Thomas Moen og Thomas Skavhellen deler våre tanker rundt netthandelens dynamiske verden. Vi tror en ukentlig oppdatering er nødvendig for deg som driver netthandel. Denne podcasten vil ha en mer uformell tilnærming enn tidligere podcast-prosjekter, og sikter mot en enklere og mer direkte dialog om aktuelle temaer innen netthandelssektoren. Vi prater også om annonsering på Meta (Facebook/Instagram), Google, Snapchat, TikTok med mer. Det kommer ut en ny episode hver onsdag.
Takk for at du vil prate med oss. Dette for meg er nesten en emergency broadcast. De siste månedene vi tar opp dette nå, 20.
mars 2024, så føler jeg at det er for stadig flere forvirrede og fortvilede nettbutikkeire inn i min inbox, så synes det er veldig vanskelig å forstå hva er reglene akkurat nå i forhold til Cookies, GDPR, alle disse tingene. Du er jo en person som lever over å hjelpe disse nettbutikkene med det, og også holder mye fordrag rundt dette, så du er flink til å forklare dette på en enklere måte, men som er korrekt. Det kommer jo nå noen endringer den 6. mars blant annet, Digital Service Act.
Basert på det, hvis vi begynner med Cookies, Cookies-consent, trykke ja, trykke nei, når skal man trygge pikseler, altså alle disse tingene, hva er det vi må forholde oss til her i Norge, hvis jeg kun opererer i Norge, og hva eventuelt er andre løsvis det skal oss ut til andre land i Europa i forhold til Cookies? Ja, når det gjelder Cookies, så kunne man jo sagt at det er annerledes regler i Norge enn i resten av EU, for det er det jo, men så er spørsmålet om det egentlig er det likevel når vi kommer et stykke ut i løypa her, så jeg skal forsøke å forklare dette kort og greit, hva er det cookies regler. I Norge så er det fortsatt som at det er tillatt å sette cookies uten at brukeren har gitt et samtykke, altså uten et cookies-banner, eller uten at jeg har klikket ja på knappen, eller huket av for markedsføring av cookies. Det er tillatt internt i Norge et norsk rett, kravet er at du informerer om at du setter cookies, og hvilken type cookies du setter, og hvilke data du behandler, og hvorfor du gjør det, formålet, det er et krav, men det kan du gjøre en cookies-reglering liksom, men du kan kjøre på med cookies uten et ekte samtykke i Norge, det er fortsatt.
Og da bare for å prøve å forenkle det, det vil si at Fjellsport er en stor nettbutikk, de kan trigge Google Analytics, Metapixel og andre ting når du laster siden i Norge, så lenge det står et eller annet sted at de har trigget disse cookiene. Nei, de kan ikke det, skjønner jeg. Det er derfor dette svaret egentlig er noe annet enn det høres ut som, fordi at i alle fall for pikselteknologi, så brukes jo dem til å samle eventdata på et nettsted, som rapporteres videre til utgiverne over piksel, som kan for eksempel være Meta eller TikTok, og det som skjer da er at persondata deles med en annen aktør som deretter behandler det videre, og da er det GDPR som gjelder, og da er det mager trøst at du hadde lov å sette cookieen uten et samtykke når data viderebehandles, fordi at cookies-reglene i både EU og Norge gjelder kun det å sette den cookien på brukernes utstyr og det å lese av cookien.
Den datagenerering du gjør, den viderebehandlingen av data som skjer utenfor cookien på brukernes utstyr, det er det GDPR som gjelder. Og for pikselteknologi så vil det nesten alltid være sånn at det kreves et samtykke etter GDPR-regler, og da har du ikke noe samtykke hvis du har brukt den norske modellen og satt cookien uten et samtykke. Fjellsport som en stor aktør, bare for å bruke det som et eksempel.
Hvis Fjellsport trigger cookies før jeg har trykket godta cookies i deres nettbutikk, så bryter de GDPR? Det kommer an på hvilke cookies som trigger spør i samtykket og hva de gjør for noe. Hvis det er førsteparts analytics cookies som samler inn data om mitt besøk som Fjellsport brukte i analytics, så kan det være at de kan forsvare det under GDPR-berettiget interessebehandlingsforlaget. Hvis vi tenker at det er et tredjeparts sporings cookies som deler data om mitt besøk med en hel gjeng annonsører og annonsnetverk, eller det er som dette også jobber sammen med Pixel som forer Facebook med data om mitt besøk, så er svaret at da er de i GDPR-trubbel hvis dette skjer før jeg har gitt dette samtykke.
