nrk.no

Beskylder norske mediehus for ukultur

Kategorier: Media & Samfunn

GJEMMER INFORMASJON: Oda Elise Nordberg er en av forskerne fra UiB som analyserte informasjon nettaviser gir sine lesere. De konkluderte med at informasjonen om å begrense nettsporing var vanskelig å finne. Foto: Privat


Forskere ved Universitetet i Bergen mener de fant villedende designteknikker hos norske nettaviser. Mediehusene mener de er vurdert på feil grunnlag.

– Det er en ukultur at de store norske nettavisene designer samtykkebokser på en slik måte at brukerne ikke blir presentert et reelt valg, sier stipendiat Oda Elise Nordberg ved Universitetet i Bergen (UiB).

Hun er en av fire forskere fra UiB som analyserte sprettoppvindu på 300 skandinaviske og engelskspråklige nettsider. Studien konkluderte med at 297 nettaviser brukte villedende designteknikker i sine sprettoppvindu, som ofte kalles samtykkebokser.

To store norske mediekonsern, Schibsted og Amedia, har slike sprettoppvinduer, men de oppgir selv at de ikke brukes til å innhente noe samtykke. Det er mer å regne som informasjonsplakater.

Typisk informerer disse sprettoppvinduene om hvilke typer informasjon som samles inn, hva de kan brukes til, og hvordan brukerne kan begrense innsamling av personopplysninger.

Mange irriterer seg grenseløst over disse boksene, også i NRKbetas spalter. I en kommentar beskrev Christine Jensen at disse boksene har gjort det tungvint å bevege seg rundt på internett.

Forskerne ved UiB kom frem til at de mest brukte designteknikkene var å fremheve et valgalternativ over et annet og å skjule informasjon om å slå av nettsporing.

En av sprettoppvinduene Nordberg reagerer på tilhører Nettavisen som er en del av Amedia-konsernet.

JEG FORSTÅR: Sprettoppvinduet til Nettavisen veileder brukeren til å trykke «OK – jeg forstår» og informerer i for liten grad om hvordan man slår av sporing, mener Nordberg. Illustrasjon: Martin Gundersen

– Om du fremhever et valg som «OK – jeg forstår» veileder du brukeren til å trykke på den ene knappen. De andre alternativene «Les mer» eller «Logg inn med aID» er presentert som lenker, sier Nordberg.

En bruker må så trykke på to lenker for å komme til informasjon om hvordan man slår av nettsporing. Først «les mer» så «personvernerklæring» for å finne ut at:

«Du kan hindre at informasjonskapsler lagres på datamaskinen ved å endre innstillingene i nettleseren. Dette vil imidlertid påvirke funksjonaliteten og kvaliteten på tjenestene, og innlogging vil ikke fungere.»

Nordberg mener det også er problematisk at brukeren blir forelagt et skjevt valg mellom «OK – jeg forstår» og «les mer».

– Alltid når du samtykker er det tydelig at det er det du gjør. Det er «OK, jeg forstår», «jeg samtykker», «enig», eller tilsvarende. Men det motsatte er ikke «nei», «jeg skjønner ikke», «jeg ønsker ikke å samtykke». Det er ofte «les mer» eller den typen tekst. Det blir ikke presentert som et valg for brukeren at jeg kan velge å godta eller avslå, sier Nordberg.

Hos Schibsted-eide Aftenposten står det ikke mye bedre til, mener Nordberg. Hos Aftenposten blir brukeren presentert med en boks som lenker til Schibsteds personvern- og cookie-erklæring.

LES MER: Slik ser sprettoppvinduet til Aftenposten ut.

– Brukeren får ingen informasjon om cookies eller er presentert noe valg, sier Nordberg.

Cookies, også kalt informasjonskapsler, er små tekstfiler nettsider legger igjen i din nettleser. De kan brukes til flere formål, men kan være problematiske fordi de legger til rette for at nettbrukere kan spores på tvers av nettsider for analyse og markedsføring.

En bruker må trykke på «les mer her» i sprettoppvinduet til Aftenposten og bla til bunnen av personvernerklæringen for å finne en lenke som forteller hvordan man som ikke-innlogget bruker kan begrense sporing.

På hjelpesiden «Hvordan Schibsted bruker informasjonskapsler (cookies)» står det:

– Du kan administrere informasjonskapsler direkte i nettleseren, enten gjennom å slette de eksisterende eller hindre nye i å bli lagret. De fleste nettlesere tilbyr også «inkognito-modus», som forhindrer at kapslene lagres i en enkelt sesjon. Du finner mer informasjon på nettleserens hjelpesider.

