Dag 1 med nye cookie-regler: Sådan bliver din webside lovlig

25. maj 2011 kl. 06:5955
Dag 1 med nye cookie-regler: Sådan bliver din webside lovlig
Illustration: Bob Smith.
Webside-ejere skal fra i dag leve op til nye EU-regler om cookies, men reglerne er endnu ikke kommet i dansk fortolkning. Se her, hvad du kan gøre for at leve op til loven.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Så oprandt dagen, hvor de nye regler for brugen af cookies træder i kraft over hele Europa.

Men ganske usædvanligt er reglerne ikke klar i en dansk version og fortolkning endnu, og resultatet har været forvirring og frustration hos danske webfirmaer.

Alle, der driver en webside, må derfor foreløbigt officielt nøjes med at forholde sig til EU-direktivet og det danske udkast, der var i høring i marts.

Hvad skal man så mere konkret gøre, hvis man driver en webside? Det forsøgte advokat Mads Nygaard Madsen at gøre så klart som muligt, da Foreningen af Danske Interaktive Medier holdt årsmøde onsdag den 18. maj.

Artiklen fortsætter efter annoncen

»Jeg vil gerne opildne til lidt panik. Det er vigtigt, at man ikke bare læner sig tilbage og forventer, at der vil gå år, før reglerne er klar. Der er meget, der skal gøres, og man kan lige så godt komme i gang med det samme,« sagde Mads Nygaard Madsen fra advokatfirmaet Horten.

Der har i mange år været krav om, at en webside rummede information om, hvordan private oplysninger blev håndteret. Det nye tiltag med cookiereglerne er kravet om samtykke fra brugerne, så de accepterer, at de får serveret cookies.

»Reglen om samtykke er nok kommet, fordi informationspligten i mange tilfælde ikke er blevet efterlevet,« vurderede advokaten og gennemgik så, hvad han ville råde alle webside-ansvarlige til nu.

Ingen klangbund for pop-up-vinduer

Det vigtigste er at forstå samtykke-idéen i loven ? hvilket ikke er særlig let. I månedsvis har eksperter, embedsmænd og internet-industrien diskuteret for og imod for eksempel dialogbokse, hvor besøgende kan klikke 'ja' eller 'nej' til cookies.

Artiklen fortsætter efter annoncen

»Der er en god klangbund for, at man ikke skal klikke for at give samtykke. Det vil efter min mening også give en dårlig forbrugerbeskyttelse, fordi brugerne så bevidstløst ville klikke ja til alt,« sagde Mads Nygaard Madsen.

I stedet vurderer han, at en boks eller lignende, hvor de besøgende kan klikke sig videre til mere information og til at slå cookies fra, vil være godt nok.

»Men det må ikke gemmes væk. Der skal være noget, som står markant fremhævet, når man kommer ind på siden, hvor man kan klikke sig videre til flere oplysninger. Og det skal være tilgængeligt, uanset hvor på et site brugeren befinder sig,« forklarede han.

Udover adgang til klar information om brugen af cookies og sidens privatlivspolitik, skal der være mulighed for at sige 'nej tak' til cookies på en nem måde.

Artiklen fortsætter efter annoncen

Når den besøgende har fået en rimelig mulighed for at læse om cookies og sige nej tak, men fortsætter ind på sitet, er der givet samtykke, vurderede advokaten, med udgangspunkt i eksemplet med at parkere på en privat parkeringsplads, hvor man også accepterer betingelserne, der står på et skilt.

Men det må ikke blive en sovepude, for de nye regler stiller nye krav, som de fleste websider skal reagere på.

»Med mindre direktivet bliver lavet helt om, og det er der intet, der tyder på, vil der være et eller andet krav om samtykke. Så kom i gang,« lød opfordringen.

Et andet problem, der skal løses, er aftalen med andre firmaer, som har cookies på ens eget website. For eksempel hvis et eksternt mediebureau måler effekten af annoncerne på siderne med en cookie.

»Hvis man bruger tredjeparts-cookies, bliver man nødt til at se på de aftaler, man har med mediebureauer. Den, der driver hjemmesiden, har også ansvaret for tredjeparts-cookies. Så man skal sørge for, at oplysningerne om de cookies altid er helt up-to-date,« sagde Mads Nygaard Madsen.

