GDPR - mislykket?

[Abigor]

Før var det vel fritt villt med cookies og tracking. Så skulle det strammes inn med GDRP. Men hvor vellykket er egentlig dette? Det er vel mange som kan kjenne seg igjen i å google noe raskt, for deretter stresset trykke på hva som helst for å få bort popupen? Alternativt tar man seg tid til å velge riktig. Men da er det plutselig gjort så vanskelig som mulig med dark patterns. Knappen for å godkjenne er uthevet på første nivå. Mens for å avvise må man kanskje lete for å finne knappen. Eller det er over 50 individuellt knapper som må slås av. En gang satt jeg flere minutter og skrollet og slo av slike valg. Og hva skjer så om man har valgt feil, hvordan skal man ombestemme seg? Den popupen har jeg aldri sett!

Det virker som dette er en desperat kamp industrien kjemper for å utnytte og melke sluttbrukeren så hardt og grundig som mulig. Under ingen omstendigheter skal det være enkelt å slippe unna.

Så hvor suksessfullt har GDPR vært til nå? Det har værtfall vært sukssess innen kynisk kreativitet.

Jeg skulle ønske GDPR kunne vært enda strengere og sette helt konkrete krav til utforming, der valget å avvise skal være tydelig og åpenbart med en gang og ikke på noen måter overskygges av valget for å godta. Finnes dette? Og til slutt - er det noen nettsider over hode som er "snille" her? Kan tenkes at det til slutt blir et fortrinn å faktisk være grei med sluttbrukeren og droppe tracking og alt det som krever GDPR, og lage en pen og nyttig nettside uten plagsomme popups? Finnes det noen slik i dag?

[Abigor]

Her er et eksempel fra https://www.wired.com/

Altså "I accept" eller "Show purposes". Vil man ikke godta så kommer man videre til neste nivå:

Drøssevis med valg, hvorav noen er forhåndsvalgt. Er ikke dette selve definisjonen av dark pattern? Hvordan er dette lovlig?

 

Endret 4. april av Abigor

[Inspector]

Abigor skrev (5 timer siden):

Før var det vel fritt villt med cookies og tracking. Så skulle det strammes inn med GDRP. Men hvor vellykket er egentlig dette? Det er vel mange som kan kjenne seg igjen i å google noe raskt, for deretter stresset trykke på hva som helst for å få bort popupen? Alternativt tar man seg tid til å velge riktig. Men da er det plutselig gjort så vanskelig som mulig med dark patterns. Knappen for å godkjenne er uthevet på første nivå. Mens for å avvise må man kanskje lete for å finne knappen. Eller det er over 50 individuellt knapper som må slås av. En gang satt jeg flere minutter og skrollet og slo av slike valg. Og hva skjer så om man har valgt feil, hvordan skal man ombestemme seg? Den popupen har jeg aldri sett!

Det virker som dette er en desperat kamp industrien kjemper for å utnytte og melke sluttbrukeren så hardt og grundig som mulig. Under ingen omstendigheter skal det være enkelt å slippe unna.

Så hvor suksessfullt har GDPR vært til nå? Det har værtfall vært sukssess innen kynisk kreativitet.

Jeg skulle ønske GDPR kunne vært enda strengere og sette helt konkrete krav til utforming, der valget å avvise skal være tydelig og åpenbart med en gang og ikke på noen måter overskygges av valget for å godta. Finnes dette? Og til slutt - er det noen nettsider over hode som er "snille" her? Kan tenkes at det til slutt blir et fortrinn å faktisk være grei med sluttbrukeren og droppe tracking og alt det som krever GDPR, og lage en pen og nyttig nettside uten plagsomme popups? Finnes det noen slik i dag?

Godt poeng i dagens virkelighet hvor hacking, pishing, fakenews og svindel i it-verden er i ferd med å ødelegge troverdigheten til alle digitale løsninger. 
Store dataleverandører burde gå foran og vise vei for å unngå at digitaliseringen ender i et gedigent krasj hvor man må tilbake til analoge løsninger.

[Pop]

Det blir vel litt feil å kalle GDPR feilslått. Ulike leverandørers implementering kan ofte være en dårlig tolkning, og en enda dårligere utførelse av verktøy man har antatt lovgiver mente skulle benyttes. Derimot mangler GDPR en godt gjennomtenkt forskrift. En forskrift som skulle være tydelig på hvilke metoder som skulle vært benyttet for å ivareta det loven mener å skulle oppnå.

