Indlæg

POV: Erhvervsstyrelsen seneste udmelding omkring ændret tilgang til tilsyn af statistikcookies

Erhvervsstyrelsen har på kort tid meldt to større nyheder ud; De vil inden afslutningen på 2021 føre tilsyn med de 100 mest besøgte hjemmesider i Danmark, samt sundhedshjemmesider og obligatoriske selvbetjeningsløsninger i det offentlige. Samtidig har Erhvervsstyrelsen meldt ud at de ikke længere vil prioritere tilsyn af statistikcookies, grundet de aktuelle forhandlinger af en ny forordning om e-databeskyttelse, hvor der lægges op til, at simple statistikcookies til trafikmåling undtages fra samtykkekravet.

Udmeldingerne har naturligvis skabt en delt både uro og optimisme blandt danske virksomheder, som Erhvervsstyrelsen jo ellers forsøger at hjælpe.

Taler Erhvervsstyrelsen og Datatilsynet sammen?

I forhold til digital måling og marketing, så arbejder man som virksomhedsejer af et website i den sammenhæng med to individuelle love som vi skal overholde:

  • Cookiebekendtgørelsen (Cookielovgivningen)
    For at man som virksomhed må sætte cookies på brugerens enhed, skal man sikre sig den korrekte hjemmel hertil. Vejledningen fra myndighederne er, at alle andre cookies end nødvendige kræver samtykke som hjemmel.
  • Databeskyttelsesforordningen (GDPR)
    For at man som virksomhed må behandle persondata, skal man sikre sig den korrekte hjemmel hertil. Vejledningen fra myndighederne er, at behandling af persondata med formålet at kunne levere statistik og marketing kræver samtykke som hjemmel.

Desværre er det to forskellige myndigheder i Danmark, som fører tilsyn med de to love. Erhvervsstyrelsen fører tilsyn med cookiebekendtgørelsen, og Datatilsynet fører tilsyn med persondataforordningen.

Historisk set har det givet en del udfordringer med fortolkning og adaption af samtykkeværktøjer hos de danske virksomheder. I februar i år udgav de to myndigheder en fælles quickquide, hvor de skrev følgende:

”Efter ePrivacy-direktivet skal brugerens samtykke indhentes, før der må sættes cookies. I det omfang der også sker behandling af personoplysninger ud over de oplysninger, der gemmes i cookies, eller der i øvrigt efterfølgende behandles personoplysninger, skal der også gives samtykkes hertil i henhold til persondataforordningen. Principielt set er der derfor tale om to forskellige samtykker.”

Vi har altså en situation, hvor den ene af de to tilsynsførende myndigheder (Erhvervsstyrelsen) har meldt ud, at de lukker deres øjne, men det betyder altså ikke, at det også er tilfældet for den anden tilsynsførende myndighed (Datatilsynet).

Vi har skrevet til begge myndigheder, for høre om de har afstemt tilgang til tilsyn med hinanden, men har endnu ikke hørt fra dem.

Erhvervsstyrelsens seneste udmelding efterlader flere spørgsmål end svar

Derudover er udmeldingen fra Erhvervsstyrelsen desværre både ganske kort og vag. Skåret ind til benet har Erhvervsstyrelsen meldt følgende ud

  • Vil ikke prioritere tilsynet med indhentning af simpel statistik
    Erhvervsstyrelsen skriver følgende i deres meget korte nyhed: ”Hjemmesider har i stigende grad behov for at kunne gennemføre trafikmålinger. Derfor vil Erhvervsstyrelsen fremadrettet ikke prioritere tilsynet med samtykkereglen for simple statistikcookies.” 

    Simpel statistik defineres ikke yderligere. Er det Google Analytics uden remarketing funktioner og med anonymisering af IP-adresse? Hvad skal man som virksomhed foretage af tilpasninger til sin Google Analytics opsætning før, at den kun indsamler simpel statistik, som det defineres af Erhvervsstyrelsen og Datatilsynet?

