De nuværende cookieregler
Ifølge de nuværende cookieregler skal du indhente samtykke, før du må indsamle statistik om de besøgende på dit website. Regler, der har givet anledning til bekymringer hos mange danske virksomheder, fordi et stort antal besøgende siger nej til cookies, og dermed mister virksomhederne vigtig og værdifuld data om de besøgende.
Problemet bliver ikke mindre af, at myndigheder i andre lande tolker cookiereglerne mere lempeligt, og at mange virksomheder ikke følger reglerne og dermed opnår en konkurrencefordel. Men nu er der godt nyt fra Erhvervsstyrelsen.
Hvad siger Erhvervsstyrelsen?
Erhvervsstyrelsen udtaler i en pressemeddelelse d. 15. oktober 2021, at de fremadrettet ikke vil prioritere tilsynet med hjemmesiders indhentning af simpel statistik. I pressemeddelelsen fremgår det blandt andet, at:
I de aktuelle forhandlinger af en ny forordning om e-databeskyttelse bliver der lagt op til, at simple statistikcookies til trafikmåling undtages fra samtykkekravet. […] Erhvervsstyrelsen har derfor besluttet ikke at prioritere tilsynet med statistikcookies, såfremt der er tale om cookies og lignende teknologier, der indsamler statistik til hjemmesideejerens egen brug, fx i form af trafikmåling, som ikke bygger en brugerprofil af den besøgende, eller hvor data gives videre til en tredjepart.
De aktuelle forhandlinger, som Erhvervsstyrelsen henviser til, bygger blandt andet på et notat fra en arbejdsgruppe under EU, der i 2012 fik til opgave at udarbejde anbefalinger til en revision af EU’s ePrivacy-direktiver. I anbefalingerne står følgende om statistikcookies:
However, the Working Party considers that first party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.
Den nye ePrivacy-forordning skulle oprindeligt være trådt i kraft d. 25. maj 2018 samtidig med GDPR, men den er endnu ikke blevet vedtaget. Det skyldes blandt andet, at medlemslandende ikke har kunnet nå til enighed om reglerne, og selvfølgelig også, at COVID-19 har fjernet en del af det politiske fokus fra en lang række områder.
I et skriftligt svar til fagbladet Journalisten uddyber Erhvervsstyrelsen, at:
Danske medier og hjemmesideejere i Danmark generelt er stadig underlagt reglerne i cookiebekendtgørelsen og GDPR. Erhvervsstyrelsen vil dog i en tilsynssag ikke forholde sig til simple statistikcookies, og det vil kunne have betydning for, hvordan danske medier og andre hjemmesideejere kan gennemføre trafikmålinger.
Det er med andre ord stadigvæk et lovkrav at indhente samtykke før brug af statistikcookies. Men udtalelsen fra erhvervsstyrelsen kan næppe tolkes på anden måde end, at de nu vender det blinde øje til og stiltiende giver lov til indsamling af statistik uden samtykke – så længe en række forudsætninger (se herunder) er opfyldt.
Erhvervsstyrelsen kan som offentlig myndighed selvfølgelig ikke direkte udtale, at danske virksomheder ikke behøver overholde dele af cookiebekendtgørelsen. Udtalelsen om, at de “ikke vil prioritere tilsynet”, er nok den nærmeste holdningstilkendegivelse, de kan give.
Statistikindsamling uden samtykke
Den ændrede praksis fra Erhvervsstyrelsen gælder ikke alle statistikcookies, men alene simple statistikcookies til eget brug. Lempelsen forudsætter samtidig, at du ikke bygger en brugerprofil af den besøgende, og at du ikke videregiver data til en tredjepart. Det er selvfølgelig også et krav, at du overholder den gældende GDPR-lovgivning.
Udtalelsen fra Erhvervsstyrelsen er kortfattet og efterlader meget til fri fortolkning. Her er vores fortolkning af situationen, hvis du vil indsamle besøgsstatistik uden samtykke:
Du skal overholde GDPR-lovgivningen
GDPR omhandler virksomheders behandling af personoplysninger (dvs. enhver information om en identificeret person). Indsamling af statistik uden samtykke forudsætter, at du ikke indsamler persondata. I statistiksammenhænge drejer det sig typisk om:
- IP-adresser
- Persondata i webadresser
Hvis du bruger Google Analytics 4, anonymiseres IP-adresser automatisk. Hvis du bruger en ældre version af Google Analytics, skal du selv slå anonymisering af IP-adresser til (se guide) – det har sjældent de store datamæssige konsekvenser, udover at geografisk placering af de besøgende på byniveau besværliggøres.
Persondata i webadresser kan eksempelvis forekomme, hvis du giver dine besøgende mulighed for at oprette en konto, og brugernavnet indgår i webadressen (eksempelvis website.dk/konto/brugernavn). Det kan også forekomme, hvis du i forbindelse med kampagner bruger persondata, eksempelvis mailadresser, som parametre i dine webadresser.