Den berømte / beryktede cookie-håndteringen er jo ingenting annet enn en katastrofe, og latterlig om man legger godviljen til. Ingen gidder lese det som står på popupene for cookies, ingen orker å gå gjennom valgene og ender opp med å enten godkjenne alt eller avvise alt (sistnevnte et valg som ofte mangler dessverre).

Dessverre er lista over dårlige implementeringer og konkrete verktøy og funksjonalitet etter EUs lovendringer lang og jeg kunne brukt resten av dagen til å rante meg gjennom dem.... 😣

Det GDPR startet med var vel egentlig en motvekt til enkelte staters nye lovverk som ga myndighetene tillatelse til å gjøre nærmest hva som helst, på hvilket som helst grunnlag, med innbyggernes personopplysninger. Kanskje spesielt rettet mot et land jeg ikke skal nevne navnet på, annet enn at det begynner på US og slutter på A (spesielt CLOUD Act og FISA). Og der har jo GDPR oppnådd mye, også takket være Max Schrems, som heldigvis ikke har gitt seg enda.

[barfoo]

29 minutes ago, Pop said:

Det GDPR startet med var vel egentlig en motvekt til enkelte staters nye lovverk som ga myndighetene tillatelse til å gjøre nærmest hva som helst, på hvilket som helst grunnlag, med innbyggernes personopplysninger

Korleis rettar GDPR seg mot statar? Dei kan jo stortsett gi seg sjølv heimel i lov, og dermed parkere GDPR? Det rettar seg vel heller mot firma som Facebook som meir eller mindre de facto kunne spore deg over alt ein periode på grunn av manglande regulering.

[Pop]

.

Endret 4. april av Pop
Krøll i sletting...

[Pop]

5 minutes ago, barfoo said:

Korleis rettar GDPR seg mot statar? Dei kan jo stortsett gi seg sjølv heimel i lov, og dermed parkere GDPR? Det rettar seg vel heller mot firma som Facebook som meir eller mindre de facto kunne spore deg over alt ein periode på grunn av manglande regulering.

De statene som vil kjøpe tjenester av et firma som holder til i et land med en lovgivning som strider mot GDPR vil likevel måtte forholde seg til loven som gjelder for sitt land, i dette tilfellet alle land i Europa som faller innunder EU eller EØS. GDPR ble altså ikke bare et supplement til den eksisterende lovgivningen de hadde for personopplysninger, men ble inkorporert i de nevnte land.

Så selv om landet de kjøper tjenester eller produkter fra har en lov som f.eks i USA, så vil de altså ikke kunne putte noen opplysninger i den tjenesten eller produktet om det ikke kan gis samme eller tilsvarende garantier for personopplysningene i hele avtalens livsløp.

[Abigor]

Fant en video som viser hvordan det kan gjøres skikkelig, hvordan skrekkeksempler fra virkeligheten ser ut og noen fundamentale problemer:

For eksempel er det de som samler inn data som bestemmer hvordan brukeren skal interagere. Da blir det en laboryint av legaleze og bortkastet tid da du til slutt ikke får slått av noe uansett. "Det er som om kriminelle får designe sitt eget fengsel", dvs la alle dørene stå åpne.

[Noxhaven]

Abigor skrev (7 timer siden):

Før var det vel fritt villt med cookies og tracking. Så skulle det strammes inn med GDRP. Men hvor vellykket er egentlig dette? Det er vel mange som kan kjenne seg igjen i å google noe raskt, for deretter stresset trykke på hva som helst for å få bort popupen? Alternativt tar man seg tid til å velge riktig. Men da er det plutselig gjort så vanskelig som mulig med dark patterns. Knappen for å godkjenne er uthevet på første nivå. Mens for å avvise må man kanskje lete for å finne knappen. Eller det er over 50 individuellt knapper som må slås av. En gang satt jeg flere minutter og skrollet og slo av slike valg. Og hva skjer så om man har valgt feil, hvordan skal man ombestemme seg? Den popupen har jeg aldri sett!

Det virker som dette er en desperat kamp industrien kjemper for å utnytte og melke sluttbrukeren så hardt og grundig som mulig. Under ingen omstendigheter skal det være enkelt å slippe unna.

Så hvor suksessfullt har GDPR vært til nå? Det har værtfall vært sukssess innen kynisk kreativitet.

Jeg skulle ønske GDPR kunne vært enda strengere og sette helt konkrete krav til utforming, der valget å avvise skal være tydelig og åpenbart med en gang og ikke på noen måter overskygges av valget for å godta. Finnes dette? Og til slutt - er det noen nettsider over hode som er "snille" her? Kan tenkes at det til slutt blir et fortrinn å faktisk være grei med sluttbrukeren og droppe tracking og alt det som krever GDPR, og lage en pen og nyttig nettside uten plagsomme popups? Finnes det noen slik i dag?

Tenk deg en nettleser som har et innstillingsvalg hvor du kan huke av for "Alltid avvis all sporingsdata"
Den nettleseren hadde nok fått mange brukere rimelig raskt.

[shockorshot]

Fikk innsyn samt sletting av all lagring av dataene mine her om dagen pga. GDPR hos en nettaktør, vil si det er vel så nyttig.

Husker også dagen jeg fikk lastet ned 13gb med personlig data fra Meta, mener å huske det var pga. GDPR det også.

Sikkerheten og rettighetene våres som forbrukere har økt vesentlig etter GDPR ble innført, de fleste jeg kjenner i USA er ganske misunnelige på oss angående det. Med unntak av de jeg kjenner som jobber innenfor biotech, de slipper å bruke så mye tid på å sikre helsedata i motsetning til her.

Ja det er kanskje irriterende å trykke vekk cookies, men GDPR er så vanvittig mye mer enn bare det.

[The Avatar]

GDPR regelverket er vel ein kjempesuksess?

Kritikken i denne tråden går eignetleg mest på at den praktiske implementeringa av regelverket ikkje vart standarisert, slik at ulike sider har valgt ulike måtar å løyse innhenting av samtykket. Disse sidene har også økonomiske incentiver for å gjere alt anna enn "aksepter alle" vanskeleg å finne ettersom ein får betre betalt frå annonsørane om reklamen kan være målretta.

Spørsmålet er om ikkje regelverket burde vært stramma inn enda meir, helst så langt at "avslå alle" blir standardvalget og at ein aktivt må gå inn og akseptere ein og ein ting.

Eg personleg synes også at kravet om å innhente samtykke blir dårleg implementert når alle sider i praksis må starte med ein pop-up som ein må klikke seg forbi for å kunne bruke sida. Preferanser for cookies burde være knytt til nettlesaren slik at du velger dine preferanser ein gong og så blir det brukt på alle sider du besøker med mindre du aktivt går inn på kvar enkelt side for å endre innstillingane.

[Abigor]

1 hour ago, Noxhaven said:

Tenk deg en nettleser som har et innstillingsvalg hvor du kan huke av for "Alltid avvis all sporingsdata"
Den nettleseren hadde nok fått mange brukere rimelig raskt.

Det er en plugin i nettleseren min haha.

Alternativt kan den bare fjerne popupen i html og ikke svare overhodet. En ganske triviell ting å gjøre som ikke krever mye teknisk innsikt.

[Inge Rognmo]

Noxhaven skrev (5 timer siden):

Tenk deg en nettleser som har et innstillingsvalg hvor du kan huke av for "Alltid avvis all sporingsdata"
Den nettleseren hadde nok fått mange brukere rimelig raskt.

Finnes det nettlesere som IKKE har slike valg?

Problemet er at om du huker av for strengest mulige personverninnstillinger (dvs avvise absolutt alle slags cookies m.m), så kan og vil det føre til at omtrent ingen nettsteder funker som designet... 🫤

[arne22]

On 4.4.2024 at 9:07 AM, barfoo said:

Korleis rettar GDPR seg mot statar? Dei kan jo stortsett gi seg sjølv heimel i lov, og dermed parkere GDPR? Det rettar seg vel heller mot firma som Facebook som meir eller mindre de facto kunne spore deg over alt ein periode på grunn av manglande regulering.

Det er jo en interessant og viktig problemstilling. GDPR gjelder og er juridisk bindende i forhold til stater i EU og EØS, samtidig stilles det krav til de leverandørene som leverer systemer eller tjenester til EU/EØS området.

Man kan ikke stille krav til de tjenestene som leveres til land/stater utenfor EØS, men man har startet opp en praksis, det man bøtelegger leverandører som leverer til EU/EØS området. (Facebook, Google, osv)

Selv om selskapene driver lovlig i forhold til eget lands lovgivning og andre internasjonale regler, så kan de ble bøtelagt av EU, i forhold til den virksomheten de har i EU,  for brudd på GDPR ved leveranse av tjenester til EU/EØS området. 

Endret 5. april av arne22