EU-regler vil kræve masser af nye cookie-klik

Det kan koste virksomheder dyrt, når den nye EU-datalov strammer op på samtykke-reglerne, mener it-advokat.

De allestedsnærværende bokse, der informerer web-brugeren om cookies, har fået mange hårde ord med på vejen, siden de blev lovpligtige i 2011. Nu kan en opdatering af EU-reglerne betyde, at hjemmesider skal være endnu mere insisterende, når de indhenter brugerens samtykke til at deponere en cookie.

Det mener it-advokat og partner i advokatselskabet Bird & Bird Martin von Haller Grønbæk, der ser kritisk på EU's såkaldte persondataforordning, der blev endelig vedtaget i slutningen af sidste år.

Læs også: EU klar med historisk persondatalov: Bøder til virksomheder på op til 4 pct. af omsætningen

»Jeg er meget skeptisk over for de nye samtykke-krav, som forordningen indeholder. Som jeg ser det, vil kravet om samtykke ikke give mere beskyttelse, vi bliver bare tvunget til at klikke ’ja’ i flere bokse,« siger han til Version2.

Dyrt at tilpasse sig

EU’s dataforordning gør ifølge advokaten op med det tidligere accepterede stiltiende samtykke og kræver i stedet et utvetydigt og aktiv samtykke. De nye krav kan ifølge advokaten forstærke det informations-overload, som kritikere mener resulterer i, at brugere klikker blindt ‘ja’ til alle spørgsmål, der måtte dukke op på skærmen.

»Det er meget svært at se, hvordan det problem ikke bliver værre nu,« siger Martin von Haller Grønbæk.

Læs også: Enighed: Lov skal ramme sporings-cookies hårdere

Nye samtykke-regler betyder samtidig nye udgifter til konsulenter og advokater, der skal hjælpe virksomheder, som ikke har en intern juridisk afdeling, med at leve op til lovgivningen.

»Det bliver dyrt for især mindre virksomheder at overholde reglerne,« fastslår it-advokaten og tilføjer:

»Det er meget svært at se, hvem der vinder.«

Forbrugerrådet: Ingen er tjent med pseudo-samtykke

Også Forbrugerrådet Tænk mener, at forordningens stramning af kravet til samtykke vil få betydning for, hvordan cookie-tilladelsen indhentes. På den måde giver forordningen en bedre brugerbeskyttelse, mener seniorjurist Anette Høyrup.

»Der er ingen, der kan være tjent med de pseudo-samtykker, der bliver givet nu,« siger hun.

Læs også: Erhvervsstyrelsen: Tracking headers kan godt være omfattet af cookie-bekendtgørelsen

Forbrugerrådets seniorjurist kan dog heller ikke se den store fidus i at tvinge flere bokse og klik ind i brugerens online-oplevelse.

»Vi håber, at de stramninger, som forordningen giver, i stedet vil få flere virksomheder til at begrænse de data, de gemmer om brugere, og særligt de data, som deles med tredjeparter,« fortæller Anette Høyrup.

FDIH: Frygter eksplosion af samtykke-bokse

Hos Foreningen for Dansk Internethandel er man enige i, at den nye definition af samtykke, vil give nyt liv til cookie-diskussion. Det er dog ikke selve samtykket, der bekymrer kommunikationschef Henrik Theil.

»De nye regler lægger op til, at en samtykke-anmodning skal specificere formålet meget konkret. Vi frygter, at beskrivelserne skal være så snævre, at man skal have en ny boks, hver gang man foretager sig noget som helst,« siger Henrik Theil.

Læs også: Bred afvisning: Cookieregler et flop

På den måde kan forordningen komme til at give langt flere anmodninger om samtykke, som vil skabe mere bøvl for brugeren.

»Det er der, vi ser det største problem med forordningen, og det er en diskussion, som EU ikke har forholdt sig til,« mener Henrik Theil.

Cookies sættes uden samtykke

Version2 kunne sidste år afsløre at 96 ud af de 100 mest besøgte danske hjemmesider sætter sporingscookies på brugerens computer allerede, når hjemmesiden loades.

I den forbindelse understregede Erhvervsstyrelsen, der er myndighed på området, at man EU-landene imellem har aftalt ikke at håndhæve kravet om et forudgående samtykke.

Læs også: Langt de fleste danske hjemmesider sporer dig ulovligt

Det er uvist om en sådan praksis kan fortsætte, når den nye forordning træder i kraft. Formålet med forordningen er ifølge Martin von Haller Grønbæk netop at give brugeren mulighed for at give samtykke.

»Det ville gå imod det enorme vink med en vognstang i forordningen, der understreger, at der skal være tale om et aktivt valg,« siger it-advokaten.

Følg forløbet

Kommentarer (104)

Bjarne Nielsen

Så man er bekymret over, at man mere fyldestgørende skal redegøre for, hvordan man lige præcis 'sælger os'? For nej, vi er jo ikke kunder, vi er produktet. Og at reglerne er strammet, fordi myndigheder internt aftalte ikke at håndhæve dem? Værs'go, tag en tudekiks.

Sidst jeg checkede reglerne, var det slet ikke nødvendigt at bede som samtykke til cookies og lign., som er nødvendige for at levere den funktionalitet, som jeg som bruger forventer og er igang med. Alligevel møder man en "wall-of-text" om det. Og så står der til sidst en lille uskyldig kommentar om, at "vi deler med tredjeparter" - en formulering, som vil være en brugtbilssælger eller ejendomsmægler værdig.

Kik os i øjnene og fortæl os klart og tydeligt, hvad I har gang i og hvad det betyder for os - og lad så være med at snakke udenom. Og tør I ikke det, så skulle I overveje en gang til, om jeres forretningsmodel er sund.

Knud Larsen

Efter 5 år må det være gået op for flertallet, hvad dette drejer sig om.
med total overvågning af myndighederne af Google af Microsoft etc.
er der ingen grund til at fortsætte med de helt igennem tossede advarsler. Det er bare tomt (hjernedødt) og uden nogen hjælp kun til irritation sammen med de utallige reklamer der bobler op i dubletter overalt på skærmen. Det kan da kun tjene dem der får lidt ud af den tomme trafik.

Jens Jensen

I praksis kan man jo nærmest ikke bruge nettet uden at skulle acceptere cookies.

Den eneste rigtige måde at sikre sig mod tracking er at installere et af de mange plugins som automatisk rydder cookies op, hele tiden, efter hvert besøg. (Eller lidt efter hvordan man sætter det op.)

Det leder dog til at man kommer til at se en ufattelig mængde "vi bruger cookies"-popups. Fordi hver eneste gang man skal ind på en side, så har man jo ingen cookie i forvejen.
Tilmed har Googles sites(Som klart hører til dem som bør ryddes op efter hvert besøg.) en eller anden åndsvag aftale som man lige skal acceptere, hvis man ikke vil have 1/5 del af skærmen fyldt med en accept-knap.

I praksis har den fine EU-lov ikke gjort andet end at spilde vores tid. Og specielt spilde tiden hos dem som ikke vil trackes.

Hvis dette nye tiltag kommer til verden ser jeg et behov for endnu et plugin... Et som fremover automatisk kan fjerne de ligegyldige beskeder.

Hans Schou

Samtykkeerklæringer er virkningsløse. Det var meget bedre om EU dikterede at alle web-sites skal efterleve Do Not Track i HTTP-headeren, og dem der ikke gør, får en bøde.

