Enhedslisten: Cookie-styrelse holder borgerne for nar

Borgerne bliver gjort til grin, når Erhvervsstyrelsen ikke kan eller vil håndtere et massivt brud på cookie-bekendtgørelsen. Erhvervsministeren tager ikke reglerne seriøst, lyder det fra Enhedslistens it-ordfører.

Borgerne bliver holdt for nar, og det er dybt kritisabelt, når Erhvervsstyrelsens tilsyn med danske hjemmesiders cookie-brug ikke kan følge med de mange lovbrud. Det viser, at Erhvervs,- og Vækstministeriet, der har det overordnede ansvar, ikke tager cookiebekendtgørelsen seriøst. Det mener Enhedslistens it-ordfører Stine Brix.

»Borgerne bliver gjort til grin, og mig bekendt har vi ikke andre bekendtgørelser fra EU, som bliver overholdt lige så lidt som cookie-reglerne. Og det er da dybt kritisabelt,« siger Stine Brix til Version2.

Hun har tidligere stillet flere paragraf 20 spørgsmål til den daværende erhvervs- og vækstminister Ole Sohn (SF). Dengang lød svaret, at Erhvervsstyrelsen skal føre et generelt tilsyn med både offentlige som private, danske hjemmesider om de små filer, også kaldet cookies, der bliver lagret på computeren, når man besøger et website.

Læs også: Frit spil for cookie-syndere: Ingen konsekvenser af lovbrud

Bliver set stort på lovgivning

Den såkaldte cookie-bekendtgørelse, der trådte i kraft i december 2011, pålægger de danske hjemmesider at oplyse borgerne om, at hjemmesiden vil lagre små filer på deres computere. Overholder man ikke bekendtgørelsen, kan man straffes med bøde. Derfor undrer ministeriets tilgang til reglerne også Stine Brix.

»Jeg synes, det er en meget mærkelig måde føre tilsyn med lovgivningen. Det hænger ikke sammen,« fortæller Stine Brix til Version2.

Læs også: Her er de nye cookieregler: Sådan skal du gøre

Hun henviser samtidig til, at Erhvervs,- og Vækstministeriet ikke har været ude for at sige, at de på grund af håndgribelige ressourcemangler, er ude af stand til at føre et korrekt tilsyn.

»Erhvervsministeren naturligvis med loven i ryggen bakket bekendtgørelsen helt op. Hvilket også betyder, at ministeriet vurderer deres nuværende beredskab som tilfredsstillende. Men det ser langt fra sådan ud,« siger Stine Brix.

På baggrund af Version2’s henvendelse, vil Stine Brix afkræve den nye erhvervs- og vækstminister Anette Vilhelmsen en forklaring. Den nye Erhvervs,- og Vækstminister har ikke ønsket at komme med yderligere kommentarer til sagen.

Læs også: It- og Telestyrelsen vil ikke straffe cookie-syndere - lige nu

Læs også: Kun 2 ud af 20 ministerier overholder cookiebekendtgørelsen

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Jensen

Desværre kan loves jo ikke bruges, der er ingen websites som acceptere at de burde lave deres hjemmesider om - i stedet skriver de bare "du skal acceptere cookies hvis du vil bruge sitet, ellers kan du skride" - endda også danske offentlig websites (Nej, naturligvis ikke formulere med de specifikke ord)

Anonym

Ja loven er idioti

Jeg håber at vi om et år stadig vil se 99.9% af alle hjemmesider ignorere denne lov. Så kan vi spilde endnu flere af skatteydernes penge på at håndhæve en lov, der mere er symbolpolitik end at den rent faktisk beskytter brugerne/borgerne (hvis en styrelse bliver overbebyrdet med masser af arbejde, så ender det typisk med at loven ændres (hvis ikke de kan skubbe aben videre til kommunerne) - med andre ord en Djøffer finder ud af at man kan fortolke direktivet på en ny måde der koster knapt så mange penge, og styrelsen slipper for arbejde)

I kommunerne er vi allerede igang med at skifte Google Analytics (gratis) ud med statistikværktøjer, som nok samlet løber op i nogle mio. af skatteborgernes penge på landsplan om året. Dernæst kommer der et større kontrol arbejde af samarbejdsparterne til de tvungne selvbetjeningsløsninger, at de også overholder reglerne i det de leverer til kommunerne (da indlejret materiale er hjemmesideejerens ansvar) - tilføj lige nogle mio ekstra om året der af skattekroner.

