Dette indlæg er alene udtryk for skribentens egen holdning.

Hvornår sender Datatilsynet og domstolene et signal til virksomhederne, der er GDPR værdigt?

17. maj kl. 05:308
Mads Schaarup Andersen
Illustration: Alexandra Instituttet.
Datatilsynet og domstolene skal give et klart signal til virksomhederne, hvis GDPR skal virke optimalt. Det mener Senior Usable Security-eksperten Mads Schaarup Andersen, der i dette synspunkt udlægger GDPR-lovgivningens problemer og deres løsninger.
Artiklen er ældre end 30 dage

Der blev råbt bål og brand for snart 4 år siden, da persondataforordningen trådte i kraft. Pludselig var der med GDPR kommet fokus på, at det ikke længere var OK at overtræde persondataloven – en praksis der inden GDPR var helt almindelig.

Der kom fokus på det, fordi loftet for bøder blev sat til et helt nyt niveau på €20 mio. eller 4% af global omsætning (den højeste af de to), altså noget alle virksomheder, store som små, ville kunne mærke.

En interessant, men i offentligheden ofte overset detalje, er dog, at der i persondataloven før GDPR var mange bestemmelser, som mange anså som værende nye i GPDR, men som man først derefter begyndte at tage seriøst.

Noget jeg som ikke-jurist faktisk også blev meget overrasket over. Jeg hørte tilmed til et arrangement i forbindelse med databeskyttelsesdagen omkring ikrafttræden af GPDR, at den største straf, der var givet for overtrædelse af persondataloven hidtil, var bøder på 25.000 kroner.

Artiklen fortsætter efter annoncen

Et fuldstændigt latterligt lavt beløb for specielt store virksomheder. Det var altså typisk meget billigere og kosteffektivt at sætte penge af til at betale bøder, når de end måtte falde, end at overholde lovgivningen. Man skal ikke kende meget til risikoanalyse for at gætte, at det betød, at virksomhederne ikke havde meget incitament til at overholde loven.

En skærpet håndhævning af GDPR

Så håbet var stort, da GDPR trådte i kraft. Det kom der en masse godt ud af, og virksomhederne begyndte at se processer og data igennem og begyndte så småt at få styr på, hvilken data de havde, og hvordan de brugte dem. Så langt så godt.

Der er helt sikkert kommet meget bedre styr på behandling af data, end der var før GDPR trådte i kraft. Nu står vi så her 4 år senere og har bedre styr på data, men er det hele så godt? Det er helt sikkert bedre på rigtigt mange områder, men på samme tid må vi også sande, at vi langt fra er nået helt i mål.

Specielt på et område slår det mig, at vi rammer helt ved siden af. Og det handler om behandling af persondata på websider og opnåelse af samtykker til dette. Der er rigtigt meget galt med den måde det fungerer på, specielt set fra et menneske-maskine-interaktions-perspektivet og der er efter min mening brug for en revidering af lovgivning for at understøtte en mere hensigtsmæssig måde at håndtere disse ting på.

For at en skærpet lovgivning kan have en effekt, er det dog vigtigt, at den bliver overholdt, og derfor vil jeg i dette indlæg argumentere for, at vi som land bliver nødt til at blive bedre til at håndhæve lovgivningen, da den for nuværende i visse tilfælde simpelthen ikke bliver overholdt.

Og det har konsekvenser for os som borgere, da alle benytter websider i stor grad. Så det er noget, vi som borgere bliver ramt af hver dag. 

Som nævnt ovenfor, så går det faktisk fremad med persondatabeskyttelsen. Det ser man f.eks. ved, at Danske Bank d. 5. april blev indstillet til en bøde på 10 millioner kroner for ikke at have behandlet personoplysninger korrekt.

Dog er det værd at bemærke, at det i Danmark er Datatilsynets opgave at håndhæve GDPR og sende eventuelle sager videre til behandling ved domstolene, og det er derfor uklart, hvad det i sidste ende ender med at koste Danske Bank. 

Vi har tidligere set et eksempel, hvor Datatilsynet indstillede møbelkæden Ilva til en bøde på 1,5 millioner kroner, men hvor retten endte med at reducere bøden til 100.000 – altså knap 7 procent af Datatilsynets vurdering. En bøde der for en stor virksomhed som Ilva og moderselskabet Jysk ikke kan siges at være ret meget.

Så der er altså stadig et eller andet, der ikke helt spiller ift. håndhævelse af de lovede bøder fra GDPR, der skulle indvarsle, at man nu skulle kunne mærke bøderne – selv i store koncerner og virksomheder.

