Bare klikk ja1

8. april pub­lis­erte NRK­be­ta en sak basert på vår studie, hvor vi doku­menter­er hvor­dan de aller fleste net­tavis­er bruk­er ville­dende design når de skal innhente sam­tykke for å sam­le data om sine brukere. Slikt sam­tykke blir som regel skaf­fet gjen­nom det vi har val­gt å kalle for sam­tykke­bokser: Pop­up-vin­duer på nettsider som i ulike grad informer­er om at de sam­ler data om deg og i ulik grad ber om god­kjen­nelse til dette. Vi analy­serte sam­tykke­bokser hos 300 skan­di­naviske og engel­skspråk­lige net­tavis­er og nettma­gasin­er og fant ville­dende design i 297 av dem.

Ville­dende design er design­strate­gi­er som benyttes for å mis­lede bruk­erne til å gjøre ting de ikke har inten­sjon om eller forstår, som for eksem­pel  å gi sam­tykke til uøns­ket datainnsam­ling. Blant de net­tavisene hvor vi fant ville­dende design var flere eid av mediekon­sernene Schib­st­ed og Ame­dia. Til Nrk­be­ta hevder de, på sin side, at de har blitt vur­dert på feil grunnlag da de ikke benyt­ter seg av sam­tykke­bokser, men det de kaller for infor­masjons­bokser. Videre sier de at de baser­er sin innhent­ing av sam­tykke til data­la­gring på Ekomloven og der­av “… har en prak­sis som ivare­tar de ret­ningslin­jene som er satt for cook­ies på en til­fredsstil­lende måte”, (Stig Fins­lo, direk­tør for utgiver­spørsmål og ekstern kom­mu­nikasjon i Ame­dia). Vi argu­menter­er at selv om mediekon­sernene men­er de oper­erer innen­for loven, så er dette ikke kun et juridisk anliggende. Etisk sett er dette en tvil­som prak­sis. I tråd med GDPR  men­er vi nettsider bør ha aktivt sam­tykke fra sine lesere hvis de skal sam­le personopplysninger. 

Informasjonskapsler og samtykke

De fleste nettsider bruk­er infor­masjon­skap­sler, også kjent som cook­ies. Infor­masjon­skap­sler er en liten tek­st­fil som lastes ned og lagres på net­tbruk­eren sin data­maskin når denne per­so­n­en besøk­er en nett­side som benyt­ter seg av denne typen teknolo­gi. Infor­masjon­skap­sler har muligheten til å lagre kryptert infor­masjon som bruk­eren har gitt, for eksem­pel bruk­er­navn og pas­sord, men også infor­masjon om per­so­n­ens Inter­nett-atferd og vaner.

Det er flere legit­ime grun­ner til at nettsider sam­ler data om bruk­erne sine: For å gjenkjenne deg, gjøre nettsi­den mer per­son­lig, for å levere mål­ret­tet reklame, eller for å selge infor­masjo­nen din videre til en tred­jepart. I løpet av som­meren 2018 ble man plut­selig møtt av utal­lige pop­up-vin­duer når man sur­fet på Inter­nett. Bak­grun­nen? ?The Gen­er­al Data Pro­tec­tion Reg­u­la­tion (GDPR), en forster­ket per­son­vernlov, trådte i kraft og krevde at brukere fra land i EU måtte gi ?eksplisitt sam­tykke? for at nettsider kunne sam­le data om dem. Disse sam­tykke­bok­sene skal sikre net­tbruk­eren sine ret­tigheter ved å sørge for at per­son­lig infor­masjon ikke sam­les uten godkjennelse.

