Dag 1 med nye cookie-regler: Sådan bliver din webside lovlig

Webside-ejere skal fra i dag leve op til nye EU-regler om cookies, men reglerne er endnu ikke kommet i dansk fortolkning. Se her, hvad du kan gøre for at leve op til loven.

Så oprandt dagen, hvor de nye regler for brugen af cookies træder i kraft over hele Europa.

Men ganske usædvanligt er reglerne ikke klar i en dansk version og fortolkning endnu, og resultatet har været forvirring og frustration hos danske webfirmaer.

Alle, der driver en webside, må derfor foreløbigt officielt nøjes med at forholde sig til EU-direktivet og det danske udkast, der var i høring i marts.

Læs også: Kaos hos danske websider: Nye cookie-regler er stadig ikke klar

Hvad skal man så mere konkret gøre, hvis man driver en webside? Det forsøgte advokat Mads Nygaard Madsen at gøre så klart som muligt, da Foreningen af Danske Interaktive Medier holdt årsmøde onsdag den 18. maj.

»Jeg vil gerne opildne til lidt panik. Det er vigtigt, at man ikke bare læner sig tilbage og forventer, at der vil gå år, før reglerne er klar. Der er meget, der skal gøres, og man kan lige så godt komme i gang med det samme,« sagde Mads Nygaard Madsen fra advokatfirmaet Horten.

Der har i mange år været krav om, at en webside rummede information om, hvordan private oplysninger blev håndteret. Det nye tiltag med cookiereglerne er kravet om samtykke fra brugerne, så de accepterer, at de får serveret cookies.

»Reglen om samtykke er nok kommet, fordi informationspligten i mange tilfælde ikke er blevet efterlevet,« vurderede advokaten og gennemgik så, hvad han ville råde alle webside-ansvarlige til nu.

Ingen klangbund for pop-up-vinduer

Det vigtigste er at forstå samtykke-idéen i loven ? hvilket ikke er særlig let. I månedsvis har eksperter, embedsmænd og internet-industrien diskuteret for og imod for eksempel dialogbokse, hvor besøgende kan klikke 'ja' eller 'nej' til cookies.

»Der er en god klangbund for, at man ikke skal klikke for at give samtykke. Det vil efter min mening også give en dårlig forbrugerbeskyttelse, fordi brugerne så bevidstløst ville klikke ja til alt,« sagde Mads Nygaard Madsen.

I stedet vurderer han, at en boks eller lignende, hvor de besøgende kan klikke sig videre til mere information og til at slå cookies fra, vil være godt nok.

»Men det må ikke gemmes væk. Der skal være noget, som står markant fremhævet, når man kommer ind på siden, hvor man kan klikke sig videre til flere oplysninger. Og det skal være tilgængeligt, uanset hvor på et site brugeren befinder sig,« forklarede han.

Udover adgang til klar information om brugen af cookies og sidens privatlivspolitik, skal der være mulighed for at sige 'nej tak' til cookies på en nem måde.

Når den besøgende har fået en rimelig mulighed for at læse om cookies og sige nej tak, men fortsætter ind på sitet, er der givet samtykke, vurderede advokaten, med udgangspunkt i eksemplet med at parkere på en privat parkeringsplads, hvor man også accepterer betingelserne, der står på et skilt.

Læs også: P-regler kan ændre cookieloven på internettet

Men det må ikke blive en sovepude, for de nye regler stiller nye krav, som de fleste websider skal reagere på.

»Med mindre direktivet bliver lavet helt om, og det er der intet, der tyder på, vil der være et eller andet krav om samtykke. Så kom i gang,« lød opfordringen.

Et andet problem, der skal løses, er aftalen med andre firmaer, som har cookies på ens eget website. For eksempel hvis et eksternt mediebureau måler effekten af annoncerne på siderne med en cookie.

»Hvis man bruger tredjeparts-cookies, bliver man nødt til at se på de aftaler, man har med mediebureauer. Den, der driver hjemmesiden, har også ansvaret for tredjeparts-cookies. Så man skal sørge for, at oplysningerne om de cookies altid er helt up-to-date,« sagde Mads Nygaard Madsen.

Selvom de nye regler ikke er klar i Danmark, gælder EU-direktivet faktisk alligevel for danske websider fra 25. maj, rent teoretisk. Men da IT- og Telestyrelsen har lovet ikke at håndhæve loven, før den danske lov kommer, og alle har haft en rimelig chance for at leve op til den, har det ikke så stor praktisk betydning.

Læs også: It- og Telestyrelsen vil ikke straffe cookie-syndere - lige nu

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (56)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Flemming Frandsen

Hvad kan man stille op mod indlysende idiotiske regler af denne type, ud over at ignorere dem?

Det er helt forkert at et website skal forklare brugere hvad cookies er og hvad de bliver brugt til, for der er ikke noget i vejen for at websitet lyver og stikker brugeren en cookie alligevel eller bruger den på andre måder end websitet siger.

Den eneste gode måde at administrere cookies på er via browseren, aka. brugerens agent, for det er det eneste brugeren kan stole på.

Alt det pladder med lovgivning kan ingen bruge til noget som helst.

