Vi mener:

  • Banner og popups avbryter brukeropplevelsen
  • Loven krever ikke banner eller popup for å kunne innhente samtykke
  • Vær på den sikre siden: Få orden på personvernartikkelen

En informasjonskapsel eller cookie (som vi kaller det fra nå av) er en kort informasjonstekst som lagres i nettleseren når man bruker en nettside. De aller fleste nettsider i dag benytter cookies for i det hele tatt å fungere, men flesteparten av disse lagrer ikke personlig informasjon: Tenk deg at du kjøper en billett til et arrangement. Hver billett har et unikt billettnummer, men det er ingen som vet hvem som får hvilket nummer. Slik er det med mange cookies også - de settes kun for å gi hvert besøkende et nummer, men dette nummeret kan ikke brukes til å identifisere deg.

Fordi nettsider kan benytte cookies til å registrere data, også uten at brukeren selv vet om det, så er dette regulert av Ekomloven. I tillegg krever GDPR at nettsidebrukere skal kunne samtykke til at personlig informasjon behandles av en nettside eller systemet bak.

Dette feltet er et sammensurium av jus, tekniske løsninger og UX-utfordringer. Her ligger alt til rette for både feiltolkninger og redsel for at ens egen nettside ikke følger lovverket. Dette er kanskje grunnen til at cookie-banner og popup-bokser har blitt altfor vanlig på nettet. Ønsket om å være på den sikre siden trumfer brukervennlige løsninger.



Banner til besvær

Både popups og banner som dekker over annet innhold er kraftige virkemidler, og de brukes best når de er knyttet til nettsidens innhold. Ideelt sett bør de dukke opp når det oppleves naturlig og brukeren selv har aktivert dem. Å spørre pent om man vil motta et nyhetsbrev etter at en bruker har lest en artikkel til endes kan fungere. Å smelle opp et komplisert spørsmål om lagring av personinformasjon i ansiktet på en bruker som nettopp har åpnet en ny nettside er uhøflig og lite formålstjenlig.

Bannere og popups som ber om raske samtykker (på et komplisert felt) kan gå utover brukervennligheten og konverteringsraten på nettsiden din! Dette skjer på følgende måter:

1. Banner overskygger nettsiden
Når man kommer inn på en nettside, spesielt på en mobil, kan cookie-banner ta så mye plass at man fort kan tro man har havnet på feil nettside. I andre tilfeller kan det hindre at man finner innhold man leter etter eller viktig funksjoner. Det ryktes også at Google i sitt søkeresultat nedprioriterer sider med overskyggende bannere eller bokser, av nettopp denne grunnen.

2. Popups avbryter brukerens aktivitet
Vi kan (dessverre) aldri vite sikkert hva nettsidebrukerne er opptatt av når de foretar seg noe på en nettside. En popup som overraskende dukker opp, avbryter brukernes aktivitet. Dette blir en utfordring spesielt med tanke på universell utforming. Nettstedet blir tyngre å bruke både generelt og særlig for personer med nedsatt funksjonsevne.

3. Brukerne slutter å bry seg når du roper "Ulv, ulv"!
I dag benyttes cookie-bannere hyppig og det blir fort en vane å klikke “OK” eller “godkjenn” uten å tenke seg om. Det er lett å lure brukere som ikke forstår rekkevidden av det de samtykker til. På den måten er slike bannere med på å gjøre nettbrukerne dummere.

4. Man ber om for mye samtykke for fort
Det finnes eksempler som ber om mer samtykke enn det faktisk er behov for, antagelig fordi man ønsker å gjøre unna alle samtykker når man først er igang. Å be om samtykke for ting som brukeren aldri kommer til å gjøre, er både forvirrende og rent teknisk umulig å holde styr på. Man kan ikke ta vare på et samtykke før man vet hvem den samtykkende personen er. 

Ett stort, kombinert samtykke for både cookies og personinformasjon (samlet i en “godkjenn”-knapp) er i praksis forvirrende og roter sammen ulike typer samtykke. For brukeren blir det mindre oversiktlig hvilken informasjon man faktisk har samtykket til, og hvilke rettigheter man har.

Et samtykke bør ikke innhentes før det er behov for det. Da forstår brukeren bedre hva vedkommende har samtykket til. Samtidig kan vi lagre samtykkene (som brukeren har rett til å se og trekke tilbake) sammen med den informasjonen som er samlet inn.

5. Samtykke uten alternativ
Et banner som ber om samtykke for behandling av persondata, men som kun har ett valg er ikke lovlig. Å si “godta eller stikk” er selvsagt å lure brukerne - og det er faktisk også i strid med GDPR som uttrykkelig sier at brukeren skal få et reelt valg om samtykke.



Når og hvordan skal man be om samtykke?

Som sagt innledningsvis er dette feltet regulert av to ulike lover, og begge krever innhenting av samtykke. For det første krever Ekomloven samtykke ved bruk av cookies. Dette er alltid er et krav, men det kan løses i brukerens nettleser-innstillinger og med en god cookie- og personvernartikkel. For det andre krever GDPR samtykke ved lagring av persondata, altså ved behov. Dette samtykket kan brukerne trekke tilbake slik at personopplysningene deres må slettes.

Det er lett å bli "fintet ut" av at cookies kan lagre persondata, og dermed er påvirket av begge lovene. La oss holde tunga rett i munnen og se på hvordan dette kan løses i praksis:

1. Hvordan innhente samtykke for cookies?

Å bruke popop eller banner hvor brukerne godkjenner eller reserverer seg mot cookies, er en teknisk blindgate. Hvis nettsiden skal lagre en anonym brukers nei-til-cookies, så må det gjøres nettopp med en cookie.

