Gigantene bryter GDPR med popups: – Adtech-bransjen er på villspor

– Digitalt samtykke er viktig. Forståelse av digital personvern er enda viktigere, skriver Mats Staugaard.

– Forbrukerne vet ikke hva de sier ja til, og «bare et informert ja er ja», skriver Mats Staugaard. 📸: Privat
– Forbrukerne vet ikke hva de sier ja til, og «bare et informert ja er ja», skriver Mats Staugaard. 📸: Privat Vis mer

«Bare ja er ja» har vært et enkelt og forståelig budskap i diskusjonen rundt den seksuelle samtykkeloven i Norge. Det er ikke vanskelig å forstå. Ja er ja, nei er nei. Alt annet er et overgrep. Alle kan være enig i det.

I den digitale annonseverden (aka adtech) er det dog ikke helt enighet om hva samtykker er.

  • Samtykket presenteres i en cookie popup. Du vet de utrolig irriterende popupene som kommer på mer eller mindre alle nettsider som spør om de kan få «samtykke».
  • De fleste trykker ja bare for å få bort boksen.
  • Selv om du sier nei, er ofte et nei et ja eller så er det umulig å vite om du har samtykket eller ikke. Eller rett og slett umulig å si helt nei.

En ny EU-dom har nå slått fast at sporingsbasert annonsering, slik den praktiseres av selskaper som Google, Amazon, Microsoft og X, ikke har et lovlig grunnlag i Europa. Samtykket som tilbys forbrukere å gi gjennom disse popupene, er ikke et gyldig og informert samtykke.

Med andre ord: Forbrukerne vet ikke hva de sier ja til, og «bare et informert ja er ja».

Snike til seg samtykke

I kjernen av adtech finner vi to sentrale mekanismer: Transparency and Consent Framework (TCF) og Real-Time Bidding (RTB).

  • Transparency and Consent Framework (TCF) er et rammeverk utviklet av bransjeorganisasjonen IAB Europe. Det gir nettsteder og annonsører en standardisert måte å innhente og administrere samtykke i tråd med GDPR. Når du får en popup om cookies i din nettleser, er dette som oftest en TCF-popup. Disse popupene er som regel laget for å snike til seg samtykke heller enn å innhente et reelt samtykke. Uten et samtykke fungerer nemlig ikke neste mekanisme i adtech-verden. Real Time Bidding.
  • Real-Time Bidding (RTB) er en automatisert auksjonsprosess der digitale annonseplasser kjøpes og selges i sanntid. Når en bruker besøker en nettside eller app, utløses en auksjon hvor annonsører byr på muligheten til å vise sin annonse til denne brukeren. Budene baseres på brukerens data, som demografi, interesser og nettleserhistorikk, og hele prosessen skjer i løpet av millisekunder. Denne prosessen er avhengig av ditt samtykke for å kunne prosessere persondata.
«Disse popupene er som regel laget for å snike til seg samtykke heller enn å innhente et reelt samtykke.»

Har ikke lov

En helt fersk EU-dom har slått fast at adtech-selskapene ikke har dette samtykket. Selv om du har sagt ja.

Dommen fra den belgiske ankedomstolen retter seg spesifikt mot disse popupene som brukes av 80 % av internett for å innhente samtykke til datainnsamling. Retten konkluderte med at popupene ikke på noen som helst måte oppfyller kravene i GDPR når det gjelder informert samtykke. Forbrukeren må forstå hva de sier ja til og det gjør de ikke i dag og dersom samtykket ikke er gyldig, står hele modellen for sporingsbasert annonsering på ustø grunn.

I tillegg har den europeiske domstolen tidligere kjent overføringen av persondata til USA via tidligere avtaler som Privacy Shield ugyldig, på grunn av utilstrekkelig beskyttelse mot amerikansk overvåking.

Selv om det er inngått nye avtaler, som EU-US Data Privacy Framework, er det fortsatt usikkerhet rundt lovligheten av slike dataoverføringer - spesielt med en ny og uforutsigbar ledelse i USA.

Hvor langt adtech-bransjen er på villspor er veldig tydelig i en godt skrevet sak fra NRK. De har i en omfattende undersøkelse vist hvordan data samlet inn fra apper kan avsløre svært sensitive opplysninger. I ett tilfelle ble en manns bruk av datingappen for skeive, Grindr, og meldingsappen Kik brukt til å spore hans bevegelser og identitet. Selv om Grindr ikke delte presis lokasjonsdata, var informasjonen nok til å identifisere brukeren.

Tilsynelatende anonym data kan enkelt kombineres for å avsløre svært personlige detaljer. Hvis denne personen hadde blitt identifisert i et land hvor homofili er straffbart, er konsekvensene åpenbart liv og død.

Digitalt samtykke er viktig. Forståelse av digital personvern er enda viktigere.

Steve Jobs oppsummerte det godt allerede i 2010 — «privacy means users should be fully informed about what they're agreeing to, in plain language and repeatedly».

Vis mer