Det er grum læsning at slå op i en ny undersøgelse, som omfatter 100 af Danmarks største virksomheders forhold til cookie- og GDPR-lovgivningen på nettet.

Undersøgelsen, der er lavet af Resolution, som er en del af OMG, viser, at de danske virksomheder i stor stil bryder lovgivningen, når de indhenter samtykke til at sætte cookies.

I 58 procent af tilfældene sætter virksomhederne, uanset samtykke eller ej, statistik- eller marketingcookies.

Samtidig er det et krav, at det skal være lige så nemt at takke nej som at takke ja til cookies. Men det er det ikke i 49 procent af tilfældene på deres websites.

Og når det kommer til persondata-samtykker, også kendt som GDPR, ser det endnu værre ud. Her indsamler 77 procent af virksomhederne ikke et persondatasamtykke. Og i de tilfælde, hvor de gør, er det ofte sværere at sige nej end ja.

Om undersøgelsen

OMG og Resolution har udvalgt 100 af landets største virksomheder og websites, som de har gennemgået på 34 punkter for at se, om de overholder cookie- og GDPR-lovgivningerne.

Markedsføring har spurgt Resolution, om de vil fortælle, hvem de 100 virksomheder er.

Det ønsker Resolution ikke med henvisning til, at de ”ikke ønsker at udstille enkelte virksomheder, men vil afdække de danske virksomheders generelle udfordringer” på området.

Resultaterne overrasker ikke Ayo Næsborg-Andersen, der er lektor i persondataret på SDU.

”Der er meget få samtykker, hvor jeg tænker, at det er lige i øjet,” siger lektoren.

”Det, der konsekvent er et problem, er, at det er svært at sige nej. Reglerne er, at det skal være lige så nemt at sige nej som ja, og det er det ikke. Mit indtryk er også, at de sætter cookies, de kategoriserer som nødvendige. Det er de måske for marketing i virksomhederne – men det er de ikke for forbrugerne,” siger hun.

Myndighederne halter

Ifølge Kim Kristensen, der er Head of Data & Analytics hos Resolution, peger virksomhedernes fejl i stor grad tilbage på Datatilsynet og Erhvervsstyrelsen, der fører tilsyn med de to lovgivninger.

”De to tilsynsmyndigheder, der ser på cookie-forordningen og databeskyttelsesforordningen i Danmark, har ikke har været gode nok til at kommunikere, hvad det ene og det andet er. Og det betyder, at virksomhederne ikke forstår, hvad de må og ikke må. Det bliver for svært at forstå,” siger han.

Han peger også på, at undersøgelsen viser, at 9 ud af 10 af de største danske virksomheder trods alt har indført et cookie-samtykke-værktøj på deres website.

”Virksomhederne har i stor grad ønsket at få styr på det her. Når jeg taler med virksomhederne, oplever jeg ikke, at fejlene sker med ond vilje. Det er manglende viden, der ligger bag,” siger Kim Kristensen.

Kim, I laver vel selv løsninger på det her område – handler undersøgelsen om, at I gerne vil lave nogle flere kunder?

”Det er ingen hemmelighed, at vi også rådgiver om det her. Men hvis alle virksomhederne henvendte sig til os, så ville vi alligevel afvise dem, fordi vi slet ikke kan håndtere så mange. Vi flagger det, fordi vi gerne vil hjælpe virksomhederne – og vores kunder – med at overholde dansk lov.”

Fem råd: Sådan løser virksomhederne problemet

Tag det seriøst

Kim Kristensen: ”Grundlæggende skal virksomhederne tage det seriøst og prioritere det. De skal på øverste niveau erkende, at de ikke har styr på det. Og så skal de spørge sig selv, hvordan de kommer helt i mål med det.”

Søg ekspertrådgivning

Kim Kristensen: ”De færreste virksomheders egen juridiske afdeling kan svare på, hvad reglerne egentlig er. Derfor skal de rådføre sig med nogen, der har erfaring med det. Det er et komplekst område, og de danske virksomheder har ikke forstået det.”

Gå skarpt til dit cookie-bureau

Ayo Næsborg-Andersen: ”Enten skal de lade være med at bruge de bureauer, der bygger ulovlige cookie-løsninger. Eller også skal de gå skarpt til dem. Man kan sagtens stille mange kritiske spørgsmål. Det kan ikke være så svært at bygge noget, hvor det er lige så nemt at sige nej som ja.”

Byg din egen løsning

Ayo Næsborg-Andersen: ”Du kan også bygge din egen løsning. Det er nemmest, hvis man er en stor organisation. Det er der flere af aviserne, der gerne vil have deres egen annonceplatform, der eksempelvis gør.”

Håb på myndighederne

Ayo Næsborg-Andersen: ”Man kunne håbe, at myndighederne også kom med bedre vejledninger og slog ned på området. Det har mildest talt ikke være særligt aktive. Det er menneskelig natur, at hvis der ikke er en risiko, så vil nogen gerne løbe den.”

Lektor Ayo Næsborg-Andersen er enig i, at pilen i et vist omfang bør pege på myndighederne.

”Mit indtryk er, at reglerne er blevet lidt glemt af de myndigheder, der håndhæver de forskellige aspekter. Og særligt Erhvervsstyrelsen har ikke været aktiv. De lavede en vejledning, der med et mildt ord var virksomhedsvenlig,” siger hun.

Men pilen peger også på de bureauer og firmaer, der leverer samtykkeværktøjer til virksomhederne, mener hun.

”Enten har folk ikke sat sig ind i reglerne. Eller også prøver de at strække dem så langt, som de kan. Nogle gange har jeg også en mistanke om, at der sidder nogle meget smarte cookie-løsnings-sælgere derude. Nogle af værktøjerne går konsekvent lige til stregen,” siger hun.

