Den er helt gal med størstedelen af de cookie-pop-ups, vi dagligt møder på internettet.
Ifølge en ny afgørelse fra det belgiske datatilsyn – med resten af Europas datatilsyn i ryggen – er mange cookie-pop-ups ulovlige, fordi de på flere punkter behandler vores data i strid med GDPR-lovgivningen.
Det konkrete system, der er blevet kendt ulovligt, hedder Transparency and Consent Framework” (TCF). Det er organisationen IAB Europe, som er brancheforening for annoncefirmaer i Europa, der står bag systemet, som bliver brugt på 80 procent af europæiske hjemmesider. IAB Europa har i afgørelsen fået en bøde på tre millioner kroner for problemerne.
Ifølge lektor Ayo Næsborg-Andersen ved juridisk institut på SDU kan dommen være en bombe under europæiske og danske virksomheder.
”Potentielt har det meget vidtrækkende konsekvenser. Det er ulovligt, og de skal ændre det,” siger Ayo Næsborg-Andersen.
”IAB Europe er blevet beordret til at slette al den data, de har indsamlet. Og det gælder også alle de hjemmesideejere og annoncenetværk, der bruger deres system. Al data, der er indsamlet på baggrund af de her cookie-bannere, skal slettes. Det er ret meget data.”
Forretningsmodellen skal ændres
Ifølge afgørelsen, skriver techmediet Radar, betyder det blandt andet, at al data fra Google, Amazon og Microsofts annoncesystemer skal slettes.
Grundlæggende kan det ændre den forretningsmodel, som annoncesælgere digitalt har skabt, siger Ayo Næsborg-Andersen.
”Det er hele deres forretningsmodel, der skal ændres,” siger hun.
”Der har været dommedagsrøster om dette system i en del år. Kritikken går på, at det er uigennemskueligt, og at det betyder, at vores oplysninger bare flyder rundt på nettet. Vi sælger i praksis folks privatliv for, at nogen kan tjene penge på det. Og det er i bund og grund sådan, det digitale annoncemarked fungerer,” siger hun.
Ayo Næsborg-Andersen vurderer, at eksempelvis de danske mediehuse vil blive mindre ramt af afgørelsen, da de har bygget deres egne annoncesystemer. Men mange danske virksomheder og marketingafdelinger risikerer at skulle ændre deres annonceindkøb markant – og potentielt kan de lægge målrettede annoncer i graven.
”Målrettede annoncer er mere effektive end ikke-målrettede annoncer. Men ikke så effektive, at det kan svare sig, fordi det er så meget dyrere. Så det kunne godt være på tide, at annoncørerne kiggede på det her system, for lige nu sender det bare penge i lommen på annoncenetværket. Man kunne godt argumentere for, at det var bedre eksempelvis at indrykke annoncer for charterrejser på en hjemmeside om vejret,” siger lektoren.
Et hav af problemer
Men hvad er det helt konkret, der er ulovligt ved annoncesystemet? Ifølge Ayo Næsborg-Andersen lagrer systemet i selve sin kode blandt andet IP-adresser på forbrugerne.
Det er ifølge det belgiske datatilsyn ‘persondata’. Men systemet indhenter ikke samtykke til at gemme de data.
”Der er et helt hav af problemer. Hvis det ikke var persondata, behøvede vi ikke bekymre os om det. Men det er det, og dermed har de ikke legitim interesse i at gemme det. Det eneste, der kan gøre det lovligt, er et samtykke, og det samtykke, de indhenter, er ikke godt nok,” siger hun.
Ifølge lektoren er afgørelsen også gældende for det danske datatilsyn. Hun forventer, at det snart vil komme med en udmelding, ligesom hun også påpeger, at IAB Europe kan klage over afgørelsen til de belgiske domstole.
Træk vejret
Derfor er hendes opfordring til de danske virksomheder, at de trækker vejret – men bereder sig på, at de nok også ender med at skulle slette en masse data.
”Hvis jeg var en dansk virksomhed, ville jeg med det samme tjekke, hvilken løsning jeg bruger, så jeg vidste, om jeg skal reagere. Og så ville jeg vente på en udmelding fra det danske datatilsyn. Det handler om at sadle op og være klar, hvis det skal ændres,” siger hun.
Hvis der er tale om 80 procent af alle pop-up-systemer, så lyder det også helt umuligt for myndighederne at tjekke, om den data rent faktisk bliver slettet?
”Ja, det er helt vildt svært, for hvordan tjekker du på alle virksomheders clouds, om det er blevet slettet?” spørger hun retorisk.
Træder dommen i kraft, vil vi også opleve det som forbrugere, siger lektoren.
”Det er data, der bliver brugt til at målrette annoncer. Og de data styrer i bund og grund det internet, du ser til daglig, så det kan få stor betydning,” siger hun.
Hun vurderer, at dommen i sidste ende kan betyde, at der kommer bedre styr på vores data på nettet.
”For nylig ringede en 9. klasseselev til mig for at spørge, hvordan vi rent faktisk kan undgå at blive ”forfulgt” på internettet. Det er det, der burde blive nemmere at undgå med denne dom,” siger hun.
Men:
”Lad os se, hvad der sker i praksis. Det er et stort marked med mange penge, og folk er ikke nødvendigvis klar på at give slip på forretning med penge i. Det følger ikke vores natur,” siger Ayo Næsborg-Andersen.
I første omgang har IAB Europe to måneder til at løse problemerne. Men dette tidsrum kan potentielt blive sat op, hvis de klager over kendelsen til de belgiske domstole.