  • 0
  • 0
Thomas Christensen

Det letteste ville være at forklare brugeren at sitet bruger cookies. Så kan han acceptere og fortsætte på sitet eller gå et andet sted hen.

Jeg tvivler på at de almindelige bruger droppe brugen af et site blot fordi det brugte cookies, det gør næsten alle sites jo.

Og man kan jo altid forklare brugerne at de manuelt kan slå cookies fra i browseren.

  • 0
  • 0
Casper Thomsen

Hej Lars Bo.

Vi står lige over for at relancere Version2 på ny platform, og på det nye site har vi forsøgt at lave en privatlivspolitik, der beskriver vores brug af cookies. Denne politik vil der blive linket til på alle sider af version2.dk.

Vi følger selvfølgelig udviklingen tæt og skeler til, hvad andre sider og medier gør. Jeg tror, at stemningen i hele branchen lige nu er meget afventende, specielt fordi ITST ikke har meldt den danske fortolkning af reglerne ud endnu.

Mvh Casper, Version2

  • 0
  • 0
Jesper Lund

Jeg bruger ikke cookies på mine sider, men jeg bruger Google Analytics og Google AdSense.

Skal jeg så bede om samtykke - bruger disse to services cookies?

Hvis du bruger Google Analytics, bruger du cookies. Ikke nok med det. Du bruger javascript som sender indholdet af dine GA cookies til Google (selv om GA cookies teknisk set er first party cookies, og kun kan læses af dit eget site, men det "løser" javascript for Google).

Reelt hjælper du (og version2.dk og mange andre) Google med at overvåge min færden på internettet. Fordi Google Analytics er så udbredt får Google en masse information om folks færden på internettet, hvoraf Google beholder det meste selv til deres Google-vil-vide-mere-om-dig-end-du-selv-gør profileringsmaskine.

Min fortolkning af bekendtgørelsen er at denne videregivelse af information til tredjepart ikke kan ske uden eksplicit forudgående samtykke. Hvis der bare er tale om dine egne cookies, er skaden ved at sætte dem uden eksplicit samtykke begrænset, fordi folk kan slette dem igen når de har læst din privatlivspolitik. Men indholdet af en Google Analytics cookie bliver sendt til Google i samme øjeblik som jeg loader din webside, og hvad Google har registreret kan jeg ikke få slettet igen.

ITST har selv lavet denne cookie privatlivspolitik, men jeg tvivler stærkt på at det er nok i forhold til third party cookies og first party cookies hvis indhold via javascript sendes til tredjepart (som GA cookies)
http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

Nu er håndhævelsen af cookiebekendtgørelsen udsat "indtil videre", så ITST's egen privatlivspolitik er ikke nødvendigvis det sidste ord i denne sag.

  • 0
  • 0
Jesper Lund

Det er helt forkert at et website skal forklare brugere hvad cookies er og hvad de bliver brugt til, for der er ikke noget i vejen for at websitet lyver og stikker brugeren en cookie alligevel eller bruger den på andre måder end websitet siger.

Du kan også snyde i skat selv om du har indgivet en selvangivelse. Som med så meget anden lovgivning sker håndhævelsen bl.a. ved at overtrædeler er belagt med straf. Der kan udstedes bøder til danske websites som ikke overholder cookiebekendtgørelsen (tilsvarende i de andre EU lande).

Det er muligt at kontrollere hvilke cookies du sætter og om indholdet sendes til tredjepart via javascript (som vi ved at Google Analytics gør). Hvis dit website er tilpas populært, skal der nok være nogle privacy advocates som går din privatlivspolitik og overholdelse af cookiereglerne efter i sømmende :-)

  • 0
  • 0
Jesper Lund

Det letteste ville være at forklare brugeren at sitet bruger cookies. Så kan han acceptere og fortsætte på sitet eller gå et andet sted hen

Den strategi er sikkert ok i forhold til dine egne cookies. Jeg tror bare ikke at det er nok i forhold til Google Analytics cookies og andre cookies hvor der videregives information til tredjemand (dybest set alle former for "tracking cookies").

IANAL og nu må vi se hvor den endelige fortolkning lander, men hvis du kan bruge Google Analytics uden eksplicit samtykke, er cookiebekendtgørelsen og EU direktivet reelt indholdsløst. Kravet om information for at bruge Google Analytics eksisterer allerede i dag (før den 25. maj) efter min mening, og hvis du læser Google's egne cover-my-ass betingelser for at et website bruger Google Analytics, vil du se at kravet om en privatlivspolitik der nævner Google Analytics indgår (for EU websites).

  • 0
  • 0
Kræn Hansen

Jeg er helt enig med Flemming Frandsen.

I sidste ende er det browseren der lægger filerne på computeren, og det er browseren der sender filerne tilbage til websitet. Hvis en bruger ønsker privatliv skal de bruge en browser der giver øget privatliv.

Jeg synes det er helt utroligt at serviceleverandøre skal trækkes med brugeres forfejlede forestilling af at Internet Explorer er internettet.
Brugte de en anden browser (evt. med plugins) ville deres eventuelle problemer med cookies være løst.

  • 0
  • 0
Jesper Lund

Jeg synes det er helt utroligt at serviceleverandøre skal trækkes med brugeres forfejlede forestilling af at Internet Explorer er internettet.

Er det også brugerens forfejlede indstilling af IE som gør at Google Analytics javascript tracking koden bliver afviklet i browseren?

Det svarer nogenlunde til at sige at vi behøver ikke regulere brugen af AK47 og andre skydevåben, idet eventuelle problemer kan løses i den anden ende af kuglen med skudsikre veste.

Hvis et website bruger Google Analytics, må de naturligvis tage ansvaret for det. Eller lade være med at bruge Google Analytics. Det er faktisk meget simpelt.

  • 0
  • 0
Jesper Lund

Vi får vel svaret vej at se hvad ITST selv gør. De bruger nemlig Google Analytics på itst.dk

version2.dk kunne passende spørge ITST om denne privatlivspolitik
http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

overholder alle krav i den (nye) cookie bekendtgørelse og EU direktiv, som i princippet er trådt i kraft i dag.

Det kunne være et interessant bidrag til debatten..

  • 0
  • 0
Kræn Hansen

Som du selv skriver. Det bliver afviklet i browseren.

I min optik er det brugeren der selv træder ind på på en kampplads (som interenettet jo er), kun iført undertøj og vandpistol.
De har valgt at gå på internettet. At browseren ikke har formidlet de trusler som den kan udsætte brugeren for (dette kan være javascript der køres i browseren, eller cookies der sendes tilbage fra browseren til websitet), kan jeg på ingen måde se skulle være serviceleverandørenes problem.

Jeg er dog helt enig I at man som serviceleverandøre detaljeret beskriver hvordan data lagres på serveren, så brugeren kan vurdere om sikkerheden her er høj nok. Men hvad browseren gør ved brugerens PC (om så websitet efterspørger at det bliver gjort eller ej), kan ikke være websitets bekymring.

Men jeg tror næppe jeg bidrager med et nyt synspunkt til debatten :) Det er sikkert allerede blevet diskuteret stolpe op og stolpe ned, herinde allerede.

  • 0
  • 0
Jesper Lund

De har valgt at gå på internettet. At browseren ikke har formidlet de trusler som den kan udsætte brugeren for (dette kan være javascript der køres i browseren, eller cookies der sendes tilbage fra browseren til websitet), kan jeg på ingen måde se skulle være serviceleverandørenes problem.

Interessant synspunkt. En konsekvens må være at vi holder op med at retsforfølge virus, malware og botnet udviklere. Det er jo ikke dem som afvikler den skadelige kode. Det gør (den intetanende) bruger selv.

Jeg er dog helt enig I at man som serviceleverandøre detaljeret beskriver hvordan data lagres på serveren, så brugeren kan vurdere om sikkerheden her er høj nok.

Indholdet af Google Analytics cookies bliver i øvrigt også lagret på en server. Endda en server i et usikkert tredjeland.

  • 0
  • 0
Kræn Hansen

Folk der udøver skade på andres ejendom i ond tro skal selvfølgelig retsforfølges.
Men jeg synes alligevel at jeg som forbruger af et produkt (som det at bruge en browser er, uanset om man betaler for det), ville forholde mig lidt mere kritisk til at det produkt jeg har brugt til at tilgå internettet har eksekveret kode på min maskine der viste sig at ødelægge den.
Hvis det skete for mig (måske endog gentagende gange) ville jeg nok se mig lidt omkring efter en mere sikker måde at tilgå internettet.

  • 0
  • 0
Jesper Lund

Det er jo så her at vi er uenige. Da denne "skade" på privatlivet ikke kunne lade sig gøre uden en browser sørger for at tilbagesende GA-cookien når den bliver spurgt.

GA cookien bliver sendt frem og tilbage til det website som sætter den, ligesom alle andre cookies. Det følger en fast browser protokol, som man i princippet selv kunne blokere for, specielt hvis browseren havde et lidt mere finmasket net for forskellige typer cookies (jeg har prøvet at køre total blokering med whitelist modellen for cookies, men det giver for mange problemer i praksis, så nu er jeg gået over til at alle cookies er session cookies samt blokering af third party cookies, kombineret med whitelist).

Men derudover bliver indholdet af GA-cookien sendt til Google servere "somewhere" (ikke i EU) via javascript. Det aspekt af Google Analytics vil jeg sammenligne med virus og spyware. Det er desuden ikke nok at blokere javascript elementer fra google-analytics.com eller javascript elementer med kendte navne som urchin.js og utm.js, da nogle sites som dr.dk gør sig meget store anstrengelser for at skjule at de bruger Google Analytics (DR har virkelig et problem i forhold til cookiebekendtgørelsen).

Jeg skal faktisk blokere enhver form for for javascript, hvis jeg vil være helt sikker på at undgå den slags tracking kode, og så er vi derude hvor man som analogi kan sige at hvis jeg blokerer det meste af x86 og amd64 instruktionssættet, vil skadelig virus og malware ikke påvirke mig.

  • 0
  • 0
Martin Troels Eberhardt

Sådan som jeg læser det, er det kun et problem, hvis man bruger en 3. parts service, som sætter en cookie på deres domæne.

