Hvor bliver cookie-lovgivningen overtrådt?

Illustration: REDPIXEL.PL/Bigstock
Redaktionen beder om hjælp til eksempler på tjenester, der ikke lever op til EU's cookie-direktiv.

Virker cookie-reglerne, eller er det muligt ganske enkelt at blæse på dem og slippe af sted med det uden konsekvenser?

Det spørgsmål beder redaktionen nu Version2's læsere om hjælp til at svare på.

Baggrunden er, at danske Blip Systems har fået ørerne i maskinen. Selskabet opsamler MAC-adresser fra bilisters og cyklisters mobiltelefoner for at kortlægge trafikken i nogle tilfælde realtime. Selv om data ikke bliver gemt og ikke kan genskabes, så strider opsamlingen sandsynligvis mod cookie-reglerne.

Læs også: Nytolkning af cookie-direktiv er bombe under dansk succesforretning med trafikovervågning

Omvendt har Google, Apple og Microsoft i årevis opsamlet MAC-adresser fra trådløse routere og gemt dem sammen med deres GPS-koordinator for at forbedre deres korttjenester. Det har ingen myndigheder sagt noget til.

Læs også: Cookielov presser dansk selskab, mens Microsoft, Google og Apple går fri

Vi bliver flere gange dagligt mindet om cookielovgivningen, når vi skal klikke os forbi advarsler på hjemmesider. De virker ikke efter hensigten, har flere politikere konstateret, men de er nu blevet udbredt i forskellig grad i hele Europa. Men EU's privacy direktiv handler om meget mere end cookies. Faktisk er cookies slet ikke nævnt i direktiv-teksten.

Som historien om Blip Systems viser, så er reglerne meget bredere end almindelige cookies. Faktisk gælder det alle systemer, som gemmer eller opsnapper information fra brugerens enhed, uden det er en nødvendig del af den service, som brugeren har bedt om. Spørgsmålet er derfor, om alle lever op til reglerne, som oven i købet kan være meget vanskelige at tolke.

Læs også: Sådan blev cookie-regler til en hovedpine for systemer til trafikovervågning

Har du eksempler, som efter din mening strider mod cookiereglerne, eller som i hvert fald er en gråzone? Så skriv dem i debatten herunder eller send en mail til Magnus Boye på mab@version2.dk.

Artiklen er opdateret 10:15 d. 26/3

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonathan Jørgensen

Når en bruger besøger en hjemmeside, bør han være bevidst om at hjemmesiden kan registere hans besøg i den anden ende og han har samtidig valget om ikke at benytte hjemmesiden. Cookielovgivningen fortæller blot om oplysningspligten til de data som gemmes.

I tilfældet med Blip Systems der opsamler de informationer uden at en bruger selv har henvendt sig eller har haft en intention om at benytte tjenester fra Blip Systems eller deres samarbejdspartnere.

  • 2
  • 0
Palle Simonsen

Uden at gøre det for kompliceret, kunne man jo tage et rent image med en webbrowser, i hvilken man ved hvor cookies bliver gemt, og så tage en tur rundt på diverse hjemmesider og se om ikke der bliver registreret en cookie eller syv.

Men der er sikkert en scripting haj blandt læserne, der kan strikke noget sammen, der tager alle .dk domæner fra en kant og checker, hvor manger af disse, der sætter cookies, hvilket jo så ville være før accept og dermed i modstrid med 'Cookie bekendtgørelsen' https://www.retsinformation.dk/Forms/R0710.aspx?id=139279

§ 3. Fysiske eller juridiske personer må ikke lagre oplysninger eller opnå adgang til oplysninger, der allerede er lagret, i en slutbrugers terminaludstyr eller lade tredjepart lagre oplysninger eller opnå adgang til oplysninger, hvis slutbrugeren ikke giver samtykke hertil efter at have modtaget fyldestgørende information om lagringen af eller adgangen til oplysningerne.

  • 1
  • 0
Peter Lind Damkjær

hvis jeg smelter en sessionscookie sammen med en trackingcookie så har jeg vel ikke overtrådt reglerne. ;-)

Jo formentlig.