  • Det manglende tilsyn er betinget af krav til trafikmåling, brugerprofiler og deling med tredjeparter
    Erhvervsstyrelsen skriver yderligere: ”Erhvervsstyrelsen har derfor besluttet ikke at prioritere tilsynet med statistikcookies, såfremt der er tale om cookies og lignende teknologier, der indsamler statistik til hjemmesideejerens egen brug, fx i form af trafikmåling, som ikke bygger en brugerprofil af den besøgende, eller hvor data gives videre til en tredjepart.” 

    Erhvervsstyrelsen definerer ikke om ovenstående f.eks. dækker over et forhold med en dataansvarlig og databehandler. Må vi ikke måle på brugere(brugerprofiler) og dermed kun sessioner?

Vi har ligeledes rakt ud til Erhvervsstyrelsen for at få dem til at uddybe ovenstående, men har endnu ikke hørt fra dem.

Dansk Erhverv, der ligeledes har fulgt op på Erhvervsstyrelsens seneste udmelding, har følgende tolkning af denne:

  1. Oplysningerne indsamles til hjemmesideejerens eget brug
    Det er Dansk Erhvervs vurdering, at Google Analytics lever op til Erhvervsstyrelsens krav om cookies til eget brug og simpel statistik.
  2. Videregivelse af data til 3. part.
    Der er efter Dansk Erhvervs opfattelse ikke tale om videregivelse af data, så længe der er indgået en databehandleraftale imellem den dataansvarlige (hjemmesideejere) og databehandleren (f.eks. Google)
  3. Behandling af persondata
    Interesseafvejningsreglen kan efter Dansk Erhvervs vurdering anvendes som behandlingsgrundlag, ved måling af den besøgendes færden på siden, hvis en række krav er opfyldt.

Læs mere om Dansk Erhvervs tolkning her.

Indtil vi hører fra begge myndigheder, må danske virksomheder nøjes med de forskellige interessenters tolkninger, samt deres egen fortolkning. Tendensen er dog ret tydelig – vi bevæger os hen mod en verden, hvor statistik sandsynligvis bliver lovligt uden samtykke.

Få styr på din hjemmel

En vigtig pointe er dog, at hvis en dansk hjemmeside vælger at sætte statistikcookies og behandle persondata med statistik som formål, så skal der være 100% styr på den valgte juridiske hjemmel. Det nytter altså ikke at spørge om samtykke til at sætte cookies eller til at behandle persondata med statistik som formål, hvis det ikke efterleves.

Er det ønsket, kunne en løsning f.eks. være at dokumentere den valgte hjemmel som værende legitim interesse og fjerne statistik som mulighed i samtykkeværktøjet.

Hvordan tilretter du Google Analytics og dit samtykkeværktøj?

Hvis vi antager, at den mest optimistiske tolkning af Erhvervsstyrelsens udmelding er korrekt, så kunne en implementering af Google Analytics fremadrettet se således ud:

  • Der udarbejdes en risikoanalyse / interesseafvejning for eksekvering af Google Analytics
  • Google Analytics eksekveres uanset samtykke.
  • Remarketing funktionerne i Google Analytics aktiveres først efter samtykke til marketing cookies og behandling af persondata til markedsføringsformål.
  • IP-adressen anonymiseres, hvis der ikke er givet samtykke til behandling af persondata til markedsføringsformål.
  • Indsamling af eventuelle bruger id’er i Google Analytics, samt integration med CRM aktiveres først efter samtykke til behandling af persondata til markedsføringsformål.
  • Fjern muligheden for at give samtykke til statistikcookies, samt behandling af persondata til statistikformål

Er du stadig i tvivl?

Er du, med rette, stadig i tvivl om hvordan du skal forholde dig til de seneste udmeldinger omkring cookies, persondata og samtykker, så ræk ud til Resolution.