Som du säkert hört vid det här laget så håller den så kallade tredjepartskakan, eller tredjepartscookien, på att utfasas. Webbläsarna Firefox och Safari har redan tagit bort tredjepartskakan, men nu väntar många på att Google-ägda Chrome ska följa deras exempel.
Varför försvinner tredjepartskakan?
– Det finns inga juridiska krav på att Chrome, eller andra webbläsare, måste fasa ut tredjepartskakan, säger Vibeke Specht, privacy tech advisor på danska mjukvaruföretaget Cookieinformation.
Men det finns flera faktorer som påverkar techjättarnas vilja att slopa tredjepartskakan:
- Hård lagstiftning gällande integritet och personuppgifter, som till exempel EU:s GDPR-förordning och e-Privacy-direktiv.
- Större medvetenhet kring skydd av personuppgifter hos människor som surfar på nätet.
- Risk för höga sanktionsavgifter för de bolag som bryter mot GDPR eller e-Privacy-direktivet.
– Det spelar ingen roll vilken teknik du använder dig av, du måste ha laglig grund för att spåra, samla in information om, och profilera dina besökare, säger Vibeke Specht.
Det är här som cookiebannern på din sajt kommer in. För enligt lagkrav så ska en sajtbesökare få lämna sitt godkännande innan personuppgifter samlas in.
Det gäller även om sajten inte använder tredjepartskakor (som kan skicka vidare data till andra sajter), utan också om din webbplats bara placerar förstapartskakor på besökarens webbläsare. (Undantaget är förstapartskakor som är ”strictly necessary” för att sajten ska fungera.)
Klarar din sajt kraven på cookiebanners?
Enligt en färsk studie från Cookieinformation är efterlevnaden av cookiereglerna i dag låg i Sverige. 91 procent av de 1 000 analyserade svenska företagssajterna har visserligen en cookiebanner, men så många som 80 procent har brister när det kommer till text, information eller utformning. Så här finns förbättringspotential. Inte minst för publicister.
Hela 87 procent av de undersökta medieföretagen satte en kaka redan innan besökaren gett samtycke, vilket alltså inte är okej.
Cookieinformation är, näst efter Google, den största tredjepartsleverantören till de 100 största sajterna i Danmark. Vibeke Specht har specialiserat sig på integritetsområdet och jobbar mycket mot den svenska marknaden.
– De besökare som kommer till din sida ska kunna säga ja eller nej till kakor på första lagret. De ska också enkelt förstå vad du vill göra med deras persondata. Bannern ska vara tydlig – och du får inte vilseleda besökaren, säger Vibeke Specht.
Det räcker alltså inte att ha en cookiebanner, den ska vara regelmässigt utformad också.
En plattform som gör jobbet?
En standardlösning för samtyckesprocessen är att använda sig av en så kallad Consent Management Platform (CMP) på sajten. Bland annat Cookieinformation saluför en CMP som används av många företag i Danmark och Norge, men också i Sverige.
CMP:n scannar dels igenom alla dina webbsidor för att se vilka script som placerar kakor, kategorisera kakorna och skapa en cookiepolicy, men än viktigare: CMP:n sköter också logistiken med samtyckesprocessen.
Vibeke Specht rekommenderar publicister att ansluta till en CMP, och att välja den med omsorg.
– Om du använder en banner som är jättelång där besökaren måste gå in och bocka av en lång lista för att tacka nej, då är du ute på hal is. Men mängden kakor behöver å andra sidan inte vara ett problem, så länge du har koll på vad de gör och har gjort en riskbedömning.
Finns det gratisalternativ?
Bland stora publicister är CMP-plattformar från Didomi och OneTrust populära, men de är i en prisklass som troligen inte passar för mindre publicister. Å andra sidan erbjuder de skräddarsydda lösningar som kan vara intressanta för stora aktörer.
Länk: I den här artikeln tipsar Per Arnborg, utvecklare på webbyrån Äventyret, ett gäng CMP:er som kan passa mindre publicister.
De flesta CMP-plattformar erbjuder möjligheten att välja en samtyckesbanner som följer medlemsorganisationen IAB:s samtyckes- och transparensramverk TCF. Men nu är också IAB:s ramverk kritiserat – och nyligen tog EU-domstolen ett beslut som inte är till IAB:s favör.
En stor fördel med samtyckesplattformar att de gör det möjligt för dig att få koll på vad din webbplats egentligen gör, betonar Vibeke Specht. Om det finns kak-placerande tjänster och script på sidan som du egentligen inte vill ha eller använda, så får du full överblick på det.
– Det är ett bra sätt att börja städa sajten.
Text: Matilda Nilsson
Foto: Miriam Pries
Tre steg – Så fixar du samtycke till din sajt
Fundera på vad du behöver:
- Har du kakor på din sajt?
- Har du någon annan form av identifiering av dina användare på sajten?
Om du svarat ja på någon av de ovanstående frågorna är nästa fråga förstås: Behöver du ha det? Kan du driva din journalistiska sajt utan att på olika sätt spåra dina användare eller samla data om dem? - Vill du mäta trafiken på sajten eller till exempel ha tillgång till olika annonsplattformar för att kunna erbjuda mer riktad och personaliserad annonsering så kommer du med största sannolikhet behöva någon form av teknisk lösning för att identifiera eller följa dina användare. Det är här din CMP, (Consent Management Platform) kommer in. En CMP används för att hantera samtycken kring information som din webbplats sparar eller samlar in om dina besökare.
Så ska cookiebannern utformas
- Det ska vara enkelt att tacka nej till att ge samtycke. Redan i första lagret ska det gå att tacka nej till kakor.
- Kategorisera kakornas ändamål (till exempel funktionella, statistik och marknadsföring) redan i första lagret.
- Användaren måste när som helst kunna återkalla sitt samtycke. Det ska finnas information om hur detta går till.
- Det är inte tillåtet att placera kakor eller aktivera dem före besökaren har tackat ja till dem.
- Det är inte tillåtet att använda färger och kontraster på ett sätt som framhäver alternativet för att lämna samtycke framför alternativet för att neka. Det betyder inte att det är förbjudet att man använder olika färger och kontraster, det får bara inte gå så långt att det inverkar på principen om frivillighet.
- Det är inte tillåtet att ha förikryssade ja-rutor i din cookiebanner.
Källa: Cookieinformation. Här kan du även testa hur väl din sajt klarar samtyckeskraven.
Lagarna som reglerar cookiebannern
EU:s GDPR-förordningen och e-Privacy-direktiv reglerar hur samtycke ska samlas in av sajter för att få tillgång till personuppgifter. I Sverige är e-Privacy-direktivet integrerat i den så kallade cookielagen, Lagen om elektronisk kommunikation (LEK). Enligt LEK behöver din sajt informera om: vilka kakor som sajten sätter eller läser, vem som sätter kakan och av vilket skäl, när kakan går ut och hur man kan återkalla samtycke. GDPR-förordningen gäller när sajter samlar, använder eller sparar personuppgifter.
Som personuppgifter räknas alla sorters uppgifter som kan kopplas till en viss person, som till exempel namn, adress, personnummer, telefonnummer, geografisk position, IP-adress och kak-identifierare. I Sverige är det Post- och Telestyrelsen som ser över att LEK följs och Integritetsskyddsmyndigheten (IMY) som kan skapa tillsynsärenden utifrån GDPR.