Frit spil for cookie-syndere: Ingen konsekvenser af lovbrud

Omfattende tjek af danske hjemmesider er ikke det rigtige våben, mener Erhvervsstyrelsen, som skal håndhæve cookie-reglerne. I stedet vil styrelsen satse på vejledning.

Kun meget få danske hjemmesider overholder cookie-bekendtgørelsen, der forpligter dem til at oplyse, hvis site lagrer en lille fil på den besøgendes computer.

Omfanget af lovløsheden er så stor, at Erhvervsstyrelsen, der har ansvaret for at føre tilsyn, står uden chance for at holde øje med - og slå ned på - cookie-syndere. Det ville kræve enorme ressourcer, forklarer kontorchef i Erhvervsstyrelsen Brian Wessel.

»Vi kommer ikke efter alle de hjemmesider, som bryder bekendtgørelsen. For realiteterne er, at meget få desværre overholder bekendtgørelsen lige nu. Så hvor skal vi overhovedet begynde? Vejledning er det bedste våben lige nu, « siger Brian Wessel, da Version2 fanger ham i telefonen.

Lige nu sidder han i Bruxelles hos EU-Kommissionen for netop at drøfte, hvordan de 27 medlemslande hver især tolker bekendtgørelsen, der trådte i kraft i december 2011. Det er nemlig også afgørende for, hvordan danske hjemmesider skal gribe cookie-reglerne an.

Læs også: Her er de nye cookieregler: Sådan skal du gøre

Vejledning og selvregulering

Brian Wessel understreger dog, at betegnelsen 'tilsyn' sagtens kan bestå af vejledning og oplysning til de danske hjemmesider - både de private, regionssiderne og de kommunale sites.

»De to elementer er den bedste form for tilsyn lige nu. Det er min klare holdning, når man skal være realistisk. Derfor fylder selvregulering en del, både hos os og EU-Kommissionen, fordi det er det mest fornuftige,« siger Brian Wessel til Version2.

Han mener samtidig, at de langt fra er i mål, men at tingene begynder at rykke sig. Men det vil ganske enkelt ikke give mening på nuværende tidspunkt at svinge den store cookie-hammer.

»Tilsyn betyder ikke, at vi skal sidde og tjekke hver eneste hjemmeside. For os er det ikke optimalt at sætte alle de ressourcer af, som det ville kræve. Samme syn på sagen er jeg sikker på, politiet har,« forklarer Brian Wessel.

Læs også: Kun 2 ud af 20 ministerier overholder cookiebekendtgørelsen

Sommer 2013 er deadline

Kontorchefen henviser samtidigt til, at cookiekendtgørelsen er en rigtig god ting, som alle medlemslandene i EU bakker op om. Men linen kan snart ikke strækkes længere

»Vi må give det lidt tid, før vi for alvor skruer bissen på. Sommeren 2013 skal der være sket en markant udvikling, der betyder, at størstedelen af de mest besøgte sider skal informere korrekt. Det står jeg meget fast på. Det betyder også, at vi ikke skal have den her samtale igen om et halvt år,« siger Brian Wessel.

Læs også: It- og Telestyrelsen vil ikke straffe cookie-syndere - lige nu

Senest har Enhedslistens Stine Brix rettet henvendelse til daværende erhvervs- og vækstminister Ole Sohn (SF) om problematikken. Du har læse svaret på Sine Brix' paragraf 20 spørgsmål her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anonym

Lige nu sidder han i Bruxelles hos EU-Kommissionen for netop at drøfte, hvordan de 27 medlemslande hver især tolker bekendtgørelsen, der trådte i kraft i december 2011. Det er nemlig også afgørende for, hvordan danske hjemmesider skal gribe cookie-reglerne an.

Politikere og højtstående embedsfolk når det er værst.