Selvom de nye regler ikke er klar i Danmark, gælder EU-direktivet faktisk alligevel for danske websider fra 25. maj, rent teoretisk. Men da IT- og Telestyrelsen har lovet ikke at håndhæve loven, før den danske lov kommer, og alle har haft en rimelig chance for at leve op til den, har det ikke så stor praktisk betydning.

55 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
25. maj 2011 kl. 09:38

Jeg bruger ikke cookies på mine sider, men jeg bruger Google Analytics og Google AdSense.

Skal jeg så bede om samtykke - bruger disse to services cookies?

9
25. maj 2011 kl. 10:28

Jeg bruger ikke cookies på mine sider, men jeg bruger Google Analytics og Google AdSense.</p>
<p>Skal jeg så bede om samtykke - bruger disse to services cookies?

Hvis du bruger Google Analytics, bruger du cookies. Ikke nok med det. Du bruger javascript som sender indholdet af dine GA cookies til Google (selv om GA cookies teknisk set er first party cookies, og kun kan læses af dit eget site, men det "løser" javascript for Google).

Reelt hjælper du (og version2.dk og mange andre) Google med at overvåge min færden på internettet. Fordi Google Analytics er så udbredt får Google en masse information om folks færden på internettet, hvoraf Google beholder det meste selv til deres Google-vil-vide-mere-om-dig-end-du-selv-gør profileringsmaskine.

Min fortolkning af bekendtgørelsen er at denne videregivelse af information til tredjepart ikke kan ske uden eksplicit forudgående samtykke. Hvis der bare er tale om dine egne cookies, er skaden ved at sætte dem uden eksplicit samtykke begrænset, fordi folk kan slette dem igen når de har læst din privatlivspolitik. Men indholdet af en Google Analytics cookie bliver sendt til Google i samme øjeblik som jeg loader din webside, og hvad Google har registreret kan jeg ikke få slettet igen.

ITST har selv lavet denne cookie privatlivspolitik, men jeg tvivler stærkt på at det er nok i forhold til third party cookies og first party cookies hvis indhold via javascript sendes til tredjepart (som GA cookies)http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

Nu er håndhævelsen af cookiebekendtgørelsen udsat "indtil videre", så ITST's egen privatlivspolitik er ikke nødvendigvis det sidste ord i denne sag.

12
25. maj 2011 kl. 11:34

Vi får vel svaret vej at se hvad ITST selv gør. De bruger nemlig Google Analytics på itst.dk

16
25. maj 2011 kl. 12:00

Vi får vel svaret vej at se hvad ITST selv gør. De bruger nemlig Google Analytics på itst.dk

version2.dk kunne passende spørge ITST om denne privatlivspolitikhttp://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

overholder alle krav i den (nye) cookie bekendtgørelse og EU direktiv, som i princippet er trådt i kraft i dag.

Det kunne være et interessant bidrag til debatten..

14
25. maj 2011 kl. 11:47

Jeg er helt enig med Flemming Frandsen.

I sidste ende er det browseren der lægger filerne på computeren, og det er browseren der sender filerne tilbage til websitet. Hvis en bruger ønsker privatliv skal de bruge en browser der giver øget privatliv.

Jeg synes det er helt utroligt at serviceleverandøre skal trækkes med brugeres forfejlede forestilling af at Internet Explorer er internettet. Brugte de en anden browser (evt. med plugins) ville deres eventuelle problemer med cookies være løst.

23
25. maj 2011 kl. 13:27

Det var også min tanke. Hvis man ikke vil have cookies er det bare at bede browseren om ikke at acceptere dem.

24
25. maj 2011 kl. 13:36

Det var også min tanke. Hvis man ikke vil have cookies er det bare at bede browseren om ikke at acceptere dem.

Og hvordan skal brugeren træffe en informeret beslutning om dette hvis websitet ikke fortæller hvilke cookies der sættes? Og hvem cookie indholdet deles med? (Google eksempelvis).

25
25. maj 2011 kl. 13:37

Sådan som jeg læser det, er det kun et problem, hvis man bruger en 3. parts service, som sætter en cookie på deres domæne.

Altså hvis man bruger EvilAdTracking Corp.'s service, som sætter en cookie på tracking.eviladtracking.com når folk besøger ens site.

Derimod er det ikke et problem med fx Google Analytics, da de kun sætter cookies på ens eget domæne, og derved ikke kan tracke brugerne mellem domæner.

