Da to af mine kolleger scannede en af vores kunders websites, fandt de 34 potentielle persondata-sladrehanke på blot en enkelt side. Kunden selv vidste intet. Dermed stod virksomheden til bryde de nye GDPR-regler i persondataforordningen, der træder i kraft i maj 2018. De er ikke alene – og et simpelt tjek kan afsløre hvor galt det står til. Her er historien.

To af mine kolleger kommer hjem fra et besøg hos en kunde forleden. De har egentligt bare skulle skaffe sig et overblik over, hvor mange såkaldte ”tags” – små stykker kode, som de fleste websites benytter sig af – de kan finde på kundens site. De er nemlig ved at give virksomhedens ”tag management” system et eftersyn, og sikre at virksomhedens websites og ecommerce kanal overholder de nye regler i persondataforordningen.

Trackere smuglet ind

Men resultaterne får både mine kolleger og kunden til at rynke brynene. Det er nemlig ikke kun den ene eller to håndfulde tags, der burde være på sitet, der popper frem, da analyseværktøjet bliver sat til. Der er, viser det sig, masser af tags på færde. Mange af de virksomheder som står bag tags’ene, har kunden aldrig hørt om før. Og kunden ved så meget desto mindre, hvilket formål de tjener. Endsige hvordan de er kommet ind på hjemmesiden.

Det skal vise sig, at de mange tags er smuglet ind i ly af andre tags, som kunden selv har godkendt. Det skal vise sig, at langt hovedparten af de mange tags tracker personhenførbare oplysninger – uden at spørge om lov, som man skal. Og det skal også vise sig, at firmaerne bag mange af tags’ene ikke passer specielt godt på de personlige oplysninger. Faktisk sælger mange dem helt åbent oplysningerne videre. Stadig uden at have fået lov. Og det er et problem – af mindst 20 millioner grunde.


Relaterede services: Vi hjælper dig med at leve op til de nye persondata-regler – læs hvordan


20 millioner gode GDPR grunde

Den 25. maj 2018 – det er om under ni måneder – træder den nye persondataforordning i kraft. Også kendt under forkortelsen GDPR, en forkortelse af det engelske General Data Protection Regulation.

Det er den, der får lamperne til at blinke. GDPR strammer nemlig ikke bare reglerne for, hvordan man lovligt opsamler personoplysninger. Den indfører også uhørt høje bøderammer. 20 millioner euro – det er ca. 150 millioner danske kroner – kan du blive dømt til at betale, hvis du bryder reglerne. Eller endnu mere, hvis du er en stor virksomhed. Som vores kunde, der er en global virksomhed, der sælger varer over hele verden, og gør det i stor stil. Her udgør bøderammen op til 4% af den årlige globale omsætning.

Og så er der en ting til: GDPR er ligeglad med, om du ved, at der foregår registrering af personoplysninger på dit site eller ej. Hvis det er dit site, registreringen finder sted igennem, er det dit ansvar.

Åben bagdør

De mange skjulte trackere er ikke dukket op, fordi kundens site er blevet hacket. For det er det ikke. Og det er heller ikke et ondsindet insider-job, der er tale om. Men tags’ene kommer ikke ud af det blå.

Tværtimod er det kunden selv, der, uforvarende og i god tro, har åbnet døren for de ubudne kodestumper. Det er sket gennem tags, som kunden helt selv har lagt ind på sitet. Tags, der på hver deres måde har gjort sitet bedre. Men som også, uden at skilte alt for højt med det, har solgt adgangen til kundens site videre til andre virksomheder, der gerne vil være med på en kigger. De ”gode” tags har simpelthen taget tags fra andre virksomheder med sig ind på sitet. Nogen af disse har så ovenikøbet solgt adgangen videre til virksomheder i tredje led, og givet dem mulighed for, at sætte deres egne tags på sitet. Og så fremdeles.