Vurdert på feil grunnlag

Studien tar utgangspunkt i intensjonene til personvernforordningen (GDPR) som trådte i kraft i 2018 og har kun sett på de etiske aspektene ved sprettoppvinduene. Personvernforordningen ga europeere sterkere personvernbeskyttelser og innførte høye bøter for overtredelser.

Direktør for personvern i Schibsted, Ingvild Næss, mener forskerne har vurdert dem på feil grunnlag.

– Det sier seg selv at norske publisister kommer uheldig ut om standarden de blir vurdert ut fra er noe annet enn det de forsøker å legge seg på, skriver Næss.

Schibsted ber nemlig ikke om samtykke til å behandle personopplysninger, men gjør selv en vurdering om behandlingen er forholdsmessig. De mener det er en bedre løsning enn at brukere skal ta et aktivt valg på hver nettside de besøker.

UENIG: Direktør for personvern Ingvild Næss mener deres måte å informere brukerne er bedre enn å be brukerne ta et aktivt samtykke på nettsiden deres. Foto: Beate Riiser / NRK

– Vi får ikke noe større rett til å bruke data ved at brukerne klikker på disse boksene. De er kun ment å tydeliggjøre sentral informasjon til brukerne våre, skriver Næss.

Sprettoppvinduene må derfor forstås som informasjonsplakater, ikke samtykkebokser. Det samme mener Amedia.

Nasjonal kommunikasjonsmyndighet (Nkom) anser også et såkalt «passivt samtykke» som nok for å sette cookies i nettleseren til en bruker.

– Vi noterer oss at forskerne mener at bestemmelsene i Ekomloven og de retningslinjene Nkom har gitt, etter deres mening ikke er gode nok, svarer Stig Finslo som er direktør for utgiverspørsmål og ekstern kommunikasjon i Amedia.

– Vi mener altså at vi har en praksis som ivaretar de retningslinjene som er satt for cookies på en tilfredsstillende måte, utdyper Finslo.

Selv om mediehusene har sitt på det tørre juridisk, mener Nordberg at de har gjort det vanskelig for brukeren å få informasjon om å begrense sporing.

Hold deg oppdatert

Meld deg på det fyldige nyhetsbrevet vårt.

Mener NRK gir falsk trygghet

NRK og NRKbeta er blant nettavisene som har valgt å ikke ha opprettsvindu av noen slag. Faktisk må man bla helt til bunn av nettsiden på NRK.no for å finne en lenke kalt Informasjonskapsler (cookies).

Der står det at: «Alle NRKs nettjenester benytter seg av informasjonskapsler som gjør at nettsiden husker tidligere brukerinnstillinger gjort på siden, slik som valgt språk, båndbredde eller favorittsted, og gir oss statistikk som vi benytter til å gjøre nettsidene våre bedre for publikum.»

– Er det verre at nettaviser som NRK ikke viser noen samtykkeboks i det hele tatt, selv om de egentlig ikke er så mye til hjelp?

– Min personlige mening er at sånne som NRK gir en falsk trygghet. Når jeg ikke blir møtt av en samtykkeboks har jeg følelsen av at de bare bruker nødvendige cookies, sier Nordberg.

Cookies for å samle inn statistikk om brukere, noe NRK bruker, regnes ikke som utelukkende nødvendige.

Produktsjef for NRK.no, Audun Aas, mener NRK ikke gir brukerne en falsk trygghet. Samtidig er han åpen på at NRK er i en prosess hvor man ser på hvordan man kan redusere nettsporing.

– Vi har gode hensikter med den sporingen vi gjør, sier Aas.

NRK og NRKbeta baker også inn element fra Facebook, Google, og TikTok i sine nettartikler. Det gjør at disse selskapene kan spore NRK-brukere til sine egne formål. Aas forteller at NRK ser på måter å stoppe ekstra nettsporing via slike innbakte elementer.

Slik kan du stoppe sporing

Siden mediebedriftene anbefaler at brukeren selv gjør tiltak for å begrense nettsporing har vi lagt ved noen råd som hjelper for alle nettsider.

For å legge igjen færre spor på internett er det enkleste å velge rett nettleser. 52 prosent av nordmenn benytter nettleseren Chrome (Google). Den regnes som mindre personvernvennlig enn Firefox, Brave, og Safari (Apple).

