Forskere: DR's og Folketingets hjemmesider er på kant med persondataloven

Det kan være meget svært at undgå cookies – selv på hjemmesider, som er betalt af det offentlige.

Cookies er små stykker kode, som hjemmesider gemmer i din browser, blandt andet for at genkende dig. (Foto: Fotocollage: Mathis Birkeholm Duus)

Artiklen er opdateret med svar fra Erhvervsstyrelsen, der er vendt tilbage efter deadline.

Accepterer du cookies?

Når du møder det spørgsmål i et banner eller en boks på en hjemmeside, kan du ofte let trykke 'OK' eller 'ja' og så komme videre.

Sværere kan det være, hvis du ikke vil have de digitale småkager, eller hvis du bare vil vide lidt mere om, hvad du egentlig siger 'ja' til.

På mange hjemmesider kan det nemlig være ganske ulogisk, hvordan du reelt siger nej til cookies.

Og det er ikke lovligt. Det vurderer Ayo Næsborg-Andersen, der er lektor i it-ret og persondataret på Syddansk Universitet, SDU.

- Det skal være lige så let at sige nej som ja til cookies. Og hvis du siger ja, skal det være en såkaldt aktiv handling. Altså noget, du gør bevidst.

Men sådan er det sjældent.

Du skal kunne sige nej

Vi har fået Ayo Næsborg-Andersen og to andre eksperter i persondataforordningen GDPR og cookies til at se på cookiebannere på en række hjemmesider, der på den ene eller anden måde er offentligt finansieret.

Det er hjemmesider som for eksempel DR's egen side, dr.dk, og Folketingets hjemmeside.

Eksperterne var ikke enige i alt.

Men mindst to eksperter vurderer, at cookiebannerne på alle fire sider er enten ulovlige eller på kant med lovgivningen på området.

Ayo Næsborg-Andersen understreger dog, at de undersøgte hjemmesider slet ikke er de værste eksempler, hun har set på nettet.

Alligevel bekymrer det hende.

- Det er jo problematisk, at siderne gør det svært at sige nej til cookies. For det burde jo ikke være afgørende for din deltagelse i samfundet og demokratiet, at du accepterer overvågning fra cookies, vurderer Ayo Næsborg-Andersen.

Folketingets hjemmeside er klokkeklar ulovlig

Af de undersøgte hjemmesider er det især Folketinget.dk, der bekymrer de tre forskere.

I boksen, som dukker op første gang, du besøger siden, står der blandt andet:

'Hvis du fortsætter med at bruge sitet, accepterer du samtidig vores cookiepolitik.'

Cookiebanner fra folketingets hjemmeside, ft.dk, er i strid med lovgivningen, vurderer tre eksperter.

Og det er klokkeklart imod loven, siger forskerne samstemmigt.

- Det skal være et aktivt valg at få cookies. Men hvis du bare fortsætter, har du ikke taget et aktivt valg, siger ph.d. Midas Nouwens fra Aarhus Universitet og fortsætter.

- Og hvis du vil undgå cookies, hvad gør du så? Hvis du så vælger 'Læs mere om cookies', så kan du ikke vælge dem fra. Du får heller ikke at vide, hvilke cookies de specifikt har installeret.

Hjemmesiden bryder altså lovgivningen, siger eksperterne.

Det samme mener eksperterne, at Datatilsynet gør.

For selv om der her er en let måde at sige nej til cookies på, får du automatisk indstillet cookies, hvis du ikke træffer et valg, første gang du besøger siden, skriver de.

- Det ser ud til, at de ikke har fået rettet ind efter den principielle dom, Planet49, siger Søren Sandfeld Jakobsen, professor i it-lovgivning på CBS Law.

Den principielle dom handlede om en tysk hjemmeside, der havde hentet samtykke ved at præsentere brugeren for et forudafkrydset felt, der sagde, at de accepterede cookies. Men den gik ikke, vurderede EU-domstolen i oktober 2019.

I domsafsigelsen blev det specificeret, at brugerens 'ja' til cookies skal indhentes ved en aktiv handling.

Datatilsynet har, efter DR Videns henvendelse, rettet op på fejlen, så siden nu lever op til lovgivningen på området.

Fejl på alle siderne

I forhold til de to andre hjemmesider, dr.dk og erhvervsstyrelsen.dk, var forskerne ikke helt enige.

Her mener Søren Sandfeld Jakobsen fra CBS, at reglerne umiddelbart er overholdt. Men hans kollegaer fra Aarhus Universitet og SDU mener, at siderne lider af mindst 'skønhedsfejl'.

- På dr.dk kræver det en del klik at sige nej til alle cookies. Det er langt lettere at sige ja. Og så undrer jeg mig over, at der er hele 43 cookies, som er nødvendige for at sitet fungerer, siger Ayo Næsborg-Andersen fra SDU.

Nødvendige eller tekniske cookies er den type, der er nødvendige for at hjemmesiden kan fungere. Det kan for eksempel være en cookie, der husker dit brugernavn. Det er den eneste type cookies, som hjemmesider ikke behøver din tilladelse til at anvende.

Hos vores egen hjemmeside, dr.dk, kan det være svært at finde ud af, hvordan man siger 'nej' til cookies, vurderer eksperter.

Derudover påpeger Midas Nouwens, at det er imod reglerne, at boksene er afkrydset på forhånd, når man kommer til området, hvor man kan vælge forskellige kategorier af cookies fra.

- Både i GDPR og i Planet49-dommen bliver det beskrevet: Den type bokse, som er afkrydset i forvejen, er ikke en tilladt måde at få brugerens accept af cookies på, siger han.

Eksperterne roser dog DR's side for at have en liste med information om alle cookies, ligesom det er muligt at til- og fravælge kategorier af cookies.

Endelig er der Erhvervsstyrelsen, som selv håndhæver cookiebanner-lovgivningen.

Her mener Ayo Næsborg-Andersen, at cookiebanneret er opsat, så der umiddelbart skubbes til at acceptere cookies, mens man skal være noget mere vågen for at se, at man også kan afslå.

Hos Erhvervsstyrelsen nudges der til at sige 'ja', vurderer to af de tre eksperter. Det gøres for eksempel via opsætning at fremhæve 'OK' frem for et nej til cookies.

For eksempel er der en stor, gul 'OK'-knap, mens 'nej til cookies' blot er skjult i et hyperlink i samme farve som boksen.

Og det er på kanten.

Midas Nouwens fra Aarhus Universitet er enig. Han henviser til de officielle vejledninger i andre europæiske lande.

- I vejledningerne fra britiske, franske, og nederlandske datatilsyn fastslås det, at mekanismer, der favoriserer 'ja' til cookies over 'nej' er ulovlige, fordi hjemmesiden på den måde påvirker brugerne til at give samtykke. Også hvis det gøres med opsætning og skriftstørrelse, forklarer han.

Fejl på alt for mange hjemmesider

Eksperterne understreger, at eksemplerne, som vi har kigget på i denne artikel, langt fra er enestående.

I en nylig undersøgelse af de 10.000 mest populære sider i Storbritannien konkluderede Midas Nouwens sammen med kollegaer fra Massachusetts Institute of Technology og University College London, at kun 11,8 procent af siderne overholdt centrale punkter i GDPR.

Den undersøgelse kan du læse mere om her. Og selv om undersøgelsen handler om hjemmesider i Storbritannien, er Midas Nouwens overbevist om, at noget lignende gør sig gældende for danske sider.

For dels er der et stort overlap mellem hvilke sider, danskere og briterne bruger (tænk bare på Google, Netflix, Facebook og Youtube).

Derudover oplever han ikke, at sider med dansk domænenavn umiddelbart har styr på GDPR-lovgivningen.

- Hvis jeg tager de 10.000 mest populære hjemmesider i Danmark, og kun kigger på dem, der slutter med.dk, får jeg en liste med kun 21 sites. Af dem overholdt ingen GDPR, vurderer Midas Nouwens efter at have gennemgået dem.