Er det mange aktører som misforstår forskjellen på cookies og deler data og hva som er GDPR, og er det ganske normalt å være litt forvirret? Ja, det er ganske normalt å være litt forvirret, og det er jo veldig komplekt og vanskelig tilgjengelig, og særlig fordi de har disse særnorske reglene, så har det tilsyn i Norge heter NKOM, og de har jo aldri noensinne gitt noen veiledning på cookies-reglene heller, så jeg er oppgitt over de at ikke de har vært mer aktive. Datatilsynet ønsker å ta over tilsynsloven på cookies, og nå er det en lovendring på gang i Norge som har blitt ryggende hos Departementet nettopp fordi datatilsynet mener at de skal ta over ansvaret, og det er derfor det tar lang tid, men min tips er at i fremtiden så vil det være datatilsynet som er myndigheten på cookie, og da kommer det til å bli helt andre boller, for å si det på den måten. Det finnes jo ingen saker i Norge om cookie fra myndighetene, de har aldri gjort noen ting.
Det er egentlig et paradoks da, men i det øyeblikket til datatilsynet fra myndigheten så kommer det til å bli helt andre boller, da blir det saken med en gang. Mitt inntrykk er at det er forståelig mye forvirring rundt samspillet mellom cookies-reglene i Norge og GDPR, og det er ikke så rart heller fordi det er unødvendig kompleks og vanskelig, men når det er sagt så er også mitt inntrykk at flere og flere norske aktører har begynt å vise disse cookie-bannerne, hvor brukeren da kan velge mellom å samtykke til statistiske cookie, funksjonelle cookie og markedsførings cookie. De har kommet mer og mer, for noen år siden var det nesten ingen cookies-banner å se i Norge på norske nettsider, nå har det kommet flere og flere da, men det er fortsatt mange aktører, mange store aktører som ikke har det, og som bare kjører på etter den norske reglingen.
Hvis de også da trigger Facebook-pikselen, og det er en stor norsk aktør, så er det egentlig et overtramp i forhold til hva som egentlig er lov? Det vil det veldig ofte være, nesten alltid. Og igjen, jeg må ta forbold, for det kommer an på hvor mange datapunkter er det som deles med utstedene av piksel, og hvilke data er det. Men det vil nesten alltid være at, ja, jeg kaller det gjerne et overtramp, fordi at den klare hovedregelen er at bruker du pikselteknologi, så krever det et samtykke, fordi at pikselen er i stand til å spore utrolig mange datapunkter om en besøkende per besøk, altså på eventdatanivå.
Og den kan jo også måle hvor lenge du har lest en artikkel, og den kan til og med måle hvordan du bøyer gnusepekeren over skjermen. Og dette deleser vi videre med sosiale medier, nettopp til bruk for retargeting, til bruk for å lage audiences, men også til bruk for konverteringsmålinger for nettbutikken, slik at de får målt hvor mye return on investment har de på spenningen sin på annonser. Så det enkle svaret er at, ja, bruker du pikselteknologi, så er det et samtykke fra den enkelte brukeren du må ha, og det betyr også en annen ting.
Da må du så sørge for at du setter opp teknologien slik at pikselen ikke fyrer, hvis det ikke er et samtykke. Og der tror jeg også mange har gjort en god del feil. Ja, og det vi har opplevd nå de siste uken to, etter denne 6. mars-saken, er jo da at mange av de pikselappene som kundene våre bruker på Shopify eller på WooCommerce, nå har begynt til å da ikke trygge noe som helst pikseler eller cookies i det hele tatt før man oppdår inn, og da blir jo systemene til mange av våre kunder da veldig forvirret for det at de ikke får inn den datan de pleier å få.
Hva er best practice her for å holde seg innenfor, og har du sett noen gode eksempler på, altså har jeg lov til å ikke la besøke siden din i det hele tatt før du har valgt riktig konsent av cookies, eller hvordan skal man navigere dette? For å ta det siste først, jeg vil nesten si det blir feil det også hvis jeg ikke får tilgang til nettsiden din før jeg har tatt siden til cookiebanneret. Det blir faktisk feil hvis du gjør det sånn. Da kan du få trouble av den grunn, at du hinder tilgangen min før jeg har svart ja på noe.
Det er jo frivillig for meg å gi et eneste samtykke, så hvis jeg som bruker ikke har lyst til å si det til noen som helst, så må jeg bare kunne lukke det der vinduet og bli ferdig med det og like å komme inn på nettsiden din, men da uten at du spor meg, for jeg har jo ikke gitt noen samtykker. Det vil jo være best practice. Det som også er best practice er å sørge for at dette cookiebanneret du bruker, hvis det er det du bruker, er satt opp riktig og med det mener jeg at jeg som bruker skal stå fritt til å velge hvilke typer cookies jeg sier ja til.
Altså hvis jeg bare har lyst til å velge statistiske webanalytiske cookies, så må jeg få lov til det. Hvis jeg har lyst til å bare velge markedsføringskookies, så må jeg få lov til det. Har jeg lyst til å velge begge deler, så må jeg kunne gjøre det da.
Det er altså best practice. Så er det en annen element her som jeg vil dra frem, som jeg synes er viktig, siden vi nå snakker om piksel. Det jeg mener er et godt råd er også at den enkelte nettbutikk eller enkelte nettsider som bruker piksel, at de setter seg inn i hvilke data er det denne pikselen vi nå velger å installere, hvilke data er det den samme råd deler med dette sosiale mediet.
Det bør de ha kontroll på. Og så vil det ofte være sånn at de godt kan skru ned datadelingen, altså dele færre datapunkter med det sosiale mediet, uten at de nødvendigvis får så dårlig effekt av konverteringsmålingene sine eller retargetingsmulighetene. Dette har jo vist seg nå at pikselteknologi er litt ekkel, fordi den ofte samler mye mer data enn den nettstedeieren forstår selv.
Det har jo vært flere saker både i Sverige, og da sendes det i Norge og NRK i fjor høst, hvor de undersøkte blant annet norske nettapoteker. Det kom frem at pikselen delte at folk kjøpte klamydia- og graviditetstester og Viagra og sånt, og ble delt med Facebook. Og det er ikke noe jeg tror de norske nettapotekene var klare over at skjedde, og det er heller ikke noe jeg tror noen av kundene av nettapotekene var særlig fornøyde med at skjedde heller.
Det viser bare at det som er skummelt med pikselteknologi er at den er ofte satt opp som standard for leverandøren til å samle utrolig mye. Det er viktig at nettstedene går inn og kontrollerer yrkedata som det ellers, og skruer det ned til et nivå som er godt nok, men ikke overdrevet for de selv. Og da for å prøve litt teknisk her, så er det jo slik at i Metas tilfelle så har de jo denne klassiske pikselen, og så har de det de kaller et «conversion API», der de da i stedet for å trigger eventene fra nettleseren, trigger eventene mellom serveren til nettbutikken og inn til Meta.
Er det anledes i forhold til dette? Ja og nei. Grunnen til at denne «server-side» teknologien kommer, for eksempel «conversion API» inn til Meta, er jo at aktørene innretter seg for å omgå bruk av cookies, fordi de nå ser at det er et veldig juridisk push på at setter du en cookier så skal det være lov, det skal være samtykke, og derfor lages det nå masse teknologier som kan samle data av meg uten å bruke cookies-teknologi, for da slipper man å spørre meg om samtykke til en cookies. Men uavhengig av hvilken teknologi det gjelder, så gjelder jo GDPR, altså hvis dette er personldata, og det er det jo stort sett, ja da må man gjøre en vurdering.
Har jeg lov etter GDPR til å la Facebook samle disse datene av mine brukere, og hva er behandlingsgrunnlaget mitt for det? Det spørsmålet må man jo stille seg uavhengig av hvilken type teknologi du velger å bruke. Og som jeg sier, hvis vi da tar meta, og måten meta bruker data på, i alle fall ut fra det vi vet, så vil det jo veldig fort være at du har et samtykke her, at brukeren har sagt at det er OK for meg. Når det er sagt, så jobbes det jo hos flere med å lage, kalle det mer personvernvendig teknologi, for å oppnå konverteringspålinger.
