Erhvervsstyrelsen: Ingen overholder cookiereglerne

49 ud af 50 hjemmesider informerer om brugen af cookies, men ingen overholder cookiereglerne 100 pct., viser ny undersøgelse fra Erhvervsstyrelsen. Styrelsen åbner desuden for, at ikke alle cookies nødvendigvis bør være omfattet af reglerne.

Selvom danske hjemmesideejere i høj grad informerer om brugen af cookies, så opfylder ingen, ifølge en ny undersøgelse, reglerne i den såkaldte cookiebekendtgørelsen 100 pct. Erhvervsstyrelsen har undersøgt en række danske hjemmesider og fundet frem til, at mens 49 ud af 50 informerer om cookies, så lever ingen af de undersøgte hjemmesider helt op til reglerne. Det fremgår af en pressemeddelelse fra Erhvervsstyrelsen.

»Danske hjemmeside-ejere har gjort en stor indsats for at sikre åbenhed om deres brug af cookies. Det er positivt, men vi må erkende, at ingen af de undersøgte sider opfylder reglerne 100 pct. Særligt har vi konstateret, at der ikke informeres præcist om formålet med brug af cookies og videregivelse af data til tredjeparter,« siger kontorchef i Erhvervsstyrelsen Brian Wessel ifølge pressemeddelelsen.

Af meddelelsen fremgår det desuden, at Erhvervsstyrelsen arbejder tæt sammen med EU-Kommissionen, som er ved at evaluere implementeringen. Og i den forbindelse vil Erhvervsstyrelsen efter drøftelser med de danske interessenter komme med idéer til, hvordan den nuværende ordning kan forbedres. Eksempelvis skal det drøftes, om cookies til webstatistik og brugeradfærd på hjemmesider stadig skal være omfattet af reglerne.

Læs også: Bred afvisning: Cookieregler et flop

»Hensigten med reglerne er at beskytte brugerne, især mod kommerciel overvågning i den digitale verden. Vi er lydhøre over for kritikken om for meget information, og at reglerne derfor ikke virker efter hensigten. Derfor retter vi især vores tilsyn mod tracking cookies. Især den type som giver 3. parter adgang til brugernes data. Og derfor vil vi fortsætte drøftelserne om implementeringen af reglerne på EU plan, herunder også muligheder for præcisering af reglerne i en fremtidig lovgivning,« siger Brian Wessel.

Erhvervsstyrelsen vil 'i den nærmeste fremtid' tage fat i en række af de virksomheder, som bruger tracking cookies uden at informere om det. Der skal drøftes best practice med dem, og de får en tidsfrist for, hvornår de skal leve op til reglerne.

FAKTA

  • Undersøgelsen er foretaget i december 2013 på 50 udvalgte hjemmesider og er en opfølgning på Erhvervsstyrelsens undersøgelse fra Juli/August 2013.

  • Undersøgelsen fokuserer på, hvorvidt der på en hjemmeside er tydelig cookieinformation, dvs. om der informeres om sidens brug af cookies med en tekst/frame, der adskiller sig fra sidens øvrige grafik. Endvidere vurderes om der er tale om fyldestgørende information i henhold til Erhvervsstyrelsens vejledning til cookiereglerne, der lægger særligt vægt på formål og information om evt. 3. parters adgang til data. Undersøgelsen indeholder også en vurdering af sidens samtykkeløsning; om der er tale om eksplicit samtykke eller samtykke givet ved en aktiv handling? Om der er en let adgang til at afvise cookies, og/eller trække samtykket tilbage. Endeligt er der set på, om cookies sættes før eller efter samtykke er indhentet.

  • For alle siderne, uanset om de har tydelig navigation eller ej, så gælder at 98 pct. (49/50) informerer om formålet med cookies (der er ikke tjekket det specifikke formål) og 0,76 pct. (38/50) informerer om, at der anvendes cookies fra 3. part eller at 3. part får adgang til data.

  • 24 pct. (12/50) af alle de undersøgte sider har information om de specifikke cookies, der findes på sitet

  • 70 pct. (35/50) af alle siderne har (oftest via deres cookiepolitik) adgang til at trække samtykke tilbage. Langt de fleste sider beskriver blot hvorledes cookies kan slettes og fremadrettet blokeres ved browserindstillinger.

  • På siderne med tydelig navigation (39/50) som cookiebanner eller box-tekst informerer godt 97 pct. (38/39) om formålet allerede på forsiden. 82 (32/39) pct. informerer på forsiden om, at 3. parter har adgang til information indsamlet ved hjælp af cookies (ikke lige klart alle steder).

  • 76 pct. (38/50) af siderne ”indhenter” samtykke fra brugeren til brug af cookies. Én hjemmeside, hvor der ellers er tydelig cookie-navigation, indhenter ikke samtykke, men informerer kun.

  • Samtykket gives ved en aktiv handling på 65 pct. af disse sider og eksplicit, ved f.eks. tryk på en accepter-knap, på 34 pct. (13/38) af siderne.

  • Ingen af de undersøgte sider tilbageholder cookies til efter samtykke er givet.

