Over 250.000 norske bedrifter bryter reglene for personvern (GDPR)

Dessverre er det ikke "click bate", men fakta at godt over 250.000 norske bedrifter bryter GDPR-reglene som skal ivareta personvernet til de besøkende på websiden deres. Noen vet ikke hvordan man overholder reglene, andre har gjort sitt beste, og felles for bedriftene som feiler er at de setter såkalte "cookies" (informasjonskapsler) fra Google, Facebook, o.l. uten å at brukeren har gitt samtykke til dette. Det er ulovlig og kan ende med bøter på opptil 20 millioner EURO eller 4% av bedriftens globale omsetning.

Brudd på GDPR-regelverket kan resultere i bøter på opptil 20 millioner EURO eller 4% av bedriftens globale omsetning.

Slik utførte vi testen

I partnerskap med teknologiselskapet Upnode sendte vi "roboter" igjennom websidene til over 500.000 av alle norske bedrifter (totalt ca 630.000 i følge SSB). Robotene trykket ikke på samtykke-dialogen du som bruker ser for å godkjenne eller avvise bruken av informasjonskapsler. Vi samlet inn data om hvilke cookies som aktiveres, ved siden av annen informasjon om teknologier og samtykkeløsninger på websidene.

Slik tolket vi dataen og konkluderte

Vi gjorde en klassifisering av informasjonskapslene, og plasserte f.eks. Facebook i "annonsering"-kategorien som er ulovlig å aktivere uten samtykke. Basert på resultatene konkluderte vi med at over halvparten av norske bedrifter bryter GDPR-reglene ved å sette cookies som sporer brukeren uten samtykke.

Det har vært en mye usikkerhet og uenighet rundt Google Analytics, og om analyseverktøyet kan brukes uten brukersamtykke. I våre resultater har vi ikke inkludert alle bedriftene som bruker Google Analytics - da ville resultatene vært at nærmere 90% av bedriftene bryter reglene. Vi holdt de utenfor i denne artikkelen så ikke debatten skal stå der. Her har vi skrevet en artikkel om hvordan bruken av Google Analytics ofte bryter personvernreglene (GDPR).

Resultatene var oppsiktsvekkende, men ikke overraskende

Vi har bistått bedrifter med å navigere GDPR-jungelen og sette opp samtykkeløsninger siden GDPR-regelverket trådte i kraft 20. juli 2018, og vet hvor vanskelig det er å få dette rett. ‍Selv våre egne kunder kunne lett falle utenfor selvom vi hadde satt opp en god løsning for dem - det hjalp ikke da en ny markedsfører kom inn og installerte en Facebook sporings-pixel uten å ta hensyn til reglene. Det var altså ikke overraskende at over halvparten av norske bedrifter trenger hjelp for å lande trygt innenfor lovverket for personvern.

Mange av bedriftene har samtykkeløsning på plass, men den virker ikke som den skal

I testen så vi eksempelvis at 1 av 5 bedrifter som brukte den populære (og relativt kostbare) løsningen Osano til å hente inn brukersamtykke på websidene sine, allikevel fyrte av Facebook-pixel og andre markedsførings-cookies som ikke er lov å aktivere før samtykke er gitt. Denne type feil skjer typisk som resultat av at de som jobber med markedsføring og legger inn denne type scripts/tags ikke vet hvordan det gjøres i henhold til GDPR og hvordan disse må trigges for å virke med samtykkeplattformen som er i bruk på websiden. Det er altså ingen automatikk i å være innenfor lovverket selvom en har en samtykke-løsning installert på websiden. Den må også følges opp og vedlikeholdes.

Dette problemet er CookieGuard her for å løse

Vi har har kjent disse problemene på kroppen lenge nok til at vi bestemte oss for å løse de en gang for alle. Det er mer en nok av gode CMP-er (Cookie Management Platforms) der ute, så vi så ikke noe poeng i å utvikle et slikt produkt. Utfordringen til kundene våre ligger i å navigere seg fram til rett løsning, få satt den opp på rett måte, og sist men ikke minst å sørge for at løsningen forblir innenfor regelverket. Sistnevnte løser vi med daglig monitorering av websidene til kundene våre, der vi automatisk analyserer bruken av cookies og får varsler dersom noen har rotet bort seg utenfor regelverket. I så fall retter vi feil løpende så kundene våre slipper å tenke mer på brukersamtykke.