I Norge er det ikke bare GDPR som reg­ulerer bruken av infor­masjon­skap­sler, vi har også Nasjon­al Kom­mu­nikasjon­s­myn­dighet (NKOM). NKOM er en statlig etat som blant annet for­val­ter loven om elek­tro­n­isk kom­mu­nikasjon, bedre kjent som ekomloven. Ekomloven omhan­dler regler for hvor­dan man skal håndtere infor­masjon­skap­sler på nett, og sier blant annet at pas­sivt sam­tykke er godt nok for et nettst­ed til å bruke infor­masjon­skap­sler til å sam­le data om bruk­erne sine. Det vil si så lenge en net­tbruk­er ikke har endret inter­net­tinnstill­in­gene sine til å avs­lå infor­masjon­skap­sler, så god­kjen­ner per­so­n­en nettsi­dens bruk av infor­masjon­skap­sler. Dette skiller seg tydelig fra GDPR som krev­er at bruk­eren aktivt god­kjen­ner bruken av infor­masjon­skap­sler, gjen­nom for eksem­pel å trykke på en “Aksepter”-knapp i en sam­tykke­boks. I okto­ber 2019 skrev Datatil­synet at grun­net de stren­gere kravene innen­for EU om hva som kreves av et sam­tykke skulle NKOM vur­dere om det var behov for en ny tolkn­ing “… av  hva som utgjør gyldig sam­tykke for å plassere cook­ies på norske nettst­ed­er”. Flere norske mediehus, blant annet Schib­st­ed og Ame­dia, belager seg på pas­sivt sam­tykke når det kom­mer til å sam­le data om bruk­erne sine. Det vil alt­så si at de ikke spør bruk­eren om de sam­tykker til at infor­masjon­skap­sler blir brukt til å sam­le data om dem (slik GDPR krev­er), men belager seg på at så lenge ikke bruk­eren har endret innstill­in­gene i sin net­tleser til å ikke tillate infor­masjon­skap­sler så sam­tykker man alt­så  til at det sam­les data om deg (beskrevet som pas­sivt sam­tykkei ekomloven). I sam­tale med NRK­be­ta sier Schib­st­ed at ikke ber sine besøk­ende om sam­tykke til å behan­dle deres per­son­op­plysninger, men heller gjør en egen­vur­der­ing om slik data­behan­dling er forholdsmes­sig. Vi forstår dette som om at de men­er at de ikke trenger å hente inn aktivt sam­tykke fra sine lesere for å sam­le inn per­son­op­plysninger, og vi er ikke så opp­tatt av om de kaller det sam­tykke­bokser eller informasjonsbokser.

Design er ikke nøytralt

Design er ikke nøy­tralt. Design kan støtte eller hin­dre bruk­eren i å ta valg som er i deres egen inter­esse. En rekke design­strate­gi­er blir brukt av nettsider og apper for å villede bruk­erne til å gjøre ting de ikke har inten­sjon om eller forstår. Disse strate­giene kan for eksem­pel være å gjøre et valg unød­vendig kom­plis­ert, å gi gjen­tat­te fore­spørsler om det samme, eller å fremheve et fore­trukket valg over andre. Vår analyse avdekket vi en rekke design­strate­gi­er som brukes til å omgå inten­sjo­nen til GDPR.

Hva bør man kunne forvente av en samtykkeboks?

Når det skal sam­les inn data om brukere av nettsider, som ofte skjer ved hjelp av infor­masjon­skap­sler, spe­si­fis­er­er GDPR at visse krav må inn­fris. Bruk­eren skal vite hva de sam­tykker til, det skal gis et eksplisitt sam­tykke, det skal være like lett å trekke tilbake et sam­tykke som det er å gi det, og du skal ha til­gang til tjen­esten også om du ikke gir sam­tykke. Vi synes at kravene til GDPR er et godt utgangspunkt for å dri­ve datainnsamling.

For å imøtekomme denne inten­sjo­nen må en sam­tykke­boks fork­lare hva man sam­tykker til med et enkelt og forståelig språk. Du må ha et reelt valg og ta dette aktivt — ikke bare for å få vekk en irriterende pop-up boks. Det skal også være designet slik at å avs­lå er like enkelt som å gi sin god­kjen­ning. Det er rik­tig­nok få ret­ningslin­jer i GDPR for hvor­dan et design kan imøtekomme disse kravene.

Net­tavis­er bruk­er mange kreative strate­gi­er for å omgå disse kravene. Blant annet fant vi i vår studie at det kan ta opp til 18 klikk for å avs­lå å bli sporet (noe som ofte bestod av veiled­ning til å endre innstill­in­gene i net­tle­seren din), mens det tar bare et klikk å sam­tykke. I over 60 pros­ent av net­tavisene, måtte man ha over 10 klikk for å avs­lå. En annen strate­gi som blir brukt er at man ikke spe­si­fis­er­er det avkref­tende svaret som “Nei” eller “Avs­lå”, men bruk­er vage uttrykk som “Les mer” eller “Endre innstill­inger”. Slike strate­gi­er bidrar til å gjøre det vanske­lig for bruk­eren å gi et eksplisitt og informert samtykke.

Det kan se ut som det er behov for ret­ningslin­jer for hvor­dan man skal designe sam­tyk­keerk­læringer for å hedre inten­sjonene i GDPR. Sam­tidig vil ikke slike ret­ningslin­jer fun­gere om ikke de følges. Det bør myn­dighetene kon­trollere. Det er tydelig at det eksis­ter­er en ukul­tur når det gjelder design av sam­tykke­bokser. Det er enkelt å designe en løs­ning som gjør det lett for bruk­eren å ta et informert valg. Selv om vi gjerne skulle vært foruten disse lite bruk­er­vennlige sam­tykke­bok­sene, har vi tatt oss fri­heten til å designe et forslag til hvor­dan en slik boks bør se ut (se bilde). Vi opp­for­dr­er alle net­tavis­er og andre nettsider til å følge denne mod­ellen, selv om dette kan føre til at flere vel­ger å avs­lå forespørselen.

¹1 og denne irriterende pop­u­pen forsvinner