Konkurrentene til Chrome har nemlig som standard mer innebygget beskyttelse og vil i de fleste tilfeller blokkere cookies fra markedsføringsselskaper og analysebyrå.

Nettlesertilleggene Privacy Badger og Ublock Origin gir også en ekstra beskyttelse, og er noe spesielt Chrome-brukere bør vurdere.

INNBYGGET BESKYTTELSE: Flere nettlesere har nå innbygget sporingsbeskyttelse. Man kan få flere detaljer ved å trykke på ikonet for i toppen av nettleseren. Illustrasjon: Martin Gundersen / NRK

Den amerikanske ideelle organisasjonen Consumer Reports har også en grundig veileder på engelsk med tilpassede råd for ulike enheter og behov.

Les også Christine Jensens kommentar Jeg er så kvalm av cookies
Les også NRKbetas guide om å begrense sporing av din mobil

37 kommentarer

  1. Hei, bra artikkel, men kanskje en ide å nevne den utmerkede *norske* nettleseren Vivaldi som også har innebygget tracker-blokkering.
    vivaldi.com/blog/built-in-tracker-blocker-vivaldi/

    Også verdt å merke seg at Google/Chrome kommer til å fase ut bruk av tredje-parts cookies fremover. Ikke at det kommer til å stoppe nettsporing, det blir vel heller mer vanskelig for brukere å stoppe og føre til at Google vil ta over mer av markedet.
    eff.org/deeplinks/2021/03/googles-floc-terrible-idea

    Og når vi snakker om sporing, NRK.no bruker Google Analytics og Chartbeat. Så kan det diskuteres om det er sporing eller bare «statistikk» 🙂

    Svar på denne kommentaren

    • Jonas (svar til Stian)

      Meningen med GDPR var aldri å få slutt på datainnsamling. Meningen var å fortsette med det på en måte der man kan si at «brukerne har et valg». Norske myndigheter som forbrukerråd og datatilsyn har sviktet forbrukerne på en måte som er ganske dramatisk.

      Nå er det å forvente at det tas tak, f.eks. en «standard» knapp med: «Ingen data samles inn» og så kan man fortsette å lese.

      Noen snakker om «nødvendige data» som skal samles inn. Retorikken er god, men det er jo bedrag som forsøker å legitimere datainnsamling.

    • Martin Gundersen (NRK) (svar til Stian)

      Hei!
      Sporingen er til statistikk. Jeg hadde nok ikke tatt det med i saken om statistikken utelukkende var basert på serverlogger eller lignende.

    • Martin Gundersen (NRK) (svar til Sporris)

      Vi elsker å møte oss selv i døra! Men joda, vi forsøker å være åpne om hva som skjer på nettsidene våre. Det er noe nettsporing på NRKbeta og NRK.

  2. Nkom har uttalt at det er en forutsetning for bruk av informasjonskapsler at sluttbrukeren har samtykket til bruken. Ifølge Nkom vil en forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler/cookies anses som samtykke. Det er tilstrekkelig at brukeren samtykker én gang for det samme formålet. Brukeren skal til enhver tid ha mulighet til å trekke tilbake sitt samtykke.

    Dersom informasjonskapsler behandler personopplysninger, vil personopplysningsloven og personvernforordningen komme til anvendelse. Opplysninger som kan samles inn gjennom informasjonskapsler og lignende teknologier vil ofte identifisere en enkeltperson via dens enhet(er), og da utgjør de personopplysninger i tråd med personvernforordningen artikkel 4 nr. 1.

    Der det foreligger tvil om hvorvidt en informasjonskapsel lagrer eller behandler opplysninger som faller inn under ekomloven § 2-7b, eller om det er behandling av personopplysninger anbefaler Nkom at en bør velge samtykke etter personopplysningslovgivningen (samtykke i tråd med GDPR) for å være på den sikre siden.

    Så fremst at brukeren kan spores over flere andre tjenester, for eksempel Facebook, Google og TikTok er det mest sannsynlig tale om behandling av personopplysninger. Det samme vil gjelde i de fleste tilfeller av anonymisering eller pseudonymisering av IP. Dette vil si at opt-out via nettleserens innstillinger vil nok ikke være tilstrekkelig.

