Måske er du en af dem, der, ligesom mig, ofte automatisk klikker ’OK’, når du besøger en ny hjemmeside, der spørger, om du kan leve med, at den bruger cookies.

Boksen kan virke irriterende.

Men der er faktisk en god grund til, at den er der.

For ifølge europæisk lov - den såkaldte persondataforordning - må hjemmesiderne ikke gemme cookies (der er en tekstfil) i din browser, medmindre du først accepterer det.

Hvad er persondataforordningen? Persondataforordningen, ofte kaldt GDPR, er en EU-lov, der har til hensigt at styrke beskyttelsen af personoplysningen i EU og generelt give individet ret til i højere grad at styre, hvilken data de ønsker at dele. Forordningen trådte i kraft i maj 2018, og som EU-land er Danmark forpligtet til at følge den. Herhjemme er det Datatilsynet, der håndhæver forordningen. Kilde: europa.eu

Men selv om hjemmesiderne har en cookieboks, overholder de sjældent lovgivningen.

Det konkluderer en ny undersøgelse, som Aarhus Universitet har lavet i samarbejde med Massachusetts Institute of Technology og University College London.

I undersøgelsen vurderer forskerne, at kun 11,8 procent af de 10.000 mest populære hjemmesider i Storbritannien overholdt tre centrale punkter i lovgivningen.

En af forskerne bag undersøgelsen er Midas Nouwens, som er ph.d. ved Aarhus Universitet.

Han vurderer, at et lignende billede ses i Danmark.

- Vi tilgik siderne fra en dansk IP-adresse, og der er et stort overlap mellem populære sider i Storbritannien og Danmark. Så er er absolut ingen grund til at tro, at det her ikke også er noget, danske netbrugere står overfor, siger han og fortsætter:

- Det betyder, at hele idéen med at indføre persondataforordningen ødelægges. Den enorme dataindsamling, som sker, bliver ikke bremset, hvis loven ikke håndhæves og overholdes.

Undersøgelsen er endnu ikke offentliggjort Artiklen her refererer til et såkaldt preview af undersøgelsen, som først offentliggøres i forbindelse med Computer-Human Interface (CHI) Conferencen til april. Undersøgelsen er dog blevet såkaldt peer-reviewed (på dansk: Fagfællebedømt) og accepteret af CHI, fortæller Midas Nouwens fra Aarhus Universitet.

Og han får opbakning af Jesper Lund, der er formand i IT Politisk Forening.

- Det overrasker mig på ingen måde, at så mange hjemmesider ikke overholder det her. Og de metoder, de anvender for at få os til at acceptere cookies, er langt fra noget, der bevæger sig i gråzonen. Det er ofte klokkeklart ulovligt.

Cookies samler data om dig

Virksomhederne bag hjemmesiderne bruger cookies for at få information om dig og din gøren på nettet.

Cookies samler nemlig data om dig.

De data kan bruges til at genkende dig og gøre hjemmesiden mere personlig for dig (for eksempel ved at huske dit brugernavn), næste gang du tjekker ind.

Men ofte bruger virksomhederne også dataene til at målrette reklamer til dig eller sælger din data videre til annoncører, der ønsker at målrette reklamer.

I maj 2018 valgte EU at indføre en ny persondatoforordningen for at bremse op for, hvor meget data virksomhederne får om os alle sammen. Blandt andet fra cookies.

- Der er relativt få, store virksomheder, primært fra USA, der samler større og større mængder data om os alle sammen. Og det kan virkelig give bagslag, forklarer Midas Nouwens.

Han henviser til, at de store virksomheders digitale overvågning og kendskab til hver enkelt af os efterhånden kan blive så stor, at vi reelt mister vores mulighed for privatliv.

Det skal være let at sige nej

Ifølge persondataforordningen skal accept af cookies serveres på en ganske bestemt måde, fortæller Midas Nouwens.

- Standard-indstillingen skal være, at du ikke får cookies, men at du kan tilvælge dem aktivt. Men ofte er det lige modsat: Du skal være ret ihærdig, og der skal langt flere kliks til for at fravælge i forhold til at acceptere cookies, siger han og fortsætter:

- Din tilgang til og oplevelse på hjemmesiden må heller ikke ændre sig, fordi du fravælger cookies. Medmindre du fravælger cookies, der er nødvendige for en bestemt service. Men det er fåtallet, der er det.

I undersøgelsen fra Aarhus Universitet viste det sig, at det ofte var gjort besværligt at sige nej til cookies, ligesom brugeroplevelsen blev værre, hvis de små digitale småkager blev valgt fra.

Færre vælger cookies, hvis de kan slippe let I en anden (og mindre) del af undersøgelsen så forskerne på, om brugerne agerede anderledes, hvis lovgivningen var overholdt. Det vidste sig, at flere valgte cookies fra, når cookieboksene så ud, som de bør, ifølge GDPR. For eksempel viste det sig, at antallet af mennesker, der klart valgte cookies fra, steg med 22-23 procent, hvis de i cookie-boksen med det samme kunne vælge cookies fra, og altså ikke skulle klikke sig vej til den mulighed. Der var dog kun 40 testpersoner i denne del af undersøgelsen. Kilde: Nouwens et al. 2020

Og så var det på mange hjemmesider ganske svært at forstå, om man nu reelt valgte cookies fra eller ej. Det omtales i undersøgelsen som 'dark patterns'.

- Det ser jeg også på danske hjemmesider. Det kan være svært for mig – selv om jeg har en større viden om området end de fleste – at regne ud, hvad jeg egentlig har sagt ja og nej til. Og det bruges af virksomhederne til at presse os til at sige ja til overvågningen, vurderer Jesper Lund fra IT Politisk Forening.

Myndighederne skal på banen

Jesper Lund fra IT Politisk Forening mener, at virksomhederne bag hjemmesiderne vil blive ved med at ignorere dele af GDPR, så længe, de kan.

De skal i gang med at give nogle påbud og bøder. Der er meget lidt tvivl tilbage i lovgivningen, især fordi der nu er kommet domme på de områder, hvor der før var fortolknings-problemer. Jesper Lund, IT Politisk Forening

- Undersøgelser viser, at langt de fleste, faktisk nærmest alle, ville vælge den her cookie-overvågning fra, hvis de bliver spurgt. Men paradoksalt nok siger stort set alle ja til cookies, fordi det er så svært at slippe for, siger han og fortsætter.

- Data fra cookies er penge værd for virksomhederne, så de lokker forbrugerne til at sige ja. Og det vil de blive ved med. Virksomhederne gør det jo, fordi der er penge i den nuværende model.

Jesper Lund har dog et bud på, hvem der kan ændre på situationen: Myndighederne.

I Danmark er det generelt Datatilsynet, der håndhæver persondataforordningen. Men når det kommer til lige præcis opbygningen af cookie-bokse, tager Erhvervsstyrelsen over.

- De skal i gang med at give nogle påbud og bøder. Der er meget lidt tvivl tilbage i lovgivningen, især fordi der nu er kommet domme på de områder, hvor der før var fortolkningsproblemer, mener Jesper Lund.

Erhvervsstyrelsen: Vi er ansvarlige på området

DR har kontaktet Erhvervsstyrelsen for at få en kommentar.

Styrelsen bekræfter i et skriftligt svar, at de er ansvarlige på området, og at det skal være umiddelbart tilgængligt at sige nej til cookies. De skriver videre.

- Erhvervsstyrelsen fører tilsyn med cookiereglerne og tager både sager op af egen drift, men behandler også konkrete henvendelser, hvor der klages over en hjemmesides brug af cookies.