Og så kan stort set alle 1. parts cookies argumenteres for at være teknisk nødvendige.

Derudover, skal man selvfølgelig skrive hvordan man bruger cookies, på en hjælpe-side, a'la http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

26
25. maj 2011 kl. 13:49

Derimod er det ikke et problem med fx Google Analytics, da de kun sætter cookies på ens eget domæne, og derved ikke kan tracke brugerne mellem domæner.

Takket være javascript kommer cookie indholdet videre til Google, så en GA cookie er fuldstændig at sammenligne med en third-party cookie selv om der (web-)teknisk set er tale om en first-party cookie.

Derudover kan Google Analytics i allerhøjeste grad bruges til at tracke brugere mellem domæner. Det er korrekt at de enkelte websites ikke kan gøre det (den smule web statistik som du ser), men Google kan. Det er hele formålet med Google Analytics! Det er ikke en service som Google har lavet for vores blå øjnes skyld, hverken brugernes eller website ejernes.

28
25. maj 2011 kl. 14:03

Jeg er nu enig med Flemming Frandsen i at problemet skal løses på browsersiden. Der findes ret mange plugins til at løse problemerne med indsamling af persondata. Til firefox kan jeg nævne "Cookie Monster" og "Better Privacy" (til flash cookies). Men det der i øjeblikket virker bedst, synes jeg er "Ghostery" som findes til både Firefox, Safari, Chrome og Internet Expl. Ghostery kan blokere over 500 snagetjeneser såsom Google Analytics samt alt mulig andet incl. whitelist. Det er lidt sejt når der kommer rødbrun kasse op med en streg over google analytics og google adsense!

Det kunne være sjov med lidt diskussion af sådanne plugins ... er de gode nok? Ja, de er uendelig meget bedre end alle eller ingen cookies valget. Men er de også gode nok for et kritisk blik?

33
25. maj 2011 kl. 14:49

Men det der i øjeblikket virker bedst, synes jeg er "Ghostery" som findes til både Firefox, Safari, Chrome og Internet Expl. Ghostery kan blokere over 500 snagetjeneser såsom Google Analytics samt alt mulig andet incl. whitelist.

Du inviterer op til dans: kattens leg med musen. Duk dig for XX malware ved at installere YY plugin eller ændre indstilling ZZ i browseren, og se hvad profileringsmafiaen så finder på for at omgå din blokering.

Prøv at blokere GA javascript og cookies i Ghostery og indlæs www.dr.dk. Da jeg prøvede for et par dage siden sagde Ghostery ikke noget, men bagefter havde jeg alligevel et par __utm* cookies.

Jeg fik ikke checket om Ghostery blokerede upstream requestet af __utm.gif, men hvis Ghostery havde gjort dette, var der vel kommet en besked om at der var konstateret GA syge i min browser?

DR er meget luskede. De downloader ikke ga.js fra google-analytics.com som de fleste gør, og de har heller ikke kaldt javascript elementet urchin.js, utm.js eller lignende sigende og nogenlunde ærligt navn.

Nej, vores alle sammens medielicensfinansierede public service organ har taget GA javascript koden og pakket den ind i deres egen mere uskyldigt udseende javascript elementhttp://www.dr.dk/drWebStat/drWebStat.js

Så kører Google profileringsmaskinen igen med DR's aktive hjælp og vores medielicens (standard privacy filtrene i Adblock Plus fangede den heller ikke; dog var /__utm.gif altså upstream delen af GA blokeret og så er skaden trods alt begrænset). Jeg venter spændt på at se DR's cookie privacy policy..

Jeg er i øvrigt helt enig med dig i at browseren bliver din "last line of defense", uanset hvor mange cookielove vi indfører i samfundet. Men det er (efter min mening) ikke det samme som at fornuftige browser plugins og indstillinger skal stå alene.

Det kan simpelthen ikke være rigtigt at DR eller ITST (eller XXX) skal have lov til at informere Google om min færden på internettet uden mit eksplicitte samtykke (og selv med et eksplicit samtykke kan man overveje hvad denne tracking skal gøre godt for, og om Google overhovedet må indsamle disse oplysninger, samtykke eller ej).

Allerhelst så jeg at Danmark gjorde som Tyskland, hvor brugen af Google Analytics reelt er forbudt.

