25. maj i år trådte de nye GDPR-regler i kraft. De nye regler betyder blandt andet, at medierne skal have brugerens accept, før de må bruge cookies til at registrere data om os.
For at tjekke op på, om de nye regler faktisk har ændret mediernes adfærd, har lektor i Journalistik på SDU Filip Wallberg målt, hvor mange cookies medier satte lige umiddelbart før og efter, at GDPR-reglerne trådte i kraft. Cirka tre måneder senere har han så igen tjekket op på medierne. Den seneste måling viser således, hvor mange cookies medierne sætter i dag inden og efter brugerens accept af cookies.
Resultatet kan ses i skemaet her:
Dataindsamlingen er foretaget 11. maj (før GDPR), 27. maj (efter GDPR), 29. august (før accept) og 30. august (efter accept).
To tilgange til GDPR
Målingen viser ifølge Fillip Wallberg, at flere medier er på rette vej i forhold til at leve op til GDPR-reglerne.
”Før GDPR var det det vilde vesten. Der var en cookie-kasse nederst på en hjemmeside, hvor man kun kunne klikke ok. Og hvis man var heldig, kunne man se, hvilke cookies der blev sat på ens computer. Nu må medierne ikke uden brugerens accept bruge cookies til at registrere data om os, som de kan bruge til at tracke os på kryds og tværs,” siger Filip Wallberg.
Tallene i hans skema er det gennemsnitlige antal cookies målt på 150 artikler på det pågældende medies hjemmeside. Tallene kan derfor være nogle andre, hvis man som bruger klikker sig ind på en artikel i dag. Filip Wallberg mener dog, at tallene tegner et tydeligt billede.
”Det virker til, at der er to tilgange til det her blandt medierne. Den ene tilgang har b.dk, bt.dk og dr.dk. De spørger om lov, før de overhovedet sætter cookies på en computer,” siger Filip Wallberg.
”Den anden tilgang er, at man ikke spørger om lov. Den tilgang har JP/Politikens Hus og TV 2,” siger han.
Filip Wallberg tilføjer, at der er forskel på problemets omfang hos henholdsvis JP/Politiken og TV2:
”Du kan sige, der er huller i muren hos JP/Politiken, men slet ikke nogen mur hos TV2.”
Ingen kontrol over kommercielle aktører
Cookies er som sådan ikke onde, forklarer Fillip Wallberg. Det handler om, hvad de indeholder, og nogle cookies er derfor helt ok. Men så snart de bruges til at tracke brugerens adfærd, er det ifølge ham i strid med god GDPR-praksis.
”Men det er et stort problem, at der endnu ikke er præcedens eller mere håndgribelige rettesnore fra offentlig side i forhold til, hvad man må og ikke må,” siger han.
I princippet kan de cookies, der er målt hos medierne inden brugerens accept, være helt legitime. Det kan for eksempel være, hvis det er cookies, som bruges til at analysere, om brugeren sidder med en 15 tommer Macbook Pro eller en 22 tommer Samsung, og derved blandt andet kan bruges til at give brugeren den bedst mulige opløsning på skærmen.
”Der er selvfølgelig den mulighed, at det kun drejer sig om den slags cookies. Men det er tæt på fuldstændigt urealistisk. Ud fra al sund fornuft ville det ikke give den store mening for de her virksomheder og kommercielle aktører at sætte den slags cookies,” siger Filip Wallberg.
Hans måling viser blandet andet, at ekstrabladet.dk, jyllands-posten.dk og politiken.dk sætter cookies fra blandt andre Facebook, Google, adform og TNS Gallup før accept af cookie- og privatlivsvilkår.
”Så snart der er kommercielle aktører inde over, er det svært for mediet selv at kontrollere, hvad der bliver gemt af informationer om brugeren. Ekstra Bladet eller Politiken bestemmer jo ikke, hvilken information der flyder fra Facebook og ned til brugeren – altså hvilke cookies der sættes. Det er virksomheden, der har kontrol over det,” siger han.
”Og det er alarmerende, for formentligt kan de så bruges til en eller anden form for tracking af os og vores adfærd på kryds og tværs.”
JP/Politikens Hus: Ude af vores hænder
Dorthe Bjerregaard-Knudsen er koncerndirektør i JP/Politikens Hus, og hun fortæller, at mediehuset ikke kan tilbyde sine brugere ikke at sætte cookies.
”Vi bruger cookies til forskellige essentielle formål i forhold til de medier og den forretning, vi driver. Det er nødvendigt for at sikre brugeroplevelsen på vores websites, det er nødvendigt for, at vi kan lave analyse af, hvordan vores sites bliver brugt, og det er nødvendigt for vores annonceforretning,” siger Dorthe Bjerregaard-Knudsen.
