I slutningen af marts kom det frem, at den norske mediekoncern Schibsted har lagret brugerdata helt tilbage fra 2001. Det kom frem i en gennemsigtighedsrapport udført af det norske Datatilsynet, som fik udleveret data, som fire norske virksomheder havde lagret om en testperson ansat hos tilsynet.
I alt udgjorde datamængden om Datatilsynets testperson over 7 millioner datapunkter (målt i antal Excel-celler). Koncernen havde oplysninger om vedkommendes interesser, hvad han ‘synes godt om’, hvordan han skriver, hans livssituation, hans livsstil og hans koncentrationsevne.
Blandt andet kunne de se, at han havde søgt efter en barnevogn på et bestemt website, og at han så på stillingsannoncer på en Samsung-mobiltelefon den 8. september 2015 klokken halv ti om morgenen.
Formålet med indsamlingen af personoplysningerne var blandt andet at sælge dem videre til annoncører.
– Meget få har kontrol
Dette er på ingen måde unikt, siger marketing manager Vibeke Stølen Andrup fra IT Trust.
IT Trust er et it-selskab med hovedkontor i Danmark, som hjælper websites med at gennemføre ændringer, så de overholder EU’s nye persondataforordning.
»Når vi scanner vores kunders websites, finder vi næsten uden undtagelse eksempler på cookies, som indhenter og deler data med tredjeparter på en sådan måde, at det kan være personhenførbart. Meget enkle websites er undtagelsen, men ved over 90 procent af vores scanninger finder vi det.«
»Disse cookies bruges oftest til statistik- og markedsføringsformål og gør det muligt at identificere personen, som bruger en enhed, ved hjælp af unikke identifikatorer, geolokalisering og/eller IP-adresser. Det gør websitet til bærer af persondata,« pointerer Andrup.
Hun henviser til, at det i dag er forretningsmodellen for mange virksomheder. Cookies gør, at de kan målrette markedsføringen og dermed øge indtægterne.
Men ikke engang de, som bevidst bruger cookies til at tjene penge, er klar over omfanget, mener Andrup:
»Vi ser, at også mange aktører i medierne bliver overraskede over omfanget. Cookies kan ændres fra minut til minut. Vi scanner websites en gang om måneden, og så har omfanget af cookies ændret sig med omkring 30 procent. Meget få har kontrol over dette.«
»Vi håber, at reglerne bliver væsentligt strengere«
I dele af mediebranchen har signalerne fra EU om den såkaldte ePrivacy Regulation imidlertid skabt bekymring. Mange mener, at det truer selve eksistensgrundlaget for digitale medier.
Blandt de bekymrede er formand Philipp Welte fra den tyske koncern Hubert Burda Media. Under mediedagene i München sidste år sagde han følgende:
»ePrivacy-forordningen lægger op til at skyde de europæiske mediekoncerners knæskaller i stykker for derefter at sige: ‘Løb så!’ Hvorfor er I ikke lige så hurtige som Facebook og Google?’«
Indsamling af flere typer cookies og andre data kræver nemlig accept allerede ved registrering hos blandt andet Facebook. Det giver dem en stor fordel sammenlignet med medierne, når det gælder annonceindtægter og målrettet annoncering, er Weltes hovedpointe.
Stramninger på vej
Reglerne er imidlertid ved at blive væsentlig strengere. Det gælder særligt cookies, som er såkaldt ‘ikke-essentielle’ – altså ikke er nødvendige for et websites funktionalitet, men som snarere samles ind af statistik- og markedsføringsgrunde.
I EU’s nye persondataforordning, GDPR, lægges der op til ‘privacy by default’. Det indebærer, at dataindsamling som udgangspunkt skal holdes på et minimum, og at udelukkende de cookies, som er nødvendige for et websites funktionalitet, skal tillades – medmindre brugeren aktivt giver samtykke til mere.
Og der må ikke være adgang til at veksle indhold til information.
