Bare klikk ja1

Du klikker deg inn på en nettside og et popup-vindu som dekker en god del av siden kommer til syne. Bare klikk ja så kan fortsette med det du holder på med, står det. Videre står noe med liten skrift og det er noen linker i teksten, men hvem har vel tid til det? Du trykker ja. Men vent litt, hva var det egentlig du nettopp samtykket til?

8. april pub­lis­erte NRK­be­ta en sak basert på vår studie, hvor vi doku­menter­er hvor­dan de aller fleste net­tavis­er bruk­er ville­dende design når de skal innhente sam­tykke for å sam­le data om sine brukere. Slikt sam­tykke blir som regel skaf­fet gjen­nom det vi har val­gt å kalle for sam­tykke­bokser: Pop­up-vin­duer på nettsider som i ulike grad informer­er om at de sam­ler data om deg og i ulik grad ber om god­kjen­nelse til dette. Vi analy­serte sam­tykke­bokser hos 300 skan­di­naviske og engel­skspråk­lige net­tavis­er og nettma­gasin­er og fant ville­dende design i 297 av dem.

Ville­dende design er design­strate­gi­er som benyttes for å mis­lede bruk­erne til å gjøre ting de ikke har inten­sjon om eller forstår, som for eksem­pel  å gi sam­tykke til uøns­ket datainnsam­ling. Blant de net­tavisene hvor vi fant ville­dende design var flere eid av mediekon­sernene Schib­st­ed og Ame­dia. Til Nrk­be­ta hevder de, på sin side, at de har blitt vur­dert på feil grunnlag da de ikke benyt­ter seg av sam­tykke­bokser, men det de kaller for infor­masjons­bokser. Videre sier de at de baser­er sin innhent­ing av sam­tykke til data­la­gring på Ekomloven og der­av “… har en prak­sis som ivare­tar de ret­ningslin­jene som er satt for cook­ies på en til­fredsstil­lende måte”, (Stig Fins­lo, direk­tør for utgiver­spørsmål og ekstern kom­mu­nikasjon i Ame­dia). Vi argu­menter­er at selv om mediekon­sernene men­er de oper­erer innen­for loven, så er dette ikke kun et juridisk anliggende. Etisk sett er dette en tvil­som prak­sis. I tråd med GDPR  men­er vi nettsider bør ha aktivt sam­tykke fra sine lesere hvis de skal sam­le personopplysninger. 

Informasjonskapsler og samtykke

De fleste nettsider bruk­er infor­masjon­skap­sler, også kjent som cook­ies. Infor­masjon­skap­sler er en liten tek­st­fil som lastes ned og lagres på net­tbruk­eren sin data­maskin når denne per­so­n­en besøk­er en nett­side som benyt­ter seg av denne typen teknolo­gi. Infor­masjon­skap­sler har muligheten til å lagre kryptert infor­masjon som bruk­eren har gitt, for eksem­pel bruk­er­navn og pas­sord, men også infor­masjon om per­so­n­ens Inter­nett-atferd og vaner.

Det er flere legit­ime grun­ner til at nettsider sam­ler data om bruk­erne sine: For å gjenkjenne deg, gjøre nettsi­den mer per­son­lig, for å levere mål­ret­tet reklame, eller for å selge infor­masjo­nen din videre til en tred­jepart. I løpet av som­meren 2018 ble man plut­selig møtt av utal­lige pop­up-vin­duer når man sur­fet på Inter­nett. Bak­grun­nen? ?The Gen­er­al Data Pro­tec­tion Reg­u­la­tion (GDPR), en forster­ket per­son­vernlov, trådte i kraft og krevde at brukere fra land i EU måtte gi ?eksplisitt sam­tykke? for at nettsider kunne sam­le data om dem. Disse sam­tykke­bok­sene skal sikre net­tbruk­eren sine ret­tigheter ved å sørge for at per­son­lig infor­masjon ikke sam­les uten godkjennelse.

