Ulovlige cookie pop-ups bliver ikke håndhævet

Du kender det alt for godt. Når vi besøger en webside første gang, bliver vi mødt af en cookie pop-up, som beder os om vores accept og samtykke. Den får de. Problemet er bare, at disse pop-ups er i klar modstrid med dine digitale rettigheder. En ny undersøgelse der bærer overskriften: ”Dark Patterns after the GPDR” viser, at kun 11,8 % af pop-up virksomhederne overholder GDPR-reglerne her halvandet år efter reglerne blev indført. Værre endnu er, at virksomhederne designer deres underretningssystemer på en sådan måde, at de med vilje narrer brugerne til mere dataovervågning. Det er den ph.d.-studerende Midas Nouens, der sammen med kollegaer fra University College London og MIT har undersøgt de mest populære samtykke pop-ups på de 10.000 mest besøgte websider i UK.

Hvilken betydning har undersøgelsen for de danske internetbrugere?

”Vi fik adgang fra en dansk IP-adresse. Det betød, at vi kunne se de samme ting, som danskerne ser, når de besøger disse websider. Danskerne bruger internettet mere end alle andre europæiske nationer, så den slags ulovlig dataindsamling påvirker danskerne mere end alle andre. Danmark er også det første land, der har en teknologiambassadør. Det er en enestående situation, at Danmark har en statslig repræsentant, der kan rette henvendelse til pop-up virksomhederne og kræve, at de beskytter danskernes privatliv.”

Hvordan forsøger de at snyde brugeren til at afgive information?

”Pop-up-vinduerne er designet med henblik på at ”nudge” brugeren til at afgive deres samtykke. Det gør de for eksempel ved at skjule ”afvis” knappen på side 3, mens ”accept”-knappen er placeret på side 1, og som ofte er gjort ekstra stor, mens ”afvis” knappen blot består af en understreget tekst.”

Var der noget der særligt overraskede jer ved undersøgelsen?

”Den største overraskelse var, at blot fem virksomheder står bag næsten 60% af de ulovlige samtykke pop-ups, der bliver brugt på websider i hele UK. De virksomheder er: QuantCast, CookieBot, TrustArc, OneTrust og Crownpeak. Endnu mere chokerende er det, at disse virksomheder tillader, at websider konfigurerer pop-ups på ulovlige måder.”

Hvorfor kan pop-up virksomhederne slippe afsted med det?

”Den største udfordring ved GDPR er, hvordan reglerne kan håndhæves. Databeskyttelsesmyndighederne i forskellige lande mangler ressourcer. Det gælder både penge og bemanding, og det er derfor, at så mange websider kan slippe af sted med disse ulovlige aktiviteter. Myndighederne skal have flere ressourcer, men deres arbejdsgange trænger også til fornyelse. De kunne bruge automatiske fremsøgningsmetoder, som vi har anvendt i vores undersøgelse, og de kunne også fokusere på tredjemands samtykketjenester i stedet for at fokusere på én webside ad gangen.”

Har du et godt råd, der kan sikre, at man ikke afgiver flere data end nødvendigt?

Man kan beskytte privatlivet ved at bruge Mozilla Firefox – en browser, der automatisk blokerer alle former for tracking gennem websider. Man kan også installere vores browserudvidelse. Vi har sammen med CAVI (Centre for Advanced Visualisation and Interaction) på Aarhus Universitet konstrueret en browserudvidelse, som automatisk sender et svar til disse samtykke pop-ups. Dermed bliver brugeren ikke manipuleret af en given websides design. Brugeren kan indtaste en foretrukket indstilling, hvorefter browserudvidelsen anvender denne indstilling til alle pop-ups ved at klikke på dem og vise/skjule dem.

Hvordan adskiller den browserudvidelse sig fra andre lignende tiltag?

Der findes visse browserudvidelser, som forsøger at gøre noget lignende. Men de plejer blot at skjule alle pop-ups, og det beskytter faktisk ikke dine data, fordi der findes mange pop-ups, som betragter et manglende svar som samtykke.

Browserudvidelsen er en åben acess, hvilket vil sige, at alle kan bidrage til den.
https://github.com/cavi-au/Consent-O-Matic.

Den kan også blot installeres via Chrome og Firefox:

Chrome: https://chrome.google.com/webstore/detail/consent-o-matic/mdjildafknihdffpkfmmpnpoiajfjnjd

Firefox: https://addons.mozilla.org/en-US/firefox/addon/consent-o-matic/

Om undersøgelsen

Forskerteamet har undersøgt de mest populære samtykke pop-ups på de 10.000 mest besøgte websider i UK. De fandt frem til at kun 11,8% af de samtykke pop-ups overholdte GDPR-reglerne. Forskerne anvendte følgende tre kriterier:

1. Samtykke skulle bekræftes igennem eksplicitte handlinger (f.eks. at man klikkede på en ”accept”-knap, men ikke at man blot scrollede ned på et link eller klikkede på ”luk”-knappen).
2. Det skulle være lige så nemt at afvise cookies, som det var at acceptere dem.  
3. Der skulle ikke på forhånd være flueben i nogen af de kasser, der bruges i forbindelse med databehandling eller salgstilbud.

GDPR-reglerne fastslår også, at andre krav skal overholdes i forbindelse med samtykke (f.eks. er samtykke kun lovligt, hvis det sker på et velinformeret grundlag). Men disse krav har forskerne ikke taget med i deres undersøgelse. Det vil sige, at 11,8% sandsynligvis er lidt højt sat.

Resultater fra undersøgelsen

Undersøgelsen fokuserede på tre forskellige parametre:

1. hvordan notifikationen så ud

2. om ”accept”- og ”afvis”-knapperne var lige tilgængelige;

3. hvor detaljerede kontrolfunktionerne var på side 1 (stod der blot ”accept” eller ”afvis”, eller var der mulighed for at vise/skjule bestemte virksomheder).

Forskerne fandt ud af, at notifikationen ingen effekt havde. Men samtykkegraden steg med 22-23%, hvis ”afvis”-knappen blev flyttet væk fra side 1. Og hvis mulighederne blev vist på et mere detaljeret niveau, faldt samtykke med 20% i forhold til at vise salgstilbud, med 8,8% i forhold til at vise formål, og med 11,9% i forhold til begge disse parametre samlet.