At bøderne er små og håndhævelsen mangelfuld er i øvrigt understøttet af en leder på ing.dk d. 6. maj. Men lad mig konkretisere ved at tage fat i det førnævnte eksempel – indsamling og brug af persondata på websider.

Cookie-popups fører til dark patterns

Man skal ikke klikke meget rundt på danske websider, før man ser såkaldte cookie-popups eller cookiesamtykker, der er nemt identificerbare som værende ulovlige. En »læs mere«-knap i stedet for »afvis alle«, så det ikke er lige så nemt at afvise som at acceptere, og checkboxes der er udfyldt som standard – to ting der er i direkte modstrid med krav i GDPR.

Ergo har vi ift. cookie-popups med lovgivning at gøre, der i meget stor udstrækning ikke bliver overholdt. Dertil kommer en række såkaldte ”dark patterns«, som er teknikker til at få os som brugere af en given tjeneste til at handle mod vores interesser, hvilket må siges at være det modsatte af at tage informerede valg – et andet krav i GDPR.

Dark patterns ses typisk ved at »accepter alle« er fremhævet og »afvis alle« ikke er – noget der umiddelbart også burde være ulovligt, men som man alligevel kan finde på selv europæiske udbydere af cookie management platforms.

Hvorvidt det er uvidenhed eller bevidst handling fra virksomhedernes side, er for os som borgere lige meget. Resultatet er det samme – nemlig at vores informationer bliver brugt mod vores interesser, når vi bevæger os rundt på nettet. 

Ser vi så på, hvordan Datatilsynet indtil videre har håndteret og håndhævet GDPR ift. overholdelse af reglerne omkring cookie-popups er resultatet nedslående.

Første afgørelse var imod dmi.dk, hvor de fik alvorlig kritik for deres cookiesamtykker – en kritik der ikke udløser bøder, men dog gør, at de bliver nødt til at gøre noget ved problemet. Godt et år senere skete det samme så for dba.dk, men igen var konsekvensen den samme – alvorlig kritik.

Dvs. at der endnu ikke er givet bøder ud for at bryde reglerne om cookiesamtykker. At man ikke giver det ved første virksomhed i tilsyn, kan måske være berettiget, men når man et år senere for en lignende overtrædelse stadig kun får alvor kritik, gør det det svært at se, hvordan man som virksomhed har incitament til at gøre noget ved det, før man ender i tilsyn hos Datatilsynet.

Det er svært at se som andet end et signal om, at man ikke har de store intentioner om at gøre noget ved de mange lovovertrædelser, der er på websider i dag.

EU arbejder stadig på bedre GDPR-løsning

Ser vi lidt fremad, så er EU stadig i gang med at skærpe lovgivning på området. Digital Services Act (DSA) og Digital Markets Act er lige blevet vedtaget og ePrivacy forordningen er efterhånden langt i processen.

Ser vi på det der er kommet ud om indholdet i førstnævnte, er det specificeret ud, at det ikke er tilladt at bruge dark patterns ift. samtykker.

Helt konkret lyder det, at man ikke må benytte visuelle greb til at fremhæve et valg frem for et andet. I forhold til cookie-popups betyder det, at man ikke må bruge forskellige farver på »accepter alle« og »afvis alle« knapperne.

Ser vi igen på de to eksempler, der har fået alvor kritik fra Datatilsynet, så bruger dmi.dk samme farve til begge valg og bør dermed også leve op til det, men det samme er ikke tilfældet for dba.dk, hvor sidens primærfarve, blå, er brugt til »accepter alle« knappen, hvorimod »kun nødvendige« er hvid – samme farve som baggrunden.

De lever altså ikke op til den kommende DSA. En teknisk specialist (læs: ikke-jurist) som mig selv, kan dog også være lidt i tvivl om, hvordan det ikke også allerede bør være dækket, og dermed ulovligt af GDPRs krav om informerede samtykker, og dermed have været noget, der burde være en del af afgørelsen fra Datatilsynet?

Drop Google Analytics og vælg et europæisk alternativ

Kampen om indsamlingen af persondata på websider kører i øjeblikket på højeste blus. Specifikt på grund af Schrems II-afgørelsen som gjorde det problematisk at benytte sig af amerikanske cloud-services, og i denne sammenhæng specifikt brugen af Google Analytics (GA).

Efter afgørelser fra det østrigske og franske datatilsyn, der afgjorde at det i specifikke tilfælde var ulovligt at bruge Google Analytics, har diskussionen raset i en dansk kontekst, hvor vi stadig venter på Datatilsynets udmelding.