Fra ERST vejledning (nederst side 22):
"Cookies eller lignende teknologier der, opfylder kravene til at være omfattet af undtagelsen, må ikke anvendes med andre formål for øje. I så fald skal brugeren informeres og give samtykke til disse andre formål."

  • 5
  • 0
Rune Jensen

Det ville måske være mere interessant at vide, om der er nogen - og i givet fald hvem - der faktisk formår at overholde direktivet til punkt og prikke.

Overholder V2 mon DNT standarden?
http://www.w3.org/TR/tracking-dnt/

Jeg har selv forsøgt mig med den, men den er altså ikke lige ud af landevejen. I forhold til, der kun er tre stadier af DNT headeren, så er det godt nok en lang standard.

Idéen er sådan set ikke dårlig, bortset fra, den har som udgangspunkt at alle overholder reglerne. Der er jo ikke rigtigt nogen sanktioner indbygget i standarden for dem som ikke gør det, så hvordan man vil dæmme op for, at man ikke trakcer, ved jeg ikke. Men på sider, som man i forvejen ved er seriøse, der kan den måske godt have sin eksistensberettigelse.

PS. Prøvede at sende GET request til V2 med DNT=1. SVJKS skal serveren så svare med en standard besked, fx. "Tracking", "Not tracking" eller "Under construction". (Der er flere). Men jeg kunne ikke se noget svar af denne art.

Whatever this means:

"
The tracking status value is case sensitive, as defined formally by the following ABNF.

TSV = %x21 ; "!" - under construction
/ %x3F ; "?" - dynamic
/ %x4E ; "N" — not tracking
/ %x54 ; "T" — tracking
/ %x43 ; "C" - tracking with consent
/ %x50 ; "P" - tracking only if consented
/ %x44 ; "D" - disregarding DNT
/ %x55 ; "U" - updated

"

  • 0
  • 0
Jeppe Schmidt

Ja, det er en infantil overskrift, ved det godt, men nogen gange har man behov for at falde i niveau for at ramme det niveau, det emne man kommenterer, er på.
Der er ingen menigmand, og almindelig bruger af internettet, der har den fjerneste ide om hvad cookiedirektivet omhandler, andet end at det er noget med noget cookie. Her er de 3 værste ting som jeg mener om det:
1) Alene ordet "cookie", som jeg godt er klar over de fleste herinde ved hvad er, hjælper ikke den almindelige forbruger til at vide hvad der tales om. Det ville vel svare til, at man skulle svare ja til at man accepterer hvordan de reaktive stoffer i benzin reagerer med kroppens enzymer hver gang man satte sig ud i sin bil. Dem der laver biler ved muligvis godt, men resten gør ikke.
2) Alle de popups der nu dukker op på samtlige hjemmesider, har kun medført, at den generelle internetbruger nu er blevet væsentligt bedre til blot at klikke "Ja" til hvad der dukker op som popup, da man antager det nok er den der "cookie" ting. Et slaraffenland for ondsindede webprogrammører.
3) Ingen reel effekt er så den sidste ting. De fleste hjemmesider er bygget med cookies in mente, især hvis der er tale om CMS hjemmesider. Derfor gør de fleste større hjemmesider nu blot opmærksom på det, men ikke giver et reelt valg. Det er vel reelt kun de hjemmesider der "forventes" at være politisk korrekte, der har været nødsaget til at lave deres sider om (skat.dk, folketinget.dk, alle de politiske partier som ønsker en chance ved et valg, osv osv). Resten har drejet løsningen til "der skal være en popup", så den laver vi og gør opmærksom på at vi logger cookies (som så ingen almindelig internet så i øvrigt forstår hvad betyder)

Summa summarum: Den er latterlig (undskyld igen... :( )

Hov .. og så lige OT. Opfordrer V2 alligevel sine læsere til at "stikke" deres konkurrenter osv. til cookie håndhævelse? Er det ikke sådan .. lidt dårlig stil?