Man kan tracke folk på mange måder, ikke kun med cookies, men DNT:1 dækker det hele.

Michael Garde

Jeg taler nok på vegne af en overvægt af alle internetbrugere, når jeg siger, at jeg gerne vil bære over med alle de hjemmesider, som ønsker at bryde cookie-loven.

Der er et hav af muligheder for at blokere for reklamevirksomheder og analyse trackere. Bare for at nævne nogle få: Adblock Plus, Ublock Origin, Ghostery m.fl.

David Simonsen

Det er i orden at overføre data som er 'nødvendige' for en tjenestes funktion - og det er god skik at informere brugerne om hvad data skal bruges til, inden overførslen og bede om godkendelse (samtykke) til overførslen.

Lange tekster bliver ikke læst, korte formålsbeskrivelser er svære at skrive, men mulige: https://t.co/YdhemhDYTY

Nyhed vedr. TNC-konferenen i Porto, juni 2015 http://www.deic.dk/node/721

Video af præsentationen af WAYF's erfaringer og statistik: https://t.co/wv9EkENG6l

Håber, at det kan være til hjælp

Torben Jensen

Jeg har en mobilbrowser som ikke helt forstår det med cookies, og nogen gange åbnes med javascript slået fra (for at gøre siden hurtigere eller undgå et utal af reklamer).

Her præsenteres jeg altid for cookie-advarsel-skærme som gerne optager 20-50% af skærmens størrelse.

Elsker den slags. Specielt fordi man på mobil ikke kan lave nogen "autoclick".

Og ja Version2, jeg kigger også på jer..

Ole Dahl

sørg for din side er uden cookies for alle besøgende
lav en tilmelding hvor der i formularen står betingelserne herunder selvfølgeligt også omkring cookies.

så er det blot man acceptere betingelserne og det er løst.

Rune Jensen

Man kan tracke folk på mange måder, ikke kun med cookies, men DNT:1 dækker det hele.

Ja, det var også det første jeg tænkte. Fokusér på denne her global opt-in/opt-out løsning i stedet.

Ja, kun de ærlige firmaer vil følge denne, men det er vel det samme med cookie-popups. Det er også kun ærlige firmaer, som skriver korrekt hvad de tracker.

Er der noget tiltag i EU, som kan slå Ghostery, ja så ville jeg synes det er flot trods alt. Og klap for at de i det mindste forsøger.

Men hvor stor change er der for success. Skal blive ret spændende at følge dén.

Kim Sørensen

Det betyder bare at man tørrer regningen af på sine kunder, fordi man selv er for nærig

Jo, men med alt respekt, hvor havde du ellers forestillet dig pengene skulle komme fra?

Som udgangspunkt bliver samtlige af en virksomheds udgifter "tørret af" på kunderne. Det kommer forhåbentlig ikke bag på nogen?

I min optik er problemet med cookies, at man trækker i alle mulige retninger.
Politikerne vil gerne rasle med sablerne over for virksomhederne, så vælgerne kan pleases. Men samtidig vil man heller ikke træde erhvervslivet alt for meget over tæerne, så virksomhederne pakker deres habengut og vælgerne derfor bliver sure over manglende arbejdspladser og "gang i hjulene".
Og i sidste ende er der jo også det problem, at den gennemsnitlige internetbruger har det med at sige et og gøre noget andet. Som virksomhed kan du droppe alt der hedder cookies og "overvågning", og du kan gøre det i sådan en grad, du til sidst står ude i vejkanten, med bind for øjnene, og forsøger at sælge dine varer. Det får du bare ikke særligt meget ud af, fordi din potentielle kunde har fået et godt medlemstilbud inde på din konkurrents Facebook-side.

Hvis vi skal være bedre til at sikre internetbrugernes privatliv. Og det synes jeg, både som borger og indehaver af en lille internetbutik, bestemt vi skal. Kræver det altså en helt anden tilgang til problemstillingen og hvad man i sælgersnak kalder "forventningsafstemning".

Rune Jensen

Jeg bruger disse extentions til at cleare cashe. Grunden til, jeg har valgt disse er fordi de er one-clicks. Og så virker de. Men er de de bedste til at rydde op med ét klik? Er der nogen som kan anbefale nogen bedre?

Chrome
Clear Cache

Firefox
Empty Cache Button

Rune Jensen

sørg for din side er uden cookies for alle besøgende

Jeg har forsøgt dette, men også af andre grunde... hastighed... Og det er ganske svært at lave sider helt uden cookies, skulle jeg hilse og sige. Ja, hvis du har en blog, som ikke er specielt velbesøgt, kan du lave antispam uden cookies... Men ellers, ville jeg mene det er ret svært helt at undgå cookies. Hvordan vil man sikre en indkøbskurv uden cookies.

Kim Sørensen

Hvordan vil man sikre en indkøbskurv uden cookies

Nemlig.

I princippet kunne det jo sagtens lade sig gøre, at bygge en webshop, der ikke smider cookies før brugeren har accepteret. I yderste konsekvens kunne man jo "bare" lade være med at implementere indkøbskurv-funktionen før der er givet accept.
Det ville bare være at skyde sig selv i foden og jeg ser absolut ingen first mover-fordele ved at bruge sådan en løsning.

Nu er jeg ikke specielt skarp i kodning og den slags, så jeg kan selvfølgelig tage fejl. Men hvis jeg skal være lidt grov, synes jeg det er bemærkelsesværdigt, at man aldrig ser en webshop-ejer stille sig op og komme med den slags forslag. Det er typisk kun brugerperspektivet, der fokuseres på og det virker ærligt talt en smule "nemt".

I sidste ende ville jeg da hellere end gerne slippe helt af med cookies i min egen lille webshop. Jeg har bare endnu ikke set et konstruktivt forslag til hvordan det skulle kunne lade sig gøre i praksis.

Christian Nobel

Og det er ganske svært at lave sider helt uden cookies, skulle jeg hilse og sige. Ja, hvis du har en blog, som ikke er specielt velbesøgt, kan du lave antispam uden cookies... Men ellers, ville jeg mene det er ret svært helt at undgå cookies. Hvordan vil man sikre en indkøbskurv uden cookies.

Jeg laver meget komplekse sider helt uden brug af cookies - det er udelukkende et spørgsmål om at man selv har styr på hvad webserveren foretager sig.

I praksis kan jeg klare det med et userid som overføres som CGI variabel.

Christian Nobel

Kan du evt. komme med nogle eksempler på disse sider?

Desværre ikke for nærværende, da de alle sammen er beregnet for brug i en sluttet kreds.

Men jeg går og barsler med et projekt, som jeg dog ikke kan sige så meget om endnu - men hvis det kommer til at fungere som jeg ønsker det, så skal jeg nok prale med det ;-D

Jeg er oprigtigt interesseret i at se hvordan det fungerer i praksis. Hvis du har lavet en webshop, vil den selvfølgelig være mest interessant.

Nu må jeg så indrømme at jeg ikke har lavet en webshop endnu, men jeg ser ikke det store problem i det.

MEN, det hele foregår i min egenudviklede (på skuldrene af andre) aktive webserver, dvs. jeg bruger hverken PHP eller ASP, så det er ikke lige til at annektere af andre - desværre.

