Cookies – hvordan ha rett samtykke og samtidig beholde innsikt?
Ny praksis i samtykke for cookies kan gjøre dype innhogg i din innsikt. Noen opplever halvering av målt trafikk på nettsiden. Her er litt om den nye praksisen, hva du må gjøre for å følge rett praksis, og hvordan du kan redusere tap av innsikt.
Hvilke cookies bruker nettsidene dine?
Hvis du ikke allerede har oversikten, kan du sjekke hvilke cookies dere har på nettsidene her.
Hva er ny praksis?
Disclaimer: Dette artikkelen inneholder ikke profesjonelle juridisk råd. Det anbefales at din organisasjon søker profesjonell juridisk rådgiving dersom dere trenger å sikre hva som er rett praksis for dere.
Ny praksis er at den besøkende på nettsiden må avgi aktivt samtykke før cookies kan brukes, og at brukeren skal kunne velge hvilke typer cookies hun gir samtykke til. Det må være mulig å endre samtykket i etterkant. Dette betyr f.eks. at statistikk-cookies fra Google Analytics ikke brukes før samtykke er gitt. Dermed vil f.eks.alle førstegangsbesøkende ikke måles. Dette gjør det utfordrende å måle hvilke kanaler som bidrar med flest nye besøkende.
Det er laget flere gode løsninger for å sette opp og administrere samtykke til cookies – blant annet CookieBot.com og CookieFirst.com.
Frem til den nye praksisen har de fleste informert om at nettsiden bruker cookies gjennom et cookie-banner nederst på nettsiden med lenker videre til mer informasjon. Her har det manglet funksjonalitet for å velge bort cookies. Noen har hatt valg, men ofte forhåndsavkrysset slik at man aktivt må fjerne samtykket stedet for å gi det. Dette er altså ikke lenger holdbart i følge den nye praksisen.
Hvem sier at dette er rett praksis?
Det europeiske Personvernrådet har satt de nye retningslinjene med utgangspunkt i den såkalte Planet 49-dommen. En rekke norske aktører peker på at dette er riktig praksis å følge – blant annet Bahr – , og norske forhandlere av cookie-løsningen Cookiebot.
Norske myndigheter v/NKom har derimot ikke bestemt seg ennå. Datatilsynet har endret praksis fra at man selv kan stille inn i nettleserinnstillingene (som er godkjent praksis i Norge ref ekomlovens forarbeider), til å ha som standard at alt er avslått utenom det som er nødvendig for at nettsiden skal fungere. Så kan de besøkende selv velge å godkjenne. Altså har de fulgt samme praksis som Det europeiske Personvernrådets retningslinjer. Vi kan kanskje derfor anta at Norge heller mot å følge Personvernrådets praksis, selv om det ikke er uttalt.
Finnes det unntak?
Ja – disse typer cookies er unntatt:
«-Tekniske informasjonskapsler som er strengt nødvendige for levering av tjenesten. Disse inkluderer preferanse-informasjonskapsler, økt-informasjonskapsler, lastbalansering osv.
-Statistiske informasjonskapsler som administreres direkte av deg (ikke tredjeparter), forutsatt at dataene ikke brukes til profilering¹
-Anonymiserte statistiske informasjonskapsler fra tredjeparter (f.eks. Google Analytics) ²
¹Dette unntaket gjelder kanskje ikke i mange regioner og er derfor underlagt spesifikke lokale forskrifter. For eksempel er dette ikke tillatt i henhold til Storbritannias ICO-retningslinjer, og den franske myndigheten krever at leverandøren av analyseprogramvare er utnevnt som prosessor for at disse informasjonskapslene skal være unntatt.
²Dette unntaket gjelder hovedsakelig Italia, gjelder kanskje ikke for alle regioner og er derfor underlagt spesifikke lokale regler.»
Kilde: iubenda.com.
Matomo – personvernvennlig webstatistikk
For måling av nettsidetrafikk er den personvernfokuserte løsningen Matomo unntatt fra retningslinjene. Ettersom Matomos data kun tilhører nettstedet selv, og ikke deles med andre, så ansees det for å være førsteparti cookies og dermed er de unntatt. Et indikasjon på at dette er korrekt ser vi på EU-instutisjonenes egen løsning for cookie-håndtering. De bruker Matomo og har under overskriften «Consent to collecting your browsing experience for anonymized statistics» huket av for «opt in». Det betyr igjen at de samler statistikk uten at man har gitt aktivt samtykke.
