceptere og afvise cookies for brugerne.

Der er ganske få eller måske endda slet ingen danske virksomheder, som lever op til vejledningen, og derfor vil der i den kommende tid være stort fokus på at løse udfordringerne. Leverandørerne af samtykke-løsningerne såsom cookieinformation, der var løsningen bag DMI, er meget udbredt i Danmark, og de har derfor også travlt med at blive opdateret.

For nuværende skal du og din virksomhed gøre to ting. Tal med dine juridiske rådgivere omkring vejledningen og afgørelsen fra Datatilsynet og vurder sammen med dem, hvordan den nuværende løsning leverer på de præciserede krav til samtykker. Ræk ud til din leverandør af din virksomheds samtykke-løsning og bliv opdateret på deres opdaterede løsning på udfordringen. Alle virksomheder har nu fokus på dette, og de skal have svar på hånden både i forhold til det juridiske og det tekniske.

Du kan med fordel desuden læse eller høre mere omkring afgørelsen og vejledningen her.

Vejledning: https://www.datatilsynet.dk/media/7958/vejledning-om-behandling-af-personoplysninger-om-hjemmesidebesoegende.pdf

Afgørelse: https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2020/feb/dmis-behandling-af-personoplysninger-om-hjemmesidebesoegende/

Podcast: https://www.datatilsynet.dk/generelt-om-databeskyttelse/podcast/behandling-af-oplysninger-om-besoegende-paa-hjemmesider/