Så kommer perlen i samlingen - der er stort set ikke 2 lande i EU der fortolker cookie reglerne ens, så mindre virksomheder (iværksættere) skal nu til at bruge en masse energi på at sørge for at deres produkter overholder fortolkning af et direktiv som er forskellig i EU landene. Faktisk så forskellige at man stadig efter et år sidder og spilder skattekroner i EU regi på at blive enige om forståelse af det direktiv man plager websites med allerede i dag.

Så har man en politiker der skræpper op, som gudhjælpemig selv bryder loven (Fru Brix), men der skal jo være Facebook plugin og andet valgkamps værktøj på en politikers hjemmeside i dag.

At man håndhæver cookie loven ændre ikke på at Google, Microsoft, Firefox osv. alene ud fra adresselinjen ved alt om hvad man foretager sig på nettet (adresselinjen er i dag også et søgefelt, så alle URL'er bliver søgemaskine matchet). Nu er det blot ikke en cookie der sporer en...

Det bliver spændende at se hvad bøderne kommer til at ligge på. Er de relativt lave vil jeg klart opfordre ikke offentlige virksomheder til at se på det som en simpel driftsudgift. Alternativet er blot penge til konsulenter, og der bliver foretaget præcist den samme sporing som med cookies.

Jesper Lund

I kommunerne er vi allerede igang med at skifte Google Analytics (gratis) ud med statistikværktøjer, som nok samlet løber op i nogle mio. af skatteborgernes penge på landsplan om året.

Er det virkelig et urimeligt krav at landets kommuner skal overholde lovgivningen? Google Analytics betyder at de besøgendes IP adresser videregives til Google sammen med oplysninger om hvilke sider der læses. Mange offentlige hjemmesider har et følsomt indhold, og borgerne kan med rette forvente at de kan læse en offentlig hjemmeside i fred uden at Google eller Facebook bliver orienteret.

Udover at overtræde cookiebekendtgørelsen, overtræder kommunerne også persondataloven når de videregiver denne type information til Google.

Det er også fuldstændigt uacceptabelt at man ikke kan besøge hjemmesiden for et politisk parti eller en politiker uden at Facebook bliver orienteret om dette (vi har alle FB profiler til at opsamle denne information, enten den profil som vi selv har oprettet eller den skyggeprofil som FB laver til os). Men det er præcist hvad der sker når der på hjemmesiden er en FB "I Like" knap (det hjælper ikke noget at logge ud fra Facebook; man er nødt til at blokere disse elementer før de downloades og gør skade, ja fuldstændig ligesom computervirus). Needless to say, dette sker uden at spørge først (samtykke). Politiske interesser er data som betragtes som særligt følsomme i persondataloven.

Datatilsynet har desværre den holdning at alt vedr. Facebook hører under det irske datatilsyn. Det er korrekt at Facebooks europæiske aktiviteter foregår i Irland, men når et dansk politisk parti eller politiker placerer FB "I Like" tracking widgets på sine hjemmesider, er det en (ulovlig) videregivelse af information til tredjepart, som sker i Danmark på en dansk hjemmeside, og som Datatilsynet burde interessere sig for.

Anonym

Er det virkelig et urimeligt krav at landets kommuner skal overholde lovgivningen? Google Analytics betyder at de besøgendes IP adresser videregives til Google sammen med oplysninger om hvilke sider der læses. Mange offentlige hjemmesider har et følsomt indhold, og borgerne kan med rette forvente at de kan læse en offentlig hjemmeside i fred uden at Google eller Facebook bliver orienteret.

Nej men når der er tale om et EU direktiv så skal der være fælles forståelse og handling i HELE EU og det er der ikke!

Desuden vil det her koste mio af kroner hver år, så folk skal også være klar over at det her potentielt kan koste skattestigninger eller besparelser på andre områder. Hvad er mest fair?

Og der er forbavsende lidt personfølsomt materiale på offentlige hjemmesider, folk tror noget andet men nej der er uhyre lidt følsomt materiale på kommunale hjemmesider.

Jesper Lund

Og der er forbavsende lidt personfølsomt materiale på offentlige hjemmesider, folk tror noget andet men nej der er uhyre lidt følsomt materiale på kommunale hjemmesider.

Jeg skrev bevidst "følsomt indhold", ikke personfølsomt indhold. Hvis en borger vil læse om tilskudsmulighederne i bistandsloven, eller behandling af bestemte sygdomme, er det ikke noget som rager hverken Google eller Facebook. Men med Google Analytics på den offentlige hjemmeside, må borgeren regne med at Google bliver orienteret om borgerens interesse for bistandsloven eller sundhedssystemet. URL+IP ryger direkte til Google. Sådan virker GA.