Altså hvis man bruger EvilAdTracking Corp.'s service, som sætter en cookie på tracking.eviladtracking.com når folk besøger ens site.

Derimod er det ikke et problem med fx Google Analytics, da de kun sætter cookies på ens eget domæne, og derved ikke kan tracke brugerne mellem domæner.

Og så kan stort set alle 1. parts cookies argumenteres for at være teknisk nødvendige.

Derudover, skal man selvfølgelig skrive hvordan man bruger cookies, på en hjælpe-side, a'la http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

  • 0
  • 0
Jesper Lund

Derimod er det ikke et problem med fx Google Analytics, da de kun sætter cookies på ens eget domæne, og derved ikke kan tracke brugerne mellem domæner.

Takket være javascript kommer cookie indholdet videre til Google, så en GA cookie er fuldstændig at sammenligne med en third-party cookie selv om der (web-)teknisk set er tale om en first-party cookie.

Derudover kan Google Analytics i allerhøjeste grad bruges til at tracke brugere mellem domæner. Det er korrekt at de enkelte websites ikke kan gøre det (den smule web statistik som du ser), men Google kan. Det er hele formålet med Google Analytics! Det er ikke en service som Google har lavet for vores blå øjnes skyld, hverken brugernes eller website ejernes.

  • 0
  • 0
Martin Troels Eberhardt

Ikke som jeg forstår det, eftersom Google ikke kan tracke dig mellem forskellige sites, men kun på det enkelte site. Derved ved de ikke at det er >dig< men kun en person på det site.

Jeg skal måske lige understrege at cookies kun kan læses indenfor det samme domæne.

For at Google Analytics kan tracke dig mellem sites, skal cookien sættes på ga.google.com, men det gør de ikke (Iflg. deres privatlivsbeskyttelses dokument).

  • 0
  • 0
Flemming Bjerke

Jeg er nu enig med Flemming Frandsen i at problemet skal løses på browsersiden. Der findes ret mange plugins til at løse problemerne med indsamling af persondata. Til firefox kan jeg nævne "Cookie Monster" og "Better Privacy" (til flash cookies). Men det der i øjeblikket virker bedst, synes jeg er "Ghostery" som findes til både Firefox, Safari, Chrome og Internet Expl. Ghostery kan blokere over 500 snagetjeneser såsom Google Analytics samt alt mulig andet incl. whitelist. Det er lidt sejt når der kommer rødbrun kasse op med en streg over google analytics og google adsense!

Det kunne være sjov med lidt diskussion af sådanne plugins ... er de gode nok? Ja, de er uendelig meget bedre end alle eller ingen cookies valget. Men er de også gode nok for et kritisk blik?

  • 0
  • 0
Jesper Lund

Jeg skal måske lige understrege at cookies kun kan læses indenfor det samme domæne.

For at Google Analytics kan tracke dig mellem sites, skal cookien sættes på ga.google.com, men det gør de ikke (Iflg. deres privatlivsbeskyttelses dokument).

Jeg er klar over hvordan cookies fungerer, og vi er enige om at GA cookien på version2.dk ikke sendes til Google med et almindelige HTTP request (hvis jeg i en anden browser tab laver en Google søgning eller læser den Gmail konto som jeg ikke har).

Men det er heller ikke sådan at Google Analytics profileringen fungerer. Javascript koden som injectes på version2.dk læser GA cookie indholdet, og sender det videre til Google. Så har vi en first-party cookie (teknisk set) med alle third-party mulighederne.

I udkastet til cookie bekendtgørelsen siger §3 stk 3 nr 4) at du skal oplyse om enhver fysisk eller juridisk person, der foranstalter lagringen af eller adgangen til oplysningerne. Det må omfatte Google ("adgangen til"), for så vidt angår indholdet af GA cookies. Slettemuligheden i nr 5) i samme paragraf er også lidt problematiske når indholdet af GA cookien reelt er lagret på Googles servere, og ikke blot i dit terminaludstyr.

Ikke som jeg forstår det, eftersom Google ikke kan tracke dig mellem forskellige sites, men kun på det enkelte site. Derved ved de ikke at det er >dig< men kun en person på det site.

Vi kan roligt gå ud fra at Google er i stand til at kæde forskellige Google Analytics sessioner (cookies) på samme computer sammen, selvom disse cookies stammer fra forskellige sites og selvom det persistente "ID" i GA cookien ikke er det samme fra site til site. Du sender cookie indholdet upstream til Google sammen med din IP adresse og anden identificerende information.

Hvis vi tror på Google's egen beskrivelse af hvad der indsamles i upstream requestet af /__utm.gif, er listen her
http://code.google.com/intl/da/apis/analytics/docs/tracking/gaTrackingTr...

Selv om der med NAT typisk vil være flere brugere bag den samme IP adresse, vil Google kunne lave en ret præcis adskillelse af de forskellige personer bag samme IP adresse via de browser metadata som sendes upstream når __utm.gif webbug elementet downloades. I mange tilfælde er det kun en håndfuld personer som skal separeres fra hinanden.