    Svar på denne kommentaren

    • Anon (svar til Hark)

      Det er personopplysninger, men e-Privacy direktivet har forrang (jf. art. 95 i personvernforordningen). Problemet her er den klossete implementeringen av ekomloven §2-7b i sammenheng med det gamle kommunikasjonsverndirektivet og forholdet til endringsdirektivet som ikke er implementert i norge, men som setter samtykke som krav for å plassere informasjonskapsler (bl.a.).

    • Nils J. Langtvedt (svar til Hark)

      NKOM: «Ifølge Nkom vil en forhåndsinnstilling i nettleser om at brukeren aksepterer informasjonskapsler/cookies anses som samtykke.»

      Etter personverforordningen (PVF) artikkel 6 skal behandlingen av personopplysninger gjøres etter samtykke, med mindre en anne bestemmelse i art. 6 kan anvendes.

      Dette er utdypet i fortalen («forarbeidene») nr. 32: «Taushet, forhåndskryssede bokser eller inaktivitet bør ikke utgjøre et samtykke.»

      Samtykket skal være frivillig, PVF art. 4 nr. 10. Etter fortalens nr. 42 [skal] «samtykket […] ikke anses frivillig dersom den registrete ikke har reell valgfrihet,…».

      Så vidt jeg kan forstå er NKOMs kommentar ikke korrekt i henhold til pvf.

    • Hark (svar til Hark)

      Det Nkom sier er at opt-out er måten å gå dersom det ikke er tale om behandling av personopplysninger. Dersom det er tale om behandling av personopplysninger er det samtykke etter GDPR som gjelder. Ved tvil om det er tale om behandling av personopplysninger så bør en velge samtykke etter personopplysningslovgivningen (samtykke i tråd med GDPR) for å være på den sikre siden. nkom.no/internett/informasjonskapsler-cookies

      Det ser ut det ikke blir drøftet om det er tale om behandling av personopplysninger eller ikke.

    • Hark (svar til Hark)

      *Det ser ut som det ikke er blitt drøftet om det er tale om behandling av personopplysninger.

  3. Old man Grumpy

    De forteller meg at de bruker cookies, ikke at de vil bruke cookies mot meg. Jeg har ikke noe problem med at de bruker cookies.

    Hadde de fremmet valget om å få brukt cookies mot meg eller ikke, som er noe helt annet, ville jeg av naturlige årsaker trykket på ikke faen.

    Svar på denne kommentaren

  4. Dette irriterer meg grenseløst. På engelskspråklige sider får man (som regel) valget mellom å si ja eller si nei, ofte «reject all». Mens på norske sider kan man kun klikke «ja» eller bli veiledet til en masse blablabla. Dessuten, hvis jeg gjør som de foreslår og skrur av funksjonene i selve nettleseren, så blir telefonen grinete og sender flere daglige meldinger om at den vil skru på funksjonene.

    Har sendt skarp e-post til en rekke norske nettsider og nettbutikker om dette, men de gidder ikke svare, en gang. Rett og slett frekt.

    Svar på denne kommentaren

    • Ivar Kolbeinsvik (svar til IC)

      At man kan velge «Reject all» betyr IKKE at man ikke blir sporet. Om man trykker seg inn ser man som regel at flere selskaper behandler blant annet lokasjonsdata med grunnlag i berettiget interesse, og dette vil ikke påvirkes av å trykke på «Reject all».

  5. Espen Brekke

    Hvorfor kan en ikke forby bruk av cookies som gjør at reklame dukker opp fra nettsteder jeg har besøkt? At nettsteder registrerer besøk på sidene sine er ok. Men at de registrerer at jeg har besøkt siden er ikke ok. Dersom jeg ønsker et forhold til en nettside så får jeg bli kunde, medlem eller lignende og akseptere vilkår. All annen surfing på nett burde vært beskyttet av personvern, vi har solgt sjela våres for lenge siden. Hverken aviser, sosiale medier eller andre nettsteder bør få lov å pushe reklame fra andre nettsteder jeg har besøkt. Vi går med skylapper foran øynene som dumme kveg. Myndighetene må begrense dette.
    Dersom politiet mistenker og ønsker å se om jeg gjør noe ulovlig på nett, så kan de gjerne gjøre det. Og har lovhjemmel som kan benyttes som i dag. Helt greit. Men at min nettsurfing er en kommersiell greie totalt uten personvern er ikke greit.