Jesper Lund

Desuden vil det her koste mio af kroner hver år, så folk skal også være klar over at det her potentielt kan koste skattestigninger eller besparelser på andre områder. Hvad er mest fair?

Hvis det virkelig er så dyrt for kommunerne at lave webstatistik uden at begå massive lovovertrædelser (både før og efter cookiebekendtgørelsen; Google Analytics har aldrig været lovligt), skulle man måske overveje at droppe webstatistikken?

Med tvangsdigitaliseringen bliver alle borgere tvunget til at bruge de offentlige hjemmesider, uanset hvor ringe de er, så der er 100% markedsandel takket været statens hjælp.

Jeppe Schmidt

Når du modtager et medlemskort fra Coop, som snart 1 mio. danske forbrugere har gjort, OG du bruger dette kort i forbindelse med dit indkøb, så bliver dine indkøb registreret i en database og brugt til at analysere dine indkøb. Disse analyser bliver så efterfølgende brugt til at udsende nyhedsbreve med brugerspecifikt indhold, således at Coop kan skræddersy tilbudene til den enkelte forbruger baseret på køn, alder, indkøbsmønster mv.

Jeg har også et Coop kort, men mener ikke jeg med klar tydelighed er blevet gjort opmærksom på at mine indkøbsvaner indgår i en statistik i forbindelse med analyse af min brugeradfærd i Coops butikker. Jeg er heller ikke blevet gjort opmærksom på om disse oplysninger bliver videregivet til 3. part og / eller om jeg, hvis jeg ikke accepterer disse vilkår, kan få slettet disse informationer som Coop tilsyneladende har gemt om min adfærd, ej heller om jeg har mulighed for ikke at acceptere dette.

Jeg bliver ej heller gjort opmærksom på indsamling af disse data og dermed samtykkevalget, hver gang jeg besøger en ny butik, eller hvis der er gået et bestemt tidsrum mellem hvert besøg. Jeg har til dato, ikke set en eneste Coop butik som tydeligt skilter, ved indgangen vel at mærke, med at de indsamler personfølsomme oplysninger i deres butik.

Måske er det at sætte det på spidsen, men jeg synes ikke det er en helt skæv betragtning.

Anonym

Vilkår står på deres hjemmeside: https://webshop.coop.dk/kundeservice/vilkaar (punkt 8)
På siden ser det ud som om Webshop og Plus vilkår er de samme, i og med det står i samme vilkårsliste. Jeg tror at det rent juridisk holder vand at de blot skilter med det på hjemmesiden.

Men selv uden CoopKort så opsamles der data om dig. Video overvågningen viser også din færden gennem butikken og det sammenkædet med en almindelig dankort betaling kan vel i teorien føre frem til identifikation af en person (går ud fra at køen til betaling også er video overvåget) og dermed hvem der har købt hvad.

For at sammenligne det med Cookie reglerne så skal butikken give dig som kunde mulighed for at gå igennem butikken helt uden at du bliver filmet, da du i teorien kan blive sammenkædet til dine indkøb og dit dankort og dermed muligvis din identitet. Går du ind i butikken og accepterer at du bliver filmet, så skal du stadig have mulighed for at stoppe og sige: nej, nu vil jeg ikke overvåges mere af butikken, og så skal kameraerne stoppe med at filme lige præcist dig.
Sådan er virkeligheden jo ikke skruet sammen, og efter min mening burde det være nok på en hjemmeside blot at skilte med at der anvendes cookies og herefter lade det være op til brugeren af hjemmesiden at træffe forholdsregler i form af Noscript, Ghostery osv.

Jeppe Schmidt

Nu har jeg jo ikke fået deres kort via hjemmesiden. Jeg har heller ikke aktiveret kortet via hjemmesiden, og i princippet er det jo heller ikke ved mit besøg på deres hjemmeside at indhentning af data foregår men netop i butikken, som bør være der jeg bliver gjort opmærksom på det?

Men tvivler faktisk ikke på at lovgivningen i forhold til netop denne opsamling af data er overholdt. Problemet er vel så at lovgivningen på to, så tilsyneladende ens områder, er så forskellig.

Igen, så er dette indlæg jo ment for at sætte det på spidsen, det er jeg klar over og jeg skal da heller ikke lægge skjul på at jeg synes at Cookie-direktivet rammer helt ved siden af og derfor forsøger at provokere ved denne sammenligning med COOP :)

Gert Madsen

Nej men når der er tale om et EU direktiv så skal der være fælles forståelse og handling i HELE EU og det er der ikke!

