2 av 3 i det offentlige ber ikke om samtykke, kan bryte nye cookie-regler

Og flere av dem som ber om samtykke, gjør det ikke godt nok, hevder ny undersøkelse.

Eilif Johansen har undersøkt 75 offentlige nettsider etter at de nye reglene for cookies trådte i kraft. Han er overrasket over resultatet. 📸: Skjermdump / Privat
Eilif Johansen har undersøkt 75 offentlige nettsider etter at de nye reglene for cookies trådte i kraft. Han er overrasket over resultatet. 📸: Skjermdump / Privat Vis mer

Du har nok helt sikkert sett innlegg som handler om personvern, cookies og ekom-loven de siste ukene.

Mang en IT-avdeling fikk det nok travelt, da de nye reglene ble stadfesta i statsråd 13. desember – og skulle tre i kraft allerede ved årsskiftet.

Dette inntrykket blir også bekrefta av en ny kartlegging, som viser at det offentlige også har havna bakpå.

– Det ser ut til at over halvparten av aktørene ikke har tilpasset seg de nye reglene, og det er overraskende at vi har havna her, sier utvikler Eilif Johansen til kode24.

2 av 3 ber ikke om samtykke

Johansen har bakgrunn som både utvikler og produktanalytiker, og det er han som har gjort kartleggingen:

  • Johansen sjekka statusen hos 75 offentlige aktører, som privatperson.
  • Undersøkelsen ble gjort 2. januar, dagen etter at kravene trådte i kraft.
  • Funnene viser at 48 av virksomhetene, nesten 2 av 3 og altså godt over halvparten, ikke ber om noe samtykke fra brukerne. Om alle disse egentlig gjøre det, kan vi ikke påvise.
  • I tillegg mener Johansen at det også er feil og mangler blant mange av dem faktisk innhenter samtykke.

– Jeg mener det offentlige bør være bevisst på signaleffekt det sender ut, når det kan fremstå som om over halvparten av dem ikke etterlever de nye reglene, sier Johansen.

Selv om flere IT-avdelinger jobber med å utbedre løsningene, skulle han gjerne likt å se flere og bedre eksempler på hvordan det kan gjøres på en måte som ivaretar både personvern og brukerne.

Eilif Johansen. 📸: Privat
Eilif Johansen. 📸: Privat Vis mer

Mer omfattende krav

Så, hva er egentlig nytt i regelverket?

– Det er i utgangspunktet ingen spesielle endringer på det som handler om personvern, oppsummerer teknologi-advokat Jan Sandtrø ovenfor kode24.

– Men det er kommet langt mer omfattende krav til samtykke for om man kan bruke cookies og tilsvarende teknologi!

Endringene kommer som følge av den nye ekom-loven, som krever samtykke for veldig mye.

– Også mer enn det som kreves etter GDPR-reglene, forklarer han.

Ifølge Sandtrø kan kravene for samtykke deles i to:

  • GDPR-regelverket har fra før dekket bruk av cookies, men da for behandling av personopplysninger som samles ved bruk av cookies.
  • Gjennom ekomloven må nå også nettsideeierne be om samtykke fra brukerne for å i det hele tatt få bruke cookies og lignende teknologier, uavhengig av om det samles inn personopplysninger.

– Håpløst og uholdbart

Basert på kommentarer på ulike plattformer, er det flere som gir uttrykk for at de opplever situasjonen som uoversiktelig. Sandtrø sitter igjen med et lignende inntrykk.

Han sier det er lett å tenke seg en enkel løsning, nemlig å be om samtykke til absolutt alt. Men så lett er det ikke.

– Det er vanskelig å innhente et lovlig samtykke, slik det kreves etter GDPR. Det må være aktivt samtykke som må være tilstrekkelig informert, og det må kunne brytes ned på ulike cookies, forklarer Sandtrø.

Man må altså vite hva man samtykker til i detalj. Han forteller at han nylig var med på å teste en løsning som var satt opp av en leverandør av løsninger for samtykke-innhenting. Denne fulgte EUs standard.

– Jeg brukte vel et par minutter for å bla meg gjennom alle alternativene, og da rakk jeg ikke å lese over det som sto der, sier Sandtrø.

