I slutningen af 2019 afsagde EU domstolen en dom over den tyske virksomhed Planet49, der vil få stor betydning for den måde, størstedelen af europæiske websites håndterer cookies på.

Langt de fleste hjemmesider har ganske vist et banner, der informerer nye besøgende om cookie- og privatlivspolitikken, men ifølge EU-dommen er det samtykket til disse cookies, den er gal med på mange websites.

Lad os først kigge lidt nærmere på den konkrete dom for at forstå problematikken:

Planet49, der kører online lotterier, havde i forbindelse med en konkurrence indhentet samtykke til at placere cookies på brugernes computere ved et afkrydsningsfelt, der var udfyldt på forhånd, så brugeren aktivt skulle fjerne dette flueben for at undgå at få installeret marketingcookies på deres maskiner.

I den forbindelse havde en tysk domstol stillet 3 spørgsmål til EU-domstolen:

  1. Kan et på forhånd udfyldt afkrydsningsfelt karakteriseres som et gyldigt samtykke?

  2. Gør det nogen forskel, om de oplysninger, der gemmes eller indhentes kan karakteriseres som personlige oplysninger eller ej?

  3. Hvilke informationer er nødvendige at give for at kunne betragte samtykket som være givet på et oplyst grundlag?

EU-domstolens dom gjorde det klart, at:

  1. Et afkrydsningsfelt, der er udfyldt på forhånd, ikke kan betragtes som et gyldigt samtykke. Der skal være tale om en utvetydig, aktiv handling fra brugerens side, for at betragte samtykket som gyldigt.

  2. Der er ikke forskel på, om de oplysninger, der lagres eller indhentes ved hjælp af disse cookies er personlige oplysninger eller ej. Med andre ord, så gælder disse regler for alle typer af cookies.

  3. Samtykket skal ske på et oplyst grundlag, herunder at man oplyser om formålet med hver enkelt cookie, information om hvor længe hver cookie er aktiv, og om tredjepart vil have adgang til de indsamlede oplysninger.

Vi kommer lidt længere nede på siden tilbage til, hvad disse konklusioner rent praktisk har af betydning for den måde, man håndterer cookies på.

---> Læs her, hvordan vi kan hjælpe dig med at få styr på dine cookies med Cookiebot

Lovgrundlag for dommen

Det er nok på sin plads her lige at understrege, at vi i Avidly ikke er juridiske eksperter, og jeg vil derfor opfordre jer til at tage en dialog med jeres egne juridiske eksperter for at få afgjort, hvad denne dom konkret betyder for jer, og hvad I skal gøre for at overholde reglerne. Vi har samlet set i Avidly mere end 300 kunder i øjeblikket og erfaringerne fra implementeringen af GDPR har vist os, at der er stor forskel på, hvad de juridiske eksperter mener om hele samtykke-begrebet. 

Tag derfor min gennemgang af cookiereglerne for hvad det er - min forståelse af reglerne baseret den research, jeg har lavet samt dialog med adskillige jurister på dette område. Men jeg er i sagens natur ikke kompetent til at give reel juridisk rådgivning. Med den deklaration så lad os se på, hvorfor EU-domstolen er kommet frem til den konklusion og hvorfor det er lidt komplekst, det her.

Først og fremmest findes der flere overlappende regler på dette område.
Som de fleste nok er klar over, trådte EU’s persondataforordning (også kendt under forkortelsen GDPR) i kraft i 2018. GDPR-lovgivningen regulerer, hvordan vi skal håndtere oplysninger, som kan karakteriseres som personoplysninger - altså oplysninger, der kan henføres til en fysisk person.

Cookies kan både indeholde anonymiserede data, men også personhenførbare oplysninger, og derfor bevæger vi os med cookies lidt i grænselandet, hvor der nogle gange er tale om oplysninger, der er dækket af GDPR og andre gange ikke. Til gengæld findes der et andet EU-direktiv (2002/58/EF), hvor artikel 25 specifikt beskriver, hvorledes man skal håndtere cookies. 

Dette direktiv bliver inden for få år erstattet af en ny ePrivacy forordning, som i skrivende stund er ved at blive forhandlet på plads i EU. Dette regulativ vil efter al sandsynlighed blive en stadfæstelse af den aktuelle dom fra EU-domstolen, men det er selvsagt ikke på plads endnu.

Her er det vigtigt at forstå forskellen på direktiver og forordninger. Et EU-direktiv er et sæt regler, som sætter nogle mål for, hvad medlemslandene skal opfylde, men derudover er det op til landene selv at indføre lovgivning, der kan opfylde målsætningerne. En EU-forordning derimod en reel lovgivning, som ved sin ikrafttrædelse med det samme er gældende i alle EU-medlemslande.

Det gamle direktiv er i Danmark blevet indført via Erhvervsstyrelsens Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr populært kaldt ”Cookiebekendtgørelsen”.

Dermed vil den kommende EU ePrivacy forordning være gældende, når den på et tidspunkt træder i kraft. Da det gamle direktiv, der omtaler cookies, ikke forholder sig til selve samtykkebegrebet var det nærliggende for EU-domstolen at kigge på, hvordan samtykke bliver fortolket i forhold til GDPR, hvor samtykket som bekendt netop skal være “frivilligt, specifikt, informeret og utvetydigt. Det betyder blandt andet, at et samtykke ikke kan afgives stiltiende”, som Datatilsynet forklarer det.

Hvad betyder dommen for indhentelse af samtykke til cookies?

Nok teorisnak for nu. Hvad betyder det rent faktisk for vores måde at håndtere cookies på, og hvorfor er det relevant at være opmærksom på? 

Hidtil har den gængse praksis omkring cookie-samtykke været, at samtykket til cookies kunne gives ved en aktiv brug af tjenesten. Siden 2016 har man på grund af cookiebekendtgørelsen skulle have et banner på hjemmesiden, der gjorde opmærksom på, at siden bruger cookies, men det har samtidig været bredt accepteret, at man ved at surfe videre på siden accepterede brugen af cookies, hvilket også indtil dommen over Planet49 har været Erhvervsstyrelsens anbefalede praksis. 

Men den går ikke længere. 

Erhvervsstyrelsen skriver selv, at “dommen og dens fortolkning af ”aktiv handling” betyder, at ”gå videre” kan sidestilles med et forudafkrydset felt og ikke kan anses som udtryk for brugerens aktive, specifikke samtykke til at anvende cookies.”

Erhvervsstyrelsen er i skrivende stund selv ved at analysere det samlede omfang af dommens betydning, og vil, når det arbejde er færdigt, komme med en opdatering af vejledningen til cookiebekendtgørelsen.

Dog fremgår det nu (januar 2020) af vejledningen, at:

  • Brugeren skal kunne give samtykke eller afslå at give samtykke til brug af cookies. 
  • Brugeren skal kunne tilbagekalde et tidligere givet samtykke.
  • Brugeren skal let kunne finde yderligere information om brugen af cookies på hjemmesiden.
  • Samtykket skal være knyttet til det formål, som indsamlingen af data skal anvendes til at opfylde.

Udover kravet til selve samtykket er der også nogle krav til den information, du skal give brugeren for at samtykket er gyldigt. Så for at du indhenter et gyldigt samtykke skal du:

  • Skrive informationen i et klart, præcist og letforståeligt sprog
  • Oplyse om formålene med at brugen af de enkelte cookies
  • Fortælle brugerne, hvem der står bag de anvendte cookies – det kan være hjemmesidens ejer eller en tredjepart
  • Oplyse om, hvordan brugeren giver sit samtykke eller afslår brug af cookies
  • Oplyse, hvordan brugeren kan trække sit samtykke tilbage  
  • Oplyse om cookies’ funktionsvarighed (udløbsdato)

Da samtykket til cookies nu først kan betragtes som gyldigt, når brugeren aktivt har afgivet det, betyder det i praksis, at du skal tilbageholde cookies, indtil samtykket er givet, og her giver rigtig mange af de tekniske standardløsninger op, da hovedparten af de cookies, der bliver brugt på hjemmesiden, bliver lagt på allerede, når siden bliver indlæst, medmindre brugeren afviser brugen af cookies (dette leder tilbage til den gængse praksis med, at man accepterede brug af cookies ved at klikke sig videre).

En af de mange standardløsninger, der faktisk ikke længere lever op til de nye krav er HubSpot, som jo er vores primære platform i Avidly. Godt nok er der i HubSpot en mulighed for at forlænge et aktivt samtykke for at anvende cookies, men i praksis gælder dette samtykke kun HubSpots egen cookie, og altså ikke alle de andre cookies, fra Google Analytics, Facebook osv. Dermed er HubSpots indbyggede cookiebanner pt. ikke specielt anvendeligt. 

I Avidly benytter vi og anbefaler vores kunder en service som Cookiebot, der er en af de eneste løsninger på markedet i verden, som opfylder alle krav og gør det muligt at tilbageholde cookies, indtil brugeren har givet sit samtykke.

DMI-sagen

I foråret 2020 strammede Datatilsynet skruen yderligere. Danmarks Meterologiske Institut (DMI) havde implementeret en løsning, som egentlig overholdt ovenstående regler og var i tråd med de anbefalinger, der på daværende tidspunkt kom fra Kammeradvokaten, der er Statens primære advokat. Her skulle man klikke ind i settings og vælge specifikke cookies fra. Datatilsynet mente dog ikke, at den løsning var indenfor reglerne. Deres holdning er, at det skal være lige så nemt at sige nej, som det er at sige ja, til cookies.

Hvordan får jeg et gyldigt cookiesamtykke?

Som tidligere nævnt er den hidtidige praksis med at oplyse om brugen af cookies og at videre brug af siden var ensbetydende med en accept ikke længere gyldig. Det kunne være cookiebannere som disse, hvor brugeren ikke får et reelt valg for at afvise brugen af cookies:

Screenshot 2020-01-20 at 18.15.53

Fremadrettet er det nødvendigt at brugeren giver et aktivt og oplyst samtykke til brugen af cookies.

Det kan eksempelvis gøres på denne måde:

Cookiebanner Fiftytwo
Her bliver brugeren oplyst om formålet med anvendelsen af cookies. Der bliver gjort opmærksom på, at cookies både stammer fra hjemmesideejeren selv samt andre eksterne parter. Og ved at klikke på Indstillinger kan man få adgang til den fulde liste af cookies på siden med en fuld oversigt over, hvor de kommer fra, hvad de gør, og hvor lang tid de gemmer data. Brugeren kan her også justere indstillingerne ved at vælge statistik- eller marketingcookies til og fra.

Og vigtigst af alt - softwaren sørger for, at alle disse cookies ikke bliver aktiveret, før der er afgivet et aktivt samtykke.

Hvad betyder det for dataindsamling på hjemmesiden?

De nye regler betyder kort og godt, at du som hjemmesideejer mister noget data og indsigt. Hvis ikke brugeren tager stilling til spørgsmålet om cookies (eller hvis brugeren afviser), så bliver der ikke samlet noget data af dine cookies. Dermed mister du mulighederne for eksempelvis retargeting på andre platforme og al information om brugerens adfærd på din side i både Google Analytics og dit marketing automation system, som HubSpot, Marketo eller Agillic.

Det er kun de cookies, der er strengt nødvendige for brugen af hjemmesiden, der må være aktive. Det kan eksempelvis være cookies, der husker, hvilke varer der er lagt i indkøbskurven. Det kan være cookies, der er lagt på for at opnå en grundlæggende sikkerhed på siden eller sørge for, at siden bliver indlæst optimalt.

Derfor gælder det jo om at hjælpe brugeren til at tage stilling til disse cookies, for at miste mindst mulig data.

Her kan det måske være fristende ligefrem at sætte en såkaldt cookie wall op på siden, der reelt blokerer brugerens adgang til indholdet på siden, hvis de afviser cookies. Dette er tidligere set på nogle annoncefinansierede mediers side, hvor brugeren ikke får adgang til indholdet, hvis de har annonceblokeringsprogrammer (Ad Blockers) kørende.

Dette er der ikke taget stilling til fra EU-Domstolen, og det fremgår ikke rigtig af den nuværende EU-lovgivning. Men hvis man kigger på, hvordan flere EU-medlemslande (eksempelvis Frankrig og Holland) har valgt at implementere det gamle EU-direktiv, så er det generelt set ikke noget, der bliver accepteret. Dermed kan vi nok forvente, at det i den kommende ePrivacy forordning ikke bliver lovligt.

Har EU tabt småkagerne?

Set ud fra et perspektiv om privatlivssikkerhed er det vanskeligt at være kritisk mod EU. I bund og grund er det tiltrængt, at virksomheder generelt får bedre styr på den måde, de behandler brugerens data på. Det er et princip, jeg personligt hylder, og dermed mener jeg, at der er elementer i EU-dommen, der er ganske fornuftige. Det øger brugerens kontrol ved, at man eksempelvis fremadrettet reelt kan sige nej til, at cookies må aktiveres.

Til gengæld mener jeg, at det er helt malplaceret, at man skal aftvinge et samtykke fra brugeren på brugen af cookies. I dag findes der reelt ikke en hjemmeside, som ikke benytter sig af cookies i et eller andet omfang. Det er en fuldstændig indbygget del af den måde online adfærd benyttes på. Og derfor kan jeg ikke se andet, end at dette tiltag generelt bare kommer til at skabe en dårligere oplevelse for brugeren.

Tidligere kunne man ignorere et banner omkring cookies, uden det ville have en betydning for den måde, du benytter hjemmesiden på. Med de nye regler vil du efter alt at dømme skulle tage stilling til noget, der reelt ikke har noget at gøre med den intention, du kommer til den givne hjemmeside med.

Mit gæt vil være, at størstedelen af brugerne ganske enkelt bare vil klikke på en af knapperne - på fuldstændig samme måde som meget få læser handelsbetingelserne ved et online køb. For de brugere, der bestemt ikke ønsker at blive overvåget i deres brug på siden, så bliver fravalget nemmere, og det er fedt. Men man kunne godt forestille sig løsninger, der gjorde det nemmere at sige nej tak til cookies uden at aftvinge en stillingtagen af brugeren.

Læs her, hvordan vi kan hjælpe dig med at få styr på dine cookies med Cookiebot