Ubalance i Datatilsynets Afgørelse i om dmi.dk og GDPR
Datatilsynets afgørelse er et udtryk for manglende balance i GDPR regler.
Af. Jacob
Edited: 2021-04-01 15:42
Jeg har længe været kritisk overfor GDPR reglerne, da de i deres nuværende form ikke tager tilstrækkeligt hensyn til hjemmesideejernes interesser, herunder vores frihed til at vise reklamer og indsamle oplysninger om vores besøgende.
Det er ikke fordi, at jeg ikke går ind for privatliv og mere kontrol i branchen – det er simpelthen fordi, det har taget overhånd. Måske endda så meget at myndighederne glemmer at vise hensyn til hjemmesideejernes interesser. De problemer som GDPR forsøger at løse, er, forholdsvist begrænset, og i nogle tilfælde ikke blevet bevist. Dvs. Man forsøger at løse teoretiske problemer, tilsyneladende uden at afveje omkostningerne ordenligt.
Den seneste afgørelse fra Datatilsynet, omtalt på politiken.dk, omkring dmi.dk's samtykkefunktion er potentielt meget problematisk, da det lader til at give udtryk for en voldsom ubalance i GDPR.
Nu kender jeg ikke detaljerne i sagen, men meget tyder på at Datatilsynet har begået en fejl, og selvom jeg ikke bruger dmi.dk, eller er specielt imponeret af deres hjemmesidedesign, så gør afgørelsen mig alligevel vred!
Hvornår er samtykke gyldigt?
Der hersker nok en kedelig holdning til, at de her samtykke løsninger skal være designet på en bestemt måde, for at et samtykke er gyldigt. Holdningen går ud på, at brugerne "nemt" skal være i stand til at fravælge tracking.
Først og fremmest bør jeg nævne, at hele forvirringen omkring designet, kunne have været undgået med en browser-baseret samtykke løsning – det burde EU selvfølgelig have gået efter fra starten. Desuden har brugerne selv et ansvar for at forstå, hvad de afgiver samtykke til. Det er meget vigtigt, at vi ikke får skubbet for meget til det ansvar, da vi ellers risikere at skabe for stor ubalance i de hensyn som bør tages.
Derfor er jeg naturligvis uenig med Datatilsynet i, at de indhentede samtykker skulle være ugyldige, bare fordi at en eventuel opt-out funktion har været "for mange klik" væk.
Selvfølgelig skal den ikke være gemt så godt, at brugerne ikke kan finde den. Deres nuværende løsning har dog en knap til "cookie indstillinger", og det synes jeg burde være mere end nok! Det er selvfølgelig brugernes eget ansvar at læse en samtykke popup ordenligt — men heldigvis er de fleste samtykke ordninger faktisk meget nemme at forstå.
Vi kan, som hjemmesideejere og udviklere, selvfølgelig ikke sidde og holde vores besøgende i hånden. Det er også meget vigtigt for os, at vi får motiveret brugerne til at afgive de her samtykker, da Google ellers ikke kan optimere leveringen af annoncer – Her er det også vigtigt at overveje Google's brug af anonymiseringteknologi, da det, teknisk set, burde fjerne behovet for nogle af kravene i GDPR.
Desværre vil mange brugere undlade at afgive deres samtykke, hvis "opt-out" funktionen kun er 1 klik væk. Det kunne eksempelvis via en 1-kliks "afvis" eller "luk" knap. Personligt vil jeg af den grund helst ikke placere den nærmere end 2-3 klik. Alternativt kan man også vælge at fremhæve opt-in knappen mere end opt-out knappen, som jeg har set mange gøre det.
Når en bruger ikke giver samtykke, så er det nærmere en slags protest imod selve popup beskeden, end det er modvilje til brugen af cookies. Jeg kender det fra mig selv, da de her samtykke popups er noget af det mest irriterende og ligegyldige EU har givet os. Hvis man besøger Google i inkognito tilstand, så bliver man nu konstant belemret med ligegyldige popups om samtykke.
Anonymiseringsteknologi og GDPR
Desuden er der også stor uvidenhed i blandt almindelige brugere, omkring den tekniske implementering af tracking. Teknisk set bliver der brugt anonymiseringteknologi hos de store, og troværdige, reklamenetværk. Det er noget som gør, at vi nødvendigvis ikke bør, eller ønsker, at oplyse brugeren om forskellige data der registreres — simpelthen fordi det er irrelevant, da den aldrig vil blive sporet tilbage til dem alligevel. EU burde i stedet fokusere på større åbenhed hos de forskellige annoncenetværk, sådan at vi kan stole på, at vores data ikke bliver misbrugt. Både som almindelige brugere og som hjemmesideejere!
Alternativt kunne man også udvikle systemer, hvor de personlige data bliver gemt på brugernes egne enheder, men altså stadig kan bruges til, at vise målrettet indhold. Det vil måske endda være meget billigere end at bygge de her centraliserede reklamenetværk. Jeg tænker det kunne ske på den måde, at brugerens enhed får en række af annoncer tilsendt, som den kan vise (lokalt), uden at selve reklamenetværket får besked om, hvilken annonce som er blevet vist, eller ud fra hvilke parametre.