    Svar på denne kommentaren

  6. Bruker uBlock origion med Nano defender tillegget (for å omgå omgåelsen av din adblock) samt privacy badger, sponsor block og facebook container.

    Har ikke sett en eneste reklame på årevis og er godt fornøyd med det.

    Svar på denne kommentaren

  7. Mats-Jørund

    Ekom er én del av det relevante lovverket, mens det som kanskje er mer relevant er Personopplysningsloven.

    lovdata.no/dokument/NL/lov/2018-06-15-38/*#KAPITTEL_gdpr-4-4

    Jeg har ikke gått jus, men der står det ganske svart på hvitt hvordan disse praksisene er lovstridige. Jeg har også tatt for meg litt av Teknisk Ukeblad og NRK sine praksiser her.

    web.tresorit.com/l/Usl95#FDLOrWluNtcbawU2BXELsg

    twitter.com/Phi_Fallacy/status/1351992476182179846

    Hvis noen med jusbakgrunn mener at dette ikke stemmer så hører jeg gjerne fra dem, fordi jeg kan ikke skjønne annet enn at både TU og NRK bryter rimelig heftig med Personopplysningsloven i praksisene sine.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Mats-Jørund)

      Det er nokså komplisert hvordan ulike lover og forordninger fungerer sammen.

      Jeg kan ikke svare for NRKs praksis, men jeg forstår det slik at NRK lener seg på Nkoms fortolkning av Ekom-loven som sier at et passivt samtykke er godt nok i dette tilfellet.

      Den samme fortolkningen har de fleste mediehus i Norge gjort.

    • Mats-Jørund (svar til Mats-Jørund)

      Ekom-loven er en mye mer generell lov som handler om mye mer enn bare personvern, og er ikke loven man burde henvise til i disse sammenhengene. I §2 i Personopplysningsloven står det:

      «Bestemmelsene i personvernforordningen går i tilfelle konflikt foran bestemmelser i annen lov som regulerer samme forhold, jf. EØS-loven § 2.»

      Ganske utvetydig.

      Det stemmer at de fleste mediehus har tolket loven slik. Jeg kan ikke forstå annet enn at det er en feiltolkning. Nøyaktig hvordan de har landet på den tolkningen skal jeg unngå å spekulere i – det kan variere fra det naive til det kyniske – men i uansett tilfelle er mediehusene sin tolkning mindre interessant for meg enn f.eks. Datatilsynet sin:

      datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/veileder-om-behand…

      (De verste bruddene av NRK jeg fant etter mye live-debugging av koden i nettlesern er lista opp her:
      twitter.com/Phi_Fallacy/status/1352690571542933505 )

    • Mats-Jørund (svar til Mats-Jørund)

      Hvorvidt NRK bryter eller ikke bryter loven ligger naturligvis ikke på dine skuldre, da. Beklager hvis jeg fremstår som litt aggressiv. Jeg er bare frustrert over hvor tafatt og/eller kynisk IT-bransjen er når det kommer til personvern.

  8. Jon Teigland

    Har irritert meg over samtykke-systemet til Schibsted og Aftenposten i lengre tid. Har begynt å abonnere på vevsidene til to amerikanske aviser. Samtykkesystemet der er forbilledlig og ytterst enkelt å velge bort annet en funksjonelle ledetråder. Det var også meget enkelt å også velge bort annonser. Skal ikke abonnere på norske aviser eller tidsskrift som «lurer» brukerne slik det er vanlig nå.

    Svar på denne kommentaren

  9. At man må logge inn med en bruker hos Amedia for å lagre innstillinger irriterer meg grenseløst, og jeg forstår ikke at dette er riktig etterlevelse.
    Savner knapper som «kun nødvendige» eller «avslå all sporing».
    De gjør det altså umulig for oss med vilje.

    Svar på denne kommentaren

  10. Effekten av hvordan GDPR har blitt implementert har gjort det vanskeligere for forbrukere å forholde seg til disse samtykkene. Antallet har blitt så stort at man rett og slett ikke rekker å sette seg inn i hver av dem. Brukere går i metning og trykker «aksepter» på alt. Da vil jeg nesten si at GDPR har mistet sin ønskede effekt.

    Jeg har i alle år prøvd å lære opp min eldre far til ikke å trykke på popups for å unngå risiko for å utilsiktet installere eller laste ned skadevare. På grunn av det massive antall akseptdialoger over alt, er dette prinsippet gått helt i vasken.

