Dette indlæg er alene udtryk for skribentens egen holdning.

GDPR vs hjemmesider: Konklusioner og fremtidsperspektiver

5 kommentarer.  Hop til debatten
Google Analytics
Illustration: Nanna Skytte.
Dette er 4. og sidste indlæg i en serie, hvor jeg har forsøgt at kortlægge det komplekse samspil mellem GDPR's krav og så de teknologier, som præger mange moderne hjemmesider. I dette indlæg forsøger jeg at samle op og komme med et bud på, hvad der venter os forude.
Blogindlæg1. august kl. 05:00

De foregående tre indlæg, jeg har skrevet, har haft følgende overskrifter:

Jeg er kommet vidt omkring, og i det følgende vil jeg så forsøge at binde en eller anden form for sløjfe med følgende konklusioner:

  1. Tracking af brugere er "big business", men holdningen hos brugere og politikere er ved at ændre sig. 
  2. Googles og Facebooks forretningsmodeller er under pres og det er p.t. op ad bakke at bruge Google Analytics lovligt. 
  3. Ifølge EU’s datatilsyn er stort set alle former for tracking omfattet af GDPR
  4. Det er godt, at GDPR har et bredt anvendelsesområde - men…
  5. Marketingafdelingen er, ligesom resten af organisationen, nødt til at gøre compliance til en del af værktøjskassen

 Jeg har i denne omgang fået god sparring og feedback fra Bjørn Wessel-Tolvig Cookieinformation.com.

 

1. Tracking af brugere er "big business", men holdningen hos brugere og politikere er ved at ændre sig

Hvis man beskæftiger sig med hjemmesider, online markedsføring og/eller compliance, så vil man have bemærket, at der er et stigende fokus på de negative sider af de mange data der indsamles, når vi besøger diverse hjemmesider og digitale tjenester. Denne udvikling har også resulteret i et stigende antal sager fra EU's datatilsyn, der handler om hjemmesider og de værktøjer, som ofte "gemmer sig" bag ved. Endelig har vi også set flere tiltag fra lovgiversiden, der har taget forskellige skridt i retning mod at få mere styr på dataindsamling og adfærdsbaseret markedsføring.  

Artiklen fortsætter efter annoncen

 

2. Googles og Facebooks forretningsmodeller er under pres og det er p.t. op ad bakke at bruge Google Analytics lovligt

Selvom denne tendens rammer bredt, så går det hårdest udover dem, som har tracking af brugere som kernen af deres forretningsmodel. 

Facebook tjener stadig masser af penge, men det er blevet vanskeligere, end det har været. Hvis vi zoomer ind på GDPR, så har Facebook været direkte eller indirekte involveret i en lang rækker sager, herunder både Schrems I-sagen og Schrems II-sagen og i øvrigt også de nye Schrems-sager, der er på vej igennem EU-systemet. Sidste år gik det norske datatilsyn ud med en konklusion om, at de ikke kunne se nogen mulighed for lovligt at have en Facebook-side, hvilket fik opbakning fra en lang række danske eksperter. 

Også Google er stadig en af verdens mest succesfulde virksomheder, men personligt ville jeg ikke satse min opsparing på, at det bliver ved med at se sådan ud. De er, ligesom Facebook, under pres fra mange lande i verden, men intet sted er presset så stort som i EU.

Først og fremmest går Schrems II-sagen udover en række af deres forretningsområder, fx deres cloud-tjenester, men her er de ikke nødvendigvis hårdere ramt end andre US-cloududbydere såsom Microsoft.

Men Google er også ramt på de tjenester, som er helt unikke for deres forretningsmodel, nemlig deres mulighed for at kombinere og udnytte data på tværs af diverse tjenester og sider med henblik på at optimere virksomheders digitale markedsføring. Der er således et meget stort clash mellem de grundlæggende principper og krav i GDPR såsom dataminimering, gennemsigtighed og begrænset deling af data (særligt udenfor EU), og så den måde hvorpå data flyder mellem Googles mange tjenester og kunder. De seneste afgørelser om Google Analytics efterlader da også et meget lille spillerum for lovlig brug af Google Analytics, særligt hvis man skal følge den linje, som er anlagt af det østrigske datatilsyn (hvad det dog ikke er alle eksperter, der mener at man bør gøre)

Udover håndhævelse af GDPR, har vi også set et stigende fokus fra konkurrencemyndigheder rundt om i verden, særligt fordi Google efter manges opfattelse reelt har et "data-monopol" på flere markeder. EU Kommissionen åbnede sidste sommer en efterforskning i "possible anticompetitive conduct by Google in the online advertising technology sector".

Endelig er der yderligere regulering på vej, særligt fra EU, som kommer til at medføre et yderligere pres på Googles nuværende tjenester og forretningsmodel. 