Men tricket ligger i at man, vha. CGI vars, nøjes med bare at slæbe en identifikator i form af et session/user id, som ligger indlejret på siden, uden ellers at være databærende - der er dog en svaghed, nemlig at i modsætning til med cookies mistes data når sessionen sluttes, så man kan ikke lukke ned og, hvis det eksempelvis var en indkøbskurv, fortsætte senere.
Sikkerhed har en pris.

Kim Sørensen

Desværre ikke for nærværende, da de alle sammen er beregnet for brug i en sluttet kreds.

Men jeg går og barsler med et projekt, som jeg dog ikke kan sige så meget om

Ja, det var vel nok et uheldigt sammentræf ;)

Men du må da så i det mindste kende et eksempel, du ikke selv har været med til at udvikle?

Det er ikke for at være polemisk. Jeg er oprigtigt interesseret i et se det udført i praksis.
Men du kan vel godt forstå jeg er en smule skeptisk, når der tilsyneladende ikke kan fremvises nogle praktiske eksempler på denne teknologi, der ellers skulle være så åbenlys og i alles interesse?

Andre må i øvrigt også meget gerne byde ind: Findes der et et eksempel på en fungerende webshop, der kører helt uden brug af cookies?

Alternativt: Et eksempel på et site med funktionalitet og kompleksitet, der kvalitativt kan sidestilles med en ganske almindelig webshop?

Christian Nobel

Men du må da så i det mindste kende et eksempel, du ikke selv har været med til at udvikle?

Desværre ikke, da det er min ide at lave det på den måde.

Jeg vil gerne tænke over om jeg kan præsentere det på en forståelig måde.

Men som udgangspunkt går det ud på at jeg laver et skjult inputfelt på siden (der er intet odiøst i det) som indeholder en reference til en bagvedliggende sessionsdatabase - det identificerer bagved eksempelvis bruger eller reference (hvis vi taler webshoppen) til hvad der er lagt i kurven.

Referencen overføres så som CGI variabel ved sideskift (eller Ajax kald), men der er ikke to der kan kalde den samtidig, og den lever kun i sessionen, så man kan ikke selv snyde siden ved selv at udfylde de skjulte felt manuelt - der føres ingen direkte brugerhenførbare data rundt.

Det er ikke for at være polemisk. Jeg er oprigtigt interesseret i et se det udført i praksis.

Det er helt ok, og jeg anser det ikke for polemisk, men jeg har desværre ikke noget jeg lige kan lægge frem til offentlig skue her og nu.

Rune Jensen

Men tricket ligger i at man, vha. CGI vars, nøjes med bare at slæbe en identifikator i form af et session/user id, som ligger indlejret på siden, uden ellers at være databærende

Mmm. Man kunne jo wrappe det hele i en serie af POST requests. Fordelen ved det er, at man kan sende "variable" med POSTs og at de variable ikke kan kopieres i et link.
Jeg har leget lidt med det, men sessionen slutter jo, ligesåsnart, man trykker ENTER på adressebaren.

Jeg bruger en løsning lidt a la dette bla. i en AJAX APP for at undgå cookies, men det koster jo altså også ikke at bruge cookies, fordi data så bare skal sendes som variable i POST frem og tilbage hver gang i stedet. Til gengæld så udveksles der jo kun de oplysninger imellem server og client, som er absolut nødvendige, og igen, så er alle oplysninger slettet fra clienten såsnart man laver det om til en GET (f.eks. genindlæser APPen). APPen i sig selv husker intet såsnart man forlader den.

Kim Sørensen

Jeg vil gerne tænke over om jeg kan præsentere det på en forståelig måde

I første omgang er jeg nu ikke specielt interesseret i at "forstå" teknologien. Jeg vil bare gerne se den fungere i praksis :)

De tekniske detaljer kan selvfølgelig være interessante nok i sig selv. Men i forhold til de aktuelle forhold og hvordan man flytter udviklingen/politikskabelsen i en bedre retning, mod bedre sikring af brugernes ret til privatliv, er det måske knap så interessant.
Men jeg er da slet ikke i tvivl om det "sagtens" kunne lade sig gøre, at bygge en webshop, der ikke benytter sig af cookies. I hvert fald ikke i et kontrolleret forskningsmiljø. Men kan det lade sig gøre ude i den virkelige verden, hvor jeg og mine konkurrenter forsøger at pushe vores produkter, der hvor internetbrugerne rent faktisk befinder sig?
Det er jo det interessante spørgsmål og som jeg læser dine kommentarer er svaret vist ret åbenlyst: Nej, det kan ikke lade sig gøre.

Derfor er vi jo så tilbage ved udgangspunktet, for hvad pokker gør man så?
Skal vi lukke internettet ned og bygge det op fra bunden? Skal vi lukke ned for enhver kommerciel udnyttelse af infrastrukturen, indtil der bliver udviklet brugbare alternativer til de eksisterende teknologier, webshops og andre aktører benytter sig af p.t.? Skal vi bare fortsætte som hidtil, hvor politikerne fører signalpolitik og skriver love, de overhovedet ikke har nogle intentioner om at håndhæve?

Ole Dahl

ok måske ikke formulerede mig klart nok.

siger man skal lave siden så man først skal bruge cookies når folk er logget ind. og ved de under tilmeldingen acceptere cookies har de så gjort det en gang for alle.

indkøbskurv.
vigtigste når man laver shop er at kunden kan se prisen på varen inklusiv forsendelsen inden de kliker køb varen og det kræver ingen cookies.

i min shop kan man se varen men ikke købe den uden være logget ind så snart man klikker køb bliver det meddelt (Du skal være logget ind før du kan deltage)

antispam
du har ikke brug for cookies for sikre mod spam, kan slet ikke se hvad cookies har med sikre mod spam at gøre, det klares med captcha.

Rune Jensen

antispam
du har ikke brug for cookies for sikre mod spam, kan slet ikke se hvad cookies har med sikre mod spam at gøre, det klares med captcha.

Jeg bruger også en CAPTCHA, men ikke en positiv CAPTCHA. En negativ. Dvs. brugeren skal ikke gøre noget eller indtaste noget. Det kører på en blanding af et browser fingerprint, som kommunikeres igennem både en POST variabel og via en session cookie, som også har et time-stamp. Det er en meget simpel udgave af to-faktor spamsikring.

Hvor det er muligt at klare sig uden cookies i dette, er hvor man kan sandsynliggøre, at brugeren er dansker og bruger en "ægte" browser, hvilket grundlæggende tjekkes ved at accept-encoding indeholder GZIP, at IPen er dansk og at accept-language er en af de nordiske; DA, DK, IS, NO osv.

Igen... på en ikke videre succesfuld blog, men ingen spambotter har kunnet slippe forbi, og der har da været og er sådan ca. et par gange om ugen attacks af forskellig art.

Man kan så udvide denne negative CAPTCHA med andre negative CAPTCHAs, her en ret populær én:
http://damienkatz.net/2007/01/negative_captch.html

Ligesom man kan indsætte en HTML entity i label på submit knappen (f.eks. A for et a) og så tjekke at den er konverteret til et a ved POST.

Mmmm... det er måske lidt off-topic, men for nybegyndere udi spamsikring, kan det måske hjælpe.

Rune Jensen

i min shop kan man se varen men ikke købe den uden være logget ind så snart man klikker køb bliver det meddelt (Du skal være logget ind før du kan deltage)

Hvordan kontrollerer du at brugeren er logget ind, hvis du ikke har nogen muligheder for at holde state imellem requests?

Det er muligt, jeg simpelthen har misforstået et eller andet, men kan jeg lære noget nyt, vil det være alle tiders. Jeg forsøger selv at gå imod cookie-less web sites.