Så langt kommer vi ikke i Danmark, selvom den danske og den tyske persondatalov er baseret på det samme EU direktiv. Men hvis det bliver mere besværligt at bruge Google Analytics, kan man i det mindste håbe på at udbredelsen falder, og der må komme en større opmærksomhed om hvad Google Analytics er.

27
25. maj 2011 kl. 13:56

Ikke som jeg forstår det, eftersom Google ikke kan tracke dig mellem forskellige sites, men kun på det enkelte site. Derved ved de ikke at det er >dig< men kun en person på det site.

Jeg skal måske lige understrege at cookies kun kan læses indenfor det samme domæne.

For at Google Analytics kan tracke dig mellem sites, skal cookien sættes på ga.google.com, men det gør de ikke (Iflg. deres privatlivsbeskyttelses dokument).

30
25. maj 2011 kl. 14:23

ME:"For at Google Analytics kan tracke dig mellem sites, skal cookien sættes på ga.google.com, men det gør de ikke (Iflg. deres privatlivsbeskyttelses dokument)."

Kan google analytics' javascript ikke bare bede f.eks. itst.dk om at skaffe identifikation mm. fra cookie-mappen itst.dk - og så sende denne til google?

Ved vi iøvrigt hvad google analytics videresender af person/pcidentifikation?

31
25. maj 2011 kl. 14:39

@Flemming Bjerke: Jo, det kan de, men de gør det ikke, de sender kun de cookies som de selv sætter.

Firmaer ville næppe bruge Analytics, hvis de på den måde stjal brugernes cookies, da det ville være en sikkerhedsmæssig (Og formentligt også juridisk) bombe.

@Jesper Lund: Eftersom Google Analytics oplyser i deres TOS at de data de henter, er anonyme, vil jeg som minimum mene at jeg er i god tro.

Ang. "I udkastet til cookie bekendtgørelsen siger §3 stk 3 nr 4) at du skal oplyse om enhver fysisk eller juridisk person, der foranstalter lagringen af eller adgangen til oplysningerne." Så siger jeg jo ikke at man skal skjule at man bruger Google Analytics. Tværtimod, skal det stå beskrevet sammen med ens privatlivsbeskyttelses information. Samt på ens cookie-info side.

34
25. maj 2011 kl. 15:02

Ang. "I udkastet til cookie bekendtgørelsen siger §3 stk 3 nr 4) at du skal oplyse om enhver fysisk eller juridisk person, der foranstalter lagringen af eller adgangen til oplysningerne."
Så siger jeg jo ikke at man skal skjule at man bruger Google Analytics. Tværtimod, skal det stå beskrevet sammen med ens privatlivsbeskyttelses information. Samt på ens cookie-info side.

Jeg tror ikke på at du kan komme udover samtykke kravet (forudgående), når der sendes data til tredjepart som med Google Analytics.

Hvis vi skal lege med Europark analogien og implicitte aftaler om parkering til 600-700 kr per dag, så kan jeg gå med til at jeg må forvente at xyz.invalid sætter en cookie som xyz.invalid kan læse igen senere. Det er også relativt uskadeligt. Jeg kan i ro og mag læse website's privacy policy og slette deres cookies igen, hvis jeg ikke bryder mig om dem.

Det gør ikke så meget at samtykket kommer lidt senere (eller er implicit), fordi jeg effektivt kan kalde det tilbage og opnå den samme tilstand som hvis samtykket aldrig var givet. Slet cookies, ganske enkelt. Lidt ligesom hvis du har 5 minutter til at fordufte fra en Europark parkeringsplads hvis du synes at 600-700 kroner er for dyrt for en parkering.

GA cookies er bare en helt anden sag. I samme øjeblik jeg loader xyz.invalid siden er der sladret til Google om mit besøg på denne side. Det er sket uden noget samtykke, og jeg har ingen mulighed for at kalde mit samtykke (der aldrig er givet) tilbage eller slette de oplysninger om mig som der nu er lagret hos Google.

Ja, jeg venter spændt på ITST's endelige udgave af bekendtgørelsen og deres vejledning om fortolkningen, men jeg vil blive meget overrasket hvis en beskrivelse ala dette link er nok fsva. Google Analyticshttp://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

32
25. maj 2011 kl. 14:42

ME: "Firmaer ville næppe bruge Analytics, hvis de på den måde stjal brugernes cookies, da det ville være en sikkerhedsmæssig (Og formentligt også juridisk) bombe."