Det tror jeg da ikke er usædvanligt.

Og iøvrigt synes jeg at diskussionen er noget bagvendt.

Fejlen er at man overhovedet er begyndt at sende data om borgerne til Google.
Det burde aldrig være sket.

At det så koster at rette op på fejlen, efter at siderne er kommet i drift, er jo ganske forventeligt.

Det var passende at bruge færre kræfter på at skælde ud på loven, og flere på at kigge lidt indad, og tænke over hvorfor man, som hjemmeside-ejer, og/eller leverandør, har ignoreret omtanke mht. behandling af data om borgerne.

Anonym

Det var passende at bruge færre kræfter på at skælde ud på loven, og flere på at kigge lidt indad, og tænke over hvorfor man, som hjemmeside-ejer, og/eller leverandør, har ignoreret omtanke mht. behandling af data om borgerne.

Set ud fra et kommercielt synspunkt er det absolut helt legitimt at skælde ud på loven, som bliver fortolket på lige så mange måder, som der er medlemslande i EU.

Hvornår skal en hjemmeside overholde den danske fortolkning? Når der er tale om en side med dansk tekst?, Dansk ejerforhold? Eller skal en UK baseret hjemmeside med en dansk tekst DNS blokeres i Danmark fordi man i England fortolker det som et Opt-out direktiv, og dermed ikke spørger om accept? Jeg kan forestille mig en masse private virksomheder oprette selskaber i UK og så køre web derfra. Nogle fortolker det også sådan at landingpage besøg trackes ikke, men så snart der er klikket på et link så har brugeren accepteret cookies osv. og derefter er der frit spil for Google Analytics og det der er værre.

Som jeg tidligere har skrevet, så har jeg intet problem i at skulle sige farvel til Google Analytics (det er stadig lovligt at bruge google analytics "bare" man sørger for muligheden i at fjerne cookies, og der kan det være billigere at bruge en anden udbyder end at skulle omgå google hele tiden) og bruge andre systemer. Hvad der så er problematisk er at vi stadig skal give en opt-in advarsel selv om data ikke gives til andre, vi har kontrakt på at data ikke videregives eller videresælges til andre, en kontrakt der i bund og grund ikke er anderledes end de kundeforhold der er mellem det offentlige og firmaer som CSC, KMD osv.

Hvis data kun er tilgængelig for hjemmeside ejeren og serviceudbyder, og der er kontrakt på at data ikke videregives til 3.part, så bør opt-in ikke være et krav, men at det er op til slutbrugeren selv at have plugins der forhindre cookies hvis man er nervøs - brugerne skal også vide at serverens logfiler logger en stor del af det de cookie baserede løsninger gør, og serverloggen er ikke omfattet af direktivet - så IP adresserne bliver logget.

Som hjemmesideejer bruger man cookieløsningen til at spore adfærd - dette er vanskeligt med serverlog filer da en ipadresse kan dække over en lang rakke brugere. Det offentlige bruger forholdsmæssigt mange penge på web og på at informere omkring lovtekster, og der mener jeg at det er alfa og omega at man kan se bruger adfærd for at optimere, og hvis data ikke kommer til videresalg så bør det være muligt at fortsætte med cookies uden bruger accept.

Jeg finder det også helt fair at firmaer, private og offentlige afventer hvad man finder ud af i EU, for de er tilsyneladende slet ikke færdig med at afgøre hvordan reglerne skal fortolkes, og før der ligger en helt klar fortolkning i fælles EU regi bør folk ikke foretage sig noget.

Jesper Lund

Hvis data kun er tilgængelig for hjemmeside ejeren og serviceudbyder, og der er kontrakt på at data ikke videregives til 3.part, så bør opt-in ikke være et krav, men at det er op til slutbrugeren selv at have plugins der forhindre cookies hvis man er nervøs - brugerne skal også vide at serverens logfiler logger en stor del af det de cookie baserede løsninger gør, og serverloggen er ikke omfattet af direktivet - så IP adresserne bliver logget.

At data, der bruges til website statistik, ikke under nogen omstændigheder må videregives til tredjepart bør være indlysende, specielt for et offentligt website. Men hvorfor ser vi så Google Analytics på så mange offentlige websites? Den offentlige sektor har et meget stort forklaringsproblem her.

Med hensyn til dit forslag om at brugerne bare kan installere browser plugins som Ghostery eller blokere cookies, så er det lettere sagt end gjort.