Nogle IT folk har dog været ude og give forkerte og vildledende oplysninger i medierne om netop anonymiseringsteknologi, hvilket kan gøre, at vi nu stor overfor en skepsis, som kan vanskeliggøre brug og forbedring af anonymiseringsteknologi i branchen. En meget udbredt misforståelse er eksempelvis, at anonymiseringsteknologi ikke er tilstrækkeligt til at beskytte folks identitet. Det er simpelthen forkert. Det er dog et bredt emne, som også afhænger af hvilke data, der præcist bliver brugt til at levere annoncer – eller om der overhovedet bliver gemt data om brugerne – det er faktisk ikke nødvendigt at gemme data om en bruger, for at kunne danne en annonceprofil til annoncelevering. Men nok om det!
Alternativet for os, som hjemmesideejere, vil være at blokere brugernes adgang helt eller delvist, hvilket, så vidt jeg ved, heller ikke er lovligt (afhængig af din tolkning af GDPR). Selvfølgelig kan vi kræve brugerbetaling, men vi vil også gerne have vores sider indekseret ordenligt i søgemaskinerne — og det er altså lidt svært, hvis vores hjemmesider er gemt bagved et login eller en betalingsmur.
Giovanni Buttarelli, som døde i 2019, har eksempelvis udtalt sig negativt om en såkaldt "take-it-or-leave-it" samtykkeordning (kilde: wired.com). Det er dog nogle synspunkter, jeg selv er uenig i.
Det bør simpelthen være en fundamental rettighed, som alle hjemmesideejere bør have; nemlig at vi selv kan beslutte frit, hvordan vi ønsker at give brugerne adgang til vores hjemmesider. Det inkludere også storre tech-virksomheder som Google og Facebook!
Samtykke platforme (CMPs)
Umiddelbart virker dmi.dk's implementering af samtykke dialog-boksen fornuftig nok. Brugerne burde ikke være i tvivl om, hvordan de skal forholde sig. Det kan dog være, de har ændret løsningen efter afgørelsen, så jeg kan ikke sige det med sikkerhed.
Det ser dog ud til, at de benytter en 3-parts løsning – eller en såkaldt CMP (Consent Magnement Platform). Der vises nemlig et link i bunden af deres popup, som henviser til hjemmesiden "cookieinformation.com".
Hvis man har en hjemmeside og ønsker bruge interesse-baseret annoncering, så synes jeg også, man enten bør bruge en open-source samtykke løsning, eller selv udvikle en løsning. Det kræver seriøst ikke mere end en lille database til opbevaring af brugernes samtykke-tilkendegivelser og lidt JavaScript/AJAX på front-end delen. De her CMP løsninger er bare ude på at tjene penge på GDPR.
I stedet for at give plads til CMP løsninger, så ville jeg foretrække at EU viste lidt god vilje, og begyndte at støtte op om en mere global løsning. En løsning som vi alle kunne afbenytte helt gratis. Det kunne også skabe lidt legitimitet bagved deres bøde-uddeling for brud på reglerne, da hjemmesideejere jo så bare kunne implementere den officielle løsning. Jeg synes ikke, at CMPerne skal have lov til at tjene penge på situationen.
En endnu bedre mulighed vil være en browser-baseret samtykke ordning, med tilhørende JavaScipt API. Det vil nok, helt klart, være den løsning, som forårsager mindst mulig økonomisk skade på individuelle hjemmesideejere. Samtidig kunne man relativt nemt gøre et samtykke globalt gældende, sådan at brugerne ikke bliver forstyrret af popups på samtlige hjemmesider, de besøger!
Dengang man indførte reglerne, burde man have haft eksperter med indover, for udarbejde en sådan løsning (eller ligende), med henblik på at gøre mindst mulig skade på hjemmesideejerne. Det har man tilsyneladende ikke gjort.
Problemet med GDPR
Problemet med GDPR reglerne er, at de ikke tager højde for, hvem der indsamler oplysninger, og med hvem oplysningerne deles. De rammer derfor meget bredt og skævt, hvilket går hårdt udover mange private hjemmesideejere. Mange har nemlig ikke ressourcer eller viden til at overholde reglerne.
Eksempelvis kunne man nok, uden problemer, tillade Google Adsense reklamer eller Google Analytics, som er brugt af mange bloggere, og som er kendt for at bruge sofistikeret anonymiseringsteknologi.
Størstedelen af de oplysninger der indsamles er helt almindelige oplysninger, som foreksempel hvilke hjemmesider folk har besøgt, eller deres geografiske placering. Informationerne bliver eftersigende også anonymiseret, og vil desuden kun blive samlet fra sider, som indeholder adsense-koden.
Beamtic's GDPR implementering
Beamtic's GDPR løsning overholder på nuværende tidspunkt ikke reglerne 100%. Jeg har dog udviklet en samtykke ordning, og det burde være helt tydeligt for brugerne, hvad de giver samtykke til.
Jeg mangler, blandt andet, stadig at implementere en tilbagetræknings-funktion til samtykke. Derudover mangle jeg også, at blokere indlæsning af YouTube videoer i artikler, indtil en bruger har givet samtykke.
Det er meget komplekst, og ikke noget man bare lige implementere. Personligt vil jeg undgå 3-parts løsninger.
Jeg mener, at det er vigtigt, at vi som hjemmesideejere kan nægte adgang til vores hjemmesider, hvis en bruger ikke giver deres samtykke. Derfor vil jeg ikke på nuværende tidspunkt gøre det muligt at afvise samtykke dialogboksen på mine egne hjemmesider.
Links
- Bombe under hjemmesider: DMI får alvorlig kritik i banebrydende afgørelse - politiken.dk
- Are Google and Facebook Undermining Europe's Privacy Rules? - wired.com
- Sådan Anonymiserer Google Data - policies.google.com
Fortæl os hvad du tænker: