Velkommen til tredje blog post i serien om cookie compliance! I sidste blog post blev det gennemgået hvad man skal gøre for at overholde EU-lovkrav og altså undgå bøder. Dette blog post vil dykke ned i hvordan man vælger den ‘rigtige’ løsning og hvordan man minimerer det forretningsmæssige tab der naturligt følger med når man tillader besøgende at fravælge cookies til f.eks.: analyse, personalisering, attribuering, re-targeting etc.
Cookiebanner – fra bunden til midten
Alle andre end strengt nødvendige cookies skal som gennemgået i sidste blog post holdes tilbage indtil den besøgende har givet sit utvetydige samtykke. Det bliver typisk opnået ved hjælp fra ens Tag Manager (læs mere i næste blog post), som spiller sammen med et centreret cookiebanner der har et omkransende ‘overlay’. Det skal sikre at brugeren ikke kan interagere med sitet inden vedkommende har taget stilling til cookies. Det er anbefalelsesværdigt med overlay, da man således undgår en fragmenteret brugerrejse fra et dataperspektiv. Hvis man holdt data tilbage og havde et banner i bunden af hjemmesiden uden overlay, ville den besøgende kunne navigere uden at give samtykke og så risikerer man at få en fragmenteret brugerrejse. F.eks. hvis en besøgende lander på hjemmesiden og ignorerer banneret, men så efter 5 sidevisninger klikker “OK” til banneret – i sådan et tilfælde vil data først blive opsamlet efter bannerinteraktionen og alt adfærd før interaktionen ville være tabt. Man kunne have banner i bunden, samt overlay, men cookiebannere i bunden af sitet bliver af mange forbundet med noget man kan lade være. Derfor er det anbefalelsesværdigt at have det i midten, så det er tydeligt at man er påtvunget at tage stilling inden hjemmesiden kan benyttes.
Så langt så godt. Vi er forhåbentligt enige om at et centreret banner med overlay er vejen frem, men hvordan skal selve banneret så udformes? Inden vi tager et kig på tre forskellige muligheder, så lad os lige gennemgå hvad lovgiverne gerne ser banneret skal opfylde.
Cookie-løsningen der tilfredsstiller lovgivere
Hvis man spørger lovgivere, må ens løsning ikke have nogen forudafkrydsede betingelser. Det er naturligvis i tillæg til at ingen data bliver opsamlet før utvetydigt samtykke og at alt står beskrevet på en transparent måde. Det vil i strengeste fortolkning sige at man ikke med én knap må kunne give samtykke til f.eks. flere forskellige typer af cookieformål på én gang (f.eks. til statistik og marketing) – det skal individuelt afkrydses og derefter skal ens valg gemmes. Det har flere danske virksomheder eksperimenteret med efter Planet49 sagen (læs mere i forrige blog post) f.eks. Kromann Reumert. De valgte efter sagen at implementere en løsning hvor den besøgende aktivt skulle afkrydse f.eks. statistik og/eller marketing cookies. Hvis den besøgende blot trykkede på samtykkeknappen (“jeg accepterer”), ville der udelukkende gives samtykke til de strengt nødvendige cookies. I dag er deres løsning ændret og i dag ser vi en “tillad alle” knap. Studier viser at besøgende oftest ikke gider at læse teksten i disse bannere og derfor blot trykker på den mest iøjnefaldende call-to-action knap. Det vil i praksis sige at løsningen Kromann Reumert havde tilbage i januar (sandsynligvis) resulterede i at langt størstedelen af deres data forsvandt og jeg antager det er derfor de har skiftet til den nye løsning.
Hvis man har data kært (og det ved jeg du har) er en lignende løsning som den Kromann Reumert havde tilbage i januar altså ikke anbefalelsesværdig, men hvad kan man så gøre?
3 forskellige løsninger – valget afhænger af risikovillighed
Her vil der blive gennemgået 3 forskellige måder at udforme cookiebanneret på og løsningerne rangerer forskelligt på de to akser om henholdsvist compliance risiko og impact på forretningen (fælles for alle 3 er at cookies holdes tilbage indtil samtykke er givet).
Indsigt i datatab som ses nedenfor, stammer fra adskillige løsninger vi har adgang til.
Løsning 1 – “data er vigtigere end compliance”
Hvis man vil slå cookies fra med denne løsning, skal man klikke på “indstillinger” hvorefter man vil kunne fravælge cookies. Det er altså nemmere at give samtykke til cookies, da dette kun kræver 1 klik, mens det kræver minimum 2 klik af fravælge dem. Det anfægter GDPR-princippet om at det skal være lige så nemt at tilvælge, som det er at fravælge. Eftersom det er nemmere at tilvælge cookies, er det også det langt de fleste gør (kun 2-8% fravælger cookies) og derfor medfører denne løsning lavere impact på forretningen. Til gengæld indebærer den også højere compliance risiko afhængigt af hvor strikt man fortolker lovgivningen. Bemærk at Datatilsynet har meldt ud at denne løsning ikke holder (f.eks. DMI.dk sagen).
Løsning 2 – “den gyldne middelvej”
Med denne løsning er det lige så nemt at tilvælge, som det er at fravælge cookies. Dog er accepter-knappen fremhævet med grøn, mens knappen der fravælger cookies, er grå. I Danmark kan brugen af forskellige farver betragtes som acceptabelt, da Datatilsynet (som håndhæver GDPR) f.eks. på side 13 i deres egen vejledning bruger et lignende eksempel med to forskellige farver. Bemærk dog at man stadig kan acceptere alle cookie-formål med 1 klik, som nogle mener ikke er acceptabelt (Planet49 sagen taget i betragtning). Dog er denne måde meget udbredt i DK, da alternativet er løsning 3 (eller en variant som minder om den), som har ganske alvorlige konsekvenser for den digitale forretning.
Løsning 3 – “compliance er altoverskyggende”
Denne løsning er gennemgået i afsnittet om Kromann Reumerts gamle løsning, som de færreste benytter eftersom datatabet er… ødelæggende.
Eftersom man kan vinke farvel til det meste af ens data hvis man vælger en løsning hvor den eneste mulighed for at tilvælge cookies er ved at tilvælge kategorier individuelt (løsning 3), bruger de fleste en løsning, som kan betegnes som en gråzone hvor betingelser ikke er afkrydsede, men hvor man ved ét klik kan slå det hele til (løsning 1 eller 2). Valget mellem 1, 2 og 3 afhænger af ens risikovillighed.
“Små” justeringer kan have stor indflydelse
For nogle måneder siden blev vi kontaktet af en virksomhed, som ville høre om det var normalt med et datatab på 60%. Vi svarede at det bestemt var i den høje ende og kom derefter med en række initiativer, hvoraf det første fik dem fra 60% til 30%. Se version A nedenfor, som var den virksomheden havde til at begynde med (det er i øvrigt også den Kromann Reumert har i dag!). To tredjedele af knapperne gør at den besøgende kun accepterer nødvendige cookies og dertil er to af knapperne endda grønne (hvis man ikke læser teksten er det 50/50 hvilken en af de to grønne man klikker på)!
Derfra blev datatabet yderligere reduceret ved at arbejde med tekst og generel udformning af banneret så det overordnet spillede bedre sammen med virksomhedens hjemmeside. Et lille eksempel er at teksten bør beskrive hvad værdien er for den besøgende i stedet for at fortælle hvorfor samtykke er ønsket fra et virksomhedsperspektiv. F.eks. “Du får fordel X og Y ved at samtykke” i stedet for “Vi kan analysere din data hvis du samtykker“.
Regn ud hvad datatab koster i kroner og øre (sådan næsten da)
Hvis du er i tvivl om det er værd at løbe en risiko ved at vælge en løsning der bevæger sig i nogle gråzoner for hvad der kan accepteres (eller måske endda ligefrem udenfor zonen) kan det være en god øvelse at udregne hvad et datatab egentlig koster dig. Prøv f.eks. at regne ud hvad det koster, ikke at kunne lave re-targeting, paid search, eller at kunne lave datadrevet attribuering. Dertil kommer nogle bløde faktorer der er sværere at kvalificere, men som uden tvivl også bliver påvirket. Her tænkes f.eks. på personalisering eller adfærdsanalyser.
Ovenstående beregninger skal holdes op imod risikoen for GDPR-bøder (de kan være dyre) og de negative følger ved f.eks. at havne i avisen, eller i en shitstorm på sociale medier for at afvige fra forventningerne til ens image.
Det er nogle tunge beslutninger der kan være svære at navigere i. Ræk endelig ud hvis vi skal tage en snak om din virksomhed og den situation du står i.
Læs med i næste blog post hvor det vil blive gennemgået hvordan en cookieløsning teknisk bør være skruet sammen i Tag Manager og CMS-system. På gensyn!
Skriv endelig til mig (jd@ecapacity.dk), hvis du arbejder med Data/Cookie
Compliance i din virksomhed, og dette blog post har fanget din interesse.
Vi afholder et webinar om cookie compliance d. 17. september hvor samtlige blogposts vil blive uddybet, demonstreret med virkelige eksempler og så har du også mulighed for at stille spørgsmål. Læs evt. mere og tilmeld dig her.