Teknologidirektør i det norske Datatilsynet Atle Årnes siger:
»Du må ikke forhindres i at få adgang til indhold, hvis du afviser datalagringen. Det antydes, at brug af ‘cookie wall’ ikke tillades. Samtykket skal nemlig være frivilligt – det bliver det ikke, hvis du mister adgang til indhold ved at sige nej,« siger han.
I dag er det mest almindeligt at bruge et cookie-banner, hvor et banner i toppen eller i bunden af websitet informerer om, at der bruges cookies og hvorfor. Samtykke gives ved at klikke på noget eller læse videre. Cookie walls er noget mindre almindeligt. Her dækker et stort vindue hele websitet og beder brugerne om at acceptere, før de får adgang til indhold.
Andre websites anser det som tilstrækkeligt samtykke, hvis brugere accepterer indsamling af cookies i browserindstillingene.
Når GDPR træder i kraft, forpligter websites sig til at informere klart og tydeligt om de forskellige kategorier af cookies, forklarer teknologidirektøren:
»Det skal være tydeligt, hvad indsamlingen indebærer, og hvorfor brugerne eventuelt skal gå med til yderligere datalagring.«
Udviklede sig af ren og skær uvidenhed
IT Trust arbejder til daglig med at hjælpe virksomheder med at blive compliant med den nye lovgivning.
»Vi hjælper kunder med at kortlægge, hvad der findes af cookies på deres websites. For at kunne informere brugerne specifikt og nøjagtigt må webstederne scannes, så omfanget kan vurderes. Brugerne skal desuden gøres opmærksomme på, hvad de udsætter sig selv for ved at acceptere cookies, og hvilke rettigheder de har,« siger Andrup.
Hun mener, at situationen i dag er uhensigtsmæssig og utilsigtet.
»Det her har udviklet sig af ren og skær uvidenhed. Det er en vane, som har sneget sig ind over tid, og nu indser myndighederne, at der skal strammes op.«
I lighed med Datatilsynet, tror hun, at brugerrettighederne vil blive bedre varetaget med den nye EU-lov.
»Det hele bliver mere gennemskueligt nu. Brugere må ikke længere kunne blive overraskede over, hvad de enkelte websites har indsamlet af oplysninger om dem.«
»Som vi ser det, er det alle websites brugere af cookies af en eller anden identificerende bærere af persondata, og som er underlagt GDPR. Men en ting er loven – en anden er, hvordan det kommer til at blive praktiseret,« afslutter Andrup.
Det store spørgsmål er hvor meget styring der skal til - Hvis du spørger 3 forskellige konsulenter, så får du 3 forskellige svar.
Så spørgsmålet er om det er nok at browseren kan sende "Do not track" og man overholder dette eller om det er nødvendigt at alle websites/webapplikationer udvikles på en sådan måde at man ikke indlæser non-essential scripts, før man har fået et aktivt samtykke.
Hvis det er nødvendigt med et sådant aktivt samtykke, så betyder det også at browser oplevelsen bliver endnu værre end i dag. I dag mødes man af en enkelt lille boks man hurtigt kan klikke væk, men hvis det aktivt skal gives samtykke så vil det kræve at hver eneste website viser en lang liste af cookies man individuelt skal tage stilling til, før man kan browse siden. Det vil blive en voldsomt irriterende oplevelse.
Jeg ser det generelt som en meget positiv ting at der kommer fokus på den enorme tracking der foregår, men jeg savner i den grad nogle konkrete svar.
Det administreres enkelt ved inddeling af cookies i essentielle og non-essentielle, cookies til markedsføringsforhold eller lignende formuleringer.
Brugeren skal så ikke tage konkret stilling til de enkelte cookies, men kun til, om generel tracking i markedsføringsøjemed kan godkendes.
Man er i forvejen træt og indifferent overfor den evige knap man altid skal trykke på for at komme ind på et website, fordi nogle EU bureaukrater bestemte sig for at ih hvor var det farligt hvis man ikke anede noget om hvad en cookie var.