Læs mere om undersøgelsen på Erhvervsstyrelsens hjemmeside

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
ab ab

Må jeg foreslå, at man ved samme lejlighed ser på problemstillingen ved, at brugere der aktivt sletter alle cookies for at undgå tracking bliver chikaneret med konstante popup-"advarsler", hver eneste gang de besøger hjemmesiden på ny? Det kan ikke være meningen, at cookie-bekendtgørelsen skal tvinge privacy-bevidste brugere til at acceptere cookies fra hjemmesider, der ønsker at tracke en. Det har i hvert fald med sikkerhed ikke været intentionen med lovgivningen, men som den ser ud i dag, giver den hjemmesideejerne et alibi for at chikanere os privacy-bevidste brugere, da de blot kan pege på bekendtgørelsen og sige "beklager, vi bliver nødt til at chikanere dig med popups, hvis du sletter vores cookies."

  • 4
  • 2
Mathias Sørensen

Kristoffer jeg synes det er sjovt at du kommer med et forslag om, at hjemmesider ikke skal chikanere dig med "popups". Når nu du er så privacy-bevidst at slette den information, der gør det muligt for en hjemmeside at se om du har været der før.

Kan du komme med et forslag til hvordan en hjemmeside, skal kunne vide om du har besøgt siden før. Uden at den gemmer nogen som helst informationer om din browser?

Hvordan skal en hjemmeside kunne kende dig, når den ikke må gemme oplysninger om dig?

Nu bruger bruger hjemmesider jo ikke bekendtgørelsen til at kunne spam dig med "popup", de er jo blevet pålagt at gøre det ved lov.

Du skriver at du er SÅ privacy-bevidst, det er lidt naivt at tro du beholder din "privacy" ved at slette cookies. Har du nogensinde hørt om Device fingerprint, jeg kender til en del virksomheder der bruger det aktivt. ;)

  • 4
  • 1
ab ab

Kan du komme med et forslag til hvordan en hjemmeside, skal kunne vide om du har besøgt siden før. Uden at den gemmer nogen som helst informationer om din browser?

Hjemmesiden skal efter min mening slet ikke blande sig i, om jeg har besøgt siden før. Det er derfor, jeg sletter cookies fra min browser, hvilket burde være ret åbenlyst.

Du skriver at du er SÅ privacy-bevidst, det er lidt naivt at tro du beholder din "privacy" ved at slette cookies.

Det er lidt naivt at tro, at det er mit eneste privacyværn.

Nu bruger bruger hjemmesider jo ikke bekendtgørelsen til at kunne spam dig med "popup", de er jo blevet pålagt at gøre det ved lov.

Jeg er i besiddelse af mail-korrespondance med repræsentanten for et større dansk netmedie, som meget tydeligt giver udtryk for, at han er ligeglad med, at hans cookie-advarsler er så store, at de fylder halvdelen af mobiltelefonens skærm, fordi "jeg jo bare kan lade være med at slette cookies". Samme medie bruger cookies til at holde styr på antallet af artikler, man har læst.

  • 3
  • 1
Sune Marcher

Jeg er i besiddelse af mail-korrespondance med repræsentanten for et større dansk netmedie, som meget tydeligt giver udtryk for, at han er ligeglad med, at hans cookie-advarsler er så store, at de fylder halvdelen af mobiltelefonens skærm, fordi "jeg jo bare kan lade være med at slette cookies". Samme medie bruger cookies til at holde styr på antallet af artikler, man har læst.


Med andre ord: du er mere interesseret i at freeloade på netaviser, end du er i privacy? Eller, du prøvede måske at stave til "piracy"? ;-)

Jeg ser personligt ikke noget større problem i at acceptere 1st-party cookies - de ting der er rigtigt skidt privacy-wise bruger andre teknikker.

  • 1
  • 5
ab ab

Med andre ord: du er mere interesseret i at freeloade på netaviser, end du er i privacy?

For det første ved du ikke, om jeg er betalende bruger af det pågældende netmedie eller ej, så jeg synes ærligt talt, at din beskyldning er uforskammet.

For det andet er det ikke mig, der har fundet på at koble cookies sammen med begrænsningen af adgang til artikler på online-aviserne.

For det tredje er det et faktum, at jeg har slettet cookies automatisk for alle websites i mere end ti år samt at 90% af de hjemmesider, jeg sletter cookies for ikke har nogen kobling mellem disse og kvotebegrænsninger.

Jeg ser personligt ikke noget større problem i at acceptere 1st-party cookies - de ting der er rigtigt skidt privacy-wise bruger andre teknikker.

Du mener altså ikke, at first party cookies fra eksempelvis google.com, facebook.com eller twitter.com over tid udgør en privacy-mæssig risiko?

  • 3
  • 0
Sune Marcher

Du mener altså ikke, at first party cookies fra eksempelvis google.com, facebook.com eller twitter.com over tid udgør en privacy-mæssig risiko?


Nej, egentligt ikke.

Der hvor problemet opstår, er når alle mulige sites laver requests til 3. part sites (om det så er Google APIs, CDN til JS delivery, Facebook-like button, Omniture tracking eller whatever) - her hjælper det dig intet at slette cookies.