Du må kun bruge simple statistikcookies
Erhvervsstyrelsen skriver, at lempelsen kun gælder “simple statistikcookies” uden yderligere forklaring. En søgning efter “simple statistikcookies” på Google giver kun tre resultater, hvoraf alle tre er citater fra Erhvervsstyrelsens pressemeddelelse.
Vores vurdering er, at almindelige cookies fra gænge statistiksystemer som Google Analytics og Adobe Analytics falder under kategorien “simple statistikcookies”. Eksempler på statistiksystemer, som sandsynligvis ikke falder under kategorien, er:
- Hotjar – visualiserer dine brugeres færden og handlinger på dit website.
- Facebook Pixel – muliggør opbygning af målgrupper på Facebook med videre.
- LinkedIn Insights – muliggør opbygning af målgrupper på LinkedIn med videre.
- Leadfeeder – viser hvilke specifikke virksomheder der besøger dit website.
Ovennævnte er naturligvis kun spekulationer, og vi kan ikke med sikkerhed vide, hvad Erhvervsstyrelsen ligger i begrebet “simple statikcookies”.
Du må ikke videregive data til tredjepart
Indsamling af statistik uden samtykke forudsætter, at du ikke videregiver data til tredjepart. Du må godt bruge et tredjepartsværktøj som Google Analytics til indsamling af dataene, men du må som dataansvarlig ikke give dataene videre til Google.
Du kan forhindre datadeling til Google ved at ændre dine indstillinger for datadeling i Google Analytics (se guide). Indstillingerne giver dig mulighed for at udelukke Google fra at få adgang til dataene, eksempelvis i forbindelse med teknisk support.
Du bør desuden undgå at sammenkoble Google Analytics med Googles markedsføringsværktøjer som eksempelvis Google Ads. På den måde sikrer du, at alle statistikdata udelukkende kan tilgås via din Google Analytics-konto.
Du må ikke opbygge brugerprofiler af de besøgende
Indsamling af statistik uden samtykke forudsætter, at du ikke opbygger brugerprofiler af de besøgende. Når Erhvervsstyrelsen taler om “opbygning af brugerprofiler”, mener de med al sandsynlighed sporing, der tilvejebringer oplysninger om køn, aldersgruppe og interesser. Altså en type data, der typisk bruges i markedsføringsøjemed.
Google Analytics giver mulighed for sporing af demografi og interesser. Denne type sporing indsamler oplysninger om dine besøgendes alder og køn samt de interesser, de giver udtryk for i deres rejse- og købsaktiviteter online. Du kan slå denne sporing fra – hvis du tidligere manuelt har slået den til – via dine kontoindstillinger (se guide).
Hvad så nu?
Ligesom Erhvervsstyrelsen kan vi selvfølgelig ikke direkte opfordre dig til at bryde reglerne i cookiebekendtgørelsen. Men hvis du overholder forudsætningerne nævnt i forrige afsnit, er risikoen ved at indsamle statistik uden samtykke – og dermed bryde reglerne – minimeret eller måske helt ikke-eksisterende.
Hvis vi tager Erhvervsstyrelsens ord for gode varer – at de i en “tilsynssag ikke [vil] forholde sig til simple statistikcookies” – vil det ikke have nogen negativ konsekvens at bryde reglerne. Den eneste konsekvens vil være positiv: at du får adgang til mere præcist data, og at du nu bedre kan bruge data i Google Analytics som et retvisende beslutningsgrundlag, når du skal evaluere din digitale tilstedeværelse og effekten af dine digitale marketingindsatser.
Men tiden vil udtalelsen fra Erhvervsstyrelsen sandsynligvis blive uddybet og konkretiseret, så vi alle bliver en lille smule klogere på, hvad de rent faktisk mener. Og en skønne dag – når EU-kommissionen er nået til enighed – kommer der en ny og bedre ePrivacy-lovgivning fra EU.
Opdatering d. 30. oktober 2021
Erhvervsstyrelsen har i en ny pressemeddelelse præciseret deres tidligere udmelding. I pressemeddelelsen skriver de blandt andet, at:
Statistikcookies, der fx udbydes af gratis analyseværktøjer, hvor disse tredjeparter også får adgang til at anvende det indsamlede data vil fortsat blive prioriteret i styrelsens tilsyn. Databeskyttelsesforordningens og databeskyttelseslovens regler gælder således fortsat, i det omfang der indsamles og behandles personoplysninger om hjemmesidebesøgende.
Den nye udtalelse bringer ikke noget nyt til bordet, men betoner blot, at du skal overholde forudsætningerne nævnt tidligere i dette indlæg, hvis du vil indsamle statistik uden samtykke.