Der er snart gået ét år siden det er trådt i kraft, og de sidder stadig og fjoller rundt i hvordan man skal fortolke den tåbelige lov, som er (efter min mening) et klokkeklart eksempel på hvor galt det kan gå når IT analfabeter i form af politikere og jurister begynder at rode rundt med noget de i bund og grund ikke har en skid forstand på.

Det er slet ikke de forskellige cookies, tracking, funktionelle eller andre typer der er problemet. Det er leverandørene af de services som virksomheder, private såvel som offentlige gør brug af der er problemet, og det er dem der bør lovgives overfor.

Jeg tror, desværre, ikke at det er urealistisk at arbejdet med at tolke, implementere og administrere disse tåbelige regler, for det offentlige alene kommer til at koste adskillige mio. af kroner hvert eneste år, og jeg kan i den grad have min tvivl om udgifterne kommer slutbrugerne til gavn på nogen måde.

Så sent som i går var jeg til et leverandør arrangement for en udbyder som tilbyder webanalytics, som overholder reglerne (alt efter hvordan det implementeres), og det leverer umiddelbart det samme produkt som Google Analytics. Forskellen er blot at hvor vi tidligere havde det gratis så koster det i dag adskillige tusinde kroner i licens. Det er bare én leverandør på ét offentligt site, gang så det op med flere leverandører på en lang række sites, og så har vi de mange mio. i udgifter som det kun er skatteborgerne der kan betale. Selfhostede OSS analyse værktøjer er ikke meget billigere når man tager medarbejdertimer, vedligeholdelse, rapportopsætning osv med i regnestykket.

Fra staten bliver vi hele tiden i kommunerne pålagt mere og mere selvbetjening, men samtidig må vi ikke analysere om vi anvender vores selvbetjeningsløsninger korrekt (formidlingen af informationen frem til start af selvbetjeningsløsningen, og modtagelse af brugeren på den anden side osv.). Nå ja og staten regner med at kommunerne vil spare X mio kroner, så de X mio fjerner man da selvfølgelig i kommunernes bevillinger...

Lidt groft sagt så har jeg min tvivl om det ikke bare bedre kunne betale sig at ignorere cookie reglerne og betale bøden, den er nok i sidste ende billigere end alle de konsulent timer der skal betales ved de leverandører som vi (private og offentlige) er afhængige af...

Jesper Lund
Anonym

Skatteyderne er generelt identiske med de borgere som betaler dyrt hvis deres trafikdata, i strid med lovgivningen i øvrigt, bliver videregivet til Google.

Jeg har intet imod at man presser Google til at overholde EU lov. Mit problem med cookie reglerne er at jeg ser det som et formålsløst "projekt".

Der bliver ikke mindre tracking af dette, google, bing osv ved udemærket hvad du foretager dig når du surfer rund og tror at du ikke bliver tracket. Bare det at de forskellige browsers adressefelt nu også er et søgefelt betyder at hver en URL er en søgning - det kan godt være at der ikke ligger en cookie på slutbrugernes computer, men google og bing har måling på trafikken. Forskellen er blot at den danske hjemmeside ikke har en statistik - google har stadig de samme data.

Jeg vil helt klart mene at det var bedre at det offentlige gik ind i kampen mod google og tilsvarende, og tvang dem til at levere produkter der overholder reglerne, end lade det være op til køberne af produkterne (private virksomheder og offentlige/kommunale hjemmesider). Det er nemlig en kostbar proces, og er ikke med til at få Google eller andre store virksomheder til at ændre metoder.

Jeg finder det også i den grad bekymrende at man lader fortolkningerne være op til de enkelte medlemslande, og at der ikke er en helt klar og tydelig fortolkning der gælder over hele EU. EU skal stå med fælles front overfor for virksomheder som Google, Bing osv ellers har det ingen betydning.

Jesper Lund

Der bliver ikke mindre tracking af dette, google, bing osv ved udemærket hvad du foretager dig når du surfer rund og tror at du ikke bliver tracket.

Jeg er enig i at Google Analytics ikke er den eneste trussel mod mit privatliv på internettet, men det er trods alt en af truslerne. Den privacy-bevidste bruger af internettet bør stadig tænke på de andre ting som du nævner [1], men hvis forskellige websites ikke bruger GA, er der i det mindste et problem mindre (som andre har skabt for mig).

[1] At browserens adressefelt per default skal være et søgefelt er dog den mest åndsvage ide som jeg nogensinde har set. Jeg forventer et DNS opslag, ikke andet, når jeg skriver i adressefeltet. Og nu er det gud hjælpe mig kommet til Firefox, men det kan heldigvis stoppes ved at sætte keyword.enabled til false.

Jesper Lund

Jeg vil helt klart mene at det var bedre at det offentlige gik ind i kampen mod google og tilsvarende, og tvang dem til at levere produkter der overholder reglerne, end lade det være op til køberne af produkterne

Tror du virkelig at Google Analytics bliver ved med at være gratis, hvis Google alene må bruge de indsamlede data inden for de snævre rammer som defineres af at være databehandler for den dataansvarlige (det website som bruger GA)?

Var Google Analytics for eksempel gratis dengang man havde muligheden for at køre server softwaren på sine egne servere?

Når du skal betale for en lignende produkt andetsteds, er det nok fordi din betaling er den eneste indtægtsmulighed for databehandleren. En databehandler, der overholder lovgivningen, har ikke den ala carte menu af datamisbrugsmuligheder til rådighed som Google har.

Jesper Lund

"Privacy is dead - get over it": http://video.google.com/videoplay?docid=-383709537384528624

Det er jeg uenig i. Og det er persondatalovgivningen heldigvis også.

Privacy er mere vigtigt end nogensinde før. At mange frivilligt vælger at give afkald på deres privacy ved at installere alt muligt tracking l*rt, ændrer ikke at privacy er vigtigt for dem som ønsker det.

At folk frivilligt vælger at bruge Facebook, er deres eget valg. Men det er uacceptabelt hvis vi alle sammen tvinges til at bruge Facebook ved at websites forurenes med FB "I like" elementer og lignende, som har til formål at spore vores færden på internettet. I øvrigt også for dem som ikke har en FB konto (de får oprettet en skyggekonto).

Det er særdeles uacceptabelt, og endnu mere skuffende, når offentlige websites laver den slags svinestreger over for de brugere, som blot ønsker den ret til privatliv som f.eks. persondataloven giver dem.

Anonym

Det er jeg uenig i. Og det er persondatalovgivningen heldigvis også.

Privacy er mere vigtigt end nogensinde før. At mange frivilligt vælger at give afkald på deres privacy ved at installere alt muligt tracking l*rt, ændrer ikke at privacy er vigtigt for dem som ønsker det.

Udfordringen er så at lovgivningen er meget langsommere end teknologien/udviklingen er det. Og det er en lappeløsning vi ser på cookielovgivningen. Den løser (forsøger) et problem hvor jeg er fuldstændig overbevist at virksomheder som Google, Bing, Facebook osv. allerede nu har løsninger klar der omgår den aktuelle lovgivning, og dermed er privacy dead.

Jeg siger ikke at det er godt at privacy is dead, men jeg siger bare at det er realiteten, og der er ikke meget vi kan gøre ved det (desværre)

Jesper Lund

Udfordringen er så at lovgivningen er meget langsommere end teknologien/udviklingen er det. Og det er en lappeløsning vi ser på cookielovgivningen. Den løser (forsøger) et problem hvor jeg er fuldstændig overbevist at virksomheder som Google, Bing, Facebook osv. allerede nu har løsninger klar der omgår den aktuelle lovgivning, og dermed er privacy dead.