Afgørelserne har dog fået flere danske eksperter bl.a. Rådet for Digital Sikkerheds formand Henning Mortensen og Ayo Næsborg-Andersen, lektor i persondataret og menneskerettigheder ved Syddansk Universitet til at udtale, at det reelt set betyder, at man ikke kan benytte GA i Danmark i Version2 d. 15. februar.

Pointen med eksemplet omkring GA er, at vi har med endnu et eksempel på noget der tyder på at kunne blive ulovligt indtil en konkret aftale om dataudveksling mellem EU og USA er på plads.

Reaktionen er fodslæben og protest fra virksomhederne kombineret med erhvervsorganisationerne Dansk Erhverv og Dansk Industri bl.a. i et indlæg i Version2 2. marts. En forståelig og forventelig reaktion, da det kræver en indsats at skifte til et alternativ og dermed bliver det en udgift for virksomhederne. I forhold til overholdelse af GDPR, holder det dog ikke.

Er det en for stor mundfuld for specielt SMVerne må løsningen være at understøtte overgangen fra politisk hold, for det holder ikke bare at afskrive GDPR fordi det er besværligt, når det kommer ud af at man i praksis i mange år har benyttet sig ukritisk af et på flere måder problematisk værktøj som GA. 

Den gode løsning er i sidste ende at virksomhederne dropper GA og vælger et ansvarligt dansk eller europæisk alternativ, og dermed støtter op om virksomheder der reelt prøver at gøre det her på en god og GDPR-compliant måde fremfor at finde en måde at få GA passet ind under GDPR.

Umuligt at få folk til at dele deres persondata, hvis man spørger dem

I sidste ende er det relevant at se på problemstillingen i en kontekst af lovligheden af og mulighederne i forretningsmodellen, der baserer sig på persondata indsamlet på hjemmesider vha. samtykke. En forretningsmodel, der er afhængig af at et flertal af brugerne vælger at klikke »accepter alle«, når de besøger hjemmesider.

Det viser sig nemlig, at det er næsten umuligt at få folk til at acceptere indsamling af persondata, hvis de får muligheden for at afvise det. Som forskerne bag artiklen »(Un)informed Consent: Studying GDPR Consent Notices in the Field« – publiceret på den højt anerkendte konference inden for datalogi: »Conference on Computer and Communications Security« i 2019 skriver (oversat fra engelsk):

»Vores resultater indikerer endvidere, at GDPRs principper for databeskyttelse som standard og formålsspecifikt samtykke ville kræve at websiderne skulle bruge samtykkemodeller, der ville resultere i at mindre end 0,1% af brugerne aktivt ville samtykke til brugen af tredjepartscookies«

Et resultat der bakkes op af andre studier med lignende resultater, og det understøttes yderligere af, at Facebook brokkede sig højlydt, da Apple med iOS 14.5 indførte en opt-in tilgang til tracking, da det gik ud over Facebooks forretning.

Der er altså meget der peger på, at forretningsmodellen med stor sandsynlighed i sidste ende simpelthen ikke kan lade sig gøre under GPDR – en virkelighed virksomhederne og deres organisationer i stort omfang ikke synes at ville anerkende.

Det er derfor vigtigt, at vi som land gennem Datatilsynet og domstolene sender et signal om, at det har mærkbare konsekvenser ikke at overholde loven, så vi kan få gjort op med at man som virksomhed og branche klinger sig til et falsk håb om business-as-usual.

For der er ikke noget i EU's fortsatte indsats for stramninger på området der tyder på business-as-usual. Så må en evt. modstand føres gennem den demokratiske proces i EU og ikke gennem en pseudodiskussion om, hvorvidt det er for besværligt at overholde lovgivning og dertilhørende nølen ift. håndhævelse af gældende lov.

Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk

8 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
18. maj kl. 16:32

Spændende indlæg omkring et emne som fortjener alt den opmærksomhed som den kan trække.

Jeg vil dog gerne udfordre forestillingen om, at det er næsten umuligt at indsamle personhenførbar data, hvis forbrugeren får reel muligheden for at sige nej.

Undersøgelser der bakkes op af eksempler fra virkeligheden viser, at forstår man at forbrugeren er villig til at afgive informationer i en transaktionel relation, kan man som virksomhed modtage værdifuld viden, for f.eks. mere personaliseret indhold, gratis personlighedsprofil eller til gengæld for fri fragt.

Med udfasning af cookies som vi kender dem i dag, er jeg overbevist om, at morgendagens vindere, er dem som satser på 1. parts data/0. parts data. De har også en højere kvalitet end 3. parts.