Det er vel også nok at de 'stjæler' de oplysninger som Google analytics anvender.

29
25. maj 2011 kl. 14:22

Jeg skal måske lige understrege at cookies kun kan læses indenfor det samme domæne.</p>
<p>For at Google Analytics kan tracke dig mellem sites, skal cookien sættes på ga.google.com, men det gør de ikke (Iflg. deres privatlivsbeskyttelses dokument).

Jeg er klar over hvordan cookies fungerer, og vi er enige om at GA cookien på version2.dk ikke sendes til Google med et almindelige HTTP request (hvis jeg i en anden browser tab laver en Google søgning eller læser den Gmail konto som jeg ikke har).

Men det er heller ikke sådan at Google Analytics profileringen fungerer. Javascript koden som injectes på version2.dk læser GA cookie indholdet, og sender det videre til Google. Så har vi en first-party cookie (teknisk set) med alle third-party mulighederne.

I udkastet til cookie bekendtgørelsen siger §3 stk 3 nr 4) at du skal oplyse om enhver fysisk eller juridisk person, der foranstalter lagringen af eller adgangen til oplysningerne. Det må omfatte Google ("adgangen til"), for så vidt angår indholdet af GA cookies. Slettemuligheden i nr 5) i samme paragraf er også lidt problematiske når indholdet af GA cookien reelt er lagret på Googles servere, og ikke blot i dit terminaludstyr.

Ikke som jeg forstår det, eftersom Google ikke kan tracke dig mellem forskellige sites, men kun på det enkelte site. Derved ved de ikke at det er >dig< men kun en person på det site.

Vi kan roligt gå ud fra at Google er i stand til at kæde forskellige Google Analytics sessioner (cookies) på samme computer sammen, selvom disse cookies stammer fra forskellige sites og selvom det persistente "ID" i GA cookien ikke er det samme fra site til site. Du sender cookie indholdet upstream til Google sammen med din IP adresse og anden identificerende information.

Hvis vi tror på Google's egen beskrivelse af hvad der indsamles i upstream requestet af /__utm.gif, er listen herhttp://code.google.com/intl/da/apis/analytics/docs/tracking/gaTrackingTroubleshooting.html#gifParameters

Selv om der med NAT typisk vil være flere brugere bag den samme IP adresse, vil Google kunne lave en ret præcis adskillelse af de forskellige personer bag samme IP adresse via de browser metadata som sendes upstream når __utm.gif webbug elementet downloades. I mange tilfælde er det kun en håndfuld personer som skal separeres fra hinanden.

Lad os bare sige at personens navn ikke fremgår direkte af Google's sammenkædede oplysninger (selvom Google let kan gøre dette hvis du er logget ind på en Google service som Gmail), men når du har tilstrækkeligt mange enkeltstående oplysninger om den samme person, er det underordnet. Personen er identificeret.

Se f.eks. denne saghttp://en.wikipedia.org/wiki/AOL_search_data_scandal

15
25. maj 2011 kl. 11:56

Jeg synes det er helt utroligt at serviceleverandøre skal trækkes med brugeres forfejlede forestilling af at Internet Explorer er internettet.

Er det også brugerens forfejlede indstilling af IE som gør at Google Analytics javascript tracking koden bliver afviklet i browseren?

Det svarer nogenlunde til at sige at vi behøver ikke regulere brugen af AK47 og andre skydevåben, idet eventuelle problemer kan løses i den anden ende af kuglen med skudsikre veste.

Hvis et website bruger Google Analytics, må de naturligvis tage ansvaret for det. Eller lade være med at bruge Google Analytics. Det er faktisk meget simpelt.

17
25. maj 2011 kl. 12:09

Som du selv skriver. Det bliver afviklet i browseren.

I min optik er det brugeren der selv træder ind på på en kampplads (som interenettet jo er), kun iført undertøj og vandpistol. De har valgt at gå på internettet. At browseren ikke har formidlet de trusler som den kan udsætte brugeren for (dette kan være javascript der køres i browseren, eller cookies der sendes tilbage fra browseren til websitet), kan jeg på ingen måde se skulle være serviceleverandørenes problem.