Lad os bare sige at personens navn ikke fremgår direkte af Google's sammenkædede oplysninger (selvom Google let kan gøre dette hvis du er logget ind på en Google service som Gmail), men når du har tilstrækkeligt mange enkeltstående oplysninger om den samme person, er det underordnet. Personen er identificeret.

Se f.eks. denne sag
http://en.wikipedia.org/wiki/AOL_search_data_scandal

  • 0
  • 0
Flemming Bjerke

ME:"For at Google Analytics kan tracke dig mellem sites, skal cookien sættes på ga.google.com, men det gør de ikke (Iflg. deres privatlivsbeskyttelses dokument)."

Kan google analytics' javascript ikke bare bede f.eks. itst.dk om at skaffe identifikation mm. fra cookie-mappen itst.dk - og så sende denne til google?

Ved vi iøvrigt hvad google analytics videresender af person/pcidentifikation?

  • 0
  • 0
Martin Troels Eberhardt

@Flemming Bjerke:
Jo, det kan de, men de gør det ikke, de sender kun de cookies som de selv sætter.

Firmaer ville næppe bruge Analytics, hvis de på den måde stjal brugernes cookies, da det ville være en sikkerhedsmæssig (Og formentligt også juridisk) bombe.

@Jesper Lund:
Eftersom Google Analytics oplyser i deres TOS at de data de henter, er anonyme, vil jeg som minimum mene at jeg er i god tro.

Ang. "I udkastet til cookie bekendtgørelsen siger §3 stk 3 nr 4) at du skal oplyse om enhver fysisk eller juridisk person, der foranstalter lagringen af eller adgangen til oplysningerne."
Så siger jeg jo ikke at man skal skjule at man bruger Google Analytics. Tværtimod, skal det stå beskrevet sammen med ens privatlivsbeskyttelses information. Samt på ens cookie-info side.

  • 0
  • 0
Jesper Lund

Men det der i øjeblikket virker bedst, synes jeg er "Ghostery" som findes til både Firefox, Safari, Chrome og Internet Expl. Ghostery kan blokere over 500 snagetjeneser såsom Google Analytics samt alt mulig andet incl. whitelist.

Du inviterer op til dans: kattens leg med musen. Duk dig for XX malware ved at installere YY plugin eller ændre indstilling ZZ i browseren, og se hvad profileringsmafiaen så finder på for at omgå din blokering.

Prøv at blokere GA javascript og cookies i Ghostery og indlæs www.dr.dk. Da jeg prøvede for et par dage siden sagde Ghostery ikke noget, men bagefter havde jeg alligevel et par __utm* cookies.

Jeg fik ikke checket om Ghostery blokerede upstream requestet af __utm.gif, men hvis Ghostery havde gjort dette, var der vel kommet en besked om at der var konstateret GA syge i min browser?

DR er meget luskede. De downloader ikke ga.js fra google-analytics.com som de fleste gør, og de har heller ikke kaldt javascript elementet urchin.js, utm.js eller lignende sigende og nogenlunde ærligt navn.

Nej, vores alle sammens medielicensfinansierede public service organ har taget GA javascript koden og pakket den ind i deres egen mere uskyldigt udseende javascript element
http://www.dr.dk/drWebStat/drWebStat.js

Så kører Google profileringsmaskinen igen med DR's aktive hjælp og vores medielicens (standard privacy filtrene i Adblock Plus fangede den heller ikke; dog var /__utm.gif altså upstream delen af GA blokeret og så er skaden trods alt begrænset). Jeg venter spændt på at se DR's cookie privacy policy..

Jeg er i øvrigt helt enig med dig i at browseren bliver din "last line of defense", uanset hvor mange cookielove vi indfører i samfundet. Men det er (efter min mening) ikke det samme som at fornuftige browser plugins og indstillinger skal stå alene.

Det kan simpelthen ikke være rigtigt at DR eller ITST (eller XXX) skal have lov til at informere Google om min færden på internettet uden mit eksplicitte samtykke (og selv med et eksplicit samtykke kan man overveje hvad denne tracking skal gøre godt for, og om Google overhovedet må indsamle disse oplysninger, samtykke eller ej).

Allerhelst så jeg at Danmark gjorde som Tyskland, hvor brugen af Google Analytics reelt er forbudt.

Så langt kommer vi ikke i Danmark, selvom den danske og den tyske persondatalov er baseret på det samme EU direktiv. Men hvis det bliver mere besværligt at bruge Google Analytics, kan man i det mindste håbe på at udbredelsen falder, og der må komme en større opmærksomhed om hvad Google Analytics er.

  • 0
  • 0
Jesper Lund

Ang. "I udkastet til cookie bekendtgørelsen siger §3 stk 3 nr 4) at du skal oplyse om enhver fysisk eller juridisk person, der foranstalter lagringen af eller adgangen til oplysningerne."
Så siger jeg jo ikke at man skal skjule at man bruger Google Analytics. Tværtimod, skal det stå beskrevet sammen med ens privatlivsbeskyttelses information. Samt på ens cookie-info side.

Jeg tror ikke på at du kan komme udover samtykke kravet (forudgående), når der sendes data til tredjepart som med Google Analytics.

