Herregud så lei jeg er av cookiebannere! De er i veien, de er irriterende og de ødelegger brukeropplevelsen og flyten på nettsiden. Ja - også er de aller fleste ulovlige også!
Det er en veldig enkel grunn til at cookiebannere finnes: ePrivacy-forordningen til EU krever samtykke før en nettside får lov til å skrive en fil til datamaskinen din.
Det skal være valgfritt for meg om nettsiden din skriver en cookie til maskinen min som f.eks. gjør det mulig for Facebook å spore hvilke nettsider jeg har vært inne på. Det tror jeg alle er enige om at burde være opp til meg, og ikke opp til de som driver nettsider.
Dessverre har mange som driver nettsider innsett at de er veldig avhengig av data som de fleste ikke egentlig ønsker å gi fra seg. Og det har ført til den situasjonen vi er i idag.
De fleste cookiebannere ser omtrent slik ut:
Og det er her vi støter på problemer. Cookiebannere baserer seg på samtykke. Etter både ePrivacy-forordningen og GDPR er samtykke veldig klart definert:
“en tydelig bekreftelse der den registrerte på en frivillig, spesifikk, informert og utvetydig måte gir sitt samtykke til behandling av vedkommendes personopplysninger”
Banneret over oppfyller ikke dette. For det første er det vanskelig å hevde at brukeren har vært informert. Hva betyr egentlig at informasjonen skal brukes til å gjøre brukeropplevelsen bedre? Og hvordan blir denne informasjonen brukt til markedsføring? Hvem deles det med? Hva er konsekvensene av dette?
Det brukes også et veldig vanlig “dark pattern” her: Handlingen nettsiden ønsker at vi skal ta er en knapp, den er grønn og plassert til høyre der vi forventer knappen for å gå videre. Det er ingen tydelig knapp for å si nei, i stedet må vi følge en lenke som mest sannsynlig tar oss til en side hvor det fortsatt er vanskelig å finne en knapp som sier “nei”.
Dette oppfyller ikke kravet til at et samtykke skal være gitt frivillig. Når det er så vanskelig å kommunisere at man ikke ønsker å samtykke er det lett å hevde at samtykket ikke egentlig var frivillig, og dermed er ugyldig.
Så hvorfor er det sånn? Det kan være flere grunner: Det å sette cookies som tillater målrettet markedsføring er veldig lukrativt for de fleste bedrifter. Derfor gambler mange på at de ikke kommer til å bli tatt, og at dersom de blir tatt så vil bøtene ikke overstige det de har tjent.
I tillegg er det i Norge for tiden en spesiell situasjon der ePrivacy-forordningen ikke er innført i norsk rett enda. Denne kommer som en del av den nye eKom-loven, men denne har ligget hos Regjeringen i lang tid uten å bli sendt til Stortinget. Først når denne er vedtatt vil det i norsk rett være helt klart definert at disse kravene gjelder. Inntil det er det mange som lener seg på at den gamle eKom-loven sier at det holder at nettleseren aksepterer tredjepartscookies for at dette skal være tillat.
Tiden for den særnorske situasjonen er uansett på vei mot en slutt, og i EU jobber blant annet organisasjonen til Max Schrems - none of your business - hardt for å få datatilsynene til å slå ned på ulovlige cookiebannere. Med litt flaks får vi i 2024 en skikkelig mulighet til å si “nei takk” til cookies.