Og nu skal vi så til at læse lange forklaringer om hvorfor et website bruger en cookie til at huske mit login? Der er simpelthen nogen der ikke forstår at folk mister interessen hvis de hele tiden ser advarsler. Hvem her har nogensinde LÆST en terms of service på en eller anden service man signer op på? De er så lange og kedelige at man pr. refleks siger next next finish for at få sin adgang. Det andet bliver akkurat det samme - nytteløst tidsspild.
Og på et eller andet tidspunkt må nogen forklare mig hvorfor målrettede reklamer for ting der rent faktisk interesserer mig er slemme og i stedet bør erstattes af tilfældige reklamer for vaskepulver og hygiejnebind. Fordi INGEN må jo vide at jeg interesserer mig for digitale kameraer, det er jo en kæmpe invasion af mit privatliv.
Hvordan er reglerne for privatpersoner og enkeltmandsfirmaer, der har hjemmesider?
Hvis en privat blogger tjener lidt håndører ved at have Google Adsense eller lignende reklame-indlæg i sin side, hvordan er man så stillet?
Hvis reklamerne med sporingscookies er styret af tredjepart, hvem er så ansvarlig?
Hvem er ansvarlig for de handlinger stumper af javascript fra Google udfører på min hjemmeside? Er Google, er jeg, er brugeren?
Og lige et andet spor;
Tør man overhoved drive en almindelig webserver længere?
Hvordan sikrer man at server-loggen med IP-adresser og lign. overholder GDPR?
Nu er lovgivningen jo ikke helt klar på området endnu, men det ville undre mig meget hvis den ikke blev formuleret så ansvaret lander på samme måde som i stort set alle andre lovgivninger.
Aka. skal nok forbedrede dig på at DU er ansvarlig for dit website. Ingen tvinger dig til at have Google Adsense på din hjemmeside. Der er jo altid den mulighed at du selv kan gribe mobilen og ringe til en virksomhed og høre om de vil betal x-antal kroner for at du viser reklame for dem på din hjemmeside.
HVIS du vælger at have reklameindtægter på din hjemmeside, som styres af en ekstern kilde (Som fx. Google Adsense), skal du nok forberede dig på, at du skal kunne godtgøre at de ting du vælger at have kørende på din hjemmeside overholder alle gældende regler. Med lidt inspiration fra fysiske virksomheder, kunne man jo udføre det man kalder 'Audits' på ens underleverandører - og hvis man ikke kan få lov til det, bør man måske overveje om det er risikoen værd ;)
"Og på et eller andet tidspunkt må nogen forklare mig hvorfor målrettede reklamer for ting der rent faktisk interesserer mig er slemme"
Hvis du er interesseret i at betale for meget for dit digital kamera. Eller ikke at få de RIGTIGE gode tilbud på sådan. Så har du ret i din betragtning.
Hvis du er ligeglad med om du dit forsikringsselskab, bank, realkredit ikke vil have dig som kunde, eller vil have et højere gebyr eller police. På basis af din risiko.
Hvis du synes at det er i orden at din politisk overbevisning og holdninger bliver tracket. For at kunne målrette "information" direkte mod til dig. Så du ændre holdning og stemmer anderledes.
Hvis du er ligeglad med din arbejdsgiver kontroller, om du i virkelig er syg, hvem du stemmer på eller om du har lidt for meget kontakt til konkurrenterne.
Hvis du vil stå på mål, for alt du overhovedet har foretaget dig, og sagt, lavet, diskuteret i hele dit liv. Over for alle andre mennesker, myndigheder og offenligthed.
Hvis du synes at der er i orden at dine børn trackes og får tilsendt målrettet reklame, så dit tøjbudget explodere, eller de skal have ny mobil.
Hvis du synes det er i orden. Hvis myndigheder kommer til at anholde eller fængsel dig ved en fejl. Så kan de altid finde et eller andet som knytter dig til terrorisme. Som køb af køkkenknive, og leje af en bil.
Og du har styr på ALLE dine venner på facebook, dinne mail og kontakter på din telefon.