Ole Dahl

ja den kan narre bots men der sidder folk verden over ansat til ikke lave andet end spamme de vil ikke blive narret af skjulte falske felter i formularer.
de vil derimod have problemer med en rigtig captcha.
Eneste kan se en cookie i det system vil kunne bruges til er logge bottens ip adresse og nægte den adgang.

og det vil den kun kunne lige til den cookie er slettet igen
kan ikke se der er nogen fidus i den løsning ;)

Rune Jensen

Eneste kan se en cookie i det system vil kunne bruges til er logge bottens ip adresse og nægte den adgang.

Nej, langt de fleste botter kører med kode tilbage fra 2009 eller så, og kan snydes med teknologi fra dengang. Man skal op i lidt mere populære sider, før der kommer f.eks. header-less browser spamming eller at det er mennesker, som sidder og spammer. De lægger jo deres indsats efter SEOen for en side. På den måde er de ikke dumme.

Men jeg mangler lidt forklaringen på, hvordan du kan holde state uden cookies ved login på en side.

Rune Jensen

Ja, undskyld, jeg skulle have læst tilbage. Men jeg tror vi bruger nogenlunde samme tankegang så. Hvilket er ikke at bruge nødvendige teknikker før de er absolut nødvendige. Det har SVJV en betegnelse, men heldigvis har jeg glemt den.

Kim Sørensen

vigtigste når man laver shop er at kunden kan se prisen på varen inklusiv forsendelsen inden de kliker køb varen og det kræver ingen cookies

Det er slet ikke det indtryk jeg har. Man kan i øvrigt også forestille sig situationer, hvor den praksis er faretruende tæt på at være på kant med loven.

Hvordan håndterer du f.eks. forskellige fragtpriser og kunder, der putter mere end en vare i kurven?

Hvis vi laver et tænkt eksempel. Du har en shop, hvor prisen på fragt bliver sat efter ordrens samlede vægt. Ordrer på til og med 1 kg. koster 45,- i fragt. Ordrer på mere end 1 kg. koster 100,- i fragt.
Hvis en kunde vil købe 2 produkter af 1 kg. stk., hvordan vil du så håndtere den situation?

Derudover er der vel også et principielt problem i at tvinge kunderne til login, før man oplyser den faktiske udgift. Jeg ville i hvert fald finde det utroligt grænseoverskridende, hvis jeg blev bedt om at logge ind inden jeg har besluttet mig for noget som helst.
Og så er der jo også det rent praktiske problem, at man godt nok skal have et mere end almindeligt godt produkt/tilbud, før man kan lokke potentielle kunder til den slags krumspring. Du har jo ikke mange sekunder til at fange en gennemsnitlig internetbrugers opmærksomhed og du vil så lige have folk til at oprette konto på din shop, inden de får lov til at se dine priser? Held og lykke med den plan :)

Rune Jensen

Ja, jeg tænkte på det, men selv om den kode man præsenteres for på clienten er så simpel som muligt, så er den logistik, som skal styre det jo lidt mere avanceret. Man er jo nødt til at have nogle ekstra IFs og thens, for at holde styr på, hvornår man skal bruge cookies og hvornår ikke.

Men lad os tage den fuldt ud, fra et komplet (fanatisk) KISS udgangspunkt.

Et web site skal som udgangspunkt kunne bruges uden cookies, uden CSS, uden JS. Og i princippet også uden images.

Derefter putter man på CSS for at få lidt kønnere design, JS for at få lidt flere funktioner og cookies for at kunne styre udenom f.eks. en serie af POSTs for at holde state.

Men for at kunne styre det hele, er man nødt til at indlægge lidt ekstra "logik" bla. i sin serverside, men desværre også i CSS og JS. Fordi SÅ intelligent er browserne heller ikke endnu, de kan klare det helt selv - unobtrusive design.

Det betyder, der kommer redundans i koden, der kommer lidt gentagelser, som ikke ellers ville være nødvendige.

Dén har jeg ikke knækket endnu.

Jeg har f.eks. denne i min CSS:

preloader{

left: -2000em;
}

.js #preloader{
text-align: center;
z-index: 5;
left: calc(50% - 18em);
}

og så tilføjet et lille javascript,

document.documentElement.className = "js"; // adds a .js class to root element

Fordi der er en tæller, som startes, hvor image (omkring 1mb) indlæses i baggrunden ved APP start, men det skal kun vises, hvis JS rent faktisk er aktivt. Ellers vil tælleren jo være statisk...

Jeg skal lige sige her, jeg er ikke professionel web coder, når det handler om JS. Det kan muligvist løses bedre.

Men det er gennemgående, hvis man kører uden nogetsomhelst, CSS, JS og cookies, for så virker AJAX jo heller ikke, og man er nødt til at foretage POST i HTMLen, og der kommer lidt kopi-kode fra JSen dér.

Ole Dahl

ok der fik jeg forkert fremlagt
de får klart og tydeligt at vide de skal være logget ind før de kan deltage,

og det vil sige de kan slet ikke komme vare i kurven uden de er logget ind

mente bare generelt er det vigtig kunden kan se hvad det koster inden de bestiller, og at jeg har løst det ved de skal være logget ind først.

Ole Dahl

ja med .js og .css der har jeg så ædt et par kameler var selv med på det samme men erkender at mit system kræver css og js for fungere så det skal man bruge for benytte sig af det, det er tvungent nødvendigt i dag hvis det skal være et responsivt system.
ønsker folk ikke de ting anvendes så stiller de for høje krav.
er i alt fald ud over min formåen ;)

cookies kan være nødvendige jeg har en accordion menu og for den kan huske om man har åbnet eller lukket et menupunkt kræver det en cookie men den slags cookies er jo fuldt lovlige og kræver ingen cookie politik for anvende,

Rune Jensen

kræver css og js for fungere så det skal man bruge for benytte sig af det, det er tvungent nødvendigt i dag hvis det skal være et responsivt system.

Jeg er for så vidt enig, men hvis man læser indlæggene her, så er der nogle, som slår JS fra for at indlæse siden hurtigere, mens andre (som mig), har som udgangspunkt slået JS fra for en ikke før besøgt side for at se, om jeg vil white liste siden for JS. Altså om indholdet står mål med salgstalen.

Grunden til, jeg er enig med dig, er mest, at én ting er en (forholdsvist) simpel APP, som jeg laver, noget helt helt andet er et commerce system, som skal virke helt uden JS. Jeg kan forestille mig, det vil være helvede at lave. Så for mig kommer det lidt an på opgaven, om jeg ville lave det brugbart uden CSS og JS (og cookies).

Ole Dahl

at det er ud over min formåen var nok så meget sagt kan godt lave system der sender kaldet til en database eller flatfile på serveren problemet vil bare være at det sætter serveren på overarbejde og derfor ikke vil fungere i praksis..

Kim Sørensen

vigtig kunden kan se hvad det koster inden de bestiller, og at jeg har løst det ved de skal være logget ind først

Altså, at de skal være logget ind før du oplyser priserne? Det lyder ikke umiddelbart som om det er helt i tråd med lovens hensigt. Priserne skal være "umiddelbart" tilgængelige. Men det er nok et spørgsmål om tolkning.
Så bortset fra det er der jo det problem, at du i princippet lægger op til et system, der er endnu mere grænseoverskridende end cookies. Det er selvfølgelig rigtigt nok, at dit system ikke lægger op til udveksling af data, de enkelte sites imellem. Men hvis man skal logge ind (i.e. give butikken adgang til personhenførbare og følsomme oplysninger) blot for at se prisen på en given vare, er vi da lige vidt? Vi er vel endda gået skridtet videre, da man i princippet altid kan slette de cookies et site har lagt i ens browser. Mens man giver dig varig adgang til langt mere følsomme data, hvis man logger ind på din shop.