 

3. Ifølge EU’s datatilsyn er stort set alle former for tracking omfattet af GDPR

Det er nok de færreste, der har ondt af Google og Facebook - men det er trods alt heller ikke kun dem, der bliver ramt af tendensen mod stigende håndhævelse overfor hjemmesider, tracking og AdTech. 

I mit forrige indlæg forsøgte jeg at løfte blikket fra de to giganter, og nåede til den konklusion, at stort set alle online data potentielt set ender med at være omfattet af de mange og strenge krav i GDPR. Som det danske datatilsyn skriver i deres vejledning om hjemmesider:

"Det er i den forbindelse vigtigt at have for øje, at der også kan være tale om personoplysninger, selvom personerne er ”unavngivne”, og at det ikke umiddelbart er muligt for den uindviede person at identificere vedkommende.  

Med forbehold for en konkret vurdering er det Datatilsynets opfattelse, at der ved registrering af oplysninger om hjemmesidebesøgende ofte vil være tale om behandling af personoplysninger.”

Det er et komplekst emne, både juridisk og teknisk, men hvis den udvidende fortolkning af GDPR's anvendelsesområde fortsætter, så vil der stort set ikke findes nogen form for online data, som ikke skal overholde GDPR's krav, herunder:

  • Web Analytics (fx Google Analytics)
  • Server-logs
  • User analytics tools for SaaS (fx Hotjar)
  • Google Fonts, ReCAPTCHA og andre embedded tjenester
  • Device-/browser fingerprinting
  • Local storage
  • Web beacons

 

4. Det er godt, at GDPR har et bredt anvendelsesområde - men…

Jeg har holdt et oplæg om "GDPR vs. hjemmesider" på "V2 Infosecurity"-konferencen i maj, og her valgte jeg at bruge min taletid på at dykke ned i den vanskelige afgræsning af, hvorvidt det juridisk set er korrekt, at GDPR finder anvendelse på alle tænkelige og utænkelige former for hjemmeside-data - også i scenarier, hvor det i praksis er helt urealistisk, at nogen vil kunne finde frem til identiteten på brugerne bag mange data. 

Der er mange holdninger til dette, og en del af disse gav sig til udtryk i kommentarsporet til mine forrige indlæg. På dette sted vil jeg nøjes med et enkelt budskab: GDPR er et godt regelsæt, men det er også et meget "compliance-tungt", og personligt vil jeg hellere have effektiv håndhævelse af GDPR på andre områder, hvor der er et større beskyttelsesbehov end at nogen har logget nogle data om at jeg har besøgt en hjemmeside - særligt hvis det ikke i praksis er realistisk, at de loggede data kan kobles til mig. Og så er det jo vigtigt at huske, at der findes andre "juridiske værktøjer i værktøjskassen", som giver en supplerende beskyttelse til os alle sammen, fx ePrivacy-reglerne og cookiebekendtgørelsen. 

Personligt er jeg således mere tilhænger af den pragmatiske tilgang til afgrænsningen af GDPR, som briterne synes at lægge op til. Eksempelvis har det britiske datatilsyn offentliggjort en række nye vejledninger om anonymisering, hvor de åbner op for det man kan kalde en "risikobaseret tilgang" til afgrænsningen af GDPR, idet de bl.a. lægger vægt på sandsynligheden for, at nogen rent faktisk i praksis ender med at blive identificeret. Og for nyligt har man så fra politisk side fremlagt et forslag til en reform af deres udgave af GDPR (”UK GDPR”), hvor man bl.a. lægger op til en mere ”risikobaseret” tilgang til afgrænsning af reglerne:

”The consultation proposed legislating to confirm that the test for whether anonymous data can be re-identified is relative to the means available to the controller to re-identify the data…”

UK's regering opfatter selv ovenstående som en præcisering af gældende ret, og altså ikke en egentlig fravigelse af GDPR's ordlyd. Dette er efter min opfattelse korrekt, idet GDPR's ordlyd og praksis fra EU-domstolen efterlader en del fortolkningstvivl, og dermed et forholdsvist stort råderum til enten at fortolke GDPR's anvendelsesområde på internetdata udvidende eller indskrænkende. 

Tiden må vise om EU's datatilsyn fortsætter med den udvidende fortolkning, eller om EDPB i deres kommende nye vejledning om anonymisering vil følge i UK's fodspor og gå i retning mod en mere indskrænkende fortolkning.  

 

5. Marketingafdelingen er, ligesom resten af organisationen, nødt til at gøre compliance til en del af værktøjskassen

Det har været tungt for mig at dykke ned i disse komplekse emner de seneste måneder, men jeg er glad for at se på V2's kliktæller (som tæller antallet af unavngivne brugere, der har klikket på mine indlæg....!), at der trods alt er en del, som har læst med. 