Det må du heller have, for du kan komme til at forklare dig, i en, Amerikansk eller Tyrkisk told og sikkerhedskontrol.
Hvis du takke ja til alt dette, og sikkert rigtigt meget mere. Så synes jeg du skal arbejde mod GDPR. Det bliver et så meget nemmere liv, når alle andre tager beslutninger og bestemmer for dig,
Der er faktisk mennesker, for hvem det kan få konsekvenser at få deres vaner afsløret overfor de forkerte.
Tænkt eksempel: En kvinde, som lever i et voldeligt forhold, googler sig frem til et par krisecentre, mens manden er ude af huset. Om aftenen, når han sætter sig ved computeren dukker der pludselig annoncer for Grevinde Danner op.
Tænkt eksempel: Du planlægger en ekstra fin gave til din samlever, i anledning af jeres bryllupsdag. Du leder på nettet efter rejser og måske en fin ring. Mens du sidder der, kommer konen for at give dig en besked. Du ved, hun vil kigge dig over skulderen, så du zapper hurtigt over på B.dk, som uheldigvis nu er fuld af reklamer for rejser og dyre smykker.
Du kan sikkert selv finde på flere, hvis du anstrenger dig. Det er en god øvelse.
/lmss
Det er en misforståelse at reklamer bliver udvalgt efter dine interesser eller behov. De bliver udelukkende udvalgt efter sælgerne interesser og behov, og jeg mangler stadig at se nogen argumentere for at et eventuelt overlap skulle være andet end tilfældigt.
I øvrigt skal du være opmærksom på, at mange af de såkaldte "målrettede reklamer" kommer fra en online auktion over den personprofil, som man har opbygget, og den som kan komme med den bedste pris på at få din opmærksomhed, får lov at vise reklamen. Der er potentielt tale om ganske mange deltagere i denne auktion (2-3 cifret antal), som alle får din personprofil stillet til rådighed for at kunne vurdere om du er attraktiv eller ej.
Selvom auktionen er automatiseret, så forklarer det ganske givet en stor del af loadtiderne på sider på "målrettede reklamer".
Men jeg har ikke noget problem med at du vælger at få "målrettede reklamer" på den måde, hvis bare du ved, hvad du siger ja til, og hvis jeg kan få lov til at blive fri (for at blive profileret og auktioneret bort bag min ryg).
Men der er jo stadig ingen, der magter at læse de mærkelige dokumenter, man klikker OK til. Eller vil kunne forstå dem. Jeg læste et sted den påstand, at man, hvis man læste alle de "terms", man forventes at godkende, skulle man bruge 76 arbejdsdage om året. Det er sikkert løgn, men næppe ret meget. At folk skal klikke OK til noget, de ikke kan læse og forstå, løser ingen problemer. Det er "symbolpolitik" i stil med at slå korsets tegn for sig, inden man starter sin bil. Det skader ikke, eller måske gør det faktisk (ansvaret skrider i begge tilfælde).
Naturligvis har målrettede reklamer jævnligt overraskende og ubehagelige bivirkninger, og special-price-for-you-sir er heller ikke godt. Det løser man bare ikke ved at kræve flere cookie-regler. I dag er cookies ikke strengt nødvendige for at lave den slags. At bede browseren returnere en liste over tilgængelige fonte og vinduets størrelse er vist nok langt hen ad vejen.
Når de nu har forklaret så fint på siderne, hvorfor de gerne vil bruge cookies, savner jeg massivt at kunne vælge mellem at bruge siden med eller uden cookies; så jeg selv kan vælge hvor jeg vil huskes og trackes (ekstra).
Jeg har desværre endnu ikke set en sådan side.
Det kommer du formentlig til meget snart. En del af de GDPR forberedelser jeg har været en del af har bl.a. gået ud på kategorisering af cookies og formålet for hver kategori for at kunne præsentere brugere med en overskuelig oversigt over cookies. De cookies der ikke er nødvendige for at siden virker, kan så fravælges på oversigten.