Må man i øvrigt se din shop?

Ole Dahl

ser det kun som brugerens problem hvis de vælger slå js fra og hvis de gør det ved de nok selv hvad de gør, :)
og ellers kan man sætte en noscript tag informere dem om siden kun fungere ordentligt med js slået til :)

Ole Dahl

min shop er en online auktion så af den grund vil det ikke være muligt se prisen på alle varerne kun på udvalge som jeg har valgt har en køb nu funktion, men du vil kunne se start bud og aktuelt bud

du vil kunne se prisen på varen uden logge ind men du vil ikke kunne bestille eller byde på den uden være logget ind.
ved ikke hvorfor det er blevet så skævt fremstillet.
men tror har fået nævnt det så det kan forstås nu.
:)

Rune Jensen

Andre må i øvrigt også meget gerne byde ind: Findes der et et eksempel på en fungerende webshop, der kører helt uden brug af cookies?

Jeg søgte på cookie-less commerse system, men fandt kun denne:

http://world.episerver.com/blogs/Allan-Thran/Dates/2011/4/Going-Cookie-l...

Jeg er ikke helt klar over teknikken, andet end at den bruger et browser fingerprint kombineret med brugerens IP, og jeg vil ikke mene, det er fuldt ud på højde med egentlig brug a session cookies.

Det er så nogenlunde hvad jeg bruger til anti-spam, men nok ikke hvad jeg ville bruge til sikkerhed.

Men andre med mere indsigt kan måske kommentere bedre på det.

Ole Dahl

problemet er det kræver alt der normalt vil ligge på brugerens computer skal ligge på serveren, det vil kræve en enorm trafik.
men kunne nok laves med en cloud løsning
og vil blive meget dyrt i drift
plus det kræver brugerem er logget ind først

Ole Dahl

faktisk lige gyldigt hvad man har for noget der bruger cookies , min løsning med brugerne skal logge ind først kan bruges af alle.

Kim Sørensen

Jeg søgte på cookie-less commerse system, men fandt kun denne

Men altså ikke et eksempel på en aktiv shop eller site med tilsvarende funktionalitet/kompleksitet.

Misforstå mig ikke. Jeg synes den "akademiske" diskussion er super interessant. Jeg fatter ikke halvdelen af hvad I diskuterer, men jeg synes det er dybt interessant.
I forhold til hvordan man rent faktisk udformer en bedre lovgivning på området eller hvordan de enkelte aktører på internettet bedre varetager brugernes privatlivsinteresser, rykker det så bare ikke rigtigt på noget som helst.
Indtil videre er vi jo ikke rigtigt nået længere end, at en debattør åbenbart har bygget masser af den slags sites - det er bare sket på lukkede netværk, på skræddersyet infrastruktur og i øvrigt så top-hemmeligt, at vi godt kan glemme alt om at se et eksempel på det. En anden har så tilsyneladende bygget et aktivt system, der kører uden cookies, men som så desværre kun kan anvendes i forbindelse med én bestemt form for aktivitet på nettet.

Igen, misforstå mig ikke. Jeg synes den teoretiske diskussion er spændende at følge. Men det ser jo unægteligt ud som om konklusionen er, at med undtagelse af datalogen i sit laboratorie, er cookies et nødvendigt onde for langt hovedparten af dem (der driver kommerciel virksomhed) på internettet?

Ole Dahl

det kan ikke fungere i praksis da alt skal gå mellem brugerne og serveren ,
det tager alt for lang tid og alt for meget data der skal gemmes om hver bruger og er man lige glad med hastigheden så, så vil eu da bare lave et nyt krav magen til det med cookies.

Rune Jensen

Men det ser jo unægteligt ud som om konklusionen er, at med undtagelse af datalogen i sit laboratorie, er cookies et nødvendigt onde for langt hovedparten af dem (der driver kommerciel virksomhed) på internettet?

Ja, det er jo spørgsmålet. Jeg har ikke knækket koden heller, derfor finder jeg også diskussionen interessant.

En fuldstændig optimal løsning vil være uden cookies, men også uden ekstra "logik" end der ellers skulle have været for at styre det. Fordi cookies i så mange tilfælde bare gør tingene nemmere at kode, men har så dårligt image når det kommer til privalivspolitik. Og at slippe helt for dem uden ekstra kode er derfor lidt som en drøm.

Men jeg ville såmænd også nærstudere en hvilkemsomhelst løsning, som bare var uden cookies uanset.

Kan man opnå samme sikkerhed uden cookies?

Og umiddelbart kan jeg kun se en grundig fingerprinting af brugeren som alternativ, og fingerprinting har jo også et dårligt ry, ligesom det er en del sværere at kode ordentligt (der er standarder for cookies, men ikke for fingerprinting).

Ole Dahl

cookies skal ikke bruges til gemme følsomme data, kun anvendes for skabe brugervenlighed.
eller de bruges til videregive information om dine vaner som det bruges i statistik og reklamer som jo er det eu ville sikre os forbrugere ved vi skulle gøres opmærksom på når sider gjorde det..

Christian Nobel

Men jeg mangler lidt forklaringen på, hvordan du kan holde state uden cookies ved login på en side.

Altså jeg har gjort det i praksis (som sagt) ved at jeg på serveren holder en sessionsvariabel (et userid plus en tilfældig værdi, samt en timer variabel) op mod den tilsvarende jeg gemmer som et hidden input felt - dette felt vil så overføres når jeg navigerer rundt på min side ved hjælp af submits.

Og det har ikke nogen betydning om jeg bruger GET eller POST, men i praksis bruger jeg altid POST, da det dels skjuler "datadelen" af URL'en, dels (om nødvendigt) giver mulighed for overførsel af større mængde data.

Datamængde er dog ikke noget issue omkring sessionsvariablen, da den er ganske kort.

Og sessionsvariablen udskiftes efter et forvalgt interval, typisk hvis der er gået over et minut, så sættes der en ny til næste side.

Kim Sørensen

Og umiddelbart kan jeg kun se en grundig fingerprinting af brugeren som alternativ, og fingerprinting har jo også et dårligt ry, ligesom det er en del sværere at kode ordentligt (der er standarder for cookies, men ikke for fingerprinting)

Det er jo lige netop det, der er problemet. Hvis man ikke finder en holdbar og (økonomisk) realistisk løsning, der også tager passende hensyn til website-ejerne, flytter man jo bare problemstillingen over på andre teknologier ("fingerprinting" eksempelvis).

Rune Jensen

Det var nu heller ikke det, jeg mente.

https://www.owasp.org/index.php/Session_Management_Cheat_Sheet

Man kan lave ganske meget fiffigt med cookies for at gøre dem mere sikre (Som oWASP omtaler HttpOnly), såmænd MS var (den?) første til at indføre cookies, som ikke kan læses af JS. Det højner sikkerheden en del, fordi selvom der bliver injected et JS på siden, som vil læse cookies og sende dem til en cracker, så kan den ikke læse de cookies.

