Blot fordi du har et fint consent/samtykke banner på dit website, er du nødvendigvis ikke i mål. Også selvom du har købt løsningen ude i byen, eller selv har lavet den. Flere websites sætter stadig cookies og trackers før samtykke.
Nogle arbejder på en løsning, mens andre sandsynligvis ikke er klar over det.
I dette indlæg viser jeg dig, hvordan du nemt tjekker, om du overholder gældende lovgivning samt belyser nogle af de typiske faldgrupper.
Sådan tjekker du:
- Åben Chrome i Inkognito
Windows: Ctrl + Shift + N
Mac: ⌘ + Shift + N - Højreklik og klik på Inspect
- Klik på Application
- Indtast siden du ønsker at teste i browseren
- Klik på Cookie ikonet (under Storage)
Her kan du se cookies, samt hvilke domæner der sætter cookies - Undersøg hvilke cookies der bliver sat før consent
Det kan være svært at vide hvilken service/værktøjer, der er bag hvilke cookies, samt hvilken kategori af cookies de tilhører (nødvendige, funktionelle, statistiske eller markedsføring). På nogle websites kan det ses i privatlivspolitikken hvilket værktøj, der sætter hvilke cookies. Du kan også prøve at Google cookienavnet, højreklikke på cookien eller “Show requests with this cookie” – her er ofte mere information at hente.
Nemt ikke? Udfordringen er, at du kun har tjekket én side på websitet, men hvad med de resterende sider? Du kan ikke gå ud fra, at alle cookies og trackers bliver sat på forsiden, eller de sider du lige har tjekket…
Hvorfor er det vigtigt?
GDPR har efterhånden et par år på bagen. Som en god tommelfingerregel skal du altid have samtykke, før du opsamler personlig information. Dette gælder specielt i statistiske- og markedsføringssammenhænge.
Personhenført data kan dække over alt fra IP-adresser til client-ids, som typiske findes i cookies og benyttes af de fleste web-værktøjer.
Tilbage i februar 2020 blev DMI udsat for alvorlig kritik af deres behandling af personoplysninger. Dette gjaldt i forhold til deling af personoplysninger med blandt andet Google og Amazon. Kritikken var umiddelbart velbegrundet, og Datatilsynet påpegede i afgørelsen, at det skal være lige så let at takke nej til cookies, som det er at give samtykke.
Afgørelsen danner præcedens indenfor området, da Datatilsynet er den myndighed med ansvaret for persondataforordningen i Danmark.
Typiske faldgrupper indenfor Cookie Samtykke/Consent løsninger
- Nogle “ikke nødvendige” cookies sættes før samtykke. Dette sker på hele sitet eller på visse sider.
- Forkert klassificering af Cookies. Ønsket om at undgå tab af indsigter får nogle til at klassificere statiske eller markedsføringscookies som funktionelle/nødvendige.
- Cookieløs tracking – såsom fingerprinting eller opsamling af IP-adresser med markedsføringsformål – går ikke uden samtykke.
- Cookies der rammer flere kategorier. Google Analytics cookien der blandt andet kan ramme alle tre kategorier, da den deles mellem Google Optimze, Google Analytics samt Doubleclick/Google Ads. (For sidstnævnte kræver det, at retargeting lister, at Remarketing og Advertising Reporting Features er slået til på propertien eller allowAdFeatures via Google Tag Manager)
- Der bliver sat cookies/trackers bag login, som ikke er en del af privatlivspolitikken/samtykkeoversigten.
- Dele af kunderejsen foregår udenfor platforme, hvor der ikke er kontrol. Det kan være, at du bruger en betalingsgateway, social login eller andre former for applikationer som er naturlige for et eller flere flows.
- Iframed elementer såsom videoer, social media posts, præsentationer, samt andre informationer som redaktører har indsat.
- 3 parts scripts der embeder andre 3 parts services/trackers
- Tilføjer en ny tracker/tool, men glemmer at cleare consent. Tilføjer du et nyt værktøj, som opsamler data, bør du cleare det historiske samtykke.