I Norge er det ikke bare GDPR som reg­ulerer bruken av infor­masjon­skap­sler, vi har også Nasjon­al Kom­mu­nikasjon­s­myn­dighet (NKOM). NKOM er en statlig etat som blant annet for­val­ter loven om elek­tro­n­isk kom­mu­nikasjon, bedre kjent som ekomloven. Ekomloven omhan­dler regler for hvor­dan man skal håndtere infor­masjon­skap­sler på nett, og sier blant annet at pas­sivt sam­tykke er godt nok for et nettst­ed til å bruke infor­masjon­skap­sler til å sam­le data om bruk­erne sine. Det vil si så lenge en net­tbruk­er ikke har endret inter­net­tinnstill­in­gene sine til å avs­lå infor­masjon­skap­sler, så god­kjen­ner per­so­n­en nettsi­dens bruk av infor­masjon­skap­sler. Dette skiller seg tydelig fra GDPR som krev­er at bruk­eren aktivt god­kjen­ner bruken av infor­masjon­skap­sler, gjen­nom for eksem­pel å trykke på en “Aksepter”-knapp i en sam­tykke­boks. I okto­ber 2019 skrev Datatil­synet at grun­net de stren­gere kravene innen­for EU om hva som kreves av et sam­tykke skulle NKOM vur­dere om det var behov for en ny tolkn­ing “… av  hva som utgjør gyldig sam­tykke for å plassere cook­ies på norske nettst­ed­er”. Flere norske mediehus, blant annet Schib­st­ed og Ame­dia, belager seg på pas­sivt sam­tykke når det kom­mer til å sam­le data om bruk­erne sine. Det vil alt­så si at de ikke spør bruk­eren om de sam­tykker til at infor­masjon­skap­sler blir brukt til å sam­le data om dem (slik GDPR krev­er), men belager seg på at så lenge ikke bruk­eren har endret innstill­in­gene i sin net­tleser til å ikke tillate infor­masjon­skap­sler så sam­tykker man alt­så  til at det sam­les data om deg (beskrevet som pas­sivt sam­tykkei ekomloven). I sam­tale med NRK­be­ta sier Schib­st­ed at ikke ber sine besøk­ende om sam­tykke til å behan­dle deres per­son­op­plysninger, men heller gjør en egen­vur­der­ing om slik data­behan­dling er forholdsmes­sig. Vi forstår dette som om at de men­er at de ikke trenger å hente inn aktivt sam­tykke fra sine lesere for å sam­le inn per­son­op­plysninger, og vi er ikke så opp­tatt av om de kaller det sam­tykke­bokser eller informasjonsbokser.

Design er ikke nøytralt

Design er ikke nøy­tralt. Design kan støtte eller hin­dre bruk­eren i å ta valg som er i deres egen inter­esse. En rekke design­strate­gi­er blir brukt av nettsider og apper for å villede bruk­erne til å gjøre ting de ikke har inten­sjon om eller forstår. Disse strate­giene kan for eksem­pel være å gjøre et valg unød­vendig kom­plis­ert, å gi gjen­tat­te fore­spørsler om det samme, eller å fremheve et fore­trukket valg over andre. Vår analyse avdekket vi en rekke design­strate­gi­er som brukes til å omgå inten­sjo­nen til GDPR.

Hva bør man kunne forvente av en samtykkeboks?

Når det skal sam­les inn data om brukere av nettsider, som ofte skjer ved hjelp av infor­masjon­skap­sler, spe­si­fis­er­er GDPR at visse krav må inn­fris. Bruk­eren skal vite hva de sam­tykker til, det skal gis et eksplisitt sam­tykke, det skal være like lett å trekke tilbake et sam­tykke som det er å gi det, og du skal ha til­gang til tjen­esten også om du ikke gir sam­tykke. Vi synes at kravene til GDPR er et godt utgangspunkt for å dri­ve datainnsamling.

For å imøtekomme denne inten­sjo­nen må en sam­tykke­boks fork­lare hva man sam­tykker til med et enkelt og forståelig språk. Du må ha et reelt valg og ta dette aktivt — ikke bare for å få vekk en irriterende pop-up boks. Det skal også være designet slik at å avs­lå er like enkelt som å gi sin god­kjen­ning. Det er rik­tig­nok få ret­ningslin­jer i GDPR for hvor­dan et design kan imøtekomme disse kravene.

Net­tavis­er bruk­er mange kreative strate­gi­er for å omgå disse kravene. Blant annet fant vi i vår studie at det kan ta opp til 18 klikk for å avs­lå å bli sporet (noe som ofte bestod av veiled­ning til å endre innstill­in­gene i net­tle­seren din), mens det tar bare et klikk å sam­tykke. I over 60 pros­ent av net­tavisene, måtte man ha over 10 klikk for å avs­lå. En annen strate­gi som blir brukt er at man ikke spe­si­fis­er­er det avkref­tende svaret som “Nei” eller “Avs­lå”, men bruk­er vage uttrykk som “Les mer” eller “Endre innstill­inger”. Slike strate­gi­er bidrar til å gjøre det vanske­lig for bruk­eren å gi et eksplisitt og informert samtykke.

Det kan se ut som det er behov for ret­ningslin­jer for hvor­dan man skal designe sam­tyk­keerk­læringer for å hedre inten­sjonene i GDPR. Sam­tidig vil ikke slike ret­ningslin­jer fun­gere om ikke de følges. Det bør myn­dighetene kon­trollere. Det er tydelig at det eksis­ter­er en ukul­tur når det gjelder design av sam­tykke­bokser. Det er enkelt å designe en løs­ning som gjør det lett for bruk­eren å ta et informert valg. Selv om vi gjerne skulle vært foruten disse lite bruk­er­vennlige sam­tykke­bok­sene, har vi tatt oss fri­heten til å designe et forslag til hvor­dan en slik boks bør se ut (se bilde). Vi opp­for­dr­er alle net­tavis­er og andre nettsider til å følge denne mod­ellen, selv om dette kan føre til at flere vel­ger å avs­lå forespørselen.

11 og denne irriterende pop­u­pen forsvinner

INGEN KOMMENTARER

Kommentarfeltet til denne artikkelen er nå stengt. Ta kontakt med redaksjonen dersom du har synspunkter på artikkelen.

til toppen