Vi mister tilliden

Det største problem, siger Ayo Næsborg-Andersen, er, at de mange fejl betyder, at forbrugerne i sidste ende mister tillid til virksomhederne.

”Det er virksomhederne selv, det går ud over. Vi har lavet de her regler, så forbrugerne kan få tillid til, hvad der sker med deres oplysninger. Det kan være, det på kort sigt kan være svært for din markedsføring – men det er virkelig ikke smart på den lange bane.”

Ifølge Kim Kristensen er det bare med at komme i gang med at løse problemet hos virksomhederne.

”Det er ikke svært eller dyrt at løse. Det er det, vi ville kalde en lavt hængende frugt,” siger han.

I et mailsvar til Markedsføring lyder det fra Erhvervsstyrelsen, at ”styrelsen har fuld forståelse for, at det er et teknisk regelsæt, som kræver en betydelig og konkret kommunikationsindsats”.

Styrelsen skriver, at den lige nu arbejder på at udvikle ”mere brugervenlige og praktisk anvendelige guides og visuelle eksempler på erst.dk og virksomhedsguiden”.

Datatilsynet mener, at tilsynet efter en principafgørelse om DMI i 2020 ”har gjort os umage med at fortælle, hvordan vores regler skal forstås”, skriver kontorchef Astrid Mavrogenis i et mailsvar.

Datatilsynet ”udgav en ny vejledning med en masse konkrete eksempler, vi skrev en nyhed, der helt kort fastslog praksis, og vi kom med en podcast-episode om samme emne, hvor vi prøver at forklare det hele på jævnt dansk,” skriver hun videre.

Hvad vil I gøre ved problemerne, virksomhederne har med at overholde loven?

“Vi vil blive ved med at føre tilsyn med området og offentliggøre afgørelserne, så virksomheder og myndigheder kan se den konkrete udmøntning af reglerne. Og så vil vi som altid opfordre folk til at kontakte os, når de er i tvivl – vi sidder klar ved telefonerne til at vejlede,” skriver Astrid Mavrogenis.

Sådan klarer de danske virksomheder sig på 34 punkter:

Procenttallene viser hvor mange af de undersøgte virksomheder, der lever op til det pågældende punkt. For eksempel viser punkt 17, at 42 procent blokerer alle cookies, indtil det specifikke samtykke er afgivet. Altså gør 58 procent ikke det, loven kræver på dette punkt.

  1. Indsamler cookie-samtykke: 84 procent
  2. At få cookie-samtykke kræver, at brugeren gør noget aktivt: 82 procent
  3. Du kan godkende cookie-samtykke-værktøjet med tommelfingeren på telefonen: 79 procent
  4. Du afgiver et flerlaget cookie-samtykke: 76 procent
  5. Der er en klar og tydelig begrundelse for cookie-samtykket: 75 procent
  6. Samtykke-værktøjet er implementeret uden for ”tag manager”: 72 procent
  7. Der er forskellige farver for cookie-samtykke i samtykke-værktøjet: 70 procent
  8. At afvise cookie-samtykke er ikke mere end ét klik væk: 70 procent
  9. Du kan ændre eller trække dit cookie-samtykke tilbage: 67 procent
  10. Det er nødvendigt for brugeren at tage stilling til cookie-samtykket: 67 procent
  11. Cookies bliver vist sammen med begrundelsen for cookies: 62 procent
  12. Cookie-værktøjet står i centrum og baggrunden er sløret, når der afgive samtykke: 62 procent
  13. Muligheden for at ændre cookie-samtykket er kun ét klik væk: 54 procent
  14. Alle statistik/marketingcookies implementeres gennem en ”tag manager”: 52 procent
  15. Det har den samme effekt at trække dit samtykke tilbage som at sige ja: 51 procent
  16. Sitet har integreret et cookie-værktøj med en ”tag manager”: 51 procent
  17. Alle cookies er blokeret, indtil det specifikke samtykke er afgivet: 42 procent
  18. Du kan altid se linket til at ændre dit cookie-samtykke: 37 procent
  19. Der er en klar og tydelig årsag til at afgive persondatasamtykke: 23 procent
  20. Du afgiver et flerlaget persondatasamtykke: 23 procent
  21. Persondatasamtykke kræver aktiv handling fra brugeren: 23 procent
  22. Du afgiver eksplicit samtykke til at behandle dine persondata: 23 procent
  23. Du kan nå persondatasamtykke-værktøjet med din tommelfinger på mobil: 22 procent
  24. Det er nødvendigt for brugeren at tage aktivt stilling til persondatasamtykket: 22 procent
  25. Alle statistik-/marketing-teknologier, der behandler persondata, er blokeret indtil der er afgivet eksplicit samtykke: 22 procent
  26. Persondatasamtykkeværktøjet er centreret og baggrunden sløret, når der skal afgives samtykke: 21 procent
  27. Det er muligt at ændre eller trække persondatasamtykket tilbage: 20 procent
  28. Alle data-behandlinger bliver listet sammen med en begrundelse: 20 procent
  29. Der er forskellige farver i persondatasamtykke-værktøjet ved afgivelse af samtykket: 20 procent
  30. At afvise persondatasamtykke er kun ét klik væk: 20 procent
  31. Ændring af persondatasamtykke er kun ét klik væk: 19 procent
  32. Du kan altid se linket, hvor du kan ændre dit persondatasamtykke: 15 procent
  33. Det har samme effekt at trække dit persondatasamtykke tilbage som at sige ja: 15 procent
  34. Samtykkeværktøjet forlænger levetiden af førsteparts-cookies: 5 procent

Læs også: