Cookieafgørelsens hemmelighed

  • Jon Lund 

Sidste mandag fik vejrtjenesten DMI tæsk af Datatilsynet. Tæskene handlede om DMI’s cookiebokse, som slet ikke dur. Men DMI er en af klassens pæneste drenge, og slagene gælder derfor stort set alt, hvad der kan krybe og gå af hjemmesider. For at gnide salt i såret er det ikke kun cookieboksene, der står for skud. Datatilsynet er ude efter hele den strøm af brugerdata, som i dag binder det kommercielle internet sammen. Måske er det godt det samme, for det var en skodordning, vi havde fået stablet på benene. Måske er alternativet værre endnu.

Farvel Facebook-likes. Farvel YouTube-embeds. Farvel retargeting, real-time bidding og programmatic. Ringene breder sig i vandet efter mandagens DMI-afgørelse, hvor den nationale vejrtjeneste fik tørt på for, ligesom resten af verden, at have udstyret hjemmesiden med nonsens-cookiebokse, som ingen reelt kan forholde sig til. Cookiebokse skal spørge brugerne rigtigt om lov, siger Datatilsynet. Proforma er ikke godt nok.

Historien er stor. Her er de fem vigtigste takeaways.

1. Cookievalg skal være krystalklare

Mandagens melding fra Datatilsynet var klar. Nej, DMI, I må ikke gemme mulighederne for at sige nej tak bort i en bleg boks med et iltfattigt cookieindstillinger-mærkat, lød det. Særligt ikke, når OK-knappen lige ved siden af står og troner med versaler i nudget-blå. “Ja tak” og “Nej tak” skal have samme vægt; det andet er snyd.

Nej, sagde tilsynet i en vejledning, de offentliggjorde senere på dagen, man må heller ikke slå alle cookies sammen i en samlet jatak-pakke. Marketingcookies, der deler oplysninger med gud og hvermand, må ikke sugarcoates med: “Det er mest bare til statistik”, eller trues igennem med: “Du risikerer at gå glip af funktionalitet, hvis ikke du siger ja”.

Og nej, lød beskeden til DMI, I må ikke putte med sandheden om, hvem der står bag de cookies, I sætter. Når I beder jeres brugere om lov til at lade sig cookiebrændemærke i det samlede Googlenetværk og dermed fodrer en af verdens største kommercielle maskiner med data, skal det være klart, at det er Google, der står bag. Det er ikke nok at skrive DoubleClick, som jo bare er navnet på Googles reklamenetværksbrand. Det kan man ikke gå ud fra, at folk ved. Og man skal rent faktisk kunne forstå, hvad der står. 

Til venstre: DMI’s cookieboks, der får tæsk. Den nudger alt for meget til et ja tak og informerer ikke godt nok. Til højre: Datatilsynets nye vejledning: Sådan skal det gøres. 

Det er med andre ord en ommer for DMI. Men også for stort set alle andre. For DMI’s underkendte løsning er absolut i den pæne ende. DMI sætter faktisk ikke cookies, før brugeren har sagt ja tak. Her kan man rent faktisk slå de cookies fra, som man ikke måtte bryde sig om. Det placerer, slag på tasken, DMI blandt den gode ene procent af alle danske sites.

Hvis Datatilsynets reprimande bare handlede om den tekniske cookieboksfunktionalitet alene, ville hurlumhejet være til at overse. Det ville koste alle med et site såvel kroner som tid, sved og træls implementeringsarbejde. Men det ville kunne fikses. 

2. Afgørelsen rammer også YouTube-embeds og Analytics, deleknapper, retargeting, programmatic og real-time bidding

DMI-afgørelsen rammer imidlertid dybere. Langt dybere. Den handler nemlig ikke kun om cookieboksen, men også, som antydet ovenfor, om Google, som i ‘18 og ‘19 samlet betalte DMI 10 mio. kroner for at få lov til at servere annoncer hos DMI – og høste data på de omkring 600.000 danskere, der hver måned tjekker vejrudsigten på DMI’s site og app. Ikke at tilsynet havde noget imod annoncerne som sådan. Men Googles cookies, der sætter søgemaskinen/kort-/video-/e-mailtjenesten i stand til at følge dit device rundt på nettet, kunne de ikke lide. Eller rettere: De kunne ikke lide, at brugeren ikke blev spurgt ordentligt om lov, før cookierne blev skrevet ned på vedkommendes harddisk.

Her begynder sprækkerne for alvor at åbne sig. For selvom Datatilsynets afgørelse per se kun forholder sig til Googles annonceringscookies, så passer deres argumenter præcis lige så godt på Googles andre services. Hver gang en bruger klikker play på en YouTube-video, der er embedded på et almindeligt site, sætter Google cookies af præcis samme kaliber som de formastelige fra DMI-afgørelsen. Også her skal samtykkeboksen være i orden. Det samme gælder de Google Analytics-scripts, som utroligt mange sites bruger til at holde styr på, hvor mange der besøger dem, hvad de klikker på, hvilke kampagner der virker, og hvad der sælger. Læren fra Datatilsynets DMI-afgørelse er klar: Uden et  “ja, tak, jeg vil gerne have cookies, der kan forbedre Googles services” er også Google Analytics et no-go.

Det er ikke kun Googles tjenester, der kræver tilretning. Twitter- og Facebook-deleknapper gør præcis det samme. Sætter cookies og sender oplysninger til deres modertjenester til “service”-forbedringsformål.

Også retargeting, programmatic og real-time bidding bliver fanget af DMI-afgørelsen. De usynlige pixel-tags, der har det ene formål at fortælle Facebook, Adform, Criteo og de andre annoncetjenester, at en given bruger har set en given side, så de kan servere “relevante” bannere og forfølge vedkommende med annoncer rundt på nettet, opererer på samme måde som de bandlyste Google-cookies. Også her vil det fremover blive krævet, at du kan få brugeren til frivilligt, informeret, specifikt og udtrykkeligt at sige ja tak.

Problemet er, at den rigtige måde at lave cookiebokse på vil være megairriterende for langt de fleste. Brugerne er alt andet lige ude på nettet i et rigtigt ærinde. De vil vide noget, læse noget, købe noget eller socialize. Det med at læse ting med småt har sjældent særlig høj prioritet. Og læse ting med småt er en beskæftigelse, brugerne fremover skal til at gøre rigtigt meget mere af – hvis ikke de bare siger “nej tak”, fordi det er det letteste, og fordi de ikke har så meget, om noget overhovedet, at tabe. Dette vil rigtigt mange gøre. Hvis ikke de vælger det hårde bounce: bare at surfe videre med uforrettet sag.

3. Tracking er død. Og nettet forandret.

Det er det, der er skriften på væggen fra DMI-afgørelsen: Den bevidstløse tracking er meget snart en saga blot. For fra nu af må du ikke tracke brugeren uden at spørge om lov, og spørger du om lov til at tracke dem, som du gør i dag, siger langt de fleste med garanti nej. Du er damned if you do og damned if you don’t. Snoren til og i de mange ukendte brugere er skåret effektivt over.

Denne nye og stærkt reducerede tracking-tilstand har vidtrækkende konsekvenser og sender rystelser ind under den annoncemodel, som reklamemarkederne i dag er bygget op omkring. De storstilede annoncebørser, hvor brugernes cookies og eyeballs bortauktioneres på tværs af nettet til den højstbydende annoncør, mens den næste side loader, vil i praksis blive virkeligt meget sværere at holde oppe. Hvis brugerne ikke har sagt ja til at blive genkendt, ligner alle brugere hinanden, og segmentering og målretning af annoncer mister sit bid. Samtidig smuldrer drømmen om et unified view of the customer, hvor annoncøren kan følge kunden gennem alle touchpoints på rejsen mod det sidste klik og den endelige konvertering. 

Det betyder igen, at annoncerne bliver mindre effektive, at salgstragtene bliver mindre strømlinede, og at landets marketingafdelinger får mindre bang for the buck. Men det betyder også – og det er det, der er meningen med galskaben – at brugeren rent faktisk genvinder retten til anonymitet og til i langt højere grad selv at vælge, hvordan han eller hun vil opfattes af alle de aktører på nettet, der vil gøre ham eller hende til kunde.

Bemærk her, at DMI-afgørelsen langt fra falder i et hverken politisk, juridisk, kommercielt eller teknologisk tomrum. Allerede i sommer sagde det engelske datatilsyn det samme; faktisk en del skarpere og direkte vendt mod hele dataauktionsfødekæden. Og fra EU vil der lyde samme toner, når det nye ePrivacy-direktiv ser dagens lys. Apple har indbygget stadigt strengere anti-tracking i deres browsere; i en grad så EkstraBladet i efteråret meldte, at de er ude af stand til at målrette reklamer mod over halvdelen af deres brugere. Google har trumfet dette og lovet inden for to år helt at droppe tredjepartscookies i deres Chrome-browser. Samtidig har tech-backlashet stået i fuld flor det sidste års tid med en kollektiv og meget brat opvågnen fra 10-20 års tornerosesøvn. Fra Snowden til Cambridge Analytica, fra Zuboff til Vestager har kritikken af særligt de store internetgiganter fået fuld skrue. Datatilsynets afgørelse er hverken radikal eller uforståelig. Men den fortæller i klartekst, at der fra nu af er nye boller på suppen. 