Hvad enten man er for eller imod tracking, så er det svært at komme udenom, at det i fremtiden bliver mere juridisk komplekst at lave effektiv markedsføring på internettet. Og her kan jeg passende citere et indlæg fra DK's måske bedste formidler af viden om GDPR, redaktør på PrivacyBoost og PrivacyLeague podcasten, Jacob Høedt Larsen: 

"Tracking-teknologi er under beskydning fra alle sider. Privatlivsaktivister, lovgivere, forbrugere, der vælger dem fra - ja, selv de store tech-giganter er så småt ved at indse, at mange af os ikke er vilde med at blive overvåget.

Marketing og compliance bør derfor sætte sig sammen nu og begynde at arbejde systematisk med at begrænse brugen mest muligt."

5 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
1. august kl. 18:54

: GDPR er et godt regelsæt, men det er også et meget "compliance-tungt", og personligt vil jeg hellere have effektiv håndhævelse af GDPR på andre områder, hvor der er et større beskyttelsesbehov end at nogen har logget nogle data om at jeg har besøgt en hjemmeside [...] særligt hvis det ikke i praksis er realistisk, at de loggede data kan kobles til mig. det britiske datatilsyn [...] åbner op for det man kan kalde en "risikobaseret tilgang" til afgrænsningen af GDPR, idet de bl.a. lægger vægt på sandsynligheden for, at nogen rent faktisk i praksis ender med at blive identificeret.

GDPR er også en risikobaseret tilgang ift. afgræsning. Men selve det at risikovurdere, ender alligvel i de fleste tilfælde med behandlingsaftaler m.m. på bordet - Medmindre dataene som indsamles ikke sendes videre og gemmes, samt kun hashes til andre værdier som ikke kan reidentificeres tilbage.

Hvis man anvender Google Analytics, og man "på en måde", kun indsamler IP-adresse eller fx type af billig$ eller dyr$$$$ enhed som tilgåes med, så er det ikke alene de data man skal forholde sig til. Fordi med anvendelse af redskabet, så samtykker man til, at den indsamlede meta-data må bruges til andre formål - selv formål som ikke står i "den officielle" kontrakt man indgår med Google... host host CLOUD Act. Retargeting er noget af det Google er en af de bedste til. Alene det, at du havde den samme IP-adresse ved dit hjemmeside-besøg, som du havde få minutter før ved din brug af Google Maps til at finde hjem med, ville giv Google en identifikation af dig.

Her kan man så som dataansvarlig vurdere, om det er lettest at lave en databehandlingsaftale med Google, hvor videregivelsen af indsamlede data kan være "svær" gennemskuelig ift. destinationsadresse og formål. Eller lave en aftale med en anden leverandør, der ikke anvender dataene til fx andre formål som retargeting, og dermed kunne give en større gennemskuelighed om behandlingsaktiviteten.

2
1. august kl. 14:14

"...personligt vil jeg hellere have effektiv håndhævelse af GDPR på andre områder ... end at nogen har logget nogle data om at jeg har besøgt en hjemmeside"

Tak fordi, du har taget dette vigtige emne i så grundig behandling. Jeg er enig i meget af det du skriver - og i hvert fald er det en vigtig diskussion. Men ovenstående beskrivelse af, hvilke data der logges i tracking-økosystemet er ikke retvisende. Der er ikke bare tale om, at vores sidebesøg logges, men også, at flere aktører i økosystemet har oprettet "skyggeprofiler" på stort set os alle sammen, hvor ting som køn, alder, indkomst, interesser (og Gud ved, hvilke andre data - det er nemlig ikke transparent) er udledt af vores samlede færden. Registreret med henblik på optimal målgruppe-eksponering i den digitale annoncering. Disse profil-data bliver købt, solgt og anvendt på tværs af annonceudbydere (hjemmesider) på et marked, der næppe kan siges at fremstå transparent for hverken borgere eller myndigheder. Jeg synes på denne baggrund ikke, at man bør tage så let på dette område, som du lægger op til.

5
8. august kl. 13:54

Disse profil-data bliver købt, solgt og anvendt på tværs af annonceudbydere (hjemmesider) på et marked, der næppe kan siges at fremstå transparent for hverken borgere eller myndigheder.

Lige præcis.

Problemet er ikke at "webshop.dk" ved hvad jeg har købt og kigget på, på deres hjemmeside.

Problemet er, at de sælger/videregiver den information til diverse databrokere, som beskæftiger sig med at analysere og afanonymisere data og tilhørsforhold.

Dermed bliver tilsyneladende uskyldig information følsom.

1
1. august kl. 10:02

Selv om jeg ikke er enig med dig i alt, så tusind tak for at gøre arbejdet med at forsøge at få overblik, og delagtiggøre os andre i det.