Må nettsiden ha cookie-popup eller personvernerklæring?
Mange er, med rette, bekymret for at en cookie-popup ødelegger brukeropplevelsen på sitt nettsted. Tidligere kunne man velge, men den muligheten er i ferd med å forsvinne.
Siden 2018 har Norge hatt et regelverk som har vårt forskjellig fra det som har vært praktisert i resten av EU. Det er ikke uvanlig å føle at man må velge mellom å tilfredsstille regelverket eller å ødelegge brukeropplevelsen på nettstedet. Det er faktisk mulig å skape en vinn/vinn-situasjon, men da må man både kjenne regelverket og vite hvilke cookies nettstedet benytter.
Hva sier regelverket?
Regelverket består av 2 elementer: NKOM-loven (ePrivacy) som gir de generelle retningslinjene for bruken av cookies, og Personopplysningsloven (GDPR) som styrer behandling av personopplysninger. Kort-versjonen av regelverket kan oppsummeres i følgende punkter:
- Brukeren av nettstedet skal opplyses om hvilke cookies nettstedet benytter
- Om nettstedet benytter cookies som behandler personopplysninger, skal det foreligge et behandlingsgrunnlag for dette - før cookiene benyttes. Behandlingsgrunnlaget vil enten være samtykke eller berettiget interesse.
Regelverket er "pådyttet" oss fra EU, og norske myndigheter har lenge vært utydelige i sine anbefalinger. I den senere tid har imidlertid anbefalingene blitt mye klarere, og bakgrunnen for regelverket trer tydeligere frem.
Hva er bakgrunnen for GDPR og ePrivacy?
Bakgrunnen for regelverket er beskyttelse av det enkelte individs personopplysninger. Du eier selv dine personopplysninger, og om noen ønsker tilgang til dine personopplysninger, skal det innhentes samtykke, både til å hente informasjonene, og til hvert enkelt behandlingsformål. Hele internett er i prinsippet finansiert av tildels ulovlig innhentede personopplysninger og det er et stort behov for å skape kontroll på denne situasjonen. GDPR kan altså oversettes med respekt for dine kunders personopplysninger.
Hva er riktig behandlingsgrunnlag?
Det skal alltid foreligge et behandlingsgrunnlag før behandling av personopplysninger. Et slik behandlingsgrunnlag kan enten være et eksplisitt avgitt samtykke eller berettiget interesse.
Om du ønsker en dyptgående vurdering av hva "berettiget interesse" innebærer, kan du lese mer om det i dette Blogginnlegg om Berettiget interesse. Kortversjonen er at om man vurderer det slik at det er nødvendig å innhente informasjonene for å kunne tilfredstille det brukeren ber om, kan berettiget interesse hevdes å være behandlingsgrunnlag. Før man hevder dette, må det gjøres en avveiing av om bedriftens interesser oppveier brukerens ulemper.
Cookies er en avgjørende komponent i den maskin-til-maskin-utveksling av personopplysninger som foregår ved bruk av et nettsted. Disse opplysningene går ofte fra nettstedet og til tredjeparter som Google, Facebook og andre. Det er i disse tilfellene problematisk å hevde berettiget interesse som behandlingsgrunnlag. Derfor ender man som regel opp med å måtte innhente eksplisitt samtykke.
Hvilke muligheter har du?
Dette spørsmålet avgjøres av hvilke cookies nettstedet faktisk benytter, og hvilke cookies du ønsker at nettstedet skal benytte. Mange vet ikke hvilke cookies nettstedet benytter og det første du må gjøre, er å skaffe deg kunnskap om dette. Når du har oversikt over cookiene, bør du vurdere hensiktsmessigheten, særlig av de cookiene som behandler personopplysninger. Fjern så de cookiene du ikke ønsker på nettstedet.
Når du har kontroll på de cookiene nettstedet benytter, avgjøres ditt handlingsrom av om cookiene behandler personopplysninger eller ikke.
Om nettstedet ikke deler personopplysninger
Du skal i dette tilfellet kun gi brukeren innsikt i hvilke cookies nettstedet benytter. Denne informasjonen skal være lett tilgjengelig for brukeren, og gis som regel i form av en personvernerklæring eller en cookieerklæring som er knyttet til en lenke i toppen eller bunnen av nettstedet. Listen over cookies kan enten settes opp manuelt, eller vi kan hjelpe deg med en løsning som automatisk oppdaterer cookietabellen med jevne mellomrom.
Om nettstedet deler personopplysninger
I dette tilfellet må du vurdere hvilket behandlingsgrunnlag du skal basere deg på; samtykke eller berettiget interesse. Vanligvis vil du måtte benytte samtykke. Du bør da velge en løsning som tilfredstiller regelverket uten at du ødelegger brukeropplevelsen. Er dette en mulig kombinasjon?
Hva er en god samtykkeløsing?
Vi har alle opplevd "samtykkeløsninger" som kun skaper irritasjon og ødelegger brukeropplevelsen. Felles for disse løsningene er at de heller ikke tilfredsstiller kravene til gyldig samtykke. Dette skaper en tap/tap-situasjon, og eier av nettstedet setter seg selv i en bedre situasjon ved å fjerne denne løsningen.
En god løsning tilfredstiller følgende krav:
- Bygger tillit og skaper relevans og forståelse hos brukeren
- Fremstår som en integrert del av nettstedet (farger, logo etc)
- Gir brukeren valgfrihet til å si Ja eller Nei til cookiekategoriene
- Respekterer brukerens valg
I tillegg til dette er det en del andre krav, men disse er de viktigste. Statistikk fra mange tusen nettsteder og mange milliarder innsamlede samtykker viser at gode løsninger skaper liten irritasjon/friksjon hos brukerne, samtidig som samtykkeratene ligger i området 85 - 95%
Hva kan CoreTrek hjelpe deg med?
Vi har laget tre forskjellige pakkeløsninger og hjelper deg med å finne den som er best for deg og ditt behov. Se våre GDPR-pakker her.