Jeg skulle til at pege på stil.dk, for deres cookiebanner giver en mulighed for at sige "nej tak".
Men så skulle jeg lige dobbeltchecke. Og sørme om ikke jeg alligevel har fået en "SC_ANALYTICS_GLOBAL_COOKIE" cookie fra deres domæne, som ser ud til at have høj entropi og først slettes engang i 2028, og at mine plugins også lige blokerer Google Analytics og noget fra Facebook (samt lidt andet godt).
Suk! Du får ret.
Med oplysningspligten under GDPR skal den dataansvarlige fortælle hvem personoplysninger videregives til. Hvilket muligvis kan blive et problem for det typiske website, som ikke aner hvem personoplysninger om web adfærd videregives til i real-time bidding behandlinger..
Det ville rent faktisk løse mange problemer, hvis de dataansvarlige læste lidt i GDPR. Bare læsning af artikel 7 vil være et stort fremskridt.
Der står for eksempel
1) Ingen forudfyldte felter i samtykke. Hvis der er mulighed for at klikke 'OK', skal det være accept af den mindst mulige behandling af personoplysninger.
2) Behandlingsgrundlagene "samtykke" og "nødvendig for at opfylde en kontrakt", artikel 6, stk. 1 og 2, må ikke sammenblandes. Nødvendig for at opfylde en kontrakt skal normalt fortolkes restriktivt. Hvis du fx har et Netflix abonnement er en vis behandling af personoplysninger nødvendig for at levere streamingtjenesten, men det gælder næppe overvågning af din adfærd på Netflix med henblik på anbefalinger af nye programmer. Den type profilering og målretning bør være et valgfrit element. Du skal derfor give samtykke til det sidste (adfærdsovervågning, med mulighed for at sige nej), men ikke det første (behandlingen af personoplysninger som er nødvendig for at Netflix kan levere tjenesten).
3) Et samtykke skal være frivilligt, og det skal være lige så nemt at give samtykke og trække det tilbage (herunder sige nej up front). Frivilligt betyder bl.a. at der ikke må være økonomiske konsekvenser ved at sige nej, og at levering af en tjeneste ikke må gøres betinget af samtykke til behandling af personoplysninger, som ikke er nødvendig for at levere denne tjeneste. Artikel 7, stk. 4 er central her.
4) Beskrivelse af det informerede samtykke må ikke begraves i en 117 siders Terms of Service. Det står meget præcist i artikel 7, stk. 2. Terms of Service eller lange kontrakter kan ikke i sig selv være et retligt grundlag for at behandle personoplysninger.
Der står selvfølgelig meget andet i GDPR, men ovenstående er faktisk det centrale i forhold til den "giv samtykke til vores opdaterede GDPR ToS" spam, som vi ser i disse uger.
Desværre er disse misforståelser blandt de dataansvarlige meget udbredte, se for eksempel dette blogindlæg af Giovanni Buttarelli, den europæiske datatilsynsførende (chef for EDPS).
Meget ironisk er det især store firmaer som Facebook, der har svært ved at læse hvad der står i GDPR. Når det er meget ironisk skyldes det, at diverse lobbyister har haft meget travlt med at fortælle os, at GDPR bliver en katastrofe, og at det vil være en kæmpe fordel for store aktører som Facebook, fordi kun disse store aktører har den juridiske ekspertise til at forstå GDPR, mens SMV'er lades i stikken, blah blah blah...
Og nej... jeg tror egentlig ikke at Facebook's højt betalte jurister ikke kan læse og forstå teksten, men Facebook har muligvis en økonomisk interesse i ikke at kunne forstå teksten.
Jesper Lund
Formand, IT-Politisk Forening
Tilvælges, ikke fravælges. GDPR tillader ikke forudafkrydsede felter (betragtning 32).
GDPR er gældende lov i Danmark i stedet for persondataloven. Det betyder blandt andet, at information der kan henføres til cookie IDs er personoplysninger [1], og oplysningspligten over for den registrerede har fået en række udvidelser.