34 fremmede tags på enkelt forside

På det første tag-besøg hos kunden, nøjes mine kolleger med at scanne et enkelt af kundens mange globale webshops. Og alene forsiden på sitet giver stof til eftertanke. Her afslører scanningen tags fra 34 forskellige virksomheder, som ingen vidste fandtes. Et enkelt af de ”gode” tags, som virksomheden selv havde lagt ind, viser sig f.eks. at hive tags fra 14 andre virksomheder med sig.

Det ”gode” tag – ”ShareThis” hedder det – har ellers på overfladen en fin funktion. Det sørger for, at få små Facebook-, Twitter- og Youtube-knapper frem på sitet, så brugeren let kan dele siderne på deres foretrukne sociale netværk. Det er rigtigt godt.

Men ShareThis er mere end det. ShareThis logger selv data. Ifølge Ghostery, en database, der holder øje med den slags, tracker ShareThis både IP-adresser, søgehistorie, lokationsdata, clickstream, login og sågar sundhedsoplysninger, hvis den kan komme til det. Og så giver ShareThis – ser det ud til – adgang til, at også andre virksomheder kan sætte tags og registrere adfærden hos dem, der besøger sider med ShareThis-deleknapper.

ShareThis’ lange hale

Mine kolleger zoomer ind på ShareThis på skærmen foran dem. Det er tydeligt, at ShareThis ikke kun får deleknapperne til at virke. I kølvandet på ShareThis tagget kan man se, hvordan det trækker seks haler af andre tags med sig.

ShareThis trækker en hale af andre tags med sig. Udsnit af screendump af eCapacity analyse af kunde-site

En del af de mange tags, som close up’et på ShareThis bringer for dagen, går igen i forskellige kombinationer. Renser du ud, kan du se 14 forskellige, unikke tags. Fjorten andre virksomheder har, i kølvandet på ShareThis alene, adgang til at trække oplysninger om brugerne på sitet.

Opsamler og deler med tredjemand

De fjorten tags kan i principppet være ganske harmløse. Men det er de ikke – i hvertfald ikke hvis Ghosterys oplysninger kan tages for pålydende. Alle fjorten findes nemlig i Ghosterys database, med angivelse af, hvilke oplysninger der logges, og hvem de deles med.

Her kan du læse, at alle fjorten tags opsamler IP-adresser, som i GDPR-sammenhæng tæller som personhenførbare oplysninger. Tolv af tags’ene opsamler derudover også navn, email eller andre mere klassiske personoplysninger. Og kun to af de fjorten tags deler ikke de personlige oplysninger med såkaldte tredjeparter – altså helt udenforstående virksomheder.

I sagens natur sker dette uden, at brugeren har den ringeste anelse om det. Ingen fortæller ham, hvad der sker. Og han bliver slet ikke spurgt om lov.


Vil du høre mere? Ring eller skriv til Andreas Petersson på +45 51 71 43 63 eller på ap@ecapacity.dk. Han styrer vores analyseafdeling og har det store overblik over tag management-opsætning og scanning efter uønsket kode. Eller tag fat på Jon Lund, hvis du vil tale om de strategiske og forretningsmæssige udfordringer og muligheder i GDPR og persondataforordningen. Eller hvis du har kommentarer og spørgsmål til blogposten her i øvrigt.


Løsningen: nu scanner vi det hele

I skrivende stund er mine kolleger i gang med at scanne alle kundens sites. I første omgang finder de ud af, hvor mange tags, der egentligt bliver sat på hvilke sider. Det er ikke svært. Selve scanningen er relativt hurtigt overstået. Men arbejdet med at få overblikket, analysere og dokumentere data tager lidt tid.

Når de kender det fulde billede, går oprydningen i gang. De tags kunden rent faktisk har brug for, i et forretningsmæssigt perspektiv, går rent ind på positiv-listen. Det gør de tags, der slet ikke tracker eller deler data også. Andre tags er i gråzonen og skal undersøges nærmere. Og andre igen er bare ren no-go. Derefter skal tags’ene sættes op, så de bliver til at styre. Det er det, der sker i tag managementsystemet. Og det som vores kunde iøvrigt får mine kollegers hjælp til.

