Her er de nye cookieregler: Sådan skal du gøre

Nu er de nye regler for brug af cookies i Danmark klar. Se dem her.

Lagres der en eller anden form for fil på din computer, når du besøger en hjemmeside, så er hjemmesideindehaveren forpligtet til at oplyse dig om hvad, der indsamles, og hvorfor. Det fremgår af en netop offentliggjort bekendtgørelse fra Erhvervs- og Vækstministeriet.

I slutningen af maj var der deadline for de enkelte medlemslandes fortolkning af et direktiv fra Europa Kommissionen. Direktivet, populært kaldet cookiedirektivet, omhandler lagring af filer på en borgers computer, og omfatter blandt andet cookies og logfiler. Og nu er den danske fortolkning af direktivet altså klar, over et halvt år efter planen.

Læs også: Netbutikker: Cookieregler kunne have været værre

Reglerne er ifølge Kresten Bay, kontorchef i Erhvervs- og Vækstministeriet, implementeret meget tekstnært i forhold til direktivet fra EU. Samtidig er der plads til, at branchen selv kan justere, fortæller han til Version2.

Gennem branche- og forbrugerorganisationer, medierne og det offentlige, skal danskerne lære om de nye cookieregler, mener han.

»Vi har ansvaret for, at reglerne har en effekt. Vores forventning er, at branchen tager det seriøst,« siger Kresten Bay til Version2 og påpeger, at det er for tidligt at vifte med reglerne, og at der skal være tid til at tygge det igennem.

For ham er det samtykkekravet, der kræver flest overvejelser fra hjemmesideejeren. Her skal der tages stilling til den dialog, man vil have med sin bruger. Samtykkekravet handler om, hvordan brugeren informeres og accepterer, at der lagres filer på computeren til senere identificering.

Ligeledes er det en udfordring for hjemmesideejerne at informere besøgende om tredjepartscookies - cookies fra andre hjemmesider, som eksempelvis kommer med indlejret indhold. Hvis der på en hjemmeside er en videoindlejring, og videotjenesten placerer en cookie på den besøgendes maskine, er det ifølge de nye regler op til ejeren af den hjemmeside, den besøgende er på, og som indlejrer videoen, at oplyse omkring de cookies, videotjenesten placerer.

Men det kan også få branchen til at tænke over, om det virkelig er nødvendigt med cookies. Samtidig erkender Kresten Bay dog, at der er mange, der ufrivilligt vil komme til at overtræde reglerne ved ikke at oplyse om eksempelvis tredjepartscookies. Derfor er det vigtigt, at der er dialog og selvregulering, og at man ikke bare straffer med bøder, lyder det.

I reglerne fremgår det, at overtrædelser af bekendtgørelsen straffes med bøde. Kresten Bay vil dog ikke melde noget ud om bødens størrelse eller andre mulige sanktioner. De vil vente og se tiden an, lyder det.

Det er op til de 27 medlemslande at fortolke EUdirektivet, og derfor vil reglerne i de enkelte lande ende med at se forskellige ud. Og det er uhensigtsmæssigt, mener Kresten Bay, når man ønsker et ens marked.

Derfor forestiller han sig også, at der i løbet af få år vil være nogle mere fælles regler og retningslinjer, når man i Bruxelles har lært af de erfaringer, medlemslandene har haft.

»Det er et paradigmeskifte og det er meget komplekst. Det er noget, der vil tage tid, men også noget, vi skal være meget opmærksomme på.«

Det skal du være opmærksom på

  1. Brugeren skal på et oplyst grundlag acceptere, at der placeres cookies på vedkommendes computer. Hvis ikke brugeren ønsker dette, skal det også være en mulighed. Spørgsmålet om, hvornår en person har givet samtykke har været til stor debat. I nogle tilfælde vil det, at vedkommende fortsat bruger tjenesten være nok, mens man i andre tilfælde mere aktivt skal informere brugeren.
  2. Din information om brugen af cookies skal være formuleret i et klart, præcist og letforståeligt sprog. Definitionen heraf vil være ud fra målgruppen. Således skal målgrupper, hvor der må formodes ikke at være kendskab til funktionerne i cookies være særligt omfattende.
  3. Brugeren skal altid kunne tilbagekalde sit samtykke. Derfor skal der være en vejledning eller et link på hjemmesiden til hvordan man gør dette.
  4. Overholdes reglerne ikke, straffes der med bøde. Bødestørrelsen er dog endnu ukendt.