Den eneste fornuftige måten dette kan løses på er derfor ved en innstilling i nettleseren. Det er nettopp dette Nasjonal kommunikasjonsmyndighet (Nkom) foreslår i sin tolkning av Ekomloven: "Det er en forutsetning for bruk av informasjonskapsler/cookies at sluttbruker har samtykket til bruken. Samtykke kan gis ved at sluttbruker benytter en teknisk innstilling i nettleser eller tilsvarende i tilfeller der dette er teknisk mulig og effektivt.”

I tillegg til å innhente samtykke, krever ekomloven at vi informerer om hvilke cookies nettsiden benytter. Nkom forklarer at denne informasjon om cookies må være “lett synlig lenke i topptekst, bunntekst, en tekstboks på forsiden eller en «popup» der ordet cookies eller informasjonskapsler nevnes slik at det er tydelig hva en informerer om.”
En popup er altså én av flere mulige måter å gjøre dette på.

Vi anbefaler at det linkes til artikkelen om cookies i toppen eller bunnen på alle nettstedets sider. Linken skal inneholde ordet cookies og den bør ikke gjemme seg i den ordinære menystrukturen.
Artikkelen bør omtale hvordan brukerne kan skru av og på cookies i sin nettleser. Nettvett.no har en god artikkel om innstillinger for cookies i nettleseren. Denne kan man enten hente informasjon fra eller linke til selv i sin egen personvernartikkel. Da har man opplyst om det loven krever og samtidig lar man brukeren selv ta seg av administreringen av cookies selv.

2. Hvordan innhente samtykke for persondata?
Lagring av personopplysninger foregår oftest i skjemaer der brukeren selv fyller inn egne personopplysninger. I mange tilfeller er det innlysende hvorfor man må oppgi opplysningene og at de lagres et sted. Når man oppgir en e-postadresse for å motta et nyhetsbrev, sier det seg selv at mailsystemet må lagre denne.

Her er det nesten ikke nødvendig å opplyse om noe mer, men det skader ikke med en kort og forklarende setning og/eller en link til personvernartikkelen som har utfyllende informasjon.

Når man handler i en nettbutikk er man nødt til å oppgi navn og adresse for å motta varene, og e-post for å motta kvittering. Den beste måten å følge GDPR på i slike tilfeller, vil være med en kort tekst som forteller hvorfor man lagrer informasjonen. At man gjennomfører kjøpet betyr at man samtykker til dette. Husk at man det tilfellet ikke har mulighet til å be om mer enn nødvendig informasjon, da kreves det ekstra samtykke og/eller en god opplysning om hvorfor dette gjøres. For eksempel er det ikke strengt tatt nødvendig å oppgi telefonnummer når man handler på nett. Dersom en nettbutikk krever det, må det være tydelig for brukeren hva hensikten med dette er.

I tilfeller der brukeren må oppgi mer informasjon enn det faktisk er behov for, er det på sin plass med en ekstra checkbox hvor brukeren kan godkjenner dette. Det er et tydelig krav i GDPR at brukerne skal forstå både hvilken informasjon som lagres og hvorfor det er behov for denne informasjonen.

3. Hvordan ber man om samtykke når man bruke Facebook Pixel eller annonserer med Google Ads?
Her er det snakk om såkalte tredjeparts cookies. Dette gjøres på samme måte som med andre cookies som settes av nettsiden selv. Nkom påpeker at man må opplyse hvilke cookies som er i bruk og hva hensikten med disse er.

Sosiale medier som for eksempel LinkedIn lagrer cookies i nettleseren som senere viser målrettede annonser for brukerne. Dette er cookies som identifiserer LinkedIn-brukere kun for LinkedIn. Det er ikke teknisk mulig p for andre å få informasjon ut av slike cookies. 
På din nettside må du ha artikkelen om cookies i orden: Den skal fortelle om hvordan du annonserer og omtale cookiesene som benyttes, samt forklare hvordan brukerne kan reservere seg mot målrettet reklame. Dette gjøres best ved å følge nettvetts instruksjon, og velge å skru av lagring tredjeparts cookies i nettleseren.

Merk at Facebook Pixel setter to cookies som teknisk sett ikke oppfører seg som en tredjeparts cookies. Ønsker man å avstå fra målrettet reklame på Facebook har man to valg: Enten skru av visning av slike annonser under innstillingene for Facebook-profilen eller skru av lagring av absolutt alle cookies.

4. Hvordan be om samtykke for å bruke Google Analytics?
Når man har en personvernartikkel med god informasjon om hvilke cookies som er i bruk, og man har stilt inn Analytics til ikke å lagre IP-adresser, så trengs det ikke ekstra samtykke for å bruke Google Analytics.

Les mer om Google Analytics og GDPR her



Så oppsummert, hva betyr dette?

Vi i CoreTrek anbefaler å ikke bruke overskyggende cookie-banner eller avbrytende popups for å fortelle hvordan man bruker cookies. Istedet bør man samle all cookie-informajson i en egen artikkel og linke til den fra toppen eller bunnen av alle nettsteds sider.
For å følge ekomloven må artikkelen fortelle om alle cookies og hvorfor de brukes. For å overholde GDPR må den fortelle hvordan og hvorfor nettsiden lagrer personlig informasjon fra brukerne.

Ønsker du å være på den sikre siden, få orden på cookie- og personvernartikkelen!

Har du spørsmål, eller trenger hjelp til å utformingen av en slik artikkel, så ta kontakt!

Merk at tolkningen av GDPR er i stadig endring. 16. juli falt det dom i den såkalte "Schrems II"-dommen, som i praksis forbyr europeiske bedrifter å lagre persondata på amerikanske servere.  Dette kan få store konsekvenser for norske bedrifter - les mer hos Datatilsynet