Første skridt mod fuld GDPR-compliance

Tag management-håndteringen vil i sig selv lukke helt åbentbare GDPR-huller. Huller, der nærmest er som ladeporte. Men der skal mere til for at blive fuldt lovmedholdelig – eller compliant, som det også kaldes.

For compliance kræver ikke bare, at man smider data-sladrehanke på porten. Det kræver også, at de personhenførbare data, som du som virksomhed rent faktisk gerne vil bruge, håndteres rigtigt.

På de digitale kanaler betyder det f.eks., at brugeren af kundens sites som udgangspunkt klart og tydeligt skal informeres, når der registreres persondata. Hvordan gøres det? Og hvilke krav skal der stilles til brugernes accept af registreringen – for en passiv accept er ikke længere godt nok, med de nye regler? De brugere du registrerer har med persondataforordningen som udgangspunkt også ret til at få rettet og slettet deres personlige data – og sågar til at få dem eksportere. Det skal kundens systemer også kunne håndtere. Og så skal den basale sikkerhed omkring de personlige data også have et nøk i vejret – f.eks. må kun medarbejdere, der rent faktisk har brug for oplysningerne, have adgang til dem. Der skal backes jævnligt op. Og der skal procedurer i stand, der beskriver, hvordan kunden inden 72 timer efter et evt. persondata-læk, vil orientere det lokale datatilsyn. Med mere.

Dømmes ShareThis ude?

Et tredje spørgsmål handler om, om de systemer, som kunden gerne vil bruge, og som i dag logger persondata, kan tilrettes, så de i højere grad holder nalderne for sig selv. Eller om de skal smides på porten, og hvad der, hvis de er vigtige, så i givet fald skal sættes istedet. Det skal mine kolleger – og jeg selv – også hjælpe med. Oprydningen i forhold til persondataforordningen skulle helst ikke skade salget i kundens ecommerce forretning.

Jeg forudser allerede nu, at det også fremover vil være muligt at dele indholdet på kundens site i ens foretrukne sociale cirkler. Og at det ikke er ShareThis, der får lov gøre jobbet for dem.

PS: Det er ikke et enkeltstående tilfælde

Det er ikke kun en enkelt uheldig kunde vi dumpede ned i her. Alene ShareThis-tagget dukker op på 3% af alle sites i HTTP archive, som scanner de 300.000 største websites i verden, da vi kører en Google BigQuery på den. Og ShareThis er bestemt ikke alene.

PPS: Skriv gerne

Hvis du arbejder med den nye persondataforordning / GDPR-compliance på de digitale kanaler, og du ikke er helt sikker på, om og hvordan du sikrer, at alt er i orden inden maj 2018, vil vi meget gerne hjælpe dig videre. Ring eller skriv f.eks. til  Andreas Petersson på +45 51 71 43 63 eller ap@ecapacity.dk.  Han styrer vores analyseafdeling og har det store overblik over tag management-opsætning og scanning efter uønsket kode. Eller tag fat på mig, hvis du vil tale om de strategiske og forretningsmæssige udfordringer og muligheder som GDPR og persondataforordningen stiller os overfor. Eller hvis du har kommentarer og spørgsmål til blogposten her i øvrigt 🙂

PPPS: Gratis white paper om persondataforordningen

Kan du lide hvad du har læst? Så hent White paper’et ”Persondata, Analytics og Tag Management”. Det samler seks skarpe nedslag i persondataforordningens betydning for de digitale kanaler. 28 sider. PDF. Helt gratis. Klik på den grønne knap her på siden, hvis du have dit eget eksemplar tilsendt.

 

Relaterede services: Vi hjælper dig med at leve op til de nye persondata-regler
Ved du, hvilke data der gemmes om dine brugere på dine digitale kanaler – og hvilke andre virksomheder, der har adgang til dem? Er det let og smertefrit for brugerne at se, hvad der bliver registreret om dem – og sige OK? Og kan brugerne…