Thomas Jönsson från Adviser!

Om Adveriser

Vi jobbar mycket med Google Ads. Där har vi unika metoder för A/B-testning och för att hänga med i det senaste. Vi är Google Partners, så vi jobbar mycket med Google Ads. Vi gör också mer avancerad sökoptimering med många tekniska aspekter, vilket ger väldigt bra resultat.

Idag handlar det mycket om att använda AI på rätt sätt. Det finns en risk att man bara pumpar ut material på ett fuskartat sätt, och då kan Google straffa en. Det gäller att hålla sig på rätt nivå.

GDPR i praktiken

Em: Vad innebär GDPR för någon som inte har koll?

Thomas: Det handlar om personuppgifter, man får inte spara dem hur som helst, man måste ha samtycke. Det finns olika typer av känsliga personuppgifter. IP-adresser och liknande på en hemsida är mindre känsliga, men uppgifter som sexuell läggning eller politisk åsikt är mer känsliga enligt GDPR.

Om man bryter mot reglerna kan det leda till höga böter. Ska man spara information måste man ha en tydlig anledning, informera om varför man gör det och få samtycke. Det räcker med att man skickar ett nyhetsbrev, då måste man ha samtycke för att använda den e-postadressen.

Och vill man vara helt korrekt ska man även spara själva samtycket. Om någon klickar på “Jag godkänner”, ska man kunna visa upp en lista som bevisar att samtycke har getts. Det är många aspekter att tänka på.

Cia: Hur funkar det då med alla de som köper mailadresser?

Det kan vara så att leverantören har fått något slags samtycke, men jag skulle säga att många bryter mot GDPR. Det är orimligt att tro att samtycket gäller när jag blir nerspammad av vem som helst.

Det som däremot är okej att använda är icke-personliga adresser. GDPR gäller bara personuppgifter. Så adresser som info@, marknadsavdelning@ eller som i mitt fall info@adveriser, de är okej att mejla till.

Cia: Men om det står ett förnamn framför, då är det inte okej?

Thomas: Nej, då är det en specifik person, och då räknas det som en personuppgift. Då måste man ha samtycke. Men det är många som bryter mot GDPR utan att tänka på det.

Cia: Vad händer om man bryter mot GDPR?

Thomas: Idag tolkas det så att man kan få böter upp till 4 procent av ett företags globala omsättning eller upp till 20 miljoner euro, beroende på överträdelsens allvar. Jag har inte sett något litet bolag få sådana stora böter än, och det är oklart hur det skulle fungera i praktiken. Det är inte de små bolagen man bryr sig så mycket om heller.

(Det brukar handla om att sanktionsnivån bedöms från fall till fall, och mindre överträdelser kan leda till lägre avgifter istället för de allra högsta beloppen)

Cookiebanners och tekniska lösningar

Cia: Vad innebär det att en hemsida ska vara GDPR-säkrad?

Thomas: Många har bara en bild som en popup, men det finns ingen teknisk funktionalitet bakom, och då bryter man mot GDPR om man till exempel spårar med Analytics. Spårar man med Analytics samlar man in data om en användare, till exempel IP-adresser eller andra uppgifter som kan kopplas till en viss person. Man får inte spara sådan data utan giltigt samtycke.

Det finns GDPR-verktyg som är certifierade av Google, men de kan vara felkonfigurerade. Ibland visas en banner där användaren ska göra ett val, men Analytics börjar ändå spåra innan användaren har gett sitt samtycke, och det får man inte. Du får bara börja spara eller skicka analysdata efter att samtycke lämnats. Det finns många fel som begås, men de här verktygen är ofta tekniskt utmanande att sätta upp korrekt.

Cia: Vad är det för uppgifter som spåras när man besöker en hemsida?

Thomas: Du sparar IP-adressen, det är en av de sakerna. Du sparar också vilka sidor användaren har besökt. Om en användare besöker känsliga sidor kan det bli känsliga uppgifter, till exempel om en sida handlar om könsbyte, det kan indikera att personen är intresserad av det, vilket blir känslig information.

I värre fall kan uppgifter sparas i URL:er. Vissa lösningar lägger e-postadresser i klartext i en URL, till exempel: adveriser.com/lostpassword/cia@amice.se. Då finns e-posten i loggarna och det blir enkelt att koppla datan till en viss person, vilket ökar känsligheten.

