Velkommen til! Her er fjerde blog post i serien om cookie compliance. I forrige blog post gennemgik vi udformning af forskellige cookiebannere i forhold til risikovillighed og datatab, men i denne blog post bliver det en smule mere teknisk. Når man har fået styr på hvordan cookiebanneret skal udformes, er næste skridt, at man skal have det rullet ud på hjemmesiden og have sikret at cookies både holdes tilbage indtil den besøgende har givet samtykke, samt at de kan styres på kategoriniveau, i tilfælde af at en besøgende giver samtykke til cookies til statistik, men fravælger marketing cookies.

De tre systemer der bør være på plads

En ting er at have et cookiebanner der på overfladen opfylder kravene fra lovgivningen i forhold til blandt andet transparens og muligheden for at sige nej-tak (læs også andet blog post i denne serie), men hvis ikke man er i stand til også at holde cookies tilbage og styre dem baseret på samtykke, giver man sine besøgende en falsk forventning om at man har styr på cookies.

Typisk består en cookieløsning af tre systemer eller værktøjer; et cookiesystem, en tag manager og et CMS-system.

  1. Cookiesystemet

Cookiesystemet er det system man anvender til at scanne sin hjemmeside for cookies og administrere cookiebeskrivelser, samt til selve udformningen af cookiebanneret. Det kunne for eksempel være et system såsom Cookiebot, Cookie Information, OneTrust eller lignende.

Derudover er det også cookiesystemet, der holder styr på hvilket samtykke en besøgende har givet, i tilfælde af at man senere har behov for at kunne fremvise, at en given besøgende har givet samtykke. Men i forhold til at kunne styre cookies, har cookiesystemet også en ret essentiel rolle. Når man interagerer med cookiebanneret, vil informationen om hvilke cookies man har givet samtykke til, paradoksalt nok, typisk blive gemt i en cookie. Det er blandt andet informationen i denne cookie man typisk vil bruge i både tag manageren og CMS-systemet til at styre cookies korrekt.

  1. Tag Manager

I dag anvender man typisk en tag manager såsom Google Tag Manager (GTM), Tealium eller Adobe Launch, til at styre sin analytics implementering og marketing tags såsom Facebook pixels, Floodlight tags, osv. Da både analytics og marketing tags falder indenfor kategorierne af cookies der kræver samtykke, skal de kunne holdes tilbage indtil den besøgende har afgivet samtykke. Her er det dog en stor fordel at have en tag manager, da det er relativt simpelt at få sat regler på alle sine tags, der kan sørge for, at de først bliver loadet når der er et samtykke.

  1. CMS-systemet

Når der skal indhold på hjemmesiden, sker det typisk via et CMS-system. Med nogle former for indhold, følger der dog også en række cookies der skal styres. Det er typisk indhold fra tredjeparter, der er indsat via en iFrame, der er skyldigt i at sætte cookies. Det kunne f.eks. være en YouTube video eller en video fra et andet online videoværktøj, et podcastmodul eller en anden form for tredjepartsindhold. En YouTube video sætter marketing cookies, og da reglerne som bekendt siger, at der skal gives samtykke til alle andre cookies end nødvendige cookies, betyder det, at man er nødt til at blokere YouTube videoen fra at loade på hjemmesiden indtil man har indhentet samtykke til at sætte marketing cookies.

’Pak indholdet ind’ for at styre det

Den nemmeste måde at sørge for at tredjepartsindhold som f.eks. YouTube videoer ikke sætter cookies før der er opnået samtykke, er ved at forhindre dem i at loade på hjemmesiden. Det kan f.eks. gøres, ved hjælp af det vi så mundret har valgt at navngive “wrapper kode” – formålet med det er nemlig at “wrappe” eller pakke indholdet ind, så det ikke bare har mulighed for at loade og derved sætte cookies.

Herunder er der et eksempel på hvordan koden der skal bruges til at implementere en YouTube video på en hjemmeside normalt ser ud, samt et eksempel på hvordan samme kode kunne se ud med “wrapper kode”.

I det første eksempel vil videoen loade som normalt (og sætte cookies) men i det andet eksempel vil videoen som udgangspunkt ikke loade. I stedet vil der være en tom plads, hvor videoen burde have været. Vi anbefaler at man benytter denne plads, til at fortælle den besøgende at der er noget af indholdet på hjemmesiden de ikke kan tilgå på grund af deres cookie indstillinger, som illustreret i det andet eksempel.

Derved kan man også bruge det som et middel til at nudge besøgende til at tillade cookies.

Eksemplet med wrapper koden blokerer videoen fra at loade ved at der er tilføjet attributten “data-src” samtidig fortæller attributten ‘data-consent=”marketing”‘ at der er tale om indhold der sætter marketing cookies. Hvis man nu rent faktisk har fået samtykke til at sætte marketing cookies, kan man enten opsætte noget logik i ens tag manager der kan “låse op” for videoen og loade den på hjemmesiden, eller man kan anvende cookiesystemet til at styre det. De fleste cookiesystemer anvender en form for wrapper kode der kan bruges til at styre indhold fra iFrames.

Blueprint af en typisk cookieløsning

For bedre at illustrere hvordan de tre værktøjer der normalt udgør hovedelementerne i en cookieløsning samlet virker, har vi her lavet et blueprint af en typisk løsning

Her har vi indelt cookies i tre typer; nødvendige cookies der ikke skal styres, cookies der kommer fra tags fra tag manageren og cookies der kommer fra indhold via CMS-systemet. Cookies fra de to sidstnævnte kræver oftest samtykke (men de kan også sætte et par nødvendige cookies).

Hver måned får man et scan fra cookiesystemet, der er med til at give et overblik over hvilke cookies man har på sitet, og hvilke man skal sørge for at kunne holde tilbage. Samtidig er det også herfra man får cookiebanneret og den cookie der gemmer hvilket samtykke en besøgende har givet (her kaldet samtykke cookie). Den kan derefter bruges af både tag manageren og CMS-systemet til at blokere henholdsvis tags og indhold basseret på den besøgendes samtykke.

Næste og sidste blog post i denne serie om cookie compliance vil omhandle hvordan man opstiller en governance proces der på månedlig basis tager afsæt i at holde cookie-løsningen ajour.

Skriv endelig til mig (fch@ecapacity.dk), hvis du arbejder med Data/Cookie Compliance i din virksomhed, og dette blog post har fanget din interesse.

Vi afholder et webinar om cookie compliance d. 17. september hvor samtlige blogposts vil blive uddybet, demonstreret med virkelige eksempler og så har du også mulighed for at stille spørgsmål. Læs evt. mere og tilmeld dig her.