Hun forsikrer dog, at brugerne har mulighed for at sige nej til dataindsamling og databehandling foretaget af eksterne samarbejdspartnere og annoncører.
”Hvis brugeren siger nej til, at en af vores samarbejdspartnere må bruge hans data videre rundt på nettet, så har virksomheden ikke det juridiske grundlag på plads til at foretage den databehandling,” siger hun.
Men har I som mediehus kontrol over, hvad de kommercielle virksomheder gør med den data?
”Vi videreformidler information til aktørerne om, om der er blevet sagt ja eller nej fra brugeren. Brugeren har mulighed for helt at fravælge databehandling, men brugeren har også mulighed for at fravælge udvalgte aktører. Den information bliver så videreformidlet i vores annoncesalgssystemer, så dem, der køber annoncer, ved, om der er samtykke på denne her bruger eller ej,” siger hun.
Men har I kontrol over, hvad virksomhederne gør, når de sætter cookies?
”Nej, men vi giver dem muligheden for at få deres juridiske grundlag i orden. Om de efterlever det eller ej, er ude af vores hænder. Men det er klart, at bliver vi opmærksomme på misbrug, vil vi tage affære,” siger Dorthe Bjerregaard-Knudsen.
Ifølge koncerndirektøren er JP/Politikens Hus nogle af dem i den danske mediebranche, der går forrest for at sikre god GDPR-praksis.
”Vi ved jo udmærket, hvad der foregår på vores hjemmesider, og vi har valgt at sørge for, at dem, der henter og behandler data om vores brugere, bliver sikret det rette juridiske grundlag,” siger Dorthe Bjerregaard-Knudsen.
”En høj branchestandard”
Berlingske scorer sammen med DR og B.T. toppoint i Filip Wallbergs undersøgelse og sætter altså ingen cookies, hvis ikke brugeren har accepteret det.
”Vi har sat os det mål, at vi vil være de bedste til det her. Selvfølgelig vil der altid være kritikere, som siger, vi skal være endnu bedre, men vi prøver at sætte en høj branchestandard,” siger Jakob Boeriths Søndergaard, der er persondataansvarlig i Berlingske Media.
Han fortæller, at der endnu er aspekter af GDPR-lovgivningen, der ikke er ”soleklare”, og som derfor kan tolkes som anbefalinger.
”Men vi har valgt at gå med livrem og seler,” siger han.
Mulighed for smuthul
Når Berlingske – og andre medier – pludselig skal give brugerne muligheden for at fravælge cookies, kan det få konsekvenser for forretningsmodellen.
”I et utænkeligt scenarie, hvor alle sagde nej til cookies, ville det være skæbnesvangert for vores forretning. Det ville jo få kæmpe betydning for vores annoncekroner. Og hvis det var scenariet, ville vi være nødt til at tage stilling til, om vi skulle gøre noget andet,” siger Jakob Boeriths Søndergaard.
”Lige nu er det dog et relativt få antal brugere, der siger nej til, at vi må anvende cookies,” siger han.
Han nævner muligheden for en ”hård cookie wall”, som er en del af et udkast til den kommende ePrivacy-forordning. En sådan mulighed ville betyde, at medier kan blokere alt indhold for brugeren, hvis ikke der bliver givet accept til brug af cookies.
Som det ser ud nu, kræver Databeskyttelsesforordningen, at et samtykke til brug af cookies skal gives frivilligt. Men et samtykke er ikke givet frivilligt, hvis brugeren er i en situation, hvor han eller hun er tvunget til at give det for at få adgang til noget.
”Udkastet indebærer så, at medier får lov at gøre det alligevel og lukke for indholdet, hvis folk siger nej til cookies, fordi det er i samfundets interesse, at medierne skal overleve,” forklarer Jakob Boeriths Søndergaard.
Hos Berlingske forventer man dog ikke, at det bliver nødvendigt at spærre for indhold, hvis man ikke accepterer cookies, forsikrer han.
Rod i egen biks er et dårligt udgangspunkt
Der er endnu ikke afgjort nogen sager i forbindelse med de nye GDPR-regler, og det er derfor endnu ikke til at sige, hvad konsekvenserne bliver for de medier, der stadig sætter cookies inden brugerens accept.
Men ifølge Filip Wallberg er det vigtigt, at medier som TV 2, Ekstra Bladet, Jyllands-Posten og Politiken begynder at gøre sig umage.
”En del af journalistikkens natur er jo at råbe op, når myndigheder og virksomheder træder ved siden af. Hvis man selv har rod i egen biks, er det altså et dårligt udgangspunkt,” siger han.
Han medgiver dog, at GDPR-reglerne er en teknisk udfordrende omgang.