    Svar på denne kommentaren

    • Torleif (svar til Svein S)

      This. So much this. Jeg synes helt seriøst disse cookie gdpr «samtykke»-boksene er den mest idiotiske løsningen som kunne vært kommet på.

      Boksene har mange steder blitt så kompliserte og innvikla at jeg bare ikke orker å sette meg inn i dem lengre. Trykker nå accept/reject mer basert på jeg faktisk trenger nettsiden eller ikke, heller enn hva de sier. Skulle ikke forundre meg om en nå sier «ja» til mye mer enn det en faktisk kunne bli utsatt for tidligere. Men siden nettsteder nå kan «få samtykke» for nesten hva det skal være, hva stopper dem i å ha bare verre praksis enn før?

    • Frode Guribye (svar til Svein S)

      Ja. Enig. Disse samtykkeboksene er en dårlig løsning. Av en eller annen grunn ble det en de facto tilpasning til GDPR. Saken blir ikke bedre av at de bruker villedende design. Hvis du vær gang fikk presentert: kan vi samle data om deg? Ja eller Nei?, hadde det vært litt bedre. Jeg tenker at spesielt avisene og andre sider som tilbyr pålogging og andre tjenester, kan forbeholde sporingen til de av kundene som er logget inn og har gitt sitt aktive samtykke. Det finnes, tross alt, mange legitime grunner for å spore brukerne sine.

    • Frode Guribye (svar til RQ)

      Veldig bra – spot on. Denne type argumentasjon fra Schibsted og Amedia holder ikke.

  11. Beklager, du kan ikke bruke internett uten å bli overvåket i hytt og pine.

    Datamaskin- eller mobilleverandøren, operativsystemleverandøren, nettleseren, teleleverandøren, Google Analytics, Amazon AWS, Cloudflare, Big Data, den amerikanske mafiaen (som noen vil hevde er deleier i Schibsted), kommersielle selskaper generelt, individuelle nettsteder osv. samler informasjon om deg på en nådeløs måte, og tvinger deg til både selvsensur og å ha et dømmende damoklessverd og/eller en Kafka-prosess hengende over deg til evig tid.

    Det er ingenting du kan gjøre med dette, og det kommer aldri til å gå vekk. De har satt foten i døråpningen, tvunget opp døren, og invadert og tatt over hele hjemmet ditt. Og sånn blir det bare.

    Svar på denne kommentaren

  12. En greide til slutt å bli enige om enkelte prinsipper for personvern på nettet, men innføring av prinsipper og krav kunne vært bedre. F.eks, hvorfor ikke kreve at opplysninger og valgmuligheter skal komme opp der en i dag bare får presentert agree/reject/details. Rett over der jeg skriver inn dette står det: «Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.» Hvorfor ikke i stedet lage en liten boks som viser med avhuking de valg som ligger inne om deg, og mulighet for å hake av/på det en ønsker. Dette bør komme fram som info/valg i stedet for den måten det fungerer i dag.

    Svar på denne kommentaren

  13. Sven Erik Larsen

    Problemet er at det ikke finnes noen helt konkret lovbestemt praksis, men heller et noe vagt lovverk som er åpen for tolkning. Jeg har inntrykk av at de som er usikre, men som vil være helt på den sikre siden ordner med et forstyrrende cookiebanner som etter min mening ødelegger for flyten i nettsurfing, men de som setter seg inn i regelverket putter en lenke i bunnen av siden eller liknende som er synlig og lett tilgjengelig, men som ikke forstyrrer.

    Og så er det sånn at personvern og GDPR defineres litt forskjellig fra personopplysningsloven, noe som bidrar til ytterligere tolkning. At man som besøkende på en side bidrar til at besøksstatistikken går opp, hvordan man navigerer på nettsiden og hvor lenge man blir der er ikke personopplysninger. Men om man blir logget med ip, browser id, somed-konto eller annen identifiserbar informasjon, er det personopplysninger. Begge deler avhenger av cookies.

    Et stort problem som også bør nevnes er ulv-ulv prinsippet som gjør seg mer og mer gjeldende. Hvor mange av oss er det som for eksempel leser igjennom lisensavtale for installasjon av programvare eller opprettelse av konto på diverse tjenester? Jeg tror de aller fleste hopper rett til «Godta og gå videre» uten videre ettertanke. Det samme skjer med cookie bannere. Jeg tror at folk flest på Internett som regel ikke orker tanken på å ta seg tid til å lese igjennom masse informasjon om cookies og personvern på hver eneste side de møter, og klikker bort forstyrrende bannere umiddelbart uten å tenke seg om. Gjør man det mange nok ganger, blir det en refleks. Jeg tror det også er derfor de fleste tydeliggjør OK/GODTA/LUKK knappene i sine bannere.

    Vi trenger en bransjestandard fastsatt ved lov, slik at brukeropplevelsen blir mer eller mindre konsekvent på norske nettsider. Jeg mener som NKOM at en lenke nederst på nettsiden med all informasjon man trenger om cookies og personvern bør være nok.

    Eller så kunne nettleseren har et lite varsel på lik linje som https-hengelåsen, hvor nettsideeiere kan føre opp informasjon i koden på nettsiden som dukker opp når man klikker på varselikonet, og gradere sine cookies etter hvor invaderende de er for personvernet. Klikker man på hengelåsen i dag får man se teknisk info om alle cookies på nettstedet man besøker, hva med å videreutvikle det til noe som er forståelig for alle?

    Uansett ønsker jeg at personvernforkjempere finner en mer intuitiv måte å opplyse folk på uten at det skal ødelegge for design, helhetsinntrykk og navigasjonsflyt på nettet.

    Jeg tenker på det litt som å navigere i bil. Tenk om det hadde vært rødt lys i alle lyskryss hele tiden og om rundkjøringer ikke eksisterte. Da hadde jeg blitt lei av å kjøre bil rimelig fort.

    Svar på denne kommentaren

  14. Nesten komisk med sidene som kommer med at ‘vi bryr oss om personvern’. Klikk derfor her for å akseptere at vi overvåker og sporer deg ellers får du ikke komme inn’.

    Nå er det heldigvis mange ting til Firefox som gjør at slike popups forsvinner, og andre som automatisk sletter cookies. Selv bruker jeg en knapp som rensker alt og klikker på den med en gang jeg er ferdig med en side.

    Svar på denne kommentaren

  15. Frode Guribye

    Som en av forskerne bak dette studiet, så må jeg si jeg er litt overrasket over Schibsted og Amedia sine svar. Vi sendte en kronikk til Aftenposten om dette før jul. Da brukte de fremdeles denne «vi bryr oss om ditt personvern» formuleringen. Vi brukte deres eget sprettoppvindu som eksempel på villedende design (dark patterns). Kronikken ble kjapt refusert, vi prøvde så BT og en rekke andre aviser, uten hell. Nå har Schibsted endret sin praksis og har denne mer informative teksten de har nå (vi har dokumentert praksis fra sommeren 2019 og våren 2020 i vårt studie – dataene er åpent tilgjengelig). Det er sikkert en tilfeldighet, men at dette tidligere ikke har handlet om å hente samtykke er ikke troverdig – fra det øyeblikk GDPR trådde i kraft ble vi alle teppebombet med disse samtykkeboksene. Hva var i så fall hensikten? Ikke bare er det utrolig dårlig design og ødelegger mye for brukeropplevelsen, det har også vært brukt villedende design. Det er det vi har dokumentert i vårt studie. Vi fant det over hele linja. At vi mistolker eller feilbedømmer Schibsted er jeg ikke enig i. Vi har dokumentert hvilke type villedende design disse aktørene har benyttet seg av for å få samtykke fra sine brukere – hvis de aldri har behøvd å få samtykke, så kunne de lagt informasjonen nederst på siden uten at vi trenger å trykke «ok» eller «jeg forstår». At dette handler om samtykke er en antakelse vi har gjort i vårt studie – og jeg synes fremdeles det er en rimelig tolkning. I Danmark ble det gjort en endring på dette våren 2020. Hvor nettsteder ble pålagt å benytte seg av samtykkebokser uten villedende design (etter kritikk fra forskere i vårt fagfelt).
    Villedende design er noe som blir hyppig benyttet på nettet – og hvis Schibsted og andre vil endre på dette, så synes jeg vi har kommet et steg videre. Vi har ikke kommentert ekomloven eller NKOM sine retningslinjer, slik Amedia sin representant påstår – vi har tatt utgangspunkt i en av hovedintensjonene i GDPR – at man skal gi aktivt samtykke. Hvis Amedia ikke synes brukerne deres bør kunne gi aktivt samtykke før de samler data om dem, så får de stå for det (uansett hva ekomloven sier).

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.