Henstandsperioden fra Datatilsynet blev ophævet før sommerferien, hvilket betyder at Datatilsynets vejledning fra februar 2020 nu vil blive håndhævet (DBA.dk er i skrivende stund ved at blive gransket). Kort forklaret strammer Datatilsynet og deres øvrige pendanter fra Det Europæiske Databeskyttelsesråd (EDPB) reglerne for hvordan data og herunder også hvordan cookies må bruges.

De fleste virksomheder har allerede en basis cookie-løsning på plads, men færre arbejder med hvordan man kan reducere de medfødte negative effekter ved de nye regler. Hvis reglerne efterleves, bliver ens datapulje nemlig markant mindre f.eks. fra Adobe- eller Google Analytics, DoubleClick eller andre lignende værktøjer til effektiv markedsføring. Hvis reglerne imidlertid ikke efterleves, risikerer man i værste fald en GDPR bøde på op til 20 mio. EUR eller 4% af ens årlige globale omsætning – av. Hverken datatab eller enorme bøder er attraktive, så vi vil dele vores erfaringer i en række blogposts, som tager dig hele vejen rundt om:

  1. Hvad er lovgivningen på området.
  2. Hvordan minimerer man forretningsmæssige tab, samtidigt med at være compliant.
  3. Hvorfor det er vigtigt at vise omverden at datasikkerhed bliver taget seriøst.
  4. Hvordan en typisk cookie-løsning teknisk er skruet sammen.
  5. Hvordan man opstiller en governance proces der på månedlig basis tager afsæt i at holde cookie-løsningen ajour.

Eftersom et markant datatab kan have alvorlige  forretningsmæssige konsekvenser for ens digitale forrentning (analyse, personalisering, re-targeting etc.) kan samtykke til data siges at være et konkurrenceparameter på højde med høj konverteringsrate, god og målrettet markedsføring eller hurtig/billig levering. Derfor er det et område der er værd at sætte sig ind i, da selv få justeringer kan have signifikant indvirkning.

Hvad er en cookie egentlig

Indledningsvist skal det lige kort fastslås hvad en cookie er (selvom du nok allerede er klar over det). En cookie er en lille tekstfil der er designet til at lagre og dele information. Tracking cookies fra f.eks. Google- eller Adobe Analytics indeholder et unikt ID som bruges til at adskille besøgende fra hinanden. Dette unikke ID indeholder ikke noget der kan identificere besøgende direkte – det er den data der bliver sendt afsted via cookies der kan være af personfølsom karakter f.eks. IP-adresse eller demografisk information.

Lovgivning gælder ikke kun for cookies

Reglerne nævner ofte cookies, men den omfatter også lignende teknologier, der på samme måde bruges til at måle, behandle eller aktivere digital adfærdsdata. Grunden til cookies ofte bliver nævnt, er fordi termen cookies har: eksisteret i mange år, ofte bliver associeret med tracking og så er cookies ikke mindst et navn de fleste forstår (i modsætning til f.eks. device fingerprinting). Reglerne gælder altså uanset om der gøres brug af cookies eller om der benyttets metoder der ikke sætter cookies f.eks. server-side tracking eller local storage. Det vil også sige at reglerne ikke kun gælder på hjemmesider – de gælder også for apps og hvor der ellers måtte blive behandlet personfølsom data.

Hvordan man undgår bøder, datatab og at skade sit image

Nedenfor vil det blive opridset hvorfor man skal have styr på cookies og andre tracking teknologier, som overordnet kan inddeles i tre hovedkategorier: (1) bøder, (2) datatab og (3) image. I de følgende tre blogposts vil de tre områder blive udpenslet i hvert deres blogindlæg.

1. Bøder: følg disse lovkrav for at undgå økonomisk smæk

Som tidligere nævnt risikerer man enorme bøder, hvis ikke man følger gældende lovgivning – det er særligt hvis GDPR overtrædes, at det kan blive dyrt. Nedenfor er en kort checkliste. Opfylder din virksomhed alle fem krav?

  1. Data må ikke opsamles før den besøgende har givet gyldigt samtykke – og ja, det gælder også for Google- og Adobe Analytics.
  2. Det skal være transparent hvordan data bliver anvendt så lægmand kan læse sig til hvordan og hvorfor eksempelvis hjemmesiden opsamler, anvender og eventuelt deler data.
  3. Betingelser må ikke være forudafkrydsede og forskelligartede betingelser må ikke være slået sammen (f.eks. samtykke til direkte markedsføring og brug af tracking cookies i ét afkrydsningsfelt).
  4. Det skal være lige så nemt at afgive samtykke, som det skal være at afvise og et samtykke skal til hver en tid kunne ændres.
  5. Alle samtykker skal kunne dokumenteres i tilfælde af det bliver nødvendigt at bevise at en besøgende har givet samtykke.

2. Datatab: minimer datatab ved at vælge den “rigtige” løsning

Hvor stort datatab man står overfor, afhænger i høj grad af hvilken løsning der vælges og hvordan den udformes. Der findes forskellige løsninger der balancerer forskelligt afhængigt af hvor meget compliance vægtes i forhold til datatab (risikovillighed er en faktor her). Eksempler på hvad der har stor betydning for datatab:

  1. Udformning og funktionalitet på interaktionsmuligheder f.eks. knapper. Vi har eksempelvis set en halvering af datatab ved at gå fra 3 til 2 knapper (nøjagtigt det samme var muligt med blot 2), samt flere signifikante fald i datatab ved at ændre tekst, farve og størrelse på knapper.
  2. Generel udformning af løsningen e.g: hvor stort er banneret, kan besøgende interagere med hjemmesiden uden at give samtykke og i hvor høj grad bør banneret følge virksomhedens CVI?
  3. Hvordan teksten er skrevet har også betydning. Det bør beskives hvad værdien er for den besøgende i stedet for at fortælle hvorfor samtykke er ønsket fra et virksomhedsperspektiv. F.eks. “Du får fordel X og Y ved at samtykke” i stedet for “Vi kan analysere din data hvis du samtykker”.

3. Image: vis omverden at datasikkerhed bliver taget seriøst

En hjemmeside eller app er i langt de fleste tilfælde den interaktionsflade ens kunder eller potentielle kunder hyppigst besøger, så man vil også blive bedømt udfra hvordan ens digitale flader er strikket sammen. Derfor bør ens samtykkeløsninger f.eks. cookie-løsningen afspejle ens ønskede image. Eksempelvis er det uheldigt som finans- eller forsikringsselskab, hvis man ikke har styr på datasikkerhed og lovgivning, eller hvis man ikke formår at kommunikere at man rent faktisk har styr på det.

Læs med i næste blogpost hvor det vil blive gennemgået hvad det er man skal gøre (eller ikke gøre) for at overholde lovkrav og altså undgå bøder. På gensyn!

Skriv endelig til mig (jd@ecapacity.dk), hvis du arbejder med Data/Cookie Compliance i din virksomhed, og dette blog post har fanget din interesse.

PS. Vi afholder et webinar om cookie compliance d. 17 september hvor samtlige blogposts vil blive uddybet og demonstreret med virkelige eksempler. Læs evt mere og tilmeld dig her.