I slutningen af marts kom det frem, at den norske mediekoncern Schibsted har lagret brugerdata helt tilbage fra 2001. Det kom frem i en gennemsigtighedsrapport udført af det norske Datatilsynet, som fik udleveret data, som fire norske virksomheder havde lagret om en testperson ansat hos tilsynet.
I alt udgjorde datamængden om Datatilsynets testperson over 7 millioner datapunkter (målt i antal Excel-celler). Koncernen havde oplysninger om vedkommendes interesser, hvad han ‘synes godt om’, hvordan han skriver, hans livssituation, hans livsstil og hans koncentrationsevne.
Blandt andet kunne de se, at han havde søgt efter en barnevogn på et bestemt website, og at han så på stillingsannoncer på en Samsung-mobiltelefon den 8. september 2015 klokken halv ti om morgenen.
Formålet med indsamlingen af personoplysningerne var blandt andet at sælge dem videre til annoncører.
– Meget få har kontrol
Dette er på ingen måde unikt, siger marketing manager Vibeke Stølen Andrup fra IT Trust.
IT Trust er et it-selskab med hovedkontor i Danmark, som hjælper websites med at gennemføre ændringer, så de overholder EU’s nye persondataforordning.
»Når vi scanner vores kunders websites, finder vi næsten uden undtagelse eksempler på cookies, som indhenter og deler data med tredjeparter på en sådan måde, at det kan være personhenførbart. Meget enkle websites er undtagelsen, men ved over 90 procent af vores scanninger finder vi det.«
»Disse cookies bruges oftest til statistik- og markedsføringsformål og gør det muligt at identificere personen, som bruger en enhed, ved hjælp af unikke identifikatorer, geolokalisering og/eller IP-adresser. Det gør websitet til bærer af persondata,« pointerer Andrup.
Hun henviser til, at det i dag er forretningsmodellen for mange virksomheder. Cookies gør, at de kan målrette markedsføringen og dermed øge indtægterne.
Men ikke engang de, som bevidst bruger cookies til at tjene penge, er klar over omfanget, mener Andrup:
»Vi ser, at også mange aktører i medierne bliver overraskede over omfanget. Cookies kan ændres fra minut til minut. Vi scanner websites en gang om måneden, og så har omfanget af cookies ændret sig med omkring 30 procent. Meget få har kontrol over dette.«
»Vi håber, at reglerne bliver væsentligt strengere«
I dele af mediebranchen har signalerne fra EU om den såkaldte ePrivacy Regulation imidlertid skabt bekymring. Mange mener, at det truer selve eksistensgrundlaget for digitale medier.
Blandt de bekymrede er formand Philipp Welte fra den tyske koncern Hubert Burda Media. Under mediedagene i München sidste år sagde han følgende:
»ePrivacy-forordningen lægger op til at skyde de europæiske mediekoncerners knæskaller i stykker for derefter at sige: ‘Løb så!’ Hvorfor er I ikke lige så hurtige som Facebook og Google?’«
Indsamling af flere typer cookies og andre data kræver nemlig accept allerede ved registrering hos blandt andet Facebook. Det giver dem en stor fordel sammenlignet med medierne, når det gælder annonceindtægter og målrettet annoncering, er Weltes hovedpointe.
Stramninger på vej
Reglerne er imidlertid ved at blive væsentlig strengere. Det gælder særligt cookies, som er såkaldt ‘ikke-essentielle’ – altså ikke er nødvendige for et websites funktionalitet, men som snarere samles ind af statistik- og markedsføringsgrunde.
I EU’s nye persondataforordning, GDPR, lægges der op til ‘privacy by default’. Det indebærer, at dataindsamling som udgangspunkt skal holdes på et minimum, og at udelukkende de cookies, som er nødvendige for et websites funktionalitet, skal tillades – medmindre brugeren aktivt giver samtykke til mere.
Og der må ikke være adgang til at veksle indhold til information.
Teknologidirektør i det norske Datatilsynet Atle Årnes siger:
»Du må ikke forhindres i at få adgang til indhold, hvis du afviser datalagringen. Det antydes, at brug af ‘cookie wall’ ikke tillades. Samtykket skal nemlig være frivilligt – det bliver det ikke, hvis du mister adgang til indhold ved at sige nej,« siger han.
I dag er det mest almindeligt at bruge et cookie-banner, hvor et banner i toppen eller i bunden af websitet informerer om, at der bruges cookies og hvorfor. Samtykke gives ved at klikke på noget eller læse videre. Cookie walls er noget mindre almindeligt. Her dækker et stort vindue hele websitet og beder brugerne om at acceptere, før de får adgang til indhold.
Andre websites anser det som tilstrækkeligt samtykke, hvis brugere accepterer indsamling af cookies i browserindstillingene.
Når GDPR træder i kraft, forpligter websites sig til at informere klart og tydeligt om de forskellige kategorier af cookies, forklarer teknologidirektøren:
»Det skal være tydeligt, hvad indsamlingen indebærer, og hvorfor brugerne eventuelt skal gå med til yderligere datalagring.«
Udviklede sig af ren og skær uvidenhed
IT Trust arbejder til daglig med at hjælpe virksomheder med at blive compliant med den nye lovgivning.
»Vi hjælper kunder med at kortlægge, hvad der findes af cookies på deres websites. For at kunne informere brugerne specifikt og nøjagtigt må webstederne scannes, så omfanget kan vurderes. Brugerne skal desuden gøres opmærksomme på, hvad de udsætter sig selv for ved at acceptere cookies, og hvilke rettigheder de har,« siger Andrup.
Hun mener, at situationen i dag er uhensigtsmæssig og utilsigtet.
»Det her har udviklet sig af ren og skær uvidenhed. Det er en vane, som har sneget sig ind over tid, og nu indser myndighederne, at der skal strammes op.«
I lighed med Datatilsynet, tror hun, at brugerrettighederne vil blive bedre varetaget med den nye EU-lov.
»Det hele bliver mere gennemskueligt nu. Brugere må ikke længere kunne blive overraskede over, hvad de enkelte websites har indsamlet af oplysninger om dem.«
»Som vi ser det, er det alle websites brugere af cookies af en eller anden identificerende bærere af persondata, og som er underlagt GDPR. Men en ting er loven – en anden er, hvordan det kommer til at blive praktiseret,« afslutter Andrup.