Hvorfor kan lovgivningen ikke være på forkant med udviklingen? Et besøg på et website er en anliggende mellem to parter. Med det udgangspunkt kunne en lov om privatliv på internettet indeholde disse paragraffer

§ 1 Et website må ikke videregive oplysninger om trafikdata, herunder IP adresser, til tredjepart medmindre der foreligger en databehandlingsaftale og de besøgende informeres om den databehandling som finder sted. Dette kan fraviges hvis der er givet eksplicit samtykke fra den besøgende. Dette samtykke kan meddeles, eller på forhånd afvises, via HTTP headers i overensstemmelse med gængse W3C standarder. Cookies som alene indeholder oplysninger om et nægtet/afgivet samtykke er undtaget fra [cookiebekedtgørelsen].

§ 2 Hvis et website benytter tredjepartselementer fra andre servere, har websitet det fulde ansvar for at disse elementer ikke under nogen omstændigheder bruges til indsamling af trafikdata i strid med § 1

§ 3 Lokale logfiler må kun videregives til tredjepart hvis dette er påkrævet ved lov eller dommerkendelse. IP adresser i logfiler skal anonymisere så hurtigt som muligt, og senest inden for 48 timer.

§ 4 Ved videregivelse af trafikdata i strid med § 1-3 er den forurettede berettiget til en godtgørelse på 10000 kr. Den samlede godtgørelse, som en virksomhed kan blive pålagt at udbetale inden for et kalenderår, kan dog ikke overstige 20% af omsætningen eller 300% af overskuddet (før udgifter til godtgørelse).

Cristian Ambæk

Politikere og højtstående embedsfolk når det er værst.

Det jo ikke fordi de er højt uddannede af det jeg ved af. Så det kommer vel ikke som nogen overraskelse at de ikke kan tolke almindelige ting som en cookie lov. Deres viden halter jo på adskillige områder. Samtidig med de tager den store hat på og prøver at belære os som borgere, om hvad der er bedst for os.

Samtidig med at de selv er så dobbeltmoralske at det er til at kaste op over.

Danske politikere har jeg ingenting til overs for. Da jeg syntes de alle skulle kastes for porten og så vælge nogle ind fra erhvervslivet i de respektive ministerier som faktisk ved hvad de snakker om.

Gert Madsen

end lade det være op til køberne af produkterne

Det synes jeg da ellers er meget rimeligt. Det er jo dem, som til- og fra-vælger disse services, som betyder en indsamling af information om dem/os, der kommer forbi.

Feks. Google analytics er jo et spørgsmål om at hjemmeside-ejeren gerne vil have information om hvordan brugerne gebærder sig på hjemmesiden. Men han vil ikke have pungen op af lommen, så han lader sine brugere betale for det istedet, mere eller mindre skjult.

Det skal lovgiverne da interessere sig for.
At resultatet så er - øh - mindre godt, og alt for sent, er så en anden sag.

Efterfølgende er det så op til hjemmesideejerne om de vil betale for en analyse, eller om de vil undvære den.
Det er deres valg - ikke googles (eller andres).

Anonym

Feks. Google analytics er jo et spørgsmål om at hjemmeside-ejeren gerne vil have information om hvordan brugerne gebærder sig på hjemmesiden. Men han vil ikke have pungen op af lommen, så han lader sine brugere betale for det istedet, mere eller mindre skjult.

Cookie lovgivningen er i bund og grund ligeglad med hvem der udbyder tracking servicen. Bare der er tale om tracking uanset om 3. part eller ej bruger det. Så et tilvalg af en anden udbyder ændre ikke kravene. Reelt skal vi nu til at betale x tusinde om året i licens for stort set kun at have muligheden at brugeren kan klikke ja eller nej tak.

I vores tilfælde er det skattekroner det kommer til at koste, i butikkerne er det forhøjede priser når virksomheden skal til at holde styr på alle samarbejdpartners cookies, som brugeren skal have mulighed for at slå til og fra. Jeg har ikke noget problem med at bruge penge på det, men folk skal bare være opmærksomme på at de kommer til at betale for det i sidste ende.