6
19. maj kl. 14:58

Jeg hører ofte - også i det her forum - at størsteparten af danskere er ligeglade med at de bliver tracket. Den omtalte artikel (Un)informed Consent.....siger jo noget klart andet, når de vel at mærke gør det på et oplyst grundlag - 0.1 % ønsker at gå all-in på 3.parts cookies (som jeg læser artiklen men ovenstående atikel kan give det indtryk, at det er 3.parts cookies overhovedet).

Oplysning er menneskets udtræden af dets selvforskyldte umyndighed, som Kant formulerede det.

Den nye dille, Adfærdsdesign/nudging bliver desværre også misbrugt til at bedrage brugeren omkring cookie-notifikationer.

Som Hannah Arendt formulerede det i Human Condition:

"The trouble with modern theories of behaviorism is not that they are wrong but that they could become true"

3
18. maj kl. 10:51

Hej Mads Tak for et godt indlæg. Som Anne-Maries indlæg viser er der problemer med cookie-reglerne. Jeg opfatter dem som noget, der på den ene side belaster EUs 500 millioner brugere flere gange dagligt med kravet om, at vi skal forholde os til cookies. Et dagligt irritationselement, som også koster os tid. På den anden side er effekten begrænset. Mange websites - som Anne-Marie viser - følger ikke reglerne, og som bruger klikker man blot OK. Der er behov for en helt ny tilgang, der giver reel brugerbeskyttelse og reelt begrænser "syndernes" muligheder.

1
17. maj kl. 13:02

Tak for et godt indlæg om tingenes sørgelige tilstand i Danmark, og for at sætte fokus på især de lovløse tilstande omkring cookies. Det er mit indtryk, at mht. cookies er det offentlige Danmark simpelthen fast besluttet på at ignorere, og direkte undergrave, GDPR på det punkt.

Se f.eks. Udenrigsminisgteriets hjemmeside:www.um.dk

Kan nogen finde et cookiesamtykke? Jeg kan ikke. Men jeg kan finde følgende:"Hvis du ikke ønsker, at vi sætter cookies på din computer, kan du blokere brugen af cookies i din browser, se nedenfor hvordan. Ønsker du ikke at modtage cookies fra um.dk, kan du i de fleste nyere browsere vælge avancerede cookieindstillinger under internetindstillinger og tilføje dette domæne til listen over websites, du vil blokere cookies fra. Her kan du også slette individuelle cookies eller alle de cookies, som din browser har gemt."https://um.dk/om-os/kontakt/udenrigsministeriets-privatlivspolitik/udenrigsministeriets-privatlivs-og-cookiepolitik

  1. Er det overhovedet lovligt at henvise besøgende til at skulle ind i browserindstillinger for at kunne få lov at besøge um.dk uden at blive overvåget og tracket?

  2. "se nedenfor hvordan"? Jeg kan ikke finde noget, der viser hvordan på siden.

Jeg sendte i marts en klage til Uddenrigsministerietover deres manglende cookie-samtykke. Jeg fik dette svar:

"Kære Anne-Marie Jeg har nu hørt tilbage fra mine kollegaer og kan vende tilbage med kommentarer til de punkter, du har anført i din e-mail af 8. marts 2022. Udenrigsministeriets hjemmeside www.um.dk har for nyligt gennemgået en større opdatering. Opdateringen har desværre medført, at hjemmesidens samtykkeløsning ikke længere fungerer. Udenrigsministeriet arbejder på at få implementeret en ny samtykkeløsning til cookies hurtigst muligt. Udenrigsministeriet betragter ikke www.um.dk som en statslig obligatorisk selvbetjeningsløsning, men tager den nye vejledning fra Erhvervsstyrelsen med i overvejelserne om hvilke cookies, der anvendes på Udenrigsministeriets hjemmesider. Indtil fornyligt har hjemmesidens cookiepolitik henvist til en liste over cookies, der desværre er forældet. I forbindelse med implementeringen af den nye samtykkeløsning vil det være muligt at kunne tilgå information om hvilke cookies, der sættes på hjemmesiden. Med venlig hilsen "

Gælder GDPR ang. cookies kun for selvbetjeningsløsninger? I så fald (jeg tror ikke på det) er det en hån mod borgerne.

Da jeg så for en uges tid siden genbesøgte um.dk, var den nu forsynet med et fuldstændig håbløst cookiesamtykke af en type, jeg aldrig har set før. Det var fuldstændigt umuligt at gennemskue, hvad man sagde ja tak og nej tak til.