Jeg prøvede i en periode af blokere alle cookies, medmindre de var whitelistet. Det gjorde browsing nærmest umuligt. Og hvis jeg skal vide hvilke cookies jeg skal whiteliste, er websitet i øvrigt nødt til at komme med en detaljeret beskrivelse af hver enkelt cookie, svarende til en af de mere vidtgående fortolkninger af cookiebekendtgørelsen.

Selv min nuværende strategi, med blokering af third-party cookies og at alle cookies bliver session cookies (slettes når browser lukkes) medmindre de er whitelistet, er ikke helt uden problemer. Der er et (dog forholdsvis lille) antal websites som ikke virker uden third-party cookies. Enkelte laver selv et check af om third-party cookies kan sættes og kommer med en informativ fejlbesked, men typisk fejler de bare stille med endeløse loops el.lign. Og så skal man til at debugge html og læse webclient logs for at finde ud af hvad der skal whitelistes. Sigh!? Husk at et af disse (defekte) websites kunne være en offentlig IT-løsning som er med i tvangsdigitaliseringen, og altså ikke er valgfri for borgerne.

Blokering af Google Analytics med Ghostery virker heller ikke 100%. Visse websites bl.a. dr.dk (sidst jeg checkede) har taget GA javascript koden og smidt den i noget af deres eget javascript. Så ser Ghostery det ikke.

Bottom line: dit forslag om at brugerne bare kan "beskytte sig" i stil med anti-virus kan reelt kun bruges af folk med god indsigt i IT. Det er ikke en mainstream løsning for den brede befolkning.

Anonym

At data, der bruges til website statistik, ikke under nogen omstændigheder må videregives til tredjepart bør være indlysende, specielt for et offentligt website. Men hvorfor ser vi så Google Analytics på så mange offentlige websites? Den offentlige sektor har et meget stort forklaringsproblem her.

Jeg vil ikke mene at der er et forklaringsproblem her. Webfolk har brugt det mest udbredte webstatistik værktøj, som indtil cookie direktivet ikke har været noget problem, og stadig ikke er ulovligt blot man sikre sig opt-in jft direktivet. Det offentlige har sikkert ofte også valgt de "gratis" løsninger ud fra den simple årsag at der ofte ikke er midler til andet (der er selvfølgelig undtagelserne hvor nogle kommuner kan finde mio. af kroner til dyre løsninger). Google Analytics er også et utroligt stærkt værktøj, som før Google opkøbte teknologien kostede kassen (og da folk så besparelser på 20-30000 pr år i licens, så kan man ikke fortænke folk i valget)

Kommunerne skal selvfølgelig overholde reglerne, men det forhindre altså ikke mig, som privatperson, i at have den holdning, at der med cookie direktivet, og den nu gennemhullede do-not-track funktionalitet i browserne, i bedste fald er tale om en placebo effekt på privacy. At jeg som webudvikler fjerner Google Analytics ændre ikke på at Google, Bing, Yahoo stadig opsamler data udfra browserens kombinerede adresse/søgelinje.

Jeg mener også at opt-in kun skal være tilstede der hvor data ikke med garanti bliver behandlet med fortrolighed. En fortrolighed, som vi betaler en virksomhed som SiteImprove for. Vi har brug for statistikken for at optimere og sørge for at vi har det statistiske grundlag for at placere indhold der hvor det for borgerne giver bedst mening. Uden den statistik famler vi i blinde, hvilket ironisk nok er hvad det offentlige ofte bliver anklaget for.

Med cookie direktivet i effekt efter den danske fortolkning har vi intet statistisk grundlag til at spore adfærd og besøgsmønster, og vi er tilbage til at gætte os frem.

Jesper Lund

Jeg vil ikke mene at der er et forklaringsproblem her. Webfolk har brugt det mest udbredte webstatistik værktøj, som indtil cookie direktivet ikke har været noget problem, og stadig ikke er ulovligt blot man sikre sig opt-in jft direktivet.

Når jeg siger "forklaringsproblem", mener jeg ikke IT-folk, men de politikere som ultimativt har ansvaret for de pågældende websites. For et offentligt website bør brugen af GA ikke alene være drevet af om det er lovligt eller ej, men mindst lige så meget af rimeligheden af at forære borgernes trafikdata til Google for at få noget gratis webstatistik. Nej, det er naturligvis ikke rimeligt.

Hvorvidt GA uden eksplicit forudgående samtykke var lovlig før cookiebekendtgørelsen kan, efter min mening, diskuteres. Vi har også persondataloven, og der er tale om de facto videregivelse af personhenførbare data (IP adresser sammenholdt med web indhold) til tredjepart.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize