Mangelfuld førstehjælp til hjemmesideejere: Cookietjenester på kant med loven

Overblik: Flere tjenester tilbyder et quick-fix til at overholde cookie-bekendtgørelsen. Se hvilke tjenester, der klarer opgaven bedst - og hvilke, der lover mere, end de holder.

Der dukker flere og flere løsninger op, som kan hjælpe hjemmesideejere med at overholde den omdiskuterede cookiebekendtgørelse. Men flere af tjenesterne er på kant med loven og lover noget, de ikke kan holde. Version2 har taget et kig på fem af tjenesterne.

De fleste tjenester tilbyder et JavaScript, som genereres på kort tid og som er lige til at sætte ind på ens hjemmeside. Men kun en ud af fem sider oplyser umiddelbart om, at hjemmesideejere også fast skal informere om brugen af cookies.

Cookiebekendtgørelsen stiller nemlig ikke bare krav til informeret samtykke ved brugen af cookies - noget, som diskuteres heftigt i EU, da der ikke er enighed om, hvad et samtykke helt præcist indebærer. Der stilles også krav om, at sider informerer om brugen af cookies. Det betyder, at hjemmesider eksempelvis kan have et link med teksten ’Cookies’, ’Privatlivspolitik’ eller ’Privacy’ et sted på siden, som leder hen til yderligere information om cookies. Det er et krav i det to år gamle EU-direktiv, som den danske bekendtgørelse bygger på. Men det er faktisk også et krav i et nu 11 år gammelt EU-direktiv om cookies.

Der burde altså ikke være nogen undskyldning for ikke at informere brugeren om anvendelsen af cookies.

Den brugervenlige løsning

En af de mest brugervenlige løsninger er den danskudviklede CookieClaim-tjeneste, der fungerer ret simpelt. Du indtaster sidens URL, din e-mail-adresse, og så modtager du en JavaScript-kode via mail, som kan indsættes på siden. Herefter vises der i 15 sekunder et banner i bunden af siden, hvor de besøgende informeres om brugen af cookies. Samtidig vises en reklame for CookieClaim-tjenesten. Denne kan fjernes ved at vælge et abonnement til 29 kroner om måneden.

CookieClaim skiller sig ud fra mængden ved at tilbyde en løsning, der aktivt scanner din hjemmeside og lister de cookies, du bruger. Det gør de via en såkaldt crawler, som udviklerne bag har brugt et par år på at udvikle.

»Der er mange hjemmesideejere, der ikke ved, hvilke cookies, der bliver placeret på folks computere. Med en simpel Wordpress-installation med Google Adwords placerer man måske fire-fem cookies pr. side,« siger Sebastian Brandes Kraaijenzank til Version2 og fortsætter:

»Og selv for de hjemmesider, hvor man har styr på cookies, kan det være en udfordring. I en større dansk virksomhed kan det være heldagsarbejde at kigge hjemmesiden igennem for cookies. Det kan nemt koste flere hundrede kroner i timen. Det gør vi automatisk, dagligt og for 29 kroner om måneden.«

En af de sider, der bliver fremhævet som bruger af CookieClaims løsning er hjemmesiden autouncle.dk. Når man besøger siden, præsenteres man i bunden af siden for en informationsbjælke, der i 15 sekunder fortæller, at siden bruger cookies. Teksten kan man klikke på, og så åbnes et vindue, der fortæller mere om cookies samt hvilke cookies, der bliver brugt. Det er i hvert fald meningen.

Men da Version2 besøger siden, er den tabel, der angiveligt skulle vise hvilke cookies, der blev brugt, helt og aldeles tom. Og det på trods af, at besøg på siden gav mellem 19 og 21 cookies, heraf en stor del tredjepartscookies. Det overrasker Sebastian Brandes Kraaijenzank, der er en af udviklerne bag CookieClaim-tjenesten. Ifølge ham er autouncle fremhævet på siden, fordi de var en af de første kunder, og fordi løsningen virkede.

»Det har jeg ikke nogen forklaring på. Men det må være noget, der lige er sket. Siden har nogle blokeringsmekanismer for at forhindre, at data bliver stjålet af scrapere. Det kan være, at vores crawler bliver blokeret ved en fejl,« siger Sebastian Brandes Kraaijenzank til Version2.

I EU-direktiverne fra 2002 og 2009 lægges der op til, at hjemmesideejere skal informere om brugen af cookies. I Erhvervsstyrelsens vejledning til cookiereglerne fremgår det, at information om cookies skal være ’umiddelbart tilgængelig for brugere’ ligesom de skal kunne ’tilgås uden besvær’. Dette tolkes oftest derhen, at der på en hvilken som helst side, underside såvel som forside, skal være et link til cookiepolitikken. Men med JavaScript-løsningen kommer der ikke automatisk et fast element ind, der linker til reglerne. Og derfor overholder CookieClaim-løsningen efter Version2's vurdering ikke loven - i modsætning til, hvad CookieClaim selv bedyrer på deres hjemmeside :

»CookieClaim scanner automatisk din hjemmeside for cookies og genererer en JavaScript-kode, som du kan indsætte på din hjemmeside. På den måde overholder du EU's cookie-lovgivning og undgår store bøder«

I lover, at man overholder EU’s cookie-lovgivning med jeres tjeneste. Glemmer I ikke at fortælle, at siderne også skal have et link til cookiereglerne, når banneret er væk efter de 15 sekunder?

»Vi har været i meget tæt kontakt med Erhvervsstyrelsen og vi har snakket om, hvordan løsningen skal sættes op. Hvis man sammenholder direktivet med vejledningen, er der en del uoverensstemmelser. Lige nu går vi efter Erhvervsstyrelsens vejledning. At der skulle være nogle uoverensstemmelser mellem direktivet og cookielovgivningen er ikke noget, vi tager så tungt. Det er Erhvervsstyrelsen, der må få styr på, at cookieloven følger direktivet,« siger Sebastian Brandes Kraaijenzank.

Men det er jo både en del af det to år gamle direktiv og direktivet, der nu er mere end 10 år gammelt, at man skal informere om brugen af cookies. Sælger I ikke en vare, I reelt ikke kan levere?

»Det er primært fordi, vi har forholdt os til den danske fortolkning. Det er noget, vi er i gang med at tilrette, og vi retter løbende. Min vurdering er, at vi vil have løst det i løbet af et par uger eller en måned. Vi holder kontakten med Erhvervsstyrelsen for at holde vores kunder i en god position. Og vi kan i hvert fald garantere, at der på baggrund af de små uoverensstemmelser, der måtte være, ikke er noget, vores kunder vil kunne få bøder for.«

Cookiebot

En anden løsning er Cookiebot.com, der har adresse i Danmark. For tre euro, svarende til godt 22 danske kroner, får du et script, som kan sættes ind på siden. Herefter loves fuld efterlevelse af cookielovgivningen.

Gennemgangen af Cookiebots løsning er meget grundig. I mange europæiske lande er cookielovgivningen fortolket sådan, at besøgende, der fortsætter med at bruge en side, efter de er blevet gjort opmærksomme på brugen af cookies, automatisk samtykker. Men det er ikke tilfældet i alle lande, og det gør Cookiebot blandt andet opmærksom på.

Daniel Johannsen er direktør i Cybot, der står bag Cookiebot. En af de ting, han fremhæver ved Cookiebot er, at de har arbejdet meget med samtykket.

»Vi har haft fokus på at maksimere det forretningsmæssige potentiale inden for de regler, der er. Vi bruger en samtykkemodel, der maksimerer antallet af samtykker, så vi kan få flest muligt af brugerne til at acceptere alle cookies. Det har vi eksperimenteret med i løbet af det sidste trekvart år, og nu har vi en meget høj acceptrate (hjemmesidebrugere, der accepterer cookies, red.) på omkring 90 procent,« siger Daniel Johannsen til Version2 og fortsætter:

»Tidligere har flere af de store hjemmesider lavet målinger og forsøg, som tilsyneladende kun har en acceptrate på omkring 50 procent.«

Derudover påpeger Daniel Johannsen, at Cookiebot-tjenesten samtidig kører statistik over brugernes valg.

Løsningen har en håndfuld kunder i Europa og et par danske kunder. Daniel Johannsen regner med, at der vil komme flere kunder til i løbet af de næste måneder. For det første tager det flere måneder fra virksomhederne hører om tjenesten, til den bliver implementeret, men vigtigst er det, at den usikkerhed der er i Europa på grund af landenes forskellige fortolkning og virksomhedernes implementering, gør at hele markedet er meget afventende.

Cookiebot arbejder på en webcrawler, der - ligesom CookieClaim - kan scanne hjemmesiden for cookies. Den, regner de med, er klar i løbet af en måneds tid.

På Cookiebots egen side mødes man også af en cookieadvarsel. Her har man muligheden for at vælge mellem kun at lade siden bruge de mest nødvendige cookies eller helt at tillade cookies. Men inden man har truffet et valg, placeres to sessionscookies på ens computer. Vælger man kun at tillade de mest nødvendige cookies, placeres yderligere en cookie. Vælger man derimod at tillade cookies helt, placeres der 11 cookies, hvoraf tre er tredjeparts.

I lover, at man overholder EU’s cookie-lovgivning med jeres tjeneste. Glemmer I ikke at fortælle, at siderne også skal have et link til cookiereglerne?

»Det står faktisk inde i vejledningen, når man går ind og læser tutorialen. Der står, at det er en forudsætning at man har lavet den.«

På siden står der:”We suggest that you include this information as part of your privacy policy.”

Når I skriver, at man kan overholde lovgivningen med jeres tjeneste, bør I så ikke fortælle mere tydeligt, at man skal have en side, der fortæller om cookies, og ikke gemme det i bunden af en hjælpeside med en anbefaling?

»Nu kan vi jo ikke skrive alt på forsiden, der er meget kortfattet. Man kan ikke bruge systemet ud fra, hvad der står på forsiden. For at kunne tage systemet i brug skal man om og læse vejledningen til, hvordan man bruger tjenesten, og der står det klart og tydeligt. Så det synes jeg ikke, er et problem.«

Og så havner Cookiebot også i et andet problem. For søger man på konkurrenten CookieClaim på Google, dukker der en reklame for Cookiebot frem. Det er i Google Adwords muligt for virksomheder at købe reklame på andre virksomheders navne, da det skal være muligt for webshops, der sælger andre firmaers produkter, at købe reklame på eksempelvis taske- eller elektroniknavne.

Version2-blogger Jesper Lykkesfeldt beskrev i april, hvordan en ny dom om Google Adwords slog fast, at en virksomheds brug af konkurrentens varemærke som søgeord i Google Adwords var i strid med markedsføringslovens § 1 om god markedsføringsskik.

Hvorfor har Cookiebot købt reklamer på konkurrentens navn?

»Det er ud fra en strategi om, at hvis folk gerne vil se hvad der er på markedet, vil vi gerne komme i betragtning. Der er forskellige søgeord, som man kan forvente, at folk søger på, og der vil man gerne være synlig.«

Sø- og Handelsretten afgjorde for en måned siden, at det var i strid med god markedsføringsskik. Hvad er din kommentar til det?

»Det var jeg ikke klar over. Det duer selvfølgelig ikke - det må vi se at få slettet. Det gør jeg med det samme.«

Et væld af gratis løsninger

Ud over de danskudviklede løsninger, findes der på verdensplan en række løsninger, der også vil hjælpe hjemmesideejere med at imødegå de europæiske regler. Hovedreglen er, at de er gratis, eller i det mindste har en gratis basisløsning, ligesom det er tilfældet med de danskudviklede løsninger.

En af de løsninger er Cookie Control - her er der, ligesom tilfældet med de danskudviklede tjenester, mulighed for en gratis løsning. Vil man af med reklamen, kan man betale et engangsbeløb på 39 pund plus moms, svarende til 340 kroner plus moms.

Open source-tjenesten Cookie Consent fungerer på samme simple måde som danske CookieClaims, hvor man ved hjælp af URL og e-mail-adresse, kan få en kode tilsendt. Ud over at være gratis har løsningen også den fordel, at den respekterer Do Not Track-standarden, som er en tjeneste, brugere, der ikke ønsker at blive sporet, kan tilmelde sig.

Er du til gratis løsninger er der også en jQuery-løsning fra CookieConsent.com (der, udover sammenfaldet i navn og fokusområde ikke er samme løsning som Open Source-løsningen). Løsningen er nem at gå til, og de informere faktisk om, at det er et krav, at der er en side, der forklarer om cookies, og at der skal være et link til denne side på ens sider.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Holm Sørensen

Som blind skal jeg slet ikke tage stilling til om jeg vil acceptere cookies.
Mange af de løsninger til hurtige cookie-fix, er implementeret på en måde så jeg overhovedet ikke opdager, at jeg bliver stillet over for valget om at acceptere cookies.
Jeg benytter et skærmlæserprogram der oplæser hjemmesidens indhold. En hel del af de cookie accept løsninger jeg har mødt, er lavet på en måde så de ikke er tilgængelige for mit skærmlæserprogram. Det resulterer typisk i en situation, hvor en seende bruger får vist en dialog box på skærmen, hvur hun skal sige "ja" eller "nej"- Men mit skærmlæserprogram fortsætter bare med at læse hjemmesiden, uden overhovedet at fortælle at jeg står over for et valg.
Det er ikke fordi det ikke kan løses, eller er svært. Det er bare fordi udviklerne ikke er klar over problemet.

Mie Elmkvist Jensen

Hej Lars,

Det er rigtig godt, at vi får dette aspekt med ind i cookie-debatten, da det jo også nævnes i lovgivningen/vejledningen, at informationen skal være tilgængelig. Dette indebærer jo at den skal være tilgængelig for alle der besøger hjemmesiden og derfor være lavet rigtigt ift. WCAG standarderne. Hos Siteimprove arbejder vi også på en løsning, der har til formål at informere de besøgende om brugen af cookies på en given hjemmeside. Vi har testet løsningen for tilgængelighed, men jeg synes bestemt også det kunne være interessant, hvis du ville give vores løsning et besøg på www.siteimprove.dk og komme med dine kommentarer til mig på mej@siteimprove.dk eller her i dette forum.

Mvh.
Mie

Log ind eller Opret konto for at kommentere