Har du koll på företagets metapixel? Det kan kosta dig 15 miljoner kronor

Integritetsskyddsmyndigheten (IMY) har utfärdat ett myndighetsbeslut där Avanza åläggs att betala sanktionsavgifter på 15 miljoner kronor. Beslutet grundar sig i hur banken har implementerat sin Meta-pixel på sin webbplats. I detta fall var det banken själv som valde att anmäla en personuppgiftsincident, vilken nu leder till böter.

IMY:s granskning av incidenten visar att Avanza använt sig av Metas analysverktyg, Facebook-pixeln (numera Meta-pixeln), både på sin webbplats och i sin app, med syftet att optimera bankens marknadsföring på Facebook. Den felaktiga överföringen av personuppgifter orsakades av att banken av misstag aktiverade nya delfunktioner i Meta-pixeln för mellan 500 000 till en miljon användare. Pixeln har gjort att uppgifter som rör bankens kunder överförts till Meta, bland uppgifterna fanns exempelvis värdepappersinnehav och värde, lånebelopp på befintliga belopp, kontonummer, kontaktuppgifter, telefonnummer, e-post, arbetsgivare, anställningsform och personnummer.

Varför används metapixeln?

Meta-pixel, tidigare känd som Facebook-pixel, är ett kraftfullt analysverktyg utvecklat av Meta (tidigare Facebook) som hjälper företag att mäta effektiviteten av sin Facebook annonsering och förstå hur användarna interagerar med deras webbplatser. Meta-pixeln överförde och kopplade samman en webbplatsbesökares aktivitet och beteende på bankens webbplats med en unik registrerad användare av någon av Metas tjänster.

Meta-pixel är en bit kod som placeras på en webbplats för att spåra besökarnas aktiviteter. När någon besöker en webbplats och utför en åtgärd (t.ex. köper en produkt eller fyller i ett formulär), utlöses pixeln och rapporterar denna händelse tillbaka till Meta. Detta ger företag möjlighet att samla in data om besökarna och deras beteenden, vilket kan användas för att förbättra marknadsföringsstrategier och annonskampanjer.

Nya funktioner i metapixeln

Under 2019 utvecklade Meta en ny delfunktion inom Meta-pixeln, kallad Automatic Advanced Matching (AAM). Den felaktiga överföringen av personuppgifter orsakades av att den nya AAM-funktionen aktiverades av banken av misstag. Banken fick kännedom om överföringen via extern information. Så snart banken fick kännedom om det inträffade avaktiverade banken Meta-pixeln i sin helhet.

Hur hade webbplatsägaren Avanza implementerat pixeln?

Syftet med att införa och använda Meta-pixeln var att optimera bankens marknadsföring vilket infördes 2019. Avanzas marknadsavdelning trodde förmodligen att de hade tillräckliga säkerhetsåtgärder på plats. Trots att de hade implementerat hashning, inloggning och samtycke till marknadsföringscookies, visade det sig att detta inte räckte för en lämplig säkerhetsnivå.

Vad gjorde metas AAM funktion? Funktionen AAM överförde uppgifter i hashad form (med hashningsfunktionen SHA256) till Meta när användaren fyllde i något av de fem olika formulären på bankens webbplats eller i bankens mobilapp. Två av dessa formulär var en del av nykundsflödet och var tillgängliga för besökare som avsåg att bli kunder. De andra tre formulären avsåg bolån och krävde inloggning, vilket innebar att endast befintliga kunder med kundavtal kunde fylla i dem.

Genom att funktionen AAM oavsiktligt aktiverats av banken kunde Meta-pixeln matcha de hashade uppgifterna med besökarnas beteende på webbplatsen för profilering. Detta gjorde det möjligt att få en mer detaljerad bild av besökarna. Profileringen gällde endast bankens marknadsföring och användes inte av Meta för egna, eller andra aktörers, affärsmässiga syften. De personer som inte samtyckt i cookiebannern mättes alltså inte.