Når jeg så i dag genbesøger siden, er der atter ikke noget cookie-samtykke overhovedet, men blot henvisning til, at man i de fleste browsere kan blokere for cookies.

Som jeg læser min Firefox-indstillinger, kan jeg vælge noget med at slette ved sessionsslut, men ikke direkte blokere for, at der sættes cookies. Så um.dk kan altså tracke og aflure mig, indtil cookies slettes ved sessionsafslutning? Det er muligt, at det er mig, der ikke kan finde ud af indstillingerne, men det er i denne sammenhæng ligegyldigt, for det er helt urimeligt, at det er den måde, jeg skal beskytte mig mod um.dk's snageri.

Det fremgår også, at :"Når du besøger Udenrigsministeriets hjemmesider og accepterer cookies, indsamler ministeriet oplysninger om dig, såfremt du samtykker. Der er tale om følgende oplysninger: Hvilke sider, du har kigget på og hvornår Hvilken browser du bruger Hvilken IP-adresse du har Evt. Hvilket brugernavn du anvender Evt. din geografiske placering"

Men jeg har jo slet ikke givet samtykke, for pokker? Um.dk spørger slet ikke om lov!

"Formålet med indsamlingen af ovennævnte oplysninger er bl.a., at forsøge at gøre din brugeroplevelse bedre, målrette relevant materiale, til statistik samt markedsføring. Alt sammen uden, at vi forbinder data til dig som person. "

Oven i købet markedsføring? For f... da - Hvad bilder de sig ind?

"Udenrigsministeriet bruger en række tredjeparts services på vores sider. Disse services bruger til tider også cookies. Disse tredjeparts komponenter bevirker, at indehaveren af tredjeparts komponenten, som for eksempel Facebook eller Google, modtager tekniske data om din browser, IP-adresse, og hvilke sider du besøger på um.dk. Er du samtidig med dit besøg på um.dk logget på for eksempel Facebook eller Google, er det muligt for Facebook/Google at henføre disse data med din profil. Se listen over anvendte cookies ovenfor."

Grrrr.... Igen: Hvad bilder de sig ind? Og "Se listen ovenfor*? Der er ingen liste - tjek selv. Man kan ingen steder på siden overhovedet se, hvilke cookies der sætte, og hvorfor.

Um.dk ser i mine øjne ud til helt bevidst at løbe om hjørner med GDPR. Den må i hvert fald være dybt ulovlig, som den ser ud nu, og det er en uhørt arrogance overfor borgerne. at man ikke kan finde ud af/ikke vil rette ind.

Nu har jeg så sendt en anmeldelse til Erhvervsstyrelsen og Datatilsynet - men jeg tvivler på, at der sker noget, hverken mht. forbedring, eller mht. sanktion.

5
18. maj kl. 21:27

Da jeg så for en uges tid siden genbesøgte um.dk, var den nu forsynet med et fuldstændig håbløst cookiesamtykke af en type, jeg aldrig har set før.

Desværre så er der 18. Maj her ved 21-tiden denne lidt mærkværdige samtykke, og derudover finder jeg at der er

Tracking af headers

samt

COOKIES

Obligatorisk ......... ASP.NET_ SessionId Selskab Udenrigsministeriet Type Functionality Udløber At end of session

tc%23lang Selskab Udenrigsministeriet Type Functionality Udløber At end of session

CookieCategory1 Selskab Udenrigsministeriet Type Functionality Udløber 2 years

cookiesAccepted Selskab Udenrigsministeriet Type Functionality Udløber 2 years

Ikke obligatorisk ........ nmstat Selskab Siteimprove Analytics Type Statistics Udløber 1000 days

AWSELB Selskab SiteImprove Analytics Type Statistics Udløber At end of session

7
24. maj kl. 07:11

Tak for for oplysninger, Finn Christensen. Jeg tænkte nok, at det for godt til at være sandt, at der ikke var nogen.

Jeg er så forholdsvis utilfreds med, at Bitdefender Anti-tracker ikke kan finde dem.

2
17. maj kl. 13:33

Nu lægger jeg så mærke til, at min Bitdefender Antitracker ikke finder nogen cookies på um.dk overhovedet. Kan det tænkes, at der faktisk slet ikke mere sættes cookies, men at man bare ikke har fået opdateret sine cookie-oplysninger? I så fald er det jo fantastisk (men forvirrende fr den besøgende), og viser, at det faktisk godt kan lade sig gøre at drive en offentlig hjemmeside helt uden cookies.

Har andre cookie-trackere, som finder cookies på um.dk? Eller er miraklet - ingen cookies overhovedet - indtrådt?