Du kan læse hele bekendtgørelsen herunder.

Læs Erhvervs- og Vækstministeriets vejledning til bekendtgørelsen herunder.

Kommentarer (27)

Peter Binderup

Der dræbte man lige webbet (såfremt at lovgiverne rent faktisk tror at folk vil overholde disse regler).

Hvis jeg har en corporate side på f.eks. Facebook hvortil jeg henviser mine kunder. Er det så mit eller Facebooks ansvar at oplyse hvad der logges i cookies (hvis det er mit mon så Facebook vil være interesserede i at give de oplysninger fra sig). Hvad med session cookies, skal man også til at forklare i forvejen IT handicappede bruger hvorfor man bruger dem?

Hvis man driver commynity baserede hjemmesider, så er man fremadrettet nødt til at forhindre ens brugere i at indlejre indhold (video mv) fra 3. part da indhold jo kan komme fra mange forskellige kilder, som kan bruge cookies på forskellige måder.

Jeg kan simplethen ikke se hvordan disse regler på nogen som helst måde skal gøre det nemmere at være IT bruger. Det ville have en langt større effekt at presse browser producenterne til at gøre det nemmere at blokere visse typer af cookies.

Thomas Hansen

Der er ingen regler der gælder for SlemID. De kan gøre som det passer dem, uden at der er mulighed for at man kan stoppe det.
Retsstaten gælder ikke for SlemID.

Martin Kollerup

Kommer jo aldrig til at bliver overholdt.

Anyway, skal folketinget i det mindste ikke selv overholde disse regler? De placere 5 cookies når man besøger deres hjemmeside. Det står godt nok på en underside at de gør det, men der er de jo blevet placeret på computeren??

Dobbelt moralske politikere!

Niels Wind

Hvad med session cookies

Det kommer lidt an på hvad der menes med 'lagres' i lovteksten. Non-persistent cookies (aka session cookies) eksisterer kun sålænge man er logget ind på et site, og kan jo således ikke anvendes til tracking når brugeren vender tilbage. Sund fornuft siger jo at der så ikke lagres noget... meen...

Baldur Norddahl

Der dræbte man lige webbet (såfremt at lovgiverne rent faktisk tror at folk vil overholde disse regler).

Nej, det tror jeg faktisk ikke. Det ligner mere en pil i hjertet på Google, Facebook og lignende virksomheder.

Jeg har læst både lovtekst og vejledning. Alt min brug af cookies er undtaget. Det eneste er at jeg er nødt til at droppe Google Analytics men det overlever jeg nok.

Baldur Norddahl
Baldur Norddahl

Som jeg læser lovtekst og vejledning, så gælder reglerne bestemt for NemID. Vejledningen nævner at reglerne også gælder for virus og malware, så NemID må være omfattet :-).

Specielt gælder reglerne for alle sider der benytter NemID, herunder bankerne.

Men glæd dig ikke for tidligt. Det bliver bare til en side med noget jura-tekst og en oplysning om at du kan acceptere eller alternativt undlade at bruge netbanken.

Det sjove er at de skal oplyse præcis hvilke oplysninger de indhenter fra din computer. Det er irrelevant om de kryptere eller beregner en hash-værdi før data bliver overført.

Jesper Lund

Jeg har læst både lovtekst og vejledning. Alt min brug af cookies er undtaget. Det eneste er at jeg er nødt til at droppe Google Analytics men det overlever jeg nok.

Jeg tvivler på at FDIM vil have en lige så vidtgående fortolkning for så vidt angår Google Analytics. Men vi får se. Staten har dog droppet GA på itst.dk men GA bruges stadig på statens-it.dk og et par andre statslige websites.