Jeg er dog helt enig I at man som serviceleverandøre detaljeret beskriver hvordan data lagres på serveren, så brugeren kan vurdere om sikkerheden her er høj nok. Men hvad browseren gør ved brugerens PC (om så websitet efterspørger at det bliver gjort eller ej), kan ikke være websitets bekymring.

Men jeg tror næppe jeg bidrager med et nyt synspunkt til debatten :) Det er sikkert allerede blevet diskuteret stolpe op og stolpe ned, herinde allerede.

18
25. maj 2011 kl. 12:14

De har valgt at gå på internettet. At browseren ikke har formidlet de trusler som den kan udsætte brugeren for (dette kan være javascript der køres i browseren, eller cookies der sendes tilbage fra browseren til websitet), kan jeg på ingen måde se skulle være serviceleverandørenes problem.

Interessant synspunkt. En konsekvens må være at vi holder op med at retsforfølge virus, malware og botnet udviklere. Det er jo ikke dem som afvikler den skadelige kode. Det gør (den intetanende) bruger selv.

Jeg er dog helt enig I at man som serviceleverandøre detaljeret beskriver hvordan data lagres på serveren, så brugeren kan vurdere om sikkerheden her er høj nok.

Indholdet af Google Analytics cookies bliver i øvrigt også lagret på en server. Endda en server i et usikkert tredjeland.

19
25. maj 2011 kl. 12:18

Folk der udøver skade på andres ejendom i ond tro skal selvfølgelig retsforfølges. Men jeg synes alligevel at jeg som forbruger af et produkt (som det at bruge en browser er, uanset om man betaler for det), ville forholde mig lidt mere kritisk til at det produkt jeg har brugt til at tilgå internettet har eksekveret kode på min maskine der viste sig at ødelægge den. Hvis det skete for mig (måske endog gentagende gange) ville jeg nok se mig lidt omkring efter en mere sikker måde at tilgå internettet.

20
25. maj 2011 kl. 12:23

Folk der udøver skade på andres ejendom i ond tro skal selvfølgelig retsforfølges

Google Analytics udøver uoprettelig skade på folks privatliv.

21
25. maj 2011 kl. 12:41

Google Analytics udøver uoprettelig skade på folks privatliv.

Det er jo så her at vi er uenige. Da denne "skade" på privatlivet ikke kunne lade sig gøre uden en browser sørger for at tilbagesende GA-cookien når den bliver spurgt. Men det forventer jeg ikke at vi kan blive enige om :)

22
25. maj 2011 kl. 13:17

Det er jo så her at vi er uenige. Da denne "skade" på privatlivet ikke kunne lade sig gøre uden en browser sørger for at tilbagesende GA-cookien når den bliver spurgt.

GA cookien bliver sendt frem og tilbage til det website som sætter den, ligesom alle andre cookies. Det følger en fast browser protokol, som man i princippet selv kunne blokere for, specielt hvis browseren havde et lidt mere finmasket net for forskellige typer cookies (jeg har prøvet at køre total blokering med whitelist modellen for cookies, men det giver for mange problemer i praksis, så nu er jeg gået over til at alle cookies er session cookies samt blokering af third party cookies, kombineret med whitelist).

Men derudover bliver indholdet af GA-cookien sendt til Google servere "somewhere" (ikke i EU) via javascript. Det aspekt af Google Analytics vil jeg sammenligne med virus og spyware. Det er desuden ikke nok at blokere javascript elementer fra google-analytics.com eller javascript elementer med kendte navne som urchin.js og utm.js, da nogle sites som dr.dk gør sig meget store anstrengelser for at skjule at de bruger Google Analytics (DR har virkelig et problem i forhold til cookiebekendtgørelsen).

Jeg skal faktisk blokere enhver form for for javascript, hvis jeg vil være helt sikker på at undgå den slags tracking kode, og så er vi derude hvor man som analogi kan sige at hvis jeg blokerer det meste af x86 og amd64 instruktionssættet, vil skadelig virus og malware ikke påvirke mig.

13
25. maj 2011 kl. 11:46

Hvem er den første der anmelder samtlige EU sites for brud på direktivet? Hvad med borger.dk osv?

3
25. maj 2011 kl. 09:49

Er der noget i vejen for at nye brugere ser en side a'la:

"Vi bruger cookies, accepter eller forsvind" med et accepter-link, og et link der smider brugeren et andet sted hen.

