Drøye ti måneder etter at den nye GDPR-forskriften ble innført i Norge, har reklamebransjen ingen felles standard å forholde seg til. Kathrine Saastad mener det er en utfordring. Hun er en sjef for programmatiske annonser ved Amnet Norge, som er en del av Dentsus byråallianse. 

- Det er en utfordring at det ikke er en felles praksis og tilnærming til GDPR. Bakgrunnen for det er at man ikke har en etablert praksis, og så lenge man ikke har det så er det vanskelig å legge noen føringer. GDPR er en nødvendighet og en positiv endring for bransjen, og noe vi og annonsører har innrettet oss etter, sier Saastad til Kampanje.

Hun forteller at de opplever en del ulike syn og tolkninger av lovverket i bransjen. 

- Det gjør at mange kanskje tar en del forholdsregler som kan vise seg å være undøvendige. 

- Du ønsker en bransjenorm velkommen?

- Ja, selvfølgelig. Det er bare en fordel å ha en felles praksis, som er lik for alle på tvers av bransjen. Det skaper en god praksis rundt GDPR, og forutsigbarhet for alle involverte parter.

Les også: Varsler flere GDPR-bøter fremover - har fått inn rekordmange avviksmeldinger

Bransjenorm på overtid
I mai i fjor varslet IKT-Norge og Torgeir Waterhouse at man ville rydde opp i byråbransjen ved å utarbeide en bransjenorm for hvordan byråer og annonsører skal arbeide for å være i tråd med de nye personvernreglene i GDPR-forskriften. 

Sammen med de store norske mediebyrågrupperingene og bransjeforeningene, Anfo og Inma, skal IKT Norge utarbeide bransjestandarden, som skal godkjennes av Datatilsynet.

Les også: IKT-Norge vil rydde opp i GDPR-rot i reklamebransjen

- Det er vanskelig å si, men dette bør være på plass så kort tid som mulig og i løpet av året, sa Waterhouse til Kampanje i mai 2018.

Nå virker dette å være lenger unna enn man først trodde. Waterhouse vil ikke spekulere i når det kan bli klart.

- Arbeidet med bransjenormen er ikke ferdigstilt. Det er mye rundt som må på plass og en del avklaringer som må til. Det er essensen i at det har tatt lenger tid, sier Waterhouse til Kampanje nå.

- Hva slags avklaringer er det snakk om?

- Jeg vil ikke gå inn på det, det går på tolkninger og det å få arbeidet igangsatt. I tillegg måtte man også vente på at lovverket skulle tre i kraft, sier en ordknapp Waterhouse.

- Kanskje for mange, og kanskje litt tidlig?
Etter noe om og men, trådte det nye personvern-regelverket i kraft i Norge den 20. juli 2018. Fortsatt venter man dog på det nye Eprivacy-direktivet (EPR), et direktiv som vil legge føringer for hvordan man skal tolke GDPR-reglene. Denne var først tiltenkt å være klar 25. mai 2018, men er fortsatt under behandling hos EU. 

- Det har vært mange involverte i arbeidet med en norm for bransjen, både fra organisasjoner, media og mediebyråer. Kanskje for mange? Og kanskje litt tidlig? Det var et godt og prisverdig initiativ fra IKT-Norge. Selv om arbeidet med en sentralisert norm har stanget litt med tanke på fremdrift, betyr det ikke at det ikke har blitt gjort mye godt arbeid, som eksempelvis i Anfo, sier leder i Anfo, Jan Morten Drange, til Kampanje. 

Han peker på at det kan være for tidlig for en bransjenorm, da de rettslige rammene for en eventuell norm er for uklare.

- Det er en kjent sak at Datatilsynet og Nkom har vært uenige om hva som skal til for at eiere av nettsider på lovlig måte kan bruke «cookies» til markedsføringsformål. Datatilsynet, som skal godkjenne en eventuell norm, har hatt den strengeste fortolkningen av lovverket. Videre er det slik at det relevante regelverket, EPR, fortsatt er under behandling i EU, sier han.

EPR-direktivet skal spesifisere og utfylle regelverket i GDPR med tanke på elektronisk kommunikasjon som regnes som personlig data. Dette gjelder blant annet kravet om samtykke for bruk av «cookies». 

- For enkelt å skylde på GDPR
Denne uken kunne både Schibsted, VG og Adevinta melde om fallende digitale annonseinntekter. Tidligere Schibsted-sjef og nå sjef for det rendyrkede rubrikkselskapet Adevinta, Rolv Erik Ryssdal, mente fallet skyldtes en ettereffekt av GDPR. 

På spørsmål om usikkerhet omkring GDPR har noe påvirkning på det digitale annonsemarkedet, forteller Saastad at Dentsu opplever digital vekst, selv om markedet går ned. 

- GDPR er en krevende materie, men dette er også noe vi har jobbet mye med i lang tid. Det blir for enkelt å skylde på GDPR for nedgangen, men fraværet av en felles praksis kan gjøre det mer krevende å kjøpe like effektivt digitalt. Det er fremdeles et fullt lovlig mulighetsrom innenfor både teknologi og data som per i dag ikke utnyttes godt nok, men fraværet av en felles bransjenorm gjør det vanskeligere for kundene å maksimere effekten av sine investeringer, sier Saastad. 

Drange tror på sin side ikke at aktører i det digitale annonsemarkedet vurderer risikoen som så høy at man holder igjen digitale investeringer. 

- Det tror vi ikke er tilfellet. Aktører som eksempelvis Facebook og Google har jo fortsatt vekst og opererer innenfor det samme GDPR-regimet. Digitalt er definitivt den dominerende kanalen som riktignok består av mange forskjellige produkter. Går et produkt ned går fort et annet opp, sier han. 

Annonsemarkedet i EØS har utfordringer
Før påske kunne Kampanje rapportere at Datatilsynet hadde fått inn rekordmange avviksmeldinger etter innføringen av det nye personvernregelverket. I 2018 fikk Datatilsynet 1.276 varsler, hvorav 821 av dem kom etter 20. juli, da GDPR-reglene trådte i kraft. I starten av april hadde Datatilsynet fått inn rundt 500 avviksmeldinger. Dette gjelder da alle næringer, og ikke kun reklamebransjen.

Juridisk seniorrådgiver i Datatilsynet, Tobias Judin, mener at en bransjenorm er en svært god idé. Han mener en norm kan avklare hvilke plikter man har, og hvordan de skal etterleves i praksis. 

Datatilsynet har nemlig et inntrykk av at det ikke alltid samles inn samtykke i annonsemarkedet i EØS, der det er påkrevd.

Eller det kan være at samtykkene ikke er gyldige etter GDPR. En annen utfordring er å gi god nok informasjon. Alle de ansvarlige aktørene må på en eller annen måte gi kortfattet og forståelig informasjon til den enkelte om behandling av personopplysninger. Siden annonsemarkedet på nett er så komplisert, er informasjonen ekstra viktig, sier han.

- Opplever du at annonsører og byråer har ting på plass i dag med tanke på GDPR og personvern?

- De fleste er opptatt av dette, det er et kontinuerlig sug etter informasjon og eksempler på praktisk implementering. En del annonsører har valgt å stoppe ting de frykter kan komme i konflikt med GDPR. De kjører følgelig en forsiktig og konservativ linje. Andre er våken men ikke så konservative. De aller fleste er svært bevisst og har et økt fokus på personvern og GDPR, svarer Drange i Anfo.