Men jeg er enig med dig om GA. Jeg har kun lavet en hurtig gennemlæsning af bekendtgørelse og vejledning, og så vidt jeg kunne se var det ikke nødvendigvis et krav at der er tale om forudgående samtykke, men der skal være mulighed for at trække sit samtykke til lagringen tilbage. Det lader sig bare ikke gøre i forhold til data som er overført til Google.

Baldur Norddahl

og så vidt jeg kunne se var det ikke nødvendigvis et krav at der er tale om forudgående samtykke

Det står nu ellers ret klart, specielt i vejledningen. Enhver form for tracking og statistik bliver udpenslet i vejledningen som værende omfattet.

Facebooks "like" knapper er ude (de bruges i høj grad til tracking). Googles målrettede reklamer nævnes direkte med et eksempel på hvordan bruger godkendelse kan udformes, så de er naturligvis også ude.

Christian Schmidt

Tja, jeg synes ikke, at denne såkaldte vejledning fjerner meget af den forvirring, der opstod i kølvandet af cookiedirektivets vedtagelse tidligere på året. Den gør meget ud af forklare, hvordan man kan gøre enormt meget ud af det med piktogrammer mv., men de fleste er jo nok mest interesserede i, hvordan man overholder loven med mindst mulig indsats, og her er vejledningen ikke til megen hjælp.

Hvem holder tilsyn med, at reglerne overholdes? Kan man anmelde overtrædelser til politiet? Er det en domstol, der skal bestemme bødens størrelse?

John Vedsegaard

De laver simpelthen bare søgemaskinen så besværlig at bruge, at man nærmest er nødt til at være logget ind. Derefter har de intet at bruge cookies til og al aktivitet kan gemmes, uanset hvilken computer man bruger.
Samme metode vil uden tvivl blive brugt masser af andre steder.

Martin Parm

Er der nogen af jer, der ved hvordan man skal forholde sig til personer under 18? Hvis man skal indhente et samtykke, så kræver det vel, at personen er myndig til at give det samtykke. Så hvordan skal man forholde sig, når man har et website, der primært henvender sig til teenagere? Skal vi til at sikre at samtlige brugere under 18 får deres forældre til at afgive samtykke?

Jesper Lund

Det står nu ellers ret klart, specielt i vejledningen. Enhver form for tracking og statistik bliver udpenslet i vejledningen som værende omfattet.

Facebooks "like" knapper er ude (de bruges i høj grad til tracking). Googles målrettede reklamer nævnes direkte med et eksempel på hvordan bruger godkendelse kan udformes, så de er naturligvis også ude.

Nu har jeg også fået læst vejledningen. Vi er enige om at enhver form for tracking eller statistikindsamling er omfattet, og det fremgår også klart at websitet har ansvaret for det som tredjeparts plugins laver (de cookies som tredjeparts plugins sætter, og at tredjepart bruger de indsamlede oplysninger inden for rammerne af det samtykke som brugerne af dit website giver).

Jeg læser det dog ikke som et krav at der nødvendigvis skal være tale om et forudgående samtykke. På side 10 i vejledningen nævnes denne mulighed for at give et samtykke

aktiv brug af en tjeneste, hvor det må forventes, at brugeren er informeret
om, at der vil ske lagring af eller adgang til oplysninger (såfremt dette
ikke er afslået)

I forhold til situationer hvor tredjepart får adgang til de oplysninger som indsamles via brugerens terminaludstyr, er der dog nogle komplikationer for et website som gør brug af disse tredjeparts tjenester.

Brugeren skal have mulighed for at tilbagekalde samtykket, hvilket kan være lidt tricky i forhold til en tredjeparts tjeneste som Google eller Facebook. Du kan slette en lokal cookie, men de oplysninger som er sendt til Google via GA kan ikke slettes. Derudover er der følgende krav på side 10ø

Hvis lagring af eller adgang til oplysninger på et senere tidspunkt benyttes til
formål, der rækker ud over, hvad der tidligere er indhentet samtykke til, skal der
indhentes et nyt samtykke, der omfatter det nye formål.