4. Amazon & co er de virkelige vindere

Men, men. Selvom DMI-afgørelsen på den måde er superlogisk – og selvom det ret beset er absurd, at vi har ladet de kommercielle logikker og deres iboende persondatatørst styre så hårdt og så længe, at en dataopretning af disse dimensioner er nødvendig – efterlader det os alle med mindst to store problemer. Det ene handler om, hvordan virksomheder skaffer sig nye kunde i et sådant univers. Det andet om, hvordan Amazon, Facebook og Google forhindres i at løbe med hele kagen. 

De nye skrappe samtykkekrav rammer særligt tracking af alle de nye kunder, håbefulde virksomheder drømmer om at hive i land. De kunder, virksomhederne ikke har noget forhold til, og som derfor er mindst tilbøjelige til at sige ja tak til noget som helst. Dem bliver det både sværere og dyrere at få fat på. Ligesom datakilderne til produktudvikling fra potentielle kunder vil tørre ind. Det er isoleret set trist, men der er ikke så meget at gøre ved det. Det er prisen for at opføre sig pænt. 

Anderledes er det med dem, der allerede er kunder i butikken. De kommer tit forbi, og behovet for at følge dem på nettet er derfor ikke så stort. Og så er de også mere tilbøjelige til at give oplysninger fra sig; særligt, hvis der er en god grund til det. Forvent derfor, at alle, der kan, i betydelig grad vil skifte marketingfokus fra new bizz-kampagner og i stedet med fornyet energi kaste sig over bonusordninger, loyalitetsprogrammer og brugbare apps. Den slags, der giver grobund for rigtige relationer. 

Det andet problem er potentielt langt værre. For som tingene står, er DMI-afgørelsens største vindere Amazon, Facebook & co. De store platforme har allerede direkte relationer til milliarder af mennesker, der hver dag gladeligt logger ind med deres fulde profiler på tech-giganternes tjenester. Ja, de står til at miste lidt af den information, de i dag får fra deleknapper og analytics-scripts, som de har spredt over nettet. Men det kan de leve med. For det er fra den direkte brugerkontakt, de henter broderparten af deres data. Det er barokt. For hvis der er nogen, den almindelige bruger har behov for at blive beskyttet imod, er det dem. Big Tech. Hvis der er nogen, det almindelige erhvervsliv har brug for beskyttelse mod, er det dem. Hvis der er nogen, de demokratiske institutioner bør beskyttes mod, er det dem. Derfor kan Datatilsynets afgørelse ende med at gøre langt mere skade end gavn, hvis ikke der sættes ind på andre fronter også.

5. Tvungen datadeling kan genskabe konkurrencen. Men det kræver indsats nu.

DMI-afgørelsen er en privacyafgørelse. Den viser, hvad det i praksis betyder, når vi siger, at hver enkelt selv har ret til at bestemme over sine data. Men der er et andet og lige så vigtigt aspekt, som afgørelsen slet ikke tager hånd om: At data også er det, der holder vores fællesskaber i gang. At samfund er samfund af individer, der taler sammen. Og markeder kræver information for at kunne fungere. 

Hvis du kun begrænser dataflowet, får du nok lidt mindre datamisbrug. Men du gør også spillepladen skæv. Du skaber datalommer, siloer, ekkokamre og datamonopoler. Det er skidt. Det er ingen tjent med. 

Løsningen ligger lige for: Det skal ikke kun være lettere at begrænse, hvilke data vi giver ud om os selv. Det skal også være lettere at bestemme, hvordan ens data kan komme verden og en selv til gavn. 

Heller ikke her starter vi i et vakuum. Kloge folk som Mayer-Schönberger fra Oxford har beskrevet, hvordan økonomien vil blomstre, hvis de store teknologivirksomheder tvinges til at åbne posen op. Rapporter sponsorerede af EU-Kommissionen peger på, hvordan GDPR kan og bør bruges som løftestang til præcis samme formål. Herhjemme kalder Dansk Erhverv til kamp for brud på datamonopolerne og øget datadeling mens f.eks. Data for Good forsøger at få datadelingen til faktisk at fungere i det små. Og i den teknologiske ende arbejder f.eks. Tim Berners-Lee på løsninger, der gør det muligt i praksis at både dele og kontrollere data på samme tid. 

Det er dette arbejde, vi har brug for at give prioritet. Med politiske meldinger og pres på teknologigiganterne. Men også i praksis. Helst nu, hvor cookieboksregimet alligevel skal ændres

Denne blogpost blev først publiceret på kommunikationsforum, hvor du kan læse den lige her.