Lars Tørnes Hansen

I stedet for en cookie kan man bruge JWT - JSON Web Token

Nogle links om JWT:

Juridisk er JWT dog nok at betragte som en cookie, så loven gælder nok stadig. Disclaimer: IANAL (="I am not a lawyer")

Rune Jensen

dette felt vil så overføres når jeg navigerer rundt på min side ved hjælp af submits.

Ja, men så er du vel også nødt til enten at lave det som en serie af POSTs for at der ikke kan skabe links ud af det - eller risikere, at man netop kan skabe links, som kan kopieres (dvs. den session kan kopieres), fordi data ligger i query string.

Er det ikke også netop hvad du skriver?

Der er også det, at GET trigger caching, POST gør ikke. Og nu ved jeg ikke, hvor meget kontrol, du har over din servers log... men en serie af GETs vil blive logget af hosteren (altså min hoster), og er for mig i hvert fald hammer irriterende, fordi de fylder. POST gør ikke.

Har du et live eksempel på hvad du gør? Måske bare en simpel side?

Christian Nobel

Ja, men så er du vel også nødt til enten at lave det som en serie af POSTs for at der ikke kan skabe links ud af det - eller risikere, at man netop kan skabe links, som kan kopieres (dvs. den session kan kopieres), fordi data ligger i query string.

Hvorfor skal det være en serie?

Jeg har en side hvori der ligger et hidden input felt med min sessionvariable.

Når jeg så submitter siden, så overføres denne gennem URL som en helt almindelig CGI var, som jeg så læser serverside, og validerer mod min sessionsdatabase, hvorved jeg bla. kan holde styr på at der ikke er to instances kørende samtidig., og at min timing er valid.

Jeg kunne sådan set godt kopiere en URL, men den vil dels være værdiløs efter et minut, fordi den reelle klient nu har fået en sessionsvariabel, dels ikke kunne bruges samtidig, fordi jeg kun accepterer en session.

Med til historien ligger at mine sider altid genereres aktivt, ud fra binaries.

Teoretisk set vil det være (omend lidt besværligt, og det krævede man var hurtig) muligt at lave MiM, men det vil man også kunne hvis man bruger cookies, og under alle omstændigheder kan man, hvis den sikkerhed er ønsket, bruge HTTPS for at eliminere den risiko.

Der er også det, at GET trigger caching, POST gør ikke. Og nu ved jeg ikke, hvor meget kontrol, du har over din servers log... men en serie af GETs vil blive logget af hosteren (altså min hoster), og er for mig i hvert fald hammer irriterende, fordi de fylder. POST gør ikke.

Jeg har altid fuld kontrol over mine egne servere.

Har du et live eksempel på hvad du gør? Måske bare en simpel side?

Som sagt nej, da det er databaser som benyttes i lukkede kunderelationer, men jeg vil overveje om jeg kan lave en demoside som der kan tampes på - men har ikke lige tiden lige nu.

Gert Madsen

hvor havde du ellers forestillet dig pengene skulle komme fra?


At sælge folks oplysninger svarer til at skjule den reelle pris for produktet.
Det svarer til at den lokale Brugs opkræver et gebyr (af skjult størrelse), for at man ser på varerne i butikken.
Jeg som kunde, skal kunne se den reelle pris, inden jeg køber, og når/hvis jeg vælger ikke at købe, så skal jeg ingenting betale.
Det har sådan set været princippet i forbrugerbeskyttelsen i evigheder. Jeg kan ikke se hvorfor WEB-shops skulle være undtaget fra det.

Christian Nobel

Det svarer til at den lokale Brugs opkræver et gebyr (af skjult størrelse), for at man ser på varerne i butikken.

Næh det svarer mere til at der følger et kamera med rundt i butikken og registrerer hver gang man dvæler ved et produkt - og efterfølgende sælges disse oplysninger til dem der laver disse produkter, da de nu ved hvad man kunne være interesseret i at købe.

Bjarne Nielsen

Nu er det en del snak om cookie-frie løsninger, og det er faktisk interessant. Men "cookie-direktivet" snakker - så vidt jeg har forstået - slet ikke om cookies, men derimod om at bruge brugerens udstyr til andet end det, som er nødvendigt for at udføre det, som brugeren er kommet for, eller iøvrigt har givet lov til.

Så når sessions-cookies er en teknisk nødvendighed for at lave f.eks. indkøbskurve, så er det helt i orden. Man behøver end ikke spørge. Til gengæld må de så kun bruges til det, og ikke til allehånde afledte "funktionaliteter", som ikke vedkommer det, som brugeren er i gang med (set ud fra brugerens perspektiv).

Det betyder også, at alt det, som teknisk set ikke er en cookie, men fungerer på samme måde, også er omfattet, hvor relevant. F.eks. aktivt at opsnuse telefoners MAC adresse.

Men bed mig venligst ikke om at fortolke spidsfindige detaljer - jeg kender kun til det på princip-niveau (og kan nemt have misforstået noget, for IANAL).

Christian Nobel

Så når sessions-cookies er en teknisk nødvendighed for at lave f.eks. indkøbskurve, så er det helt i orden. Man behøver end ikke spørge. Til gengæld må de så kun bruges til det, og ikke til allehånde afledte "funktionaliteter", som ikke vedkommer det, som brugeren er i gang med (set ud fra brugerens perspektiv).

Fuldstændig korrekt, jeg mener endda at session cookies eksplicit er nævnt i direktivet som tilladte uden forespørgsel, så der burde intet problem være i det.

Problemet er nok mere at folk falder for fristelsen til at lave oceaner af tracking (Ghostery siger lige her på denne side 7 trackers) og alt muligt andet snageri - men hvis man holder sin sti ren, så er der intet problem.

Når jeg så omtaler min cookie fri løsning, så har det ikke så meget med direktivet at gøre, men fordi det er en smart måde i forbindelse med min software at holde styr på sessions.

Ole Dahl

har tænkt på
man kan vel lave alle mulige ond sindedere scripts der kun kræver man beder Brugeren klikker de acceptere , og så kamuflere det som de acceptere cookies.
og dem uden erfaring vil blindt acceptere den fil de så bliver bedt om hente og eksekvere.

Kim Sørensen

At sælge folks oplysninger svarer til at skjule den reelle pris for produktet

Det er jeg enig i og hvis en webshop, på den ene eller anden måde, videresælger informationer om kunderne, kan det også være et problem.

Men hvis vi skal have en seriøs debat om de her ting, må folk altså også være villige til at se realiteterne i øjnene. Og i den forbindelse nytter det altså ikke noget, hvis man giver folk det indtryk, at virksomhederne bare kan æde alle mulige udgifter, uden det kommer til at påvirke kunderne på en eller anden måde.
Vi må kunne blive enige om enhver udgift en virksomhed har, om det er husleje eller dataanalyse, så bliver den i sidste ende altid "tørret af på kunden" og at der i øvrigt ikke er noget odiøst i det?

Derudover synes jeg heller ikke det giver så meget mening, at skære alt dataindsamling og alle cookies over en kam. For det første er de data, der indsamles via Google Analytics hverken personfølsomme eller personhenførbare. For det andet kan man slå datadelingen fra i Google Analytics, hvilket jeg i øvrigt har gjort på min egen shop af hensyn til brugernes privatlivsrettigheder.