De nationale bestemmelser efter ePrivacy direktivet 2002/58 gælder stadig, fx den meget omtalte cookie bekendtgørelse, og vil stadig gælde indtil ePrivacy forordningen finder anvendelse. Der var Kommissionens hensigt, at ePrivacy forordningen skulle finde anvendelse samtidig med GDPR, men det kommer ikke til at ske, alene af den grund at Rådet stadig ikke er blevet enig med sig selv om hvad de skal mene om ePrivacy forordningen. Realistisk set taler vi 2020 eller 2021 inden nye regler på dette område kan træde i kraft.
En vigtig detalje her er at samtykke efter cookiebekendtgørelsen fra 25. maj 2018 skal fortolkes efter GDPR, og ikke persondataloven. Herunder krav om frivillighed, krav til information i forbindelse med samtykke, og at forudafkrydsede felter ikke tillades.
Derudover skal man være opmærksom på, at cookiekendtgørelsen kun regulerer den rent tekniske adgang til og lagring af information i slutbrugerens terminaludstyr (i folkemunde "cookies", men reelt enhver adgang herunder device fingerprinting), og at en eventuel behandling af disse oplysninger efter den tekniske adgang/lagring skal ske i overensstemmelse med persondataloven og fra 25. maj 2018 GDPR.
Hvis man som dataansvarlig tidligere har ment, at disse oplysninger der behandles via cookie IDs nærmest er "anonyme" og derfor falder uden for persondataloven, dvs. at man kun havde forpligtelse til at sikre sig samtykke for adgang/lagring efter cookiebekendtgørelsen, skal man huske at revidere denne opfattelse inden 25. maj.
Jesper Lund
Formand, IT-Politisk Forening
[1] Vi kan diskutere fra nu af og til juleaften om det allerede under gældende lov (persondataloven) er personoplysninger, men det vil være omsonst eftersom 25. maj kommer før juleaften.
Til Jesper Lund. Ja det bliver sikkert facebook, der får en 4% som de første store, Men hvem indkassere dem ?
Det kan godt være at et Dansk Datatilsyn giver en administrativ bøde til facebook.Men hvem får bøden, er det EU, Danmark, det land som Facebook har europæisk hovedkontor i ?
Hvis det er Danmark, så synes jeg da at det Danske Tilsyn skal se at komme ud af starthullerne, inde favebook bliver tømt for kapital med bøder på 2.5 milliard stykket.
Udover forsvar for borgeren, så kan det vel fylde et hul hist og pist,. Samt sikrer at andre mindre europæiske tjenester har en mulighed for at konkurrere på lige og lovligt grundlag.
Irland, under forudsætning af at det irske datatilsyn vil være ledende tilsynsmyndighed. Uanset hvor sagen starter (hvem der klager), kan det irske datatilsyn beslutte at være ledende tilsynsmyndighed, fordi Facebook har sin hovedvirksomhed i Irland (artikel 56, stk. 1).
I Danmark kan der i øvrigt ikke gives administrative bøder på grund af den den danske grundlov. I ukomplicerede sager kan Datatilsynet præsentere den dataansvarlige eller databehandleren for et bødeforlæg, men hvis den dataansvarlige eller databehandleren ikke er enig, eller hvis sagen er tilpas kompliceret til at bødeforlæg ikke kan komme på tale, skal sagen overdrages til politiet og derefter anklagemyndigheden og køre ved domstolene.
Hvis du er ligeglad med dit "digitale" liv. Og tror på at Kapitalistisk hjemmesider vil dig det bedste og ikke tænker på at tjene penge.
Nu lyder det jo ikke pænt at kalde mennesker, som ikke gider bekymre sig om deres privatliv, dumme eller idioter. Så lad os kalde dem uvidende, og samtidigt glæde sig over at man. Hvis man beskytter sig, ikke behøver at betaler 2000,- for meget på hverken rejsen, eller digitalkamera.
http://nyheder.tv2.dk/tech/2018-05-14-undgaa-dyrere-rejser-og-beskyt-dig...