Stop cookiemonsteret

DIGITAL OMSTILLING Hver gang vi åbner et nyt website, skal vi give samtykke til, at der bliver brugt cookies. Det skal beskytte vores privatliv – men i praksis er der ingen, der har kræfter eller indsigt til at tage bevidst stilling. En tysk forsker kalder det et ”skuespil om samtykke” – consent theatre.

Peter Hesseldahl

Det er halvvejs oppe ad formiddagen, og jeg har allerede opgivet min plan om at tælle, hvor mange gange jeg i dag skal trykke 'Accepter' til de pop op-vinduer, der dukker op i ét væk, når jeg surfer rundt på nettet. 

Jeg har ingen anelse om, hvad jeg har nået at sige ja til, siden jeg satte mig ved skærmen i morges. Jeg aner ikke, hvilke informationer der bliver indsamlet, hvor længe de bliver liggende, hvem der får adgang til informationerne, hvilke andre data de vil blive kombineret med, og hvad de vil blive brugt til fremover. 

Jeg er ikke blevet klogere endsige tryggere, jeg vil bare have lukket de mange cookie-bokse, så jeg kan komme videre i mit arbejde – det er lidt som at vifte fluer væk.   

Jeg opdaterede operativsystemet på min bærbare forleden, og derfor bliver jeg oveni bombarderet med advarsler og anmodninger fra alle de andre programmer, der er flettet sammen med den opdatering. Programmer med kryptiske navne og forkortelser beder om adgang til mine kontakter, min kalender og mine dokumenter. 

Igen har jeg ingen anelse om, hvad det går ud på, eller hvad konsekvenserne af mit 'OK' er. Jeg klikker bare og håber det bedste. Og det gør vi vist næsten alle sammen.

Jeg kender ingen, der læser betingelserne igennem, eller som forstår, hvad det indebærer, når jeg vælger, om jeg accepterer ”funktionelle”, ”statistiske”, ”marketing” eller ”nødvendige” cookies. 

Spil for galleriet

Det eneste, jeg egentlig får ud af de mange advarsler, er følelsen af mistillid og magtesløshed. Det er selvfølgelig godt at blive husket på, at der altid er nogen, der kigger os over skulderen, når vi bruger internettet, men det bliver meningsløst, når jeg ikke ved, hvordan jeg skal handle på den viden – eller om jeg overhovedet kan gøre noget ved det. 

Den tyske forsker Martin Degeling fra Ruhr Universität i Bochum har specialiseret sig i at studere online tracking og profilering. Han kalder det ”consent theatre”: 

”Alle siger, at det er vigtigt, at vi har gennemskuelighed og frihed til at bestemme over vores data, men det er et skuespil. I virkeligheden er der ingen, der gider engagere sig i det. Vi taler med store bogstaver om, at brugerne skal give et ”informeret samtykke”. Det er noget, man kan gøre, hvis man eksempelvis er til lægen og får forklaret mulighederne for forskellige behandlinger. Men vi går ikke på nettet for at sidde og tage beslutninger om vores privatliv, det er sekundært, det er bare irriterende med alle de cookie-bokse, der popper up,” konstaterer Martin Degeling. 

Er der nogen tvivl om hvilken knap, websitet helst ser at du trykker på?

Rendyrket nudging

Sammen med et hold af forskere har Martin Degeling gennemgået cookie-bokse fra tusindvis af websites. Et af de gennemgående træk er, at tjenesterne bruger nudging

Ifølge GDPR-direktivet skal brugerne som default præsenteres for det valg, der giver den største databeskyttelse. Det vil sige, at brugerne aktivt skal tilvælge at give yderligere tilladelser – i fagsproget siger man, at brugerne skal opt-in

Men det er nærmest blevet en standard for pop op-boksene, at 'Accepter alle'- valget er fremhævet med en frisk grøn farve, og at de ekstra cookies, som websitet gerne vil have man accepterer, står klart – hvorimod 'Kun nødvendige'-knappen er dæmpet og grå.

I en situation, hvor brugeren bare gerne vil have boksen til at forsvinde, er det nemmeste at trykke på den store grønne knap – og dermed åbne for, at hele pakken af data kan registreres.  

GDPR forlanger også, at det skal være forklaret på en tydelig måde, hvad det er, man giver tilladelse til. Mange af de store websites har tydeligvis gjort sig meget umage med at forsøge at forklare forskellige former for cookies, og hvad de skal bruges til, og det er selvfølgelig prisværdigt. 