.. i stedet for det pladder med at brugeren skal kunne se brugen af cookies fra alle sider på domænet?

5
25. maj 2011 kl. 09:53

Det letteste ville være at forklare brugeren at sitet bruger cookies. Så kan han acceptere og fortsætte på sitet eller gå et andet sted hen.

Jeg tvivler på at de almindelige bruger droppe brugen af et site blot fordi det brugte cookies, det gør næsten alle sites jo.

Og man kan jo altid forklare brugerne at de manuelt kan slå cookies fra i browseren.

11
25. maj 2011 kl. 11:04

Det letteste ville være at forklare brugeren at sitet bruger cookies. Så kan han acceptere og fortsætte på sitet eller gå et andet sted hen

Den strategi er sikkert ok i forhold til dine egne cookies. Jeg tror bare ikke at det er nok i forhold til Google Analytics cookies og andre cookies hvor der videregives information til tredjemand (dybest set alle former for "tracking cookies").

IANAL og nu må vi se hvor den endelige fortolkning lander, men hvis du kan bruge Google Analytics uden eksplicit samtykke, er cookiebekendtgørelsen og EU direktivet reelt indholdsløst. Kravet om information for at bruge Google Analytics eksisterer allerede i dag (før den 25. maj) efter min mening, og hvis du læser Google's egne cover-my-ass betingelser for at et website bruger Google Analytics, vil du se at kravet om en privatlivspolitik der nævner Google Analytics indgår (for EU websites).

4
25. maj 2011 kl. 09:51

Det tror jeg ikke er godt nok, i hvert fald ikke hvis der kan deeplinkes forbi den side man accepterer/afviser betingelserne på.

Desuden, hvem gider have en "landingpage" som alle skal igennem før de kan se det egentlige indhold? Det vil de færreste brugere syntes om.

6
25. maj 2011 kl. 09:55

@Daniel: Det lyder jo som om det er nok at der er et link på alle sider til en side der forklarer betingelserne.

7
25. maj 2011 kl. 10:01

Hvordan overholder I selv loven lige nu? Jeg kan ikke se at der står noget jeg skal accepterer... ;-)

8
25. maj 2011 kl. 10:15

Hej Lars Bo.

Vi står lige over for at relancere Version2 på ny platform, og på det nye site har vi forsøgt at lave en privatlivspolitik, der beskriver vores brug af cookies. Denne politik vil der blive linket til på alle sider af version2.dk.

Vi følger selvfølgelig udviklingen tæt og skeler til, hvad andre sider og medier gør. Jeg tror, at stemningen i hele branchen lige nu er meget afventende, specielt fordi ITST ikke har meldt den danske fortolkning af reglerne ud endnu.

Mvh Casper, Version2

1
25. maj 2011 kl. 09:36

Hvad kan man stille op mod indlysende idiotiske regler af denne type, ud over at ignorere dem?

Det er helt forkert at et website skal forklare brugere hvad cookies er og hvad de bliver brugt til, for der er ikke noget i vejen for at websitet lyver og stikker brugeren en cookie alligevel eller bruger den på andre måder end websitet siger.

Den eneste gode måde at administrere cookies på er via browseren, aka. brugerens agent, for det er det eneste brugeren kan stole på.

Alt det pladder med lovgivning kan ingen bruge til noget som helst.

10
25. maj 2011 kl. 10:41

Det er helt forkert at et website skal forklare brugere hvad cookies er og hvad de bliver brugt til, for der er ikke noget i vejen for at websitet lyver og stikker brugeren en cookie alligevel eller bruger den på andre måder end websitet siger.

Du kan også snyde i skat selv om du har indgivet en selvangivelse. Som med så meget anden lovgivning sker håndhævelsen bl.a. ved at overtrædeler er belagt med straf. Der kan udstedes bøder til danske websites som ikke overholder cookiebekendtgørelsen (tilsvarende i de andre EU lande).

Det er muligt at kontrollere hvilke cookies du sætter og om indholdet sendes til tredjepart via javascript (som vi ved at Google Analytics gør). Hvis dit website er tilpas populært, skal der nok være nogle privacy advocates som går din privatlivspolitik og overholdelse af cookiereglerne efter i sømmende :-)