Google har vel kanskje vært de som har tydeligst på det, med Google consent mode, hvor de sier at de skal være i stand til å rapportere gode konverteringsdata, også for brukere som ikke har samtykke til behandlingen, altså sporingen av deres personopplysninger. Det er noe Google jobber med da, hvor de sier at du likevel skal kunne få gode data, og slik jeg har forstått det, så er det det Google sier at de skal gjøre, eller gjør, er at de bruker personendata for de menneskene som har samtykket til å bli sporet, og så gjetter de egentlig på hva som er sannheten for de brukerne som ikke har samtykket, basert på personopplysningene til de som har samtykket, og på den måten som mener Google skal gi deg ganske gode konverteringsdata for alle. Uten at jeg har super teknisk innsikt i kvaliteten, så har jeg tro på at det virker ganske bra.
Det er en måte å tenke på som er på overtid og som endelig kommer. Det er sånn type løsninger vi egentlig trenger juridisk. Vi må ha et system hvor vi skal be om samtykker, og vi skal spore folk som sier ja, men vi må da være og spore de som ikke har sagt ja, og så trenger vi gode data for alle egentlig.
Så det er en mer moderne personvernemende måte å gjøre det på. Uten at man bruker GDPR, så lenge man da ikke sporer alle de andre tingene? Da er det mye lettere å gjøre det juridisk riktig. Men hva gjelder det helt konkrete spørsmålet om Facebook-konverteringsdata, og hvor vidt det er personlig opptil, da må man inn og se teknisk på det og se på oppsettet.
Man må rett og slett inn og se på det enkelte oppsettet på nettstedet for å kunne svare sikkert. Så da, du kan si folk som ser på dette og lurer på, så takk og takk med deg, og leier dere inn noen timer og får gjort en vurdering for å sjekke om dere er inne for det eller ikke? Ja, det er noe vi typisk jobber med og hjelper bedrifter med. Ikke sant.
Utfordringen her er jo at alle har blitt veldig bortskjemte med å få mye data, sporing, konverteringsdata, lønnsomhetsgreier og sånt. Og når man en gang mister den datan, så blir det selvfølgelig veldig vanskelig å vise til lønnsomheten fra en spesiell annonsekanal for eksempel og andre. Så det du sier er at for Google Analytics til å spore hva folk anonymt gjør på siden din, er en ting.
Det kan du egentlig da bare vise at du sporer på en norsk nettside i dag. Men å trygge pixeldata for oss som sender det til andre kanaler for å optimalisere markedsføringen, det må du da ha en opt in på. Ja, som et utgangspunkt, klare hovedregler så må du det.
Men igjen, jeg synes at alle steder kan det tilpasses. Jeg skal ikke uttrykke, og det er flere Facebook som leverer pixelteknologi også, ikke sant. Jeg skal ikke uttrykke at det går for noen å få sett noe på en måte som gjør at den egentlig sporer anonymt.
Du må da at det er en ekte bruker som har gjort noe, men uten at det sosiale mediet har mulighet til å finne ut hvem brukeren er. Jeg uttrykker ikke at det kan være mulig å sette opp. Og det er jo igjen noe man alltid bør tenke på, er det mulig for oss å spore konverteringer på en måte som gjør at ja, vi vet at det er en ekte bruker, men vi vet ikke hvem det er.
Hvis man kan klare det, så vil det veldig ofte være veldig smart. Ja, ikke sant. Ja, men bra Vibern.
Da føler jeg meg litt smartere, hva gjelder og hva gjelder ikke. Deler du noe på LinkedIn? Har dere et nyhetsbrev eller noe man kunne melde seg på for å holde seg opptatt på disse tingene? Ja, jeg prøver å dele så ofte jeg kan på LinkedIn når det skjer nye ting jeg tenker har interesse for mange flere enn meg selv. Så det går an å følge meg på LinkedIn.
Jeg forsøker så godt jeg kan å legge ut nyheter. Og så har jo firmaet mitt Føyen også et nyhetsbrev hvor vi sender ut nyheter innenfor de fagområdene vi jobber. Og der har vi også med hjemlig mellomrom oppdateringen på mer helt generell GDPR, men også spesialisert mot nettopp digital markedsføring og det kan gi tillegg til også generell markedsføring, sånne regler som prismarkedsføring for eksempel eller brydd på hvor god forretningsskikt nærheter innen mellom og sånt.
Så det kan man absolutt vurdere å melde seg opp på nyhetsbrevet i Føyen. Ikke sant. Ja, men glimrende vet du hva, Vibern.
Tusen takk for tiden din og lykke til alle nettbutikker som skal prøve å navigere i denne stadig mer komplekse verden. Ja, takk for det.