Vad gör metas AE funktion? Utöver AAM erbjuder Meta-pixeln även funktionen Automatiska Händelser (AH) vilken aktiveras manuellt och som då på egen hand försöker att detektera och fånga upp händelser och interaktioner, såsom klick, sökningar och menyval, vid besök på bolagets webbplats eller i appen. Funktionen AH överförde uppgifter i klartext till Meta när en användare navigerade på bankens webbplats eller i mobilappen. Meta Automatic Event spårar automatiskt standardhändelser på din webbplats utan att du behöver lägga till extra kod. Detta inkluderar handlingar som sidvisningar, klick på knappar och formulärinlämningar. Funktionen hjälper också till att identifiera viktiga användarinteraktioner och konverteringar som du kanske vill spåra för att mäta annonsens effektivitet.

Oavsiktlig aktivering För att uppgifterna skulle kunna överföras krävdes både att en person var inloggad på bankens webbplats och hade samtyckt till marknadsföringscookies. Om dessa förutsättningar inte var uppfyllda aktiverades inte AAM och inga uppgifter fördes över. När webbplatsägaren i detta fall aktiverade AAM- och AE-funktionerna, började de dela en stor mängd personuppgifter med Meta. När förutsättningarna var uppfyllda kunde följande hashade uppgifter överföras till Meta. Att göra det här går på bråkdelen av en sekund och det handlar bara om att fylla i en kryssruta utan att känna till konsekvenserna!

Åtgärder som Avanza vidtagits efter personuppgiftsincidenten

• Meta har bekräftat till banken att de personuppgifter som behandlats har raderats hos Meta
• Banken har upprättat en process för hur banken inför och hanterar tredjepartsscript. I den beskrivs hur dessa script ska utvärderas ur ett säkerhets- och integritetsperspektiv samt hur de underhålls långsiktigt.
• Banken har  flyttat scripten från tredjepartsleverantörerna till bankens egna system för att undvika att förändringar i scripten införs utan att banken uppmärksammar det.
• Banken har interna riktlinjer för att tydligare beskriva felscenariot hur det undviks och vilka förväntningar som åligger bankens utvecklingsteam när de hanterar den här typen av produkter.
• Banken har implementerat styrdokument och rutiner som syftar till att säkerställa en korrekt behandling av personuppgifter med krav och riktlinjer i relation till behandling av personuppgifter i samband med och efter införandet av nya funktioner på bankens webbplats.

IMY:s beslut bygger på GDPR

Enligt IMY har Avanza brutit mot dataskyddsförordningen, GDPR, genom att inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för webbplatsbesökares och app-användares personuppgifter, enligt Catharina Fernquist, enhetschef på IMY.

Observera att IMY:s beslut märkligt nog inte handlar om metapixeln och cookielagen där tillsynsmyndighet är Post och Telestyrelsen. Beslutet handlar om hur företag samlar in personuppgifter och sköter 3:e parts cookies som delades med en tredje part. Tänk också på att IMY enlgit GDPR hade kunnat sätta sanktionsavgfiten betydligt högre. Upp till 20 miljoner euro, eller 4% av företagets globala årliga omsättning, beroende på vilket belopp som är högre.

Integritetsskyddsmyndigheten konstaterar att Avanza Bank har behandlat personuppgifter i strid med artiklarna 5.1 f och 32.1 i dataskyddsförordningen genom att under tiden från den 15 november 2019 till den 2 juni 2021 vid användning av analysverktyget Meta-pixeln inte ha vidtagit lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå för personuppgift. IMY har flera andra pågående granskningar som grundar sig i anmälda personuppgiftsincidenter där personuppgifter under en längre tid har förts över till Meta.

Varför är Meta-pixel viktigt?

Meta-pixel är för många marknadsförare ett ovärderligt verktyg av flera skäl:

• Mätning av annonsresultat: Genom att spåra användarnas aktiviteter kan företag mäta effektiviteten av sina annonser och förstå vilka kampanjer som ger bäst resultat.
• Målgruppssegmentering: Pixeln möjliggör avancerad målgruppssegmentering, vilket gör det möjligt att rikta annonser till specifika användargrupper baserat på deras beteenden och intressen.
• Retargeting: Med hjälp av pixeln kan företag skapa retargeting-kampanjer för att nå användare som redan har visat intresse för deras produkter eller tjänster.
• Förbättrad användarupplevelse: Genom att förstå hur användarna interagerar med webbplatsen kan företag göra förbättringar som ökar användarvänligheten och konverteringsgraden.