Og der bliver absolut ikke mindre tracking - browserne tracker på livet løs uanset om man som bruger siger ja eller nej til f.eks. Google js/cookies alene pga. adressefeltet i dag også er et søgefelt (f.eks: http://coderrr.wordpress.com/2008/09/03/google-chrome-privacy-worse-than... ). Det eneste cookie lovgivningen opnår er at gøre offentlig web mere omkostningstungt, og pålægge erhvervsdrivende ekstra omkostninger. Browser producenterne er ligeglade de får stadig de data de har brug for.

Så cookie lovgivningen er, efter min bedste overbevisning, uden nogen form for effekt og kun til gene, også for dem der lever i illusionen om at de ikke bliver tracket.

Gert Madsen

Jeg vil gerne understrege at jeg ikke er udpræget fan af hvordan den såkaldte cookie-lovgivning er skruet sammen.

Jeg kan tage fejl, men jeg synes at du argumenterer ud fra at google-analytics skulle være gratis. Det er den ikke. Den har bare en anden og mindre gennemskuelig betalingsmodel.

Og jeg kan stadig ikke forstå hvorfor du mener at en hjemmesideejer ikke skal være ansvarlig for hvordan siden opfører sig.
I denne sammenhæng i forbindelse med udlevering af oplysninger til 3. part.

Anonym

Og jeg kan stadig ikke forstå hvorfor du mener at en hjemmesideejer ikke skal være ansvarlig for hvordan siden opfører sig.
I denne sammenhæng i forbindelse med udlevering af oplysninger til 3. part.

Jo en hjemmeside ejer er ansvarlig. Og jeg kan lille et stykke hen ad vejen forstå den overdrevne frygt for Google (som jo alligevel ved alt om surferen uanset cookies eller ej qua moderne browsers adresse linje), men hvad der så pisser mig af ved lovgivningen er at man stadig skal bruge masser af energi på at lade folk tage stilling til cookies selv om man har en kontrakt med sin statistik leverandør om at der ikke bliver videresolgt eller videre givet data til andre - altså med andre ord man ejer selv sin statistik og deler den ikke med andre (ikke anderledes en kontrakter mellem stat og virksomheder som CSC, TDC, IBM, KMD osv.).

Ved det offentlige kommer jeg til at frygte at vi kommer til at se det problem at borgere der skal ind til selvbetjeningsløsninger, bliver nervøse og vælger at gå til borgerservice, hvor personlige henvendelser koster lige fra 50-150 af skattekroner pr. henvendelse, hvor prisen ved en selvbetjeningsløsning svinger fra 0 til nogle få kroner pr henvendelse.

Cookies er lige pludselig blevet det onde, og jeg har svært ved at tro at folk nemt kan gennemskue hvad der er en lovlig funktionel cookie (som der ikke skal spørges om tilladelse til) og så en sporings cookie (som nogen gange ikke videregives af 3. part til kommerciel brug - SiteImprove Analytics f.eks.). Det er nemlig ikke enten eller med cookies - så selv om man siger nej til cookies så må hjemmesiden stadig smide funktionelle cookies.

Folk skal bare være klar over at denne lov kommer til at koste mange skattekroner (ved de offentlige hjemmesider et forsigtigt gæt vil være 10-20 mio pr år for kommunerne samlet i licenser og ikke mindst kontrol, medarbejder tiden er heller ikke gratis - der oven i de ekstra udgifter der kan forekomme ved personlige henvendelser i Borgerservice), og på IT fronten har staten allerede reduceret tilskud til kommunerne ud fra forventede besparelser på selvbetjening, så det bliver andre områder at kommunerne skal finde pengene på (børn, unge, gamle og veje er de typiske kandidater).

Jesper Lund

Og jeg kan lille et stykke hen ad vejen forstå den overdrevne frygt for Google (som jo alligevel ved alt om surferen uanset cookies eller ej qua moderne browsers adresse linje), men hvad der så pisser mig af ved lovgivningen er at man stadig skal bruge masser af energi på at lade folk tage stilling til cookies selv om man har en kontrakt med sin statistik leverandør om at der ikke bliver videresolgt eller videre givet data til andre - altså med andre ord man ejer selv sin statistik og deler den ikke med andre (ikke anderledes en kontrakter mellem stat og virksomheder som CSC, TDC, IBM, KMD osv.).