Matomo kan forøvrig også kjøres uten cookies ved å følge denne oppskriften. Målinger uten cookies reduserer imidlertid kvaliteten på dataene.
Hva må du gjøre?
Det første du må vurdere er om du skal følge praksis eller ikke. En praktisk innfallsvinkel her kan være at organisasjoner som er forbilder bør følge retningslinjene allerede nå, mens små / mellomstore bedrifter som går under radaren kan vurdere å avvente. Dette er på egen risiko, men inntil norske myndigheter har uttalt seg antar vi at dette bør være greit. Uansett valg vil vi oppfordre til å sette personvern høyt og sikre at de besøkende kan finne informasjon om hvilke cookies som brukes og hvordan dere ellers praktiserer personvern. Ideelt sett bør også den besøkende kunne velge bort cookies, selv om dere ikke praktiserer aktivt samtykke.
Dersom du velger å følge retningslinjene fullt ut, så vil dere gå glipp av en mengde viktig innsikt. Men det finnes lyspunkter og nye muligheter. Dere bør vurdere å gjennomføre deler av eller hele tiltakslisten nederst i denne artikkelen. F.eks.vil forståelse av hva valget gjør med dine data i Google Analytics spare deg for mange feilbeslutninger fremover. Og innføringen av Matomo som tilleggsmåling vil sikre at du beholder oversikt over total besøkstrafikk på nettsiden.
Alternativer for å tilpasse Google Analytics til retningslinjene
For å sike at all trafikk måles – også den fra besøkende som ikke har gitt samtykke til cookies, finnes det noen tiltak.
Google Analytics uten cookies
Dere kan rett og slett kjøre Google uten cookies. Dette kan gjøres på to ulike måter for WordPress-sider.
-Installere en egen plugin som fjerner Google Analytics-cookies – «Cookieless Privacy-Focused Google Analytics» av Helge Klein.
-Eller installer koden som beskrevet her.
Google consent mode (beta)
Det aller beste er denne nye løsningen som sørger for at Google Analytics måler uansett cookie-samtykke eller ikke. Uten cookie-samtykke reduseres kvaliteten på dataene, men dere får uansett målt alle besøk. Google consent mode er i testversjon (beta) nå og fungerer for Google Analytics, Google Ads og Floodlight.
Både CookieFirst.com og CookieBot er er satt opp for å fungere med consent mode.
Det er ingen tvil om at Google er påvirket av de nye retningslinjene. Vi bør derfor forvente at de – og andre aktører som er påvirket – kommer til å lansere og videreutvikle ulike løsninger fremover for å beholde sin relevans.
Tiltaksliste
Vi anbefaler dere å vurdere følgende tiltak for å tilpasse dere til den nye praksisen. Dere kan gjøre tiltakene selv eller be oss om bistand.
-Ta i bruk Google consent mode (beta) – alternativt vurder Google Analytics uten cookies
-Er dere spesielt opptatt av personvern – vurder å ta i bruk Matomo som et alternativ eller tillegg til Google Analytics. Det gjør at du er sikret innsikt i totaltrafikk på nettstedet.
-Ta i bruk et cookie-samtykke-løsning som f.eks.CookieFirst.com eller CookieBot.com.
-Forstå hvilke endringer ny praksis får for den innsikten du får fremover, og tilpass dine analyser og bruk av data deretter. Spør oss gjerne om råd.
Er noe av dette relevant for dere?
Ønsker dere hjelp?
Samtykke-løsning for cookies
Vi setter opp riktig løsning for deg og tilpasser design og innhold ved behov. Vi har erfaring med hvilke nyanser som sikrer både at dere følger retningslinjene og får flest mulig informerte aktive samtykker.
Matomo
Nettsidestatistikken din har aldri vært mer personvernvennlig. Tjenesten er noe enklere enn Google Analytics, men inneholder likevel masse god funksjonalitet. Vi setter opp løsningen etter deres ønsker og behov, og sikrer god rapportering. Se mer om Matomo og GDPR.
Enten det er cookie-fri Google Analytics eller consent mode (beta) så kan vi sette det opp for deg.
Rådgiving
Det er mye å vurdere og å ta hensyn til. Mange spør oss om råd når de har behov for litt bistand utenfra.
Digital Grunnmur
Vi tilbyr innsiktsplatformen Digital Grunnmur som gir deg viktig innsikt i nettsidens helse og prestasjon innen SEO, hastighet, bruk, m.m. Tjenesten er et månedsabonnement som inkluderer lisenskost for Matomo, CookieFirst.com, annen god innsikt og månedlig rådgivingsmøte.