Af de 21 hjemmesider er halvdelen helt eller delvist finansieret af offentlige midler.

Cookie-bannere er bare et irritationsmoment

Grunden til, at du i første omgang møder cookiebannere på hjemmesider, skyldes persondataforordningen. Det er en EU-lovgivning, som danske hjemmesider er forpligtet til at overholde.

- Loven er lavet for at give folk et reelt og informeret valg om, hvorvidt de vil have de her cookies, der jo blandt andet samler data om dem, siger Ayo Næsborg-Andersen.

Men spørgsmålet er, hvorvidt lovgivningen har gjort meget mere end at give mange brugere et irritationsmoment i hverdagen.

For en undersøgelse fra Aalborg Universitet viser, at der rumsterer omtrent lige så mange cookies fra tredjepartskilder rundt i vores browsere i dag, sammenlignet med umiddelbart inden persondataforordningen blev vedtaget i 2018.

Med andre ord: Loven ser ikke ud til at virke efter hensigten. Derimod ser det ud til, at hjemmesiderne med deres opbygning af cookiebannere har fundet en måde, hvorpå vi stadig i langt overvejende grad siger 'ja' til cookies.

Loven skal håndhæves for at virke

Men selv om hjemmesiderne gerne vil have os til at sige ja til cookies, og derfor forsøger at skubbe os i den retning, så kan de vel ikke bryde loven helt uden konsekvenser?

- Jeg tror, at meget ville have set anderledes ud i dag, hvis cookie-loven i højere grad var blevet håndhævet fra starten, siger Ayo Næsborg-Andersen.

For Danmarks vedkommende falder den kritik især på Erhvervsstyrelsen, der skal håndhæve området.

I en mail til DR skriver styrelsen, at de både af egen drift og på baggrund af henvendelser tager sager op.

DR har spurgt Erhvervstyrelsen, hvor mange konkrete sager, de har taget op på området, og hvilke ressourcer, der er afsat. Erhversstyrelsen svarer pr mail:

- I 2019 har vi behandlet cirka 2.200 henvendelser om mulige brud på e-privacy. Der har været en stigning i antallet af henvendelser på området, og Erhvervsstyrelsen har derfor tilpasset ressourceanvendelsen tilsvarende. Styrelsen har ikke en opgørelse over antallet af henvendelser specifikt vedrørende cookies.

'Erhvervsstyrelsen er ansvarlige for lovbrud'

Men ifølge Midas Nouwens er det ikke kun Erhvervsstyrelsens manglende håndhævelse af området, der er problematisk.

Forskeren mener også, at den guide, som styrelsen har lavet som hjælp til hjemmesider, når de skal følge de gældende cookie-regler, er mangelfuld og i visse tilfælde misledende.

- Sammenligner man med, hvilken information de engelske myndigheder giver, er det her yderst mangelfuldt. Og hvis det er sådan, de danske hjemmeside-ejere bliver rådgivet, er Erhvervsstyrelsen ansvarlige for, at virksomheder bryder persondataloven og dermed eroderer danskernes privatliv, siger han.

Styrelsen opdaterede, efter et mediepres, guiden i december 2019. Her kom blandt andet tilføjelser efter at en række domme i EU-retten, særligt Planet49, havde præciseret, hvordan GDPR skal fortolkes.

I et skriftligt svar til DR svarer således på kritikken:

- Erhvervsstyrelsen vurderer, at styrelsens vejledningstekst er fyldestgørende. Styrelsen har i december 2019 valgt at opdatere sin vejledningstekst foranlediget af den såkaldte Planet49-dom, som EU-Domstolen traf den 1. oktober 2019. Erhvervsstyrelsen har valgt at udforme vejledningen, så den henvender sig i et letforståeligt sprog til ejere af hjemmesider med mere. Vi kan selvfølgelig altid blive bedre, og derfor arbejder vi løbende på at forbedre vores vejledningsindsats, så disse komplekse regler kan forstås af personer uden en kandidatgrad i jura.