Beslutet från myndigheten visar att man behöver vara väldigt försiktig hur man implementerar koden och använder den i sin marknadsföring.

Har metapixeln implementerat på din webbplats?

Det finns flera webbläsartillägg som kan hjälpa dig att identifiera om en Meta-pixel är installerad på en webbplats. Två populära tillägg är:

• Meta Pixel Helper: Detta är ett officiellt verktyg från Facebook som skannar webbplatser för att se om en Meta-pixel är installerad.
• Ghostery: Ett tillägg som identifierar olika typer av spårningsskript, inklusive Meta-pixel.

Du kan också manuellt undersöka webbplatsens källkod för att se om Meta-pixeln är installerad:

1. Högerklicka på sidan och välj "Visa sidkälla" eller "Inspektera".
2. Sök efter script-taggar som innehåller facebook eller fbq.

Det finns också flera online-verktyg som kan analysera en webbplats och rapportera om olika spårningstekniker som används exempelvis builtwith.com

Hur ser dina övriga integritets avtal ut?

Tyvärr ser lagstiftningen ut på detta sätt, vilket medför betydande begränsningar och ökad byråkrati och betydligt sämre marknadsföring. Det innebär att du måste ha fullständig kontroll över alla dina skript och taggar och hur de implementeras. Framför allt behöver du granska och säkerställa att integritetsavtalen från alla dina leverantörer och tjänster, som HubSpot, Salesforce, TikTok, Google med flera, uppfyller de lagstadgade kraven. Enligt lagen ska dessutom samtyckesval lagras i fem år.

Företag	Kontaktformulär	E-post
Google	Google Data Protection Office	data-protection-office@google.com
Facebook	Meta Data Protection	datarequests@support.facebook.com
Amazon	Amazon Privacy Notice	privacyshield@amazon.com
Microsoft	Microsoft Privacy	dpo@microsoft.com
TikTok	TikTok Privacy	dataprotection@tiktok.com
HubSpot	HubSpot Privacy	privacy@hubspot.com
Salesforce	Salesforce Privacy	privacy@salesforce.com

 

Komplex EU-lagstiftning hotar företag och effektiv marknadsföring inom EU

Troligtvis har lagstiftarna inte insett hur komplexa lagar och myndighetsbeslut medför en enorm administrativ börda för företag inom EU. Tyvärr har inte tekniker, marknadsförare och jurister samma begreppsvärld, tonalitet i texter eller syften, vilket innebär att byråkratin i större företag kommer att öka exponentiellt ju mer komplex ett företags marknadsföring och marcom stack är. Jurister kommer exempelvis ofta att riskminimera medan marknadsförare vill vinstmaximera och stödja försäljningen. Detta innebär att kompetens, utredningstid och möten måste läggas på byråkrati för att förklara och kompromissa fram "hållbara lösningar" istället för att lägga tid på att öka företagens tillväxt. För mindre företag och framtidens tillväxtföretag, som ofta saknar separata avdelningar för dessa funktioner, blir utmaningen ännu större.

En annan konsekvens blir att företag satsar mindre pengar på digital annonsering hos annonsjättarna som Facebook, LinkedIn, TikTok och Google. Detta beror dels på sämre effektivitet av annonseringen, men också på att de inte ser de direkta konsekvenserna och svårare att räkna ROI på grund av begränsningarna i lagstiftningen. De stora IT-jättarna har en enorm ekonomisk makt, med ett sammanlagt värde som överstiger många nationers BNP. Detta kan leda till att dessa bolag, i jakt på att upprätthålla eller öka sina intäkter, väljer att liera sig med politiska grupperingar eller odemokratiska stater.

Källa: Ladda ner beslutet från IM