Derfor mener jeg man bliver nødt til at være lidt mere løsningsorienteret og fleksibel i diskussionen. Det er fint nok, at folk har bekymringer om de her ting. Jeg deler sådan set også mange af bekymringerne. Men når man ikke kan pege på et realistisk alternativ og i øvrigt giver udtryk for dybt urealistiske forventninger til virksomhederne (f.eks. at de bare skal trække udgifter ud af den blå luft), synes jeg altså ikke det er rimeligt, at klandre virksomhederne for brug af cookies eller dataindsamling som sådan.

Jeg som kunde, skal kunne se den reelle pris, inden jeg køber, og når/hvis jeg vælger ikke at købe, så skal jeg ingenting betale

Det synes jeg da også er en rimelig forventning. Men med mine mange års erfaring fra detailhandlen og som virksomhedsejer mener jeg, du som forbruger burde være blevet "uddannet" bedre, således du er ganske udmærket klar over der ikke er findes "free lunches".
I den forbindelse har detailhandlen selvfølgelig selv et kæmpe ansvar. Som branche har vi ganske enkelt ikke været gode nok til at kommunikere til kunderne, at de altså også betaler en pris for priskonkurrence, kundeklubber osv. Men jeg synes alligevel medierne og uddannelsessystemet bærer det største ansvar. Hvor især medierne har været slemme til at "uddanne" forbrugerne til en helt forkert forståelse af hvordan markedet rent faktisk fungerer.

Jeg kan ikke se hvorfor WEB-shops skulle være undtaget fra det

Det skal de selvfølgelig heller ikke. Men det er jo bl.a. også derfor, internetbutikkerne bliver nødt til at bruge cookies. Jeg kan ikke se hvordan jeg skal gøre mine priser "umiddelbart tilgængelige" uden brug af cookies.

Jesper Lund

For det første er de data, der indsamles via Google Analytics hverken personfølsomme eller personhenførbare. For det andet kan man slå datadelingen fra i Google Analytics, hvilket jeg i øvrigt har gjort på min egen shop af hensyn til brugernes privatlivsrettigheder.

Foruden de oplysninger der lagres i GA cookies herunder hele URL og en masse anden context, modtager Google brugerens IP adresse og en række browser headers, der ofte vil gøre det muligt at skelne mellem forskellige devices bag samme IP adresse.

Det er sikkert rigtigt at disse oplysninger ikke er tilgængelige for det website, som bruger GA til webstatistik, men Google modtager og behandler oplysningerne. Hvad Google (mis)bruger oplysningerne til, foruden at lave såkaldt "anonymiseret" webstatistik, er svært at sige. Datadelingen med NSA kan næppe fravælges, hverken af brugerne eller det website som anvender GA.

GA bruges for eksempel på sundhed.dk, hvilket burde være kriminelt..

Christian Nobel

Og i den forbindelse nytter det altså ikke noget, hvis man giver folk det indtryk, at virksomhederne bare kan æde alle mulige udgifter, uden det kommer til at påvirke kunderne på en eller anden måde.

Ligegyldig hvilken form for forretning man har, så er der omkostninger forbundet - og hvis man ikke har (stor) husleje fordi man har en webshop, så har man måske til gengæld serveromkostninger - men de adskiller sig ikke fra andre omkostninger, eksempelvis husleje.

Hvis man skal skal følge din tankegang, så svarer det til at Brugsen skulle registrere al min færden hos dem, og efterfølgende få penge fra Coca Cola, eller andre, om mit bevægelsesmønster, til at dække købmandens husleje.

Sådan fungerer det altså ikke!

Vi må kunne blive enige om enhver udgift en virksomhed har, om det er husleje eller dataanalyse, så bliver den i sidste ende altid "tørret af på kunden" og at der i øvrigt ikke er noget odiøst i det?

Nej en udgift bliver ikke "tørret af" på kunden - som næringsdrivende har man en bruttoavance, og ud fra den dækker man sine omkostninger.

Og hvis man er en dårlig købmand, så kan man ikke få dækket sine omkostninger hvis man sælger til markedspris - men det retfærdiggør altså ikke at man så skal prøve at hente sin avance ved at sælge oplysninger om sine kunder.

For det første er de data, der indsamles via Google Analytics hverken personfølsomme eller personhenførbare.

Ahem, det er så en sandhed med modifikationer.

For det andet kan man slå datadelingen fra i Google Analytics, hvilket jeg i øvrigt har gjort på min egen shop af hensyn til brugernes privatlivsrettigheder.

Men det kan kunden jo ikke stole på du gør, så som udgangspunkt, hvis du roder med GA, så bør kunden ikke have tiltro til dig, og derfor tage sine forholdsregler.

(f.eks. at de bare skal trække udgifter ud af den blå luft)

Der er da ikke tale om at trække udgifter "ud af den blå luft" - det koster noget at drive en forretning, og hvis ikke man er god nok til det, så ligger problemet nok et helt andet sted.

Men med mine mange års erfaring fra detailhandlen og som virksomhedsejer mener jeg, du som forbruger burde være blevet "uddannet" bedre, således du er ganske udmærket klar over der ikke er findes "free lunches".

Hvem taler om "free lunch"? - hvis du underbyder andres priser ved at sælge omlysninger om mig, så er jeg slet ikke sikker på at jeg vil bruge din butik.

Helt ærligt, du vender tingene 180°.

Jeg kan ikke se hvordan jeg skal gøre mine priser "umiddelbart tilgængelige" uden brug af cookies.

Hvad har visning af priser med cookies at gøre?

Kim Sørensen

Foruden de oplysninger der lagres i GA cookies herunder hele URL og en masse anden context, modtager Google brugerens IP adresse og en række browser headers, der ofte vil gøre det muligt at skelne mellem forskellige devices bag samme IP adresse

Jo, men IP-adressen er jo ikke personhenførbar. I hvert fald ikke uden en dommerkendelse og sådan en kan Google vel næppe få.
Det betyder selvfølgelig ikke, at man bare skal trække på skuldrene. Men jeg savner altså en eller anden form for proportionalitet i debatten. Hvis jeg ringer ned til min lokale slagter og spørger om prisen på 1 kg. hakket oksekød, har han jo adgang til mit telefonnummer, som i øvrigt er personhenbørbart.

Hvad Google (mis)bruger oplysningerne til, foruden at lave såkaldt "anonymiseret" webstatistik, er svært at sige

Ja, men derfor bør vi vel heller ikke afmontere grundpræmissen for hele vores retssystem, hvor folk er uskyldige indtil det modsatte er bevist?
Kan Google bryde loven og misbruge de indsamlede data, i modstrid med deres aftaler med Analytics-brugerne? Ja, selvfølgelig kan de det. Men det samme kan din ISP og så er vi jo derude, hvor vi lige godt bare kan lukke hele internettet ned, fordi nogen måske kan indsamle og misbruge data om vores færden på det.

Datadelingen med NSA kan næppe fravælges, hverken af brugerne eller det website som anvender GA

Sandsynligvis ikke. Men hvad skal det enkelte site gøre ved det?

Jesper Lund

Men jeg savner altså en eller anden form for proportionalitet i debatten. Hvis jeg ringer ned til min lokale slagter og spørger om prisen på 1 kg. hakket oksekød, har han jo adgang til mit telefonnummer, som i øvrigt er personhenbørbart.

Det er en rigtig dårlig analogi. Du ringer selv til slagteren, hvor du i øvrigt kan tilbageholde nummeret hvis du vil.