När det gäller WordPress uppstår ofta problem eftersom många installerar plugins som ger en förenklad lösning. Jag har ännu inte sett ett GDPR-plugin som tekniskt sett hindrar Google Analytics från att samla in data om det inte är korrekt konfigurerat. Om du ska göra det rätt, särskilt om du har betald marknadsföring, måste du säkerställa att GA4 inte får någon signal innan användaren har gett samtycke. Du får inte spara cookies eller skicka data till GA4 förrän samtycke finns.

Vissa implementationer skickar ändå anonyma pings till GA4. Om tillräckligt många anonyma pings samlas ihop kan Google modellera information tillbaka och göra den användbar. Många plugins blockerar helt och hållet även dessa anonyma pings, vilket gör att man inte ens kan få samlad data om exempelvis 1 000 besökare. Då förlorar man analysmöjligheten.

Om du bara har en cookiebar som ligger diskret nere i hörnet är det vanligt att bara en liten andel användare aktivt godkänner den, kanske 5–15 %. Endast de användare som faktiskt ger sitt samtycke får du lagra och bearbeta för analys eller marknadsföring. Att många väljer att ignorera bannern eller att avstå från samtycke innebär inte att du får använda deras data, ignorans är inte samma sak som samtycke. Implementera tekniskt så att inga tracking-scripts eller cookies aktiveras förrän användaren uttryckligen godkänt dem, och spara bara data för de användare som faktiskt har godkänt.

Om du däremot sätter en cookiebanner i mitten, där den är i vägen så ökar mängden som svarar. Ignorerar minskar rejält och du kommer att kunna spåra två, tre gånger så mycket. Så därför rekommenderar vi ofta att ha den i mitten.

Cia: Måste alla hemsidor ha en cockiebanner?

Thomas:  Nej det behöver man inte. Du behöver ju det om du använder google analytics eller spårar med någonting annat och det kan vara iframe som innehåller det kan vara Hubspot formulär, det kan vara microsoft som har sina lösningar.

Alltså alla som jobbar aktivt med hemsidan och om man får in någon form av data över huvudtaget i något system vad som helst kring besökarna, då måste du ha GDPR cockiebanner.

Funktioner på hemsidan

Cia: Vad gäller när man har ett kontaktformulär?

Thomas: Då måste det finnas en knapp där man klickar i att godkänna villkoren för då ger de samtycke om att informationen sparas.

Cia: Hur fungerar det med chatfunktioner och inbäddade videor?

Thomas: Ja det måste man ha koll på. Chatfunktioner kan samla och spåra data, och det är ditt ansvar om du har lagt in dem på din webbplats. Inbäddade YouTube-videor kan också föra med sig spårning, särskilt om de innehåller kommentarer eller chattfunktioner. Ofta skickas data vidare till en extern chattleverantörs databas, vilket kräver att du kontrollerar leverantörens hantering och säkerställer att personuppgifter behandlas enligt GDPR.

En chatt kan behöva fungera även innan användaren gett samtycke, men då måste de tekniska signalerna hanteras korrekt så att inga spårningsskript eller cookies aktiveras förrän användaren uttryckligen godkänt det. Om en chatt kräver spårning för att fungera måste du tydligt informera användaren och inhämta giltigt samtycke innan sådan spårning påbörjas.

Em: Sociala medieflödet som visas på hemsidan då?

Thomas: De bättre pluginen hämtar datan till din WordPress-installation och laddar den från din egen webbplats. Det gör att sidan brukar laddas snabbare och att du har bättre kontroll över vad som visas.

Om du istället bäddar in ett flöde med en iframe som laddar direkt från Facebook kan det bli problem. Då följer Facebooks spårning med och det kan störa både prestanda och hanteringen av personuppgifter.

Personligen skulle jag rekommendera att använda ett plugin som hämtar och sparar innehållet i din egen databas och sedan visar det från din sajt. Det ger samma presentation för besökaren, men laddar snabbare eftersom innehållet serveras från din webbplats i stället för att vänta på Facebook.