”Mange opfatter GDPR som sådan en hård deadline. Men fra et teknisk synspunkt er det virkelig svært, og derfor er det vigtigste i mit perspektiv, at medierne kan forklare, hvorfor de ikke lever op til reglerne endnu,” siger han.
”Men TV 2 og JP/Politikens hus har tydeligvis ikke styr på det endnu – spørgsmålet er, hvornår de får det?”
TV 2: Fokus på førstepartsdata
TV 2's digitale produktchef, Anders Schäffner Jacobsen, har sendt et skriftligt svar, hvor han forklarer, hvorfor TV 2 vælger at sætte tredjepartscookies uden brugerens accept:
Ifølge Lektor i Journalistik Filip Wallberg sætter tv2.dk stadig tredjepartscookies, uden brugeren har accepteret det.
– Hvordan kan det være?
"TV 2 sætter cookies, fordi det er en vigtig komponent i at levere vores gratis produkter, f.eks. tv2.dk – bl.a. for at kunne personalisere oplevelsen, give os en bedre forståelse af, hvordan vi kan forbedre vores produkter samt for levere de reklamer, vi har i vores produkter. TV 2 har valgt en lidt anden teknisk løsning end andre sites, når det kommer til måden, samtykke indhentes på – men vi vurderer naturligvis, at vi lever op til lovgivningen."
Mener I ikke, det er brud med GDPR-lovgivningen, at kommercielle aktører sætter cookies på tv2.dk og dermed indsamler data om brugerne?
"Hos TV 2 har fokus i forbindelse med GDPR ligget på førstepartsdata – altså hvilke data TV 2 registrerer, hvordan vi håndterer dem og sikrer, at brugerne kan få dem slettet. Cookies har været mindre centralt hos os i forhold til GDPR-implementeringen, fordi håndtering af cookies efter vores juridiske vurdering er reguleret af cookie-bekendtgørelsen. Hér afventer vi i øvrigt den nye e-privacy-forordning. Det afgørende ift. GDPR er, hvad cookies bruges til – og vi sikrer naturligvis, at vi kun anvender cookies, når vi har et afgrænset – og legitimt – formål."
Ifølge Lektor i Journalistik Filip Wallberg har brugeren slet ingen mulighed for at fravælge cookies på tv2.dk
Hvordan kan det være?
"Grundlæggende bruger vi cookies – og har ikke valgt at tilbyde en fravalgsmulighed – fordi det giver de bedste muligheder for at levere vores produkter optimalt. Det er som sagt bl.a. vigtigt for at forbedre brugeroplevelsen – og for visning af de reklamer, der er en legitim del af et kommercielt drevet website."
Mener I ikke, at det er brud med GDPR-lovgivningen ikke at give brugeren denne mulighed?
"Efter vores juridiske vurdering er cookies reguleret af cookie-bekendtgørelsen. GDPR og cookiereguleringen er to forskellige ting, som undersøgelsen og artiklen tilsyneladende ikke sondrer skarpt imellem. Det afspejler formentlig, at emnet er komplekst – i en grad, så man i EU endnu ikke er blevet enige om den nye kommende e-privacy-forordning, der skulle være trådt i kraft, så den komplementerede GDPR. Og vi meget enige i, at det ville være ønskeligt med klare retningslinjer på området fra Datatilsynet."
Er jeres nuværende niveau for at sætte cookies tilfredsstillende – eller er TV 2 i gang med en proces mod at blive bedre og dermed ikke sætte de personhenførbare cookies?
"Det er tilfredsstillende på den måde, at vi dels agerer i overensstemmelse med lovgivningen – og dels kan levere vores produkter og tjenester til danskerne. Men vi er altid i en proces hen imod at gøre det endnu bedre for vores brugere. Og vi kan sagtens se, at mediemarkedet bevæger sig i retning af større mulighed for, at man som slutbruger kan vælge, hvilke typer cookies, der skal sættes. Det vil være ret naturligt for tv2.dk at følge den udvikling i takt med, at det bliver markedsstandard."
Artiklen er præciseret onsdag den 5. september klokken 08.03 med oplysningen om, at Filip Wallberg påpeger, at der er forskel på problemets omfang hos TV2 og JP/Politikens Hus. Tidligere fremstod det som om, de to mediehuse kunne ligestilles.
Artiklen er opdateret den 7. september kl. 09.27 med skriftligt svar fra TV 2.
7 Kommentarer
Du skal være logget ind med dit DJ-login for at kunne kommentere på artiklen.
Som Christian Schmidt skriver, tager vi implementeringen af Persondataforordningen (GDPR) meget seriøst.
