

Ett år etter – hvordan står det til med personvernet?



25. mai 2018 er en historisk milepæl for europeisk personvern. Da trådte et nytt og omfattende lovverk kalt GDPR i kraft. Noen måneder senere, 20. juli, ble GDPR innlemmet i norsk lov.

Samtidig med denne lovendringen startet Erik Bugge å takke nei til samtykkemeldingene på alskens nettsteder han kom over.

Han anslår å ha takket nei til å la seg spore av markedsførere omtrent 2500 ganger, eller 7 slike hver dag. Og siden han ikke har takket ja spør nettsidene han igjen, og igjen om et ja.

Likevel mener han seg ikke hørt – fortsatt oppgir kun 27 prosent av registrerte aktører innen personaliserte annonser i Norge at han har sagt nei. Hele 34 prosent oppgir at han har samtykket til sporing, noe han selv nekter for.

Hele 56 prosent av selskapene som oppga å ha vært i kontakt med Bugge (71 av 116) mente at han hadde gitt sitt samtykke til sporing.

Bugge har brukt plattformen Your Online Choices til å sjekke hvorvidt han har samtykket til å la markedsførere samle inn data om han og gi ham personaliserte annonser. På deres nettsider står bransjeorganisasjonene INMA og IAB oppført med kontaktinformasjon.

Gammel portal, men ingen erstatter

Camilla Grund ved INMA Norge forteller at denne plattformen er drevet av European Interactive Digital Advertising Alliance (EDAA), ikke INMA eller IAB.

– Det er ingen initiativer på å bruke dette i Norge nå. Kort fortalt er dette en eldre løsning, som har sin opprinnelse fra USA, sier Grund.

På spørsmål om det finnes en ny portal, tjeneste, eller oversikt som oppfyller samme funksjon – et sted å se og velge sine samtykker – oppgir Grund at det ikke er planlagt.

Det begrunner hun med at en slik løsning ikke vil være «tilstrekkelig for å etterleve dagens lovverk» eller fungere med dagens økosystem.

Det nye rammeverket IAB og INMA arbeider med er rettet inn mot aktørene i økosystemet, ikke nettbrukerne.

Rammeverket kalt Transparency and Consent Framework (TCF) baserer seg på at nettbrukere kun forholder seg til dem de gir samtykke til (typisk nettsideeieren). Et eventuelt samtykke formidles videre til de andre aktørene i økosystemet – typisk annonseplattformer og markedsførere.

Kontekst, ikke persondata

Erik Bugge er en part i kampen om annonsemarkedets fremtid. Som sjef for Kobler, et lite firma innen det som kalles kontekstuell annonsering, ønsker han at dagens dominerende modell erstattes med en som ikke krever personlig data for å fungere.

Kobler bruker heller søkemotorteknologi til å putte mediehusenes artikler i ulike kategorier. Annonsørene velger dermed hvilket type innhold de vil vises sammen med.

Det kan for eksempel være at DNB vil vise annonser for huslån ved siden av artikler om boligutbygging, interiør, og sparing.

Annonsøren får vite hvor mange som ser og trykker på annonsene, men har ingen unike ID-er på nettbrukere eller benytter personaliserte interesseprofiler.

– Dette sprang egentlig ut av at vi jobbe med søk på stortinget.no og at vi var enige om at dagens ordning som bygger på at samtykke deles videre til ukjente aktører ikke fungerer, sier Bugge.

Han er helt sikker på at det i dag er norske annonsører som benytter informasjon som er ulovlig samlet inn.

– Eksperimentet mitt viser at privatliv på nett er kun for dem som har noe å skjule. Jeg tror det må komme store bøter mot annonsørene for at selve økosystemet skal bli bedre.

Automatisert nyhetsbrev fra NRKbeta Få et ping i postkassa hver gang vi publiserer noe interessant om teknologi eller medier!

Uenighet under samme tak

Tilfeldigheter skal ha det til at Koblers og INMAs kontorer er i samme bygg, 500 meter øst for Slottet.

I etasjen under Koblers kontor forsvarer Camilla Grund markedsførernes praksis.

– Det er viktig for oss at våre medlemmer kan drive forsvarlig og innenfor lovverket, sier hun, og legger til at alle er invitert inn i arbeidet med å forbedre dagens versjon av rammeverk. Også Erik Bugge.

Grund argumenterer for at versjon to av TCF-rammeverket, som nå er ute på høring, vil gi forbrukere mer innsyn og kontroll. Det vil blant annet være mulig i enkelte tilfeller å «protestere» mot at dine persondata behandles.

Vi har hatt personvernlover i Norge siden 90-tallet. De har vært ganske like GDPR …

– For markedsføringsbransjen er det likevel nokså nytt å forholde seg til den. Det var ingen av de norske aktørene som startet med personalisert reklame, sier Grund, og fortsetter:

– Det var amerikanske aktører som introduserte dette og gjerne uten hensyn på europeiske personvernlover. Det har skapt et press fordi de ikke har forholdt seg til norsk lov.

Om ikke annet kan Grund og Bugge være enige i akkurat dette – at pionerene innen moderne annonseteknologi aldri elsket europeiske personvernlover.

Les også: Norges største helsenettsted på sporingstoppen