Jeg har ingen kontrol over om et website sladrer til Google eller Facebook om min trafik, medmindre jeg aktivt blokerer det spionagesnavs (og det er ikke altid lige nemt at gøre, på et tidspunkt havde DR f.eks. pakket GA koden ind i deres egne Javascript libraries).

Kim Sørensen

Hvis man skal skal følge din tankegang, så svarer det til at Brugsen skulle registrere al min færden hos dem, og efterfølgende få penge fra Coca Cola, eller andre, om mit bevægelsesmønster, til at dække købmandens husleje.

Sådan fungerer det altså ikke!

Jo, det gør det faktisk.

Nej en udgift bliver ikke "tørret af" på kunden - som næringsdrivende har man en bruttoavance, og ud fra den dækker man sine omkostninger

Og hvor kommer den indtægt, der skaber bruttoavancen, fra?

Og hvis man er en dårlig købmand, så kan man ikke få dækket sine omkostninger hvis man sælger til markedspris - men det retfærdiggør altså ikke at man så skal prøve at hente sin avance ved at sælge oplysninger om sine kunder

I hvert fald ikke uden kundens oplyste og eksplicitte accept.
Og hvad så? Jeg er ikke uenig i virksomhederne selvfølgelig ikke skal sælge oplysninger om deres kunder, bag om ryggen på dem. Jeg er uenig i den fremstilling, at købmanden da "bare" kan dække sine udgifter andre steder end hos sine kunder, hvis "bare" han er dygtig nok.

Men det kan kunden jo ikke stole på du gør, så som udgangspunkt, hvis du roder med GA, så bør kunden ikke have tiltro til dig, og derfor tage sine forholdsregler

Enig og det mener jeg også man bør ændre på. Man kunne f.eks. pålægge Google krav om de skal offentliggøre datadelingsindstillingerne for de enkelte Analytics-konti.
Men jeg synes det er urimeligt og kontraproduktivt, at mistænkeliggøre alle websites der bruger cookies.

Der er da ikke tale om at trække udgifter "ud af den blå luft" - det koster noget at drive en forretning, og hvis ikke man er god nok til det, så ligger problemet nok et helt andet sted

Hvis du mener det er urimeligt, at virksomhederne i sidste ende sender alle deres udgifter videre til deres kunder og du ikke mener de bare kan trække dem ud af den blå luft, hvor mener du så de skal hente dem?
Kan vi ikke for diskussionens skyld, om ikke andet, blive enige om, at samtlige af en virksomheds udgifter i sidste ende bliver "tørret af på kunden"?

Hvem taler om "free lunch"? - hvis du underbyder andres priser ved at sælge omlysninger om mig, så er jeg slet ikke sikker på at jeg vil bruge din butik

Det kan jeg da også sagtens forstå. Jeg ville heller ikke selv handle i sådan en butik.
Men kan vi ikke blive enige om, at hvis en webshop underbyder konkurrenterne, så er det ikke nødvendigvis bare fordi han er en flink fyr eller bare en "dygtigere købmand"? Kan vi ikke blive enige om, at han sandsynligvis gør det ved at begrænse sine udgifter og derudover, at det ikke ligefrem er uhørt, at en webshop begrænser sine udgifter bl.a. ved at målrette sin annoncering via indsamling af mere eller mindre personlige data og ved brug af "gratis" analyse-apps som f.eks. Google Analytics?
Altså at de billigste udbydere ikke bare sidder på hænderne og venter på kunderne kommer af sig selv. Hvorfor det også giver mening, at antage jo billigere en butik er, jo mere afhængig er vedkommende også af at effektivisere sin markedsføring, hvilket man rimeligvis må antage sker ved relativt massiv dataindsamling?

Hvad har visning af priser med cookies at gøre?

Det har da alt at gøre med det.
I min shop har jeg f.eks. mængderabat på visse produkter og forskellig fragtpris, alt efter bestillingens samlede pris. Der kan jeg ikke se hvordan jeg skulle kunne oplyse kunden om den samlede og reelle pris for en eller flere varer, uden brug af cookies.

Christian Nobel

Jo, det gør det faktisk.

Ja det bliver så påstand mod påstand.

Og hvor kommer den indtægt, der skaber bruttoavancen, fra?

Normalt ikke fra salg af personoplysninger.

I hvert fald ikke uden kundens oplyste og eksplicitte accept.

Det ville være ret interessant hvis du skulle indvillige at forretningen måtte sælge dine personoplysninger når du gik ind i den - jeg tror en del ville dreje om på halen hvis det samme skete i den fysiske verden så de virkelig forstod hvad der skete.

Og hvad så? Jeg er ikke uenig i virksomhederne selvfølgelig ikke skal sælge oplysninger om deres kunder, bag om ryggen på dem. Jeg er uenig i den fremstilling, at købmanden da "bare" kan dække sine udgifter andre steder end hos sine kunder, hvis "bare" han er dygtig nok.

Jeg har ikke sagt noget om bare, men om dygtigt købmandsskab - og alle købmænd har en avance, men jeg vil bare ikke have den stammer fra at videregive oplysninger om mig til andre som er uden for min rækkevidde.

Enig og det mener jeg også man bør ændre på. Man kunne f.eks. pålægge Google krav om de skal offentliggøre datadelingsindstillingerne for de enkelte Analytics-konti.

Jeg kan kun sige at du fremstår naiv - dette er superbig business, og brugeren er produktet.

Men jeg synes det er urimeligt og kontraproduktivt, at mistænkeliggøre alle websites der bruger cookies.

Jeg har prøvet at sige det mange gange før - cookies er ikke bare cookies.

Men når vi taler tracking, så er der ingen pardon!

Hvis du mener det er urimeligt, at virksomhederne i sidste ende sender alle deres udgifter videre til deres kunder og du ikke mener de bare kan trække dem ud af den blå luft, hvor mener du så de skal hente dem?

Lad nu være med at prøve at lave stråmænd - jeg har efterhånden en del gange skrevet hvad købmandsskab indebærer.

Kan vi ikke for diskussionens skyld, om ikke andet, blive enige om, at samtlige af en virksomheds udgifter i sidste ende bliver "tørret af på kunden"?

Kunden betaler en højere pris end købmanden har givet, deraf skabes avancen.

Så har det været siden tidernes morgen, men kræmmeren har altså ikke underbudt nabokræmmeren, mod at herremanden fik detailoplysninger om hvad hver kunde havde købt.

Men kan vi ikke blive enige om, at hvis en webshop underbyder konkurrenterne, så er det ikke nødvendigvis bare fordi han er en flink fyr eller bare en "dygtigere købmand"? Kan vi ikke blive enige om, at han sandsynligvis gør det ved at begrænse sine udgifter og derudover, at det ikke ligefrem er uhørt, at en webshop begrænser sine udgifter bl.a. ved at målrette sin annoncering via indsamling af mere eller mindre personlige data og ved brug af "gratis" analyse-apps som f.eks. Google Analytics?

Jeg bryder mig ikke om udsagn af typen "kan vi ikke blive enige om", så jeg vil nøjes med at sige nej, så kan du ved gennemlæsning af hvad jeg tidligere har skrevet forstå hvorfor!

Hvorfor det også giver mening, at antage jo billigere en butik er, jo mere afhængig er vedkommende også af at effektivisere sin markedsføring, hvilket man rimeligvis må antage sker ved relativt massiv dataindsamling?

Op du kan slet ikke se at alle til sidst (undtagen 1%'erne) bliver tabere i det spil