Men problemet er ikke, at et enkelt website lægger en cookie, men det samlede resultat, når alle de cookies, som forskellige webtjenester lægger på min computer, bliver forbundet, analyseret og sammensat til en detaljeret profil af nogle helt andre selskaber end de tjenester, jeg har besøgt. 

Mange websites gør det muligt at se listen over de tredjeparter, der har adgang til deres cookies. Det kan anbefales at tage et kig, og det gør et vist indtryk at se, hvor mange der får en del af kagen – brug eventuelt en tracker som Ghostery, der for hvert site, man besøger, skaber en liste over, hvem der lægger cookies. 

Men igen: Hvad hjælper det mig at få en liste over et par hundrede anonymt og udenlandsk klingende selskaber? Hvem af dem er det, der bestemmer, om der skal dukke reklamer op for den samme ferierejse, som jeg søgte på forleden på et helt andet website? 

Kompleksiteten bliver kun større fremover

Det kan blive endnu mere komplekst og uoverskueligt fremover. Jeg købte for nylig en smart kinesisk skrivebordslampe, der bad om adgang til mit wi-fi derhjemme, så jeg kan styre lampen via en app. Dér sagde jeg altså nej. 

Men der vil komme flere anmodninger; fra vaskemaskinen, plæneklipperen, højttalerne, bilen og badevægten. I takt med at alt og alle forbindes i internet of things og analyseres med kunstig intelligens, vil vi stort set hele tiden være under nøje observation. 

Så vi får i høj grad brug for at forstå, hvad der foregår, og for at kunne sige fra. Men samtidig bliver det blot endnu mere urealistisk, at vi hver især skulle kunne tage stilling til, hvilke data der må registreres. Det er et fuldtidsarbejde for professionelle eksperter.

Keep it simple

Der er hjælp på vej. EU-Kommissionen har et nyt e-privacy-direktiv under udarbejdelse, der specifikt skal regulere opsamlingen af data over internettet, og forhåbentlig vil det sikre, at der ikke opsamles og analyseres flere data om brugerne end nødvendigt. 

Det bagvedliggende princip for direktivet er privacy by default, altså at man som bruger skal kunne forvente, at websites som udgangspunkt kun indsamler de nødvendigste data. Derfor vil vi kun skulle tage stilling, når et website ønsker særligt detaljeret viden. Vi får se. 

Martin Degeling forventer også, at brugeren fremover vil kunne vælge det niveau af databeskyttelse, man ønsker på browserniveau. Så behøver man kun at give sit samtykke en enkelt gang, hvorefter det gælder for alle websites, som browseren tilgår. 

Den type filter findes allerede i form af adblocker software, der automatisk lukker af for reklamer og, for nogle programmers vedkommende, også sørger for at afvise cookie-bokse. Nogle browsere – først og fremmest Firefox og Brave – har indbygget funktioner til at bremse reklamer og cookies. 

For dem, der leverer indhold til nettet, er det en trussel, hvis brugerne blokerer for annoncer, for så er der ingen reklameindtægter til at betale for produktionen – medmindre man kan få brugerne til at betale for adgang. 

Den hollandske pendant til Danmarks Radio, NPO, har imidlertid gjort en overraskende opdagelse: Man behøver ikke at tracke brugerne og sælge deres profiler til tredjeparter for at kunne have gode annonceindtægter.

I reklamebranchen er antagelsen, at jo mere man ved om brugeren, des mere personligt målrettet og effektivt kan man reklamere. Men NPO er helt holdt op med at tracke brugerne – i stedet sælger man reklameplads ud fra, hvilket indhold der vises.

Det har vist sig, at NPO har kunnet sælge lige så mange reklamer, som da de brugte cookies. NPO kan endda beholde en større del af indtægterne, fordi de ikke skal lade salget gå igennem de selskaber, der formidler reklamesalg på basis af analyse af cookies.

Færre data og mindre kompleksitet kan åbenbart være med til at stoppe det vanvittige cookiemonster.


Få Mandag Morgens overskrifter direkte i din mail.

Tilmeld dig nyhedsbrevet nu

Få Mandag Morgens overskrifter direkte i din mail.

Tilmeld dig nyhedsbrevet nu