Det gør til gengæld en kombination af RequestPolicy + RefControl... blokér alle de unødvendige requests, og sørg for ikke at lække referer-information med mindre det er nødvendigt.

Og så kan man tilføje Ghostery eller lignende for at have en idé om hvor meget tracking der er på de sider man besøger, samt Lightbeam for at få lidt visualisering.

Men 1st-party cookies? Couldn't be bothered, det betyder omtrent ingenting...

  • 1
  • 1
ab ab

Det er jeg så uenig i. Alt det andet du nævner er selvfølgelig også implementeret, men jeg kan ikke tilslutte mig din opfattelse af, at eksempelvis first party cookies hos Google.com eller hjemmesider, der hoster deres egne trackere betyder "omtrent ingenting".

  • 0
  • 2
Jesper Lund

Jeg ser personligt ikke noget større problem i at acceptere 1st-party cookies - de ting der er rigtigt skidt privacy-wise bruger andre teknikker.

Det kommer an på hvordan first party cookies bruges. Google Analytics er et eksempel på en first-party cookie som bliver delt med tredjepart via noget one-pixel webbug snask. Det er lige så alvorligt som en ægte third-party cookie.

  • 0
  • 0
Torkil Bladt

Lige nu er der nederst på min skærm en linje hvor Version2 skriver at de anvender cookies. Jeg kan vælge 'læs mere' eller 'ok'
Hvor er den knap der hedder 'gem ikke cookies i denne session'
Kan jeg gå ud fra at der ikke bliver gemt nogen cookie før jeg trykker 'ok'?

I debatten bliver der spurgt til hvordan man vil undgå at skulle se på en pop op hver gang man besøger siden hvis man sletter sine cookies.
Cookies burde slet ikke blive gemt automatisk, men der kunne være en knap der hedder 'gem indstillinger'. Selvfølgelig med detaljeret information om hvilke indstillinger der bliver gemt.

  • 0
  • 0
Daniel Udsen

Kristoffer jeg synes det er sjovt at du kommer med et forslag om, at hjemmesider ikke skal chikanere dig med "popups". Når nu du er så privacy-bevidst at slette den information, der gør det muligt for en hjemmeside at se om du har været der før.

Cookies er ikke en teknisk nødvendighed for andet end login funktioner(der er eksplicit undtaget fra reglerne). Du har som sideejer intet legitimt krav på at vide hvor dine brugere kommer fra og hvor de går efterfølgende, at webranchen ser ud til at tro noget andet er netop problemets kerne.

Der er ingen real teknisk problemstilling her, kun en modvilje fra webbranchens side imod at respektere "do not track headere", give korrekt information om deres dataindsamling og acceptere "opt out default" som en real muglighed.

Problemet er selvfølgeligt at webbranchen er så vant at kunne sælge tracking adgang videre uden at skulle stille spørgsmål til køberne at der hverken er evne eller vilje til at overholde nogen form for lovgivning der realt stiller krav om transparens og realistiske opt-out mugligheder i forhold til datavideresalg og tracking.

Det spørgsmål man som side ejer skal stille sig selv er hvad bliver resultatet af en konstant omgåelses og konflikt kurs i forhold til anti-tracking regler? Har den slags haft den ønskede effekt i de snart mange tilfælde hvor landbruget har forsøgt sig med tilsvarende strategier i forhold til EU regulering?

  • 2
  • 0
Sune Marcher
  • 0
  • 0
Sune Marcher

Det kommer an på hvordan first party cookies bruges. Google Analytics er et eksempel på en first-party cookie som bliver delt med tredjepart via noget one-pixel webbug snask. Det er lige så alvorligt som en ægte third-party cookie.


Problemet her er, igen, ikke cookien - men at du tillader et unødvendigt cross-domain request. At slette cookies efter endt session hjælper ikke ret meget på den skade der allerede er sket, hvis man ikke har styr på cross-domain requests og Referer headers.

  • 0
  • 0
Anne Petersen

Er der nogen der kan fortælle mig meningen med denne lov, når den ikke indeholder mulighed for at afvise cookies? Jeg har endnu ikke besøgt en hjemmeside, hvor dette vare en valgmulighed.

  • 0
  • 0
Sune Marcher

Jeg har endnu ikke besøgt en hjemmeside, hvor dette vare en valgmulighed.


Jeg har endnu ikke besøgt en børnehave, hvor jeg har mulighed for at rende nøgen rundt indsmurt i nutella, selvom vi har religionsfrihed i Danmark, og dette er en del af min religion... ;)

Hvis man ikke vil acceptere cookies, javascript, flash, java, <indsæt whatever> er det helt fint - men så må man eventuelt leve med en forringet oplevelse.

Lovgivningen (selvom den er pænt forfejlet) er til for at forhindre tracking, ikke cookies som sådan, og det er fortolket som helt i orden at benytte cookies til at registrere at en bruger ikke ønsker tracking.

  • 0
  • 2
Log ind eller Opret konto for at kommentere