I forhold til den dataindsamling der foregår på vores sites – af andre end os selv og til andre end vores formål – så har vi vurderet, at eneste vej frem er en samtykkebaseret tilgang.
Til at holde fuldstændigt styr på hvilke samtykker, der bliver givet af vores brugere, og til at kunne kommunikere disse samtykker specifikt til de annonceteknologivirksomheder, som annoncørerne køber annoncer igennem, har vi valgt det eneste bud på en brancheløsning på området, nemlig IAB Europe Transparency & Consent Framework.
Det har op til og siden 25. maj været en daglig kamp at få alle teknologivirksomhederne i den digitale annonceøkonomi til at respektere det valg, vi har truffet. Vi insisterer på at samtykkegrundlaget er eneste vej, hvis man som annonceindkøber vil anvende målretningsteknikker hos os. Alle annonceteknologivirksomhederne har derfor skullet sætte deres systemer op til at kunne ”læse” de samtykkeinformationer, vi videreformidler.
Da stort set ingen andre mediehuse end os giver deres brugere valget, men kører videre som om intet er hændt, er der desværre ikke et samlet markedspres på annonceteknologivirksomhederne til at få den digitale annonceøkonomi til at fungere på de nye præmisser.
Criteo, som Christian Schmidt nævner, er tilmeldt IABs framework. De har over for os bekræftet, at de respekterer de samtykkeinformationer, vi sender videre. Hvis det ikke er tilfældet, eftersætter vi det prompte.
Google er en anden historie, idet Google reelt har holdt branchen som gidsel hele året på dette område. Google sagde i maj, at de ville træde ind i IABs framework. På det tidspunkt lovede Google, at midlertidige løsninger ville være på plads i juni, og at deres fulde indtræden ville finde sted i august. Det har vi troet på, men intet af det er desværre overholdt. Da de stadig ikke er indtrådt, er vi i fuld gang med at udvikle specialløsninger til at kunne håndtere Google i relation til samtykke erklæringen. Vi forventer at have en løsning på plads inden udgangen af september.
Bedste hilsner
Dorthe
Flot gået af Berlingske at dæmpe sin brug af tredjepartcookies. Og ditto med DR, som måske helt burde stoppe det som offentlig virksomhed https://www.dr.dk/radio/p1/p1-morgen/p1-morgen-2018-09-05#!00:44:51 Men alle burde da overveje hvorfor I deler data med tredjeparter om jeres brugere. Hvor vigtigt er det i forhold til, at I ved, at et stigende antal brugere installerer adblockers ikke kun fordi de ikke gider reklamer, men fordi de ikke gider trackes? Her på journalisten.dk fortæller I jo også alt til fx Google. Hvorfor egentlig når der findes fx danske webstatistik-alternativer?
Til de mange medier (ingen nævnt, ingen glemt) der hævder, at de nu overholder GDPR og cookiebekendtgørelsen (hvor kravet til samtykke pr. 25. maj 2018 skal fortolkes i lyset af GDPR) vil jeg blot henvise til GDPR betragtning 32, hvor der bl.a. står:
"Tavshed, forudafkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke."
Jeg prøver forgæves at forstå JP/Politikens tilgang til problemstillingen.
Dorthe Bjerregaard-Knudsen skriver:
“Vi oplyser specifikt om, hvilke partnere der får adgang, og man kan som bruger til/fravælge de enkelte aktører”.
Når jeg besøger Politiken.dk, får jeg vist annoncer baseret på andre websites, jeg har besøgt. Annoncerne vises bl.a. af Google og Criteo (at dømme efter det lille ikon øverst til højre i annoncen). Google optræder ikke på den nævnte liste over aktører i Politikens cookie-popup, og Criteo er fravalgt.
Google skriver udtrykkeligt i deres betingelser vedr. GDRP, at deres databehandling er så vidtgående, at det ikke falder under “legitim interesse” men derimod kræver samtykke, jf. https://www.google.com/about/company/user-consent-policy.html. Google forlanger derfor af medier, at de indhenter samtykke fra brugeren, før der vises personaliserede annoncer (herunder annoncer baseret på browserhistorik). Dette samtykke har Politiken ikke indhentet.
Det lyder som om, at JP/Politikens Hus har gjort sig seriøse overvejelser omkring GDPR, hvilket er mere, end man kan sige om mange af deres konkurrenter. Men medmindre jeg har misforstået noget, gør de noget andet, end det de siger de gør.
Lige en kort opfølgning. Mit ønske om nuanceringen kom, da jeg læste artiklen, før den blev udgivet. Fagbladet Journalisten har - så vidt jeg ved - ikke citeret mig forkert. Jeg har til gengæld sagt noget der var upræcist og forsøgt at få det nuanceret efterfølgende.
Flere