Et dansk website har reelt ingen kontrol over hvad Google bruger de indsamlede oplysninger til, så det vil være umuligt at opfylde dette krav hvis Google Analytics benyttes.

Jesper Lund

Nu roste jeg lige itst.dk for at de har fjernet Google Analytics.

Men Digitaliseringsstyrelsen (NemID apostlene) har også fået deres egen hjemmeside, og de har en fin privatlivs- og cookiepolitik som informerer om cookies
http://www.digst.dk/da/Servicemenu/Privatlivs-og-cookiepolitik

Der mangler bare en ret væsentlig oplysning.. (det er ikke deres lemfældige omgang med "anonym" som jeg tænker på).

Thomas Hansen

Som jeg læser det, så skal man oplyse brugerne om de cookies der er tale om, og informerer om, at brugeren er velkommen til at fise af, hvis ikke brugeren vil tillade disse cookies.

Der er 2 hovedgrupper.

Den ene hovedgruppe er cookies som sitet selv anvender.
Det kan f.eks. være login cookies eller lignende, man benytter til at holde forbindelsen live. Men også andre cookies man selv benytter på sitet.

Den anden hovedgruppe er 3'die part cookies, altså hvor der på sitet er indlejret 3'die part materiale. Det kan f.eks. være analyseværktøjer fra søgemaskiner, eller indlejrede elementer fra f.eks. et socialt site.

Den nemme løsning på det problem, er at informerer om hvilke cookies man anvender, og indlejre det på alle sider af sit site, med besked om at brugeren skal skride, hvis ikke brugeren accepterer disse cookies.

Pop-up, er ikke nødvendigvis et krav.

F.eks. for butikker, der bruger betalingsservice, skal de der til knyttede oplysninger, tilsvarende være oplyst.

Ret mig, hvis jeg tager fejl.

Baldur Norddahl

Jeg læser det dog ikke som et krav at der nødvendigvis skal være tale om et forudgående samtykke. På side 10 i vejledningen nævnes denne mulighed for at give et samtykke

"aktiv brug af en tjeneste, hvor det må forventes, at brugeren er informeret om, at der vil ske lagring af eller adgang til oplysninger (såfremt dette ikke er afslået)"

Jeg konkluderer at der er i praksis skal være tale om forudgående samtykke. Jeg kan simpelthen ikke komme i tanke om tilfælde, som dels ikke allerede er undtaget jævnfør §4, og hvor en "almindelig" bruger vil kunne forventes at have implicit viden om her vil der naturligvis blive brugt en cookie.

Jesper Lund

Jeg konkluderer at der er i praksis skal være tale om forudgående samtykke. Jeg kan simpelthen ikke komme i tanke om tilfælde, som dels ikke allerede er undtaget jævnfør §4, og hvor en "almindelig" bruger vil kunne forventes at have implicit viden om her vil der naturligvis blive brugt en cookie.

Jeg kunne forestille mig at FDIM vil argumentere for at deres blå advarselstrekant er tilstrækkelig til at løfte den byrde (så brugeren bør forvente at der sættes cookies på websitet fordi de har set denne trekant).

Problemet i den situation er de cookies som sættes inden brugeren får mulighed for at orientere sig om privatlivspolitikken via f.eks. et standardiseret ikon som FDIMs blå trekant (det sker også på fdim.dk, der endda bruger Google Analytics). Det gælder især hvis der er tale om cookies som ikke reelt kan slettes igen (samtykke tilbagekaldes) fordi information fra cookies allerede er overført til tredjemand (Google Analytics, Facebook I Like, og lignende third-party tracking).

Du har selvfølgelig en pointe med at de fleste "lokale" cookies er til session management eller at huske et login password (og de er eksplicit undtaget), mens de fleste tracking cookies er tredjeparts cookies fra scripts som du bruger på dit website.

Men der kan være cookies mellem disse to yderpunkter, for eksempel statistik cookies som kun bruges lokalt. Eksempelvis hvis du kører piwik på din egen server i stedet for at bruge Google Analytics. Her er skaden ved at sætte en cookie der egentlig kræver information og samtykke ikke så stor, da du effektivt kan slette cookien igen, og lokale analytics applikationer kan ikke bruges til at tracke din adfærd på tværs af forskellige websites. Der skal stadig informeres, men jeg synes ikke at det er afgørende at et samtykke er forudgående i denne situation, hvor der ikke lækkes informationer til tredjemand.