Hvis vi skal lege med Europark analogien og implicitte aftaler om parkering til 600-700 kr per dag, så kan jeg gå med til at jeg må forvente at xyz.invalid sætter en cookie som xyz.invalid kan læse igen senere. Det er også relativt uskadeligt. Jeg kan i ro og mag læse website's privacy policy og slette deres cookies igen, hvis jeg ikke bryder mig om dem.

Det gør ikke så meget at samtykket kommer lidt senere (eller er implicit), fordi jeg effektivt kan kalde det tilbage og opnå den samme tilstand som hvis samtykket aldrig var givet. Slet cookies, ganske enkelt. Lidt ligesom hvis du har 5 minutter til at fordufte fra en Europark parkeringsplads hvis du synes at 600-700 kroner er for dyrt for en parkering.

GA cookies er bare en helt anden sag. I samme øjeblik jeg loader xyz.invalid siden er der sladret til Google om mit besøg på denne side. Det er sket uden noget samtykke, og jeg har ingen mulighed for at kalde mit samtykke (der aldrig er givet) tilbage eller slette de oplysninger om mig som der nu er lagret hos Google.

Ja, jeg venter spændt på ITST's endelige udgave af bekendtgørelsen og deres vejledning om fortolkningen, men jeg vil blive meget overrasket hvis en beskrivelse ala dette link er nok fsva. Google Analytics
http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

  • 0
  • 0
Jesper Lund

Det er da den dummeste regel?

Skal man så gemme brugerens eventuelle "nej"-svar i en cookie? =)

Hvor ellers? Denne cookie vil formentlig have karakter af en "service cookie" som er undtaget fra samtykke kravet.

Men du kan som website ejer også køre en mere aggressiv politik og sige at accept af cookies er en betingelse for at bruge dit site (at et samtykke er "frivilligt" betyder ikke nødvendigvis at man skal kunne bruge dit site uden at give samtykket!).

Alle HTTP requests og deep links uden din "accept" cookie sender du til en blank side hvor betingelserne for at bruge sitet forklares, og samtykket til at sætte specifikke cookies indhentes (via en cookie, men nu med samtykke). Hvis du mener at man skal acceptere profilering af Facebook og Google, kan du skrive det. Der er formentlig meget vide rammer, sålænge du loyalt informerer om hvilke cookies der sættes og hvem der har adgang til indholdet.

Sålænge denne samtykke side ikke sætter nogle cookies uden accept, og sålænge der ikke bruges third party cookies eller Google Analytics på siden, holder du dig inden for selv den mest restriktive fortolkning af cookiebekendtgørelsen: der er indhentet et forudgående samtykke.

Jeg kan ikke se hvorfor det skulle være så svært?

Det er muligt at der er nogle privacy advocates som anbefaler folk at slette alle cookies når browseren lukkes, og disse brugere vil møde din samtykke erklæring hele tiden, men det er ikke dit problem. På sigt får vi forhåbentligt nogle bedre klient-side værktøjer til at sortere i vores cookies end den nuværende alt-eller-intet per site model.

Det eneste som du ikke kan lave er den skjulte profilering med f.eks. Google Analytics som i dag er så udbredt. Men eftersom 99.9% af misbrugsgevinsten ved Google Analytics bliver hos Google (med henblik på udleje og videresalg), kan jeg altså ikke se at det skulle være et stort problem for danske websites og FDIM medlemmer.

  • 0
  • 0
Flemming Bjerke

Jesper Lund
<quote>
Du inviterer op til dans: kattens leg med musen. Duk dig for XX malware ved at installere YY plugin eller ændre indstilling ZZ i browseren, og se hvad profileringsmafiaen så finder på for at omgå din blokering.
</quote>
Hvad er alternativet? Det er jo ligesom med virus.
<quote>
Prøv at blokere GA javascript og cookies i Ghostery og indlæs www.dr.dk. Da jeg prøvede for et par dage siden sagde Ghostery ikke noget, men bagefter havde jeg alligevel et par __utm* cookies. ...

DR er meget luskede. De .... har taget GA javascript koden og pakket den ind i deres egen mere uskyldigt udseende javascript element
</quote>

Jeg tror at du har ret. Jeg har beskrevet det på ghostery's supportside, så må vi se hvad de siger til det. Iøvrigt stod der noget om at Google ikke elsker ghostery :-)

  • 0
  • 0
Flemming Bjerke

"Hi Flemming, thanks for using Ghostery.

dr.dk is using a 3rd party script injected via their own website -- this is 1st party. As such, Ghostery does not track and block requests like this: its surprisingly hard to scan contents of every file to detect content you are looking for. That said, GA needs to report the data back to its servers, and Ghostery would block that, tho, at some rare cases, wouldnt report it. To check the last actions executed by ghostery blocker, please check Block Log: press ALT+ T for tools menu, select Ghostery -> Block Log. "

Fra loggen for forsiden af dr.dk:
"Blocked image: http://www.google-analytics.com/__utm.gif?utmwv=4.3&utmn=329673900&utmhn... origin: www.dr.dk&quot;

Det ser da ikke så ringe ud endda!

