Hvordan kan Google, som kanskje er de som vet mest om hver og en av oss, gjøre mer for GDPR enn Datatilsynet? Utsagnet er satt litt på spissen, men i Norge er situasjonen litt spesiell og av praktisk betydning, for norske annonsører og nettsider, så er det høyst reelt.

Så hvorfor det?

I Norge har vi ikke iverksatt GDPR i samme grad som i resten av Europa. EU-direktivet som regulerer krav til samtykke har latt vente på seg, men kommer nok med tiden. Dette betyr at vi fortsatt har den gamle tolkningen som legger til rette for at det er sluttbrukers ansvar å selv regulerer bruk av cookies og som selv må slette disse. Nettsider har sluppet unna med enkle samtykkeløsninger som bare informerer om at «vi bruker cookies, trykk ok». Her kan norske annonsører prise seg lykkelig, for sammenlignet med resten av EU har vi hatt mye mer data tilgjengelig for retargeting, konverteringsmåling og alt det andre vi bruker cookies til. Det har også gjort at all prat om «cookiedød» i mindre grad har påvirket oss.

Dette vil nå endre seg, takket være Google. Eller rettere sagt takket være Digital Markets Act (DMA). For de som ikke har hørt om Digital Markets Act så er dette en av to reguleringer i EU sin digitale strategi (den andre er Digital Service Act). Hensikten med reguleringen er å se til at de store digitale aktørene (kalt «Gatekeepers») som vi MÅ benytte oss av for å drive business ikke skal misbruke sin posisjon. Reguleringen er veldig spennende og åpner for mange muligheter ettersom den krever mer åpenhet rundt data og tilganger inn i systemer. Ordlyden er veldig spisset, så det er bare seks aktører som er definert som «Gatekeepers» i EU. En av dem er Alphabet, som er Google sitt moderselskap.

Det er her Google pusher GDPR i større grad enn Datatilsynet. Et av de sentrale punktene i DMA er at «Gatekeepers» ikke lenger kan:

«…track end users outside of the gatekeepers' core platform service for the purpose of targeted advertising, without effective consent having been granted.»

Google sin tilnærming til dette er relativt streng. De vil kreve at nettsider/annonsører som benytter seg av Google sin teknologi SKAL be om aktivt samtykke, det SKAL sendes inn til Google gjennom «Consent Mode» og det SKAL skje innen mars 2024. Om nettside/annonsør IKKE gjør dette vil de miste tilgang til alt av målgrupper i Google, og over tid kan konsekvensene også være større. Sistnevnte forblir foreløpig bare spekulasjoner fra min side. Det fremstår som ironisk, at det er Google som nå setter den tiltenkte standarden på samtykke blant norske annonsører.

Så hvor klar er norske annonsører for dette?

Ting tyder på at annonsører ikke er veldig forberedt på endringen som nå kommer. For det første innebærer endring av samtykke at mange av de besøkende på nettsiden sier «nei» til sporing. Det er fort 20-50 prosent, avhengig av merkevarens styrke og troverdighet, basert på indikasjoner fra en av de største leverandørene av samtykke-håndtering (CMP). Er vi forberedt på at kostnad per konvertering øker med 20 prosent eller at kjøpsplattform eller andre konverteringstall ikke stemmer overens i Google Analytics?

For det andre viser en enkel gjennomgang av norske annonsører sine nettsider at de fleste ikke har implementert Consent Mode. I GroupM valgte vi ut 20 tilfeldige annonsører i et utvalg av de 200 største annonsørene i Norge (basert på Nielsen-tall). Annonsørene var nummerert og tilfeldige tall ble generert via ChatGPT. Kanskje ikke verdens mest bunnsolide undersøkelse, likevel gir den en god indikator på status.

14 av 20 manglet Consent Mode.

7 av 20 hadde manglende samtykkehåndtering og/eller kritisk feil i implementering av samtykke.

For ordens skyld, inneholdt utvalget både kunder av GroupM og eksterne, samt private og offentlige aktører.

Så da gjenstår det å se hvor godt vi klarer å utnytte tiden frem til mars 2024, før vi igjen må hive oss rundt for å sikre den tekniske infrastrukturen før nedstenging av tredjepartscookies i Chrome i tredjekvartal 2024. Er du klar?