  • 0
  • 0
Peter Jensen

Hvis I er utilfredse med at blive spurgt om I vil afgive personlige oplysninger og overvåges af en hjemmeside, så er det hjemmesiden I skal klage til over forholdet. Ikke budbringeren. Hjemmesiden kan vælge at lade være med at overvåge brugerne og sælge oplysningerne til 3.parter. Reklamer kan godt vises på hjemmesider uden at brugerne skal misbruges.

  • 0
  • 0
Magnus Boye Editor

Hej alle
Tak for kommentarerne!
Ja, cookiedirektivet er utrolig dårligt navngivet. EU’s privacydirektiv handler om meget mere end cookies. Blandt andet handler reglerne om, hvornår man må opsnappe en MAC-adresse fra en mobiltelefon. Eller hvornår man må bruge device fingerprinting. Hovedsagen er, at vi gerne vil opfordre alle læsere til at overveje, om de kender til systemer – ikke blot hjemmesider – der kunne være omfattet af reglerne, men ikke lever op til kravet om samtykke.
Nej, det er ikke en opfordring til at stikke konkurrenter, og vi leder ikke efter skyts til en artikel om, at et givent medies hjemmeside bryder sig mod cookie-reglerne. Derimod vil vi høre, om I har undret jer over et system, som kan falde ind under direktivet – fx om Google og Apple må indsamle MAC-adresser fra routere uden at spørge om lov.
Mvh.

  • 0
  • 0
Knud Jensen
  • 0
  • 0
Jørgen L. Sørensen

Når en bruger besøger en hjemmeside, bør han være bevidst om at hjemmesiden kan registere hans besøg i den anden ende og han har samtidig valget om ikke at benytte hjemmesiden.

Det er ikke altid så let --- f.eks. har Kulturministeriet (kum.dk) tidligere haft en advarsel som blokerede fuldstændig for hjemmesiden til man svarede OK (den eneste svarmulighed).

Nu kan man godt besøge kum.dk, og jeg bliver slet ikke spurgt om cookies --- men der bliver gemt en god håndfuld netminers mv. (afprøvet i en Chromium).

Efter min mening burde offentlige hjememsider (som i sidste ende bliver finanisieret af os skatteborgere) være tilgængelige selv om vi ikke ønsker at blive sporet.

Andre hjemmesider tjekker så klodset at man ikke kan logge ind/besøge siderne selv om man har whitelistet deres domæner (og kører med en generel blokering af tredjeparts cookies).

  • 0
  • 0
Ole Tange Blogger

Som beskrevet i artiklen indsamler både Google og Blip MAC adresser og den tilknyttede placering.

Der er dog en væsentlig forskel: Google's indsamling kan se, hvor mit access point er, mens Blip's indsamling kan se, hvor min mobiltelefon har været.

Det fortæller ikke ret meget om mig, hvis man har en registrering af placeringen af mit accesspoint for hvert minut de seneste 10 år.

Det står i stærk modsætning til, hvis man i stedet har en registrering af placeringen af min mobiltelelfon for hvert minut de seneste 10 år.

Mit accesspoint har stået på Nyelandsvej de sidste 10 år. Det invaderer ikke mit privatliv (ret meget) at folk i almindelighed ved det. Min mobiltelefon er sjældent det samme sted mere end 24 timer af gangen, og dens placering fortæller i høj grad noget om mine holdninger: Man vil kunne se, hvilke møder og demonstrationer, som jeg har været med til, og ud af det kan man med høj sikkerhed sige noget om mine interesser og politiske holdninger.

Der er for mig en markant forskel på Blips indsamling af mobiltelefonplaceringer og Google's registrering af accesspoints.

PS: Hvis du ikke benytter Ghostery i din browser, så er idag en god dag at installere det. Det tager under 1 minut.

  • 3
  • 0
Anders Brander

Der er dog en væsentlig forskel: Google's indsamling kan se, hvor mit access point er, mens Blip's indsamling kan se, hvor min mobiltelefon har været.

Hvis Google ved hvor alle access points er placeret - og de derefter uploader information om synlige access points fra alle Android-enheder - så ved de hvor alle Android-enheder er og har været.

  • 1
  • 0
Log ind eller Opret konto for at kommentere