KLUMME: Persondatahensyn har fyldt meget de seneste år. Også i marketingbranchen. Skærpet fokus bunder bl.a. i politiske og samfundsmæssige strømninger, herunder GDPR og Cambridge Analytica-skandalen.

Af Jonas Østerbye, Nordic Web Analytics Director, IUM

Men de store teknologi-giganter rører også på sig, i form af stramninger på cookie-området, anført af Apple’s (Safari) “Intelligent Tracking Prevention”.
For annoncører og bureauer har det især kunne mærkes på størrelsen af cookiepuljer i eksekveringen af marketingaktiviteter, hertil mulighederne for målretning mod Safari-brugerne. Mindre fokus har der været på selve opsamlingen af cookies og dokumentationen herfor.

Men det skal være slut nu.

Men Datatilsynets seneste afgørelse (februar) om DMI’s behandling af personoplysninger om hjemmesidebesøgende, hvor der udtales en alvorlig kritik af DMI, understreger, at det er slut med at forholde sig passivt. Virksomhederne må tage større ansvar for Consent management – altså dataopsamlingen på hjemmesidebesøgende.

De færreste websites er compliant
Langt de fleste websites overholder i dag ikke kravene for at samtykke anses som værende gyldigt ift. GDPR.

I kølvandet på Datatilsynets afgørelse, bør det for enhver virksomhed være absolut førsteprioritet at få styr på opsamlingen af personoplysninger gennem cookies. Al ikke-essentiel dataindsamling og tracking må først ske efter, at brugeren har afgivet samtykke.
Dette gælder eksempelvis Web Analytics værktøjer (Google Analytics, Adobe Analytics m.fl.), som tracker brugere over flere sessioner, A/B testing-værktøjer samt dataindsamlingsværktøjer til brug for targetering og måling.

Der hvor det oftest går galt for virksomhederne er i forhold til indholdet – og det visuelle udtryk af cookie-banneret. Der er mange retningslinjer, som skal overholdes, men der hvor vi ser de fleste websites overtræder den gældende lovgivning er;
• At samtykke ikke er frivilligt, hvilket vil sige at brugeren kun har mulighed for at afgive samtykke – ikke at afstå fra at give samtykke.
• At samtykke ikke er specifikt og informeret, hvilket kort sagt vil sige, at brugeren ikke informeres om de præcise formål med behandlingen.
• At samtykket ikke er en utvetydig viljestilkendegivelse, hvilket betyder, at brugeren ikke aktivt har tilvalgt samtykke, eksempelvis ved at krydse en boks af.

Ovenstående er bare et par af de punkter, som også beskrives i Datatilsynets nye vejledning ”Behandling af personoplysninger om hjemmesidebesøgende”.

Hvad skal virksomhederne gøre?
Med en god consent management-teknologi i den ene hånd og vejledningen i den anden, har man forudsætningerne for at blive consent compliant på kort tid. Med udgangspunkt i vejledningen er der tre steps, som virksomheder aktivt skal tage for at blive compliant:

1. Anvende en Consent Management-løsning som; viser cookiebanner første gang brugeren møder websitet, opbevarer consent til fremtidig reference, tillader brugeren at “opt-out” samt er TCF kompatibel.
2. Integrere consent afgivelsen med enhver løsning, som kræver consent forud for anvendelse. Som regel styret igennem et Tag Management-værktøj.
3. Anføre information omkring; alle cookies som anvendes på websitet og årsagen hertil, brugernes rettigheder samt hvor der er yderligere information at læse.

God grund til at rette ind
En stramning af dataopsamlingen giver alt andet lige udsigt til (endnu) mindre cookiepuljer og generelt mindre data på websitebrugerne, hvilket ikke er sød musik i ørerne på de annoncører og bureauer, som i forvejen beror mange af deres aktiviteter på cookies.

Datatilsynets afgørelse er endnu en kæp i hjulet på den marketingsmaskine, som er bygget op omkring cookies, hvilket igen tilskynder det paradigmeskift vi ser i et marked, hvor førstepartsdata er vigtigere end nogensinde før.

Prisen for ikke at overholde lovgivningen på consent indsamlingen har indtil nu ikke været særlig stor, men med Datatilsynets afgørelse, kan virkeligheden ramme virksomhederne hårdt inden for en overskuelig fremtid, og mon ikke der i nær fremtid skal statueres et eksempel i EU.

I det større perspektiv er GDPR-lovgivningen til for at beskytte borgerne og i en tid, hvor overvågningskapitalismen kører i højeste gear og socialt ansvar er blevet et fremtrædende element i forbrugernes bevidsthed, kan det være potentielt skadeligt for et brand ikke at have styr på sin dataopsamling.

Det er et af de områder, hvor der ikke er meget at vinde for virksomhederne, men hvor der i den grad kan være meget at tabe. Derfor skal der lyde en stærk opfordring til virksomhederne om at følge Datatilsynets vejledning.