Godkänd cookiebanner

Cia: Hur ser en godkänd cookiebanner ut, vilka knappar ska finnas med? Många cockiebanners har bara en knapp med OK eller godkänn.

Thomas: De som jag tittat på som har så, de spårar direkt när du kommer in och det spelar ingen roll vad du gör, de spårar ändå. Innan mars förra året, när man hade GDPR V1-lagarna, tolkade folk det lite mer fritt. Vi själva hade också en period med “scrolla så godkänner du”, vilket ju inte alls är okej idag.

Idag måste man kunna neka och godkänna, och man ska också kunna välja vilka cookies som får spåra dig, om det bara är nödvändiga säkerhetscookies. Det som många missar är att man enkelt ska kunna ändra cookie-inställningarna via en knapp eller via integritetspolicyn som kan ligga i footern.

Om man tolkar det strikt får du inte heller ha olika färg på knapparna. Den ena knappen får inte vara mer framträdande än den andra. Ett av Google-godkända verktyg har olika färger på knapparna. Om det är någon som ska åka dit så är det ju de som de facto levererar verktygen. Det verkar inte riktigt vara någon som bryr sig idag. Inte förrän det kommer ett domstolsbeslut, då kommer folk bry sig.

Cia: Vad innebär ”tillåt endast nödvändiga”?

Thomas: Nödvändiga cookies är de som krävs för att webbplatsens funktioner ska fungera. Ett tydligt exempel är vid inloggning, vi sparar cookies så att du förblir inloggad, och det är tillåtet att lagra dessa. Säkerhetscookies används för att göra webbplatsen säker, och även dessa får sparas. Om man inte använder sådana cookies skulle funktioner som inloggning och grundläggande säkerhet inte fungera.

Vid tex en webbhandel så behöver man godkänna nödvändiga annars så slängs man ut hela tiden för ingenting sparas. Rent tekniskt är neka alla och godkänd nödvändiga samma sak.

Framtid och råd till företag

Em: Finns det något som man kan använda istället för Google Analytics?

Thomas: Det finns Matomo som är ett bättre GPRS mässigt men det är ett dyrt verktyg.

Cia: De som har kunder utanför EU, är det något speciellt man bör tänka på då?

Thomas: Ja. Många vill helst slippa cookiebannern. Olika delstater i USA och olika länder har egna regler, och kommer besökaren från ett land utan krav så spårar man oftast rakt av. De flesta GDPR-verktyg kan konfigureras så att de beter sig olika beroende på vilket land besökaren kommer från.

Cia: Vad tror du kommer att hända framöver?

Thomas: Mina generella spaningar är att detta är här för att stanna och blir större globalt. Samtidigt ser jag en tendens att politiker tycker att vi hamnar på efterkälke med för mycket regleringar. Det skulle kunna betyda att man luckrar upp vissa delar. Jag tror att fler länder kommer att införa GDPR-liknande regler och att företag i allt högre grad kommer pressas att följa dem, inte minst av aktörer som Google. Det kan också få SEO-konsekvenser, saknar du korrekta GDPR-verktyg kan det påverka din ranking.

Em: Som litet företag vad ska man tänka på?

Thomas: Många bryter mot GDPR eftersom de spårar direkt när någon kommer in på hemsidan. Det händer även hos stora aktörer, som mäklarfirmor och försäkringsbolag. Ett enkelt råd är: om du skippar Analytics helt så hamnar du i ett säkrare läge ur GDPR-perspektiv.

Var försiktig med vissa betalda verktyg, ibland krävs dyrare abonnemangsnivåer för att uppfylla GDPR-kraven, och om du inte köper rätt nivå kan du bryta mot reglerna. Det är mycket att hålla reda på; jag tycker också att det är klumpigt och komplicerat för den vanliga användaren. Förhoppningsvis blir det enklare framöver.

Eget verktyg för spårningsanalys

Cia: Finns det något sätt man kan testa sin egen sajt på?

Thomas: Ja, vi har faktiskt ett eget verktyg på vår sajt där man kan klistra in sin webbadress och testa om spårning sker innan samtycke. Det är inte heltäckande, men det fångar upp mycket. Det är ett enkelt sätt för företag att förstå om de är i riskzonen eller inte.

Testa här: www.adveriser.com/gdpr

Stor tack Thomas!