Det er jo netop pointen med cookie lovgivningen. Folk skal vide hvad den pågældende cookie bliver brugt til, så de selv kan tage stilling.

For borgerne i X-by kommune må det være langt mere tillidsvækkende hvis beskrivelsen af en trackingcookie kan være

"Vi sætter en cookie som bruges til udarbejde en statistik om brugen af hjemmesiden. Cookie indeholder et tilfældigt ID så vi kan genkende tidligere besøgende. Øvrige oplysninger der indsamles er: IP adressen, besøgt side, etc etc. Data overføres til vores samarbejdspartner XYX, som vi har en databehandlingsaftale med, og som betales for at udføre dette arbejde. X-by kommune står inde for at data ikke bruges til andre formål, herunder samkøring af enhver form med din øvrige brug af internettet. Indsamlede IP adresser anonymiseres efter X timer".

sammenlignet med

"Vi sætter en cookie til Google Analytics, som bruges til udarbejdelse af statistik om brugen af hjemmesiden. Cookie indeholder et tilfældigt ID så vi kan genkende tidligere besøgende. Øvrige oplysninger der indsamles er: IP adressen, besøgt side, etc etc. Data overføres til Google i USA, som udarbejder denne statistik til os uden betaling. X-by kommune kan desværre ikke garantere at Google ikke bruger de indsamlede data til andre formål."

Hvad tror du at borgerne helst vil give samtykke til? Og hvornår tror du at borgerne er mindst tilbøjelige til at hive stikket ud og rende ned på borgerservice?

Anonym

"Vi sætter en cookie som bruges til udarbejde en statistik om brugen af hjemmesiden. Cookie indeholder et tilfældigt ID så vi kan genkende tidligere besøgende. Øvrige oplysninger der indsamles er: IP adressen, besøgt side, etc etc. Data overføres til vores samarbejdspartner XYX, som vi har en databehandlingsaftale med, og som betales for at udføre dette arbejde. X-by kommune står inde for at data ikke bruges til andre formål, herunder samkøring af enhver form med din øvrige brug af internettet. Indsamlede IP adresser anonymiseres efter X timer".

Jeg så gerne at Borgeren/brugeren slet ikke skulle spørges ved den mulighed. Vil brugeren ikke have cookies på sin computer er det borgerens helt egen opgave at sikre sig. Når data ikke er i risiko for at blive videresolgt bør det være fuldstændig op til folk selv at undgå de cookies hvis man føler at det er et problem.

"Vi sætter en cookie til Google Analytics, som bruges til udarbejdelse af statistik om brugen af hjemmesiden. Cookie indeholder et tilfældigt ID så vi kan genkende tidligere besøgende. Øvrige oplysninger der indsamles er: IP adressen, besøgt side, etc etc. Data overføres til Google i USA, som udarbejder denne statistik til os uden betaling. X-by kommune kan desværre ikke garantere at Google ikke bruger de indsamlede data til andre formål."

Jeg kan gå med til at brugerne i det omfang skal have mulighed for fravalg, da vi ikke kan garantere at der ikke sker et videresalg af information (potentielt videresalg - laver man søgninger om emnet er der i grunden ikke mange der ved hvad google gør med de data). Og jeg kan også fint acceptere at man som offentlig hjemmeside skal bruge andre tracking services end Google Analytics eller værktøjer relateret til reklamenetværk.

Men grundlæggende mener jeg at det burde være absolut nok blot at informere om cookies, evt henvise til værktøjer som Ghostery, og så ellers lade borgerne/brugerne selv tage forholdsregler - dette uanset hvem der sætter hvilke cookies og uanset om det er et privat eller offentligt site.

Log ind eller Opret konto for at kommentere