– Dette er håpløst og uholdbart, både for brukerne og for de som eier nettsidene, konkluderer han.

Jan Sandtrø. 📸: Arkiv
Jan Sandtrø. 📸: Arkiv Vis mer

Kritisk til Skatteetaten

Utvikleren Johansen mener at mange av nettsidene har har undersøkt, bærer preg av å ha lett etter en bestepraksis på utenlandske nettsider.

Problemet er bare de i liten grad har funnet eller fulgt slike prinsipper, mener han.

Selv trekker Johansen fram blant andre Skatteetaten, som en aktør mange nok forventer at følger en bestepraksis. De har likevel en del å jobbe med.

  • For å velge noe annet enn "godta alle" cookies, så må brukerne klikke seg videre inn på innstillinger.
  • Dette kan gjøre samtykket ugyldig etter de nye reglene, mener Johansen.

– Det ser heller ikke ut til å være mulig å trekke tilbake samtykket, fortsetter han.

Det er mulig å stille spørsmål ved om samtykket er gyldig, dersom brukere må klikke seg videre inn på innstillinger for å takke nei eller tilpasse hva de samtykker til, forklarer Johansen. 📸: Skjermdump
Det er mulig å stille spørsmål ved om samtykket er gyldig, dersom brukere må klikke seg videre inn på innstillinger for å takke nei eller tilpasse hva de samtykker til, forklarer Johansen. 📸: Skjermdump Vis mer

Innrømmer mangler

Skatteetaten erkjenner selv at de har en jobb å gjøre.

– Vi ser at vi ikke tilfredsstiller de nye cookiereglene godt nok i dag. Skatteetaten arbeider med å oppfylle de nye kravene, sier kommunikasjonsdirektør Astrid Bugge Mjærum i Skatteetaten til kode24.

Johansen peker også på Regelrådet, som har en cookie-popup der "avvis alle" går i ett med brødteksten.

– Vi er en liten virksomhet med åtte ansatte og har ikke egen IT-avdeling. Denne type regler er ikke vårt spesialområde – vi er heller ikke noe tilsynsorgan som skal påse at andre følger regler av denne typen, sier sekretariatsleder Dag Aarnes i Regelrådet til kode24.

– Det var fint at vi ble gjort oppmerksom på dette – vi tar det opp med vår nettsideleverandør med sikte på å få rettet det opp.

Dagen etter svaret fra Regelrådet, opplyser de i en oppdatering at de har gjort endringer for å møte lovkravet. Nå er "avvis alle"-knappen tydelig uthevet, i samme grad som "godta alle".

Anbefalt å trippeltsjekke

Johansen mener det er verdt å merke seg to designtrender for hvordan virksomhetene løser cookie-varslene:

  • Det ene er pop-up-bokser som er laget for å gjøre en ønsket handling, for eksempel samtykke til flere enn nødvendige cookies. Dette kan være et brudd på de nye reglene.
  • Det andre er pop-up-bokser som dekker store eller hele skjermen på mobil. På flere av disse er det vanskelig å kjenne igjen logoen eller identiteten til nettsiden. I stedet er det logoen til selskapet bak løsningen som synes best.

– Hensynet til personvern og sikkerhet er viktig. Samtidig er det viktig at vi husker på brukerperspektivet. Hva skjer for eksempel med tilliten når det er vanskelig å finne igjen kjennetegn på at vi er på rett nettside? undrer Johansen.

Han trekker fram at flere offentlige nettsider blir hyppigere besøkt fra mobil enn desktop, og at det derfor er viktig å sjekke hvordan denne framstår.

– For utviklere er det anbefalt å trippeltsjekke at pop-up-boksen er universelt utformet, fungerer godt med tastaturnavigering og for skjermleserbrukere, sier Johansen, og fortsetter:

– Det viktigste budskapet med hensyn til brukerperspektivet og personvern, er at du ikke bare må legge til pop-up-boksen "for syns skyld". Du må også brukerteste den, få tilbakemeldinger og sørge for at brukeropplevelsen ivaretas. Det er tross alt brukerne vi er til for.