Michael Olesen

(jeg forstår ikke helt den der down-vote på den kommentar).
Nu har jeg ikke læst alle paragrafferne, men det er da en interessant problematik som bliver fremstillet der.
Hvis et barn på 10 år uvidende har klikket acceptér på en side, gælder det så også forældrenes fremtidige accept af denne tracking-cookie?...

Baldur Norddahl

Der skal stadig informeres, men jeg synes ikke at det er afgørende at et samtykke er forudgående i denne situation, hvor der ikke lækkes informationer til tredjemand.

Det er vist ligemeget hvad vi synes :-). Jeg opfatter reglerne som at du kun må sætte en cookie hvis den ordinære dansker på forhånd måtte forvente at du vil sætte en cookie. Den ordinære dansker kan ikke have en forventning om at du kører pwiki eller andet, så altså må du ikke.

Indtil videre stiller jeg mig i hjørnet hvor reglerne skal fortolkes strikt. Her i mit hjørne er det faktisk meget enkelt - skal du bruge en cookie for funktion så er det ok. Ellers skal du spørge om lov før du sætter cookien. Og det føles faktisk ok - det rammer ikke rigtig nogen undtagen dem der vil tracke. Pwiki style statistik kan sagtens tilnærmes uden brug af cookies.

per mortensen

Som forlægger og forfatter, så er: "Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr", utrolig vigtig, idet hele mit firmas eksistens er afhængig af fortolkningen af denne, og lignende lovtekster.

Mit forlag Bopafilm.dk udgiver bl.a. bøger i ePub, og pdf, men da de tekst programmer er i open source, så kan jeg ikke blive optaget i de danske bibliotekers eReolen.dk , eller sælge mine bøger hos de organiserede boghandlere.

Som forfatter har jeg undersøgt, hvordan et af de store forlag udgiver e-bøger, og det var en sælsom oplevelse. Oplægget var min bog Sabotørerne, og den blev skannet af forlaget og sendt igennem et DRM program af en slags. Det rettede stavefejl (få), det ændrede teksten grammatisk mange steder (bogen var delvis i talesprog p.g.a. produktionsmetoden i 1978), og det slettede en del sgu´er (programmet havde øjensynlig en kvote her). Værre var det, at visse sammenstillinger af ord var forbudt. Ålborg lufthavn måtte ikke nævnes i samme afsnit som 9.april 1940, og en omtale af Kong Chr.X. blev også korrigeret.

I min kontrakt med forlaget står der i §1o. Stk. 5: Forlaget har ret til at foretage nødvendige ændringer og tilpasninger af værket, med henblik på at udnytte værket i digital form, herunder forsyne værket med digitale funktionaliteter og sammenstille det med andre værker. Men der var ingen kommentarer til det DRM program, som alle forfattere skal forholde sig til, hvis de vil have udgivet og solgt bøger i 2012.

Det er da også ubehageligt, og måske direkte ulovligt, at de danske biblioteker, med det kgl. Bibliotek (Sony) i front, også går ind for DRM programmernes censur lignende tiltag. De for over 70 år siden afdøde forfatteres ophavsret, hvem forsvarer den? Kan et forlag få licens/ophavsret til den "Grimme Ælling"?

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Interconnecting Cisco Network Devices Part 2 (ICND2)

Hvornår: 2015-09-14 Hvor: Storkøbenhavn Pris: kr. 19500.00

Den gode samtale i Service Desken

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Word course Basic (conducted in English)

Hvornår: 2015-09-23 Hvor: Storkøbenhavn Pris: kr. 5100.00

Strategisk kommunikationsrådgiver

Hvornår: 2015-09-01 Hvor: Storkøbenhavn Pris: kr. 54500.00

MDX kursus grundlæggende

Hvornår: 2016-05-17 Hvor: Storkøbenhavn Pris: kr. 6800.00