For øvrigt fletter dr.dk vist ikke koden ind i deres java script mange (de fleste?) steder. I hvert tilfælde kommer den overstregede google analytics ofte op på dr.dk/DR2

  • 0
  • 0
Jesper Lund

Jeg vil foreslå følgende metode til at checke det

1) Installer en webserver på din maskine
2) Lad www.google-analytics.com og ssl.google-analytics.com resolve til 127.0.0.1 i /etc/hosts (DNS censur på den gode måde!)
3) Check web server loggen for /__utm.gif requests

Så kan man debugge i fred uden at blive smittet med GA (der kommer måske __utm* cookies, men ingen data retur til Google).

Min tidligere analyse var måske biased af at jeg mixede Adblock Plus og Ghostery, men nu vil jeg prøve at disable Adblock Plus på dr.dk og kun bruge Ghostery. Og checke loggen!

  • 0
  • 0
Lars Tørnes Hansen

Det er vel nogenlunde nemt at omgå lovgivningen, ...

... og det er ganske enkelt ikke at bruge cookies for så gemmes der ikke noget på brugerens computer.

Teknisk kan det gøres ved at i stedet for links på websitet koder man en formular der indeholder skjulte (hidden) felter, såvel som en knap der har udseende af et almindeligt link (knappen kan styles som et link via CSS).

De skjulte felter kan indeholde samme information som de cookies man normalt ville have brugt.

Hvad siger i, er det en mulighed? og hvad med lovligheden af den? gangbar?

  • 0
  • 0
Lars Tørnes Hansen

@Jesper Lund, 26. maj 2011 01:14

Oplysningen lagres ikke på brugerens computer lige som en cookie, men bevares, brug af et DOM træ i hukommelsen kan da godt kaldes at en oplysning er "lagret" (på brugerens computer).

Satans juristeri af værste skuffe.

@Peter Stricker, 26. maj 2011 01:29

Lars,
Cookies persisteres på tværs af sessions. Hvordan vil
du gøre det med hidden fields?

Altså jeg vil ikke bruge cookies. Der skal ikke gemmes noget permanent på brugerens maskine!
Så - det vil jeg ikke!

Iøvrigt og det er også teknisk umuligt at lave persistens på tværs af sessions med formular felter udelukkende ved kun at bruge klientmaskinen - det vidste du sikkert godt.

Eksamen bestået?

Jeg har tænkt over mine egne websites.

Jeg vil genindføre et krav om login, hvis man vil kommentere på indlæg på min blog på mine websites.
Gider man ikke det, så er det ikke mit problem.

Jeg har kun tænkt på at opbevare information i formularer sålænge personen er logget ind. Det betyder at ethvert link på en webside der hører til en session vil blive kodet som en formular på den måde jeg har skrevet det, og at hver eneste formular indeholder den nødvendige sessioninformation.
Informationsopbevaring imellem logins sker server-side
Informationerne er over brugernavn og login, og så måske lidt om hvordan brugeren fortrækker websiden ser ud (tekststørrelser og den slags simple tilpasninger til folk der kunne have handicap).
Jeg tænker på at bruge OpenID - hedder det vist-nok.

Jeg vil så ikke anvende cookies til besøgende der ikke logger ind - men mine websites er også kun til privat brug, så jeg ser ikke rigtig nogen grund til at bruge cookies, hvis det bliver for besværligt at bruge dem rent lovgivningsmæssigt.

  • 0
  • 0
Lars Tørnes Hansen

Satans juristeri af værste skuffe.

har jeg selv skrevet, og jeg vil da gerne oversætte det med et citat fra Aminos nyhedsbrev igår, som blev skrevet af Martin Thorborg:

God damn it, mand bliver træt af de fordømte skrankepaver, stempelskubbere og andet ligegyldigt godtfolk, der af en eller anden grund spilder deres og vores andres liv på ligegyldigheder.

Det kan vist ikke siges meget bedre :)

  • 0
  • 0
Flemming Bjerke

Jeg tvivler på at det bliver nogen særlig omfattende cookiedokumentation der kræves i sidste ende. Der er jo også en grund til at IT- og Telestyrelsen har skrevet til EU-kommissionen. EU-direktivet er jo temmelig uklart.

Det er også derfor at vi i IT-Politisk Forening har sagt at nu må man fortolke direktivet derhen at man ikke må videregive lagrede personlig oplysninger til tredjepart. Det ville ramme f.eks. Google Analytics. Men de internethandlende vil næppe synes at forbrugerne bør begynde at forhindre indsamling af markedsanalysedata - og dem vil man næppe være uenige med.

På den anden side er det jo også uholdbart at der samles uendelige mængder personlige oplysninger, bl.a. vha. cookies. Derfor ender man med et totalt gakket forslag om at alle cookies - også de harmløse - skal deklareres til ingen verdens nytte - og kun til besvær for hjemmesiderne og til at forvirre forbrugerne. Men man kan lade som om man har gjort noget for forbrugerne uden at træde udbyderne over tæerne.

Den eneste vej ud af dette håbløse morads er at lære forbrugerne at bruge relevante plugins til deres browser. Men nu er IT- og Telestyrelsen sammen med Forbrugerrådet kravlet op i alle-cookies-skal-deklareres-træet, og nu kan de ikke finde ud af at komme ned igen.

  • 0
  • 0
Peter Stricker

Lars,

Altså jeg vil ikke bruge cookies. Der skal ikke gemmes noget permanent på brugerens maskine!
Så - det vil jeg ikke!

Ja, det fremgik jo også af det indlæg, jeg responderede på.

Her skrev du også:

De skjulte felter kan indeholde samme information som de cookies man normalt ville have brugt.

Hvad siger i, er det en mulighed?

Og det fik mig så til at spørge om, hvorledes du med brug af skjulte felter vil skabe samme funktionalitet som med cookies. Som eksempelvis at version2.dk kan genkende mig hver gang jeg åbner en browser og går ind på siden. Helt uden at jeg behøver at oprette mig som bruger på et tredjeparts-site.

Iøvrigt og det er også teknisk umuligt at lave persistens på tværs af sessions med formular felter udelukkende ved kun at bruge klientmaskinen - det vidste du sikkert godt.

Ja, det skrev jeg jo i mit indlæg.

Så alt i alt må mit svar på dit spørgsmål

Hvad siger i, er det en mulighed?

være et nej. Du kan ikke opnå samme funktionalitet med brug af skjulte felter som med brug af cookies.

  • 0
  • 0
Peter Stricker

Forbrugerrådet mener heller ikke at alle cookies skal deklareres.

Det lyder ikke særlig godt med hensyn til forbrugerbeskyttelse. I hvert fald ikke med mindre der kommer en afklaring af, hvilke typer af cookies, der skal deklareres. Hvor distinktionen mellem typer ligger i det tiltænkte formål, således at man skelner mellem login- og trackingcookies og eventuelt andre typer/formål.

Hvis direktivet havde lagt op til et totalt forbud mod cookies, så ville det efter min overbevisning umuliggøre en masse af den funktionalitet, vi som brugere af nettet er blevet vænnet til.

Nu er det dog ikke det, der lægges op til. Der lægges kun op til at brugeren skal give oplyst samtykke, inden der efterlades en cookie. Og for at bruge login på version2.dk som eksempel, så ville jeg ikke have noget problem med, samtidig med at jeg indtastede brugernavn og password, også at sætte flueben i en checkbox der gav lov til at gemme de oplysninger. Det er der jo allerede i dag mange sites, der gør. På den måde kan man eksempelvis slippe for at få gemt sine loginoplysninger hvis man logger på fra en offentlig computer. Andre cookies som version2.dk måtte have interesse i at lægge på min computer, har jeg muligvis ingen interesse i.

Det bliver interessant at se, hvordan ITST vælger at implementere direktivet. Hvis version2.dk blot skal spørge mig en gang for alle om jeg ønsker at modtage cookies, så er vi jo nærmest lige vidt. Så vil jeg nok fortsat vælge den bekvemme løsning, der lader mig være logget ind automatisk, hver gang jeg besøger siden. Hvis dette valg så giver version2.dk lov til også at efterlade trackingcookies, så er der reelt ikke meget forbrugerbeskyttelse i loven.

  • 0
  • 0
Flemming Bjerke

Jeg prøvede bare at dementere hvad jeg havde skrevet om Forbrugerrådet. Det slap jeg ikke så godt fra. Jeg vil gerne dementere ALT hvad jeg har skrevet herom på denne tråd.

MEN når det er sagt, synes jeg at det komplet håbløst at skulle deklarere og give godkendelse til alle cookies. Det vil blot forvirre forbrugerne, og de kan ikke gennemskue hvornår de giver samtykke til harmløse cookies, og hvornår de giver tilladelse til Google Analytics, Google Adsense, Gemius, Specific Media, osv. osv. Det er det rene privatlivsbondefangeri. Der er jo ingen der gider bruge en browser som ikke sætter cookies overhovedet.

Som Stricker skriver: "Så vil jeg nok fortsat vælge den bekvemme løsning, der lader mig være logget ind automatisk, hver gang jeg besøger siden. Hvis dette valg så giver version2.dk lov til også at efterlade trackingcookies, så er der reelt ikke meget forbrugerbeskyttelse i loven."

Men hvis du installerer pluginet Ghostery, kan du hindre v2 og mange andre i at lade google osv. snage i dit privatliv.

Stricker: "
... hvorledes du med brug af skjulte felter vil skabe samme funktionalitet som med cookies. Som eksempelvis at version2.dk kan genkende mig hver gang jeg åbner en browser og går ind på siden. Helt uden at jeg behøver at oprette mig som bruger på et tredjeparts-site."

Det har EFF svaret meget præcist på (uden skjulte feltet og cookies): Browserfingerprint.

http://panopticlick.eff.org/

  • 0
  • 0
John Vedsegaard

Flash er nok en meget mere effektiv spamgenerator, dette fordi man ikke kan se links ved mouseover.
Skal noget forbydes er det Flash!
Der ud over er jeg ikke helt sikker på hvor meget de nye cookieregler egentlig ændrer på noget som helst, undtaget at man får alle former for reklamer, frem for nogle som er rettet specielt imod den besøgende. På den anden side, hvad skal jeg med en reklame for biler, når jeg nu hellere vil køre på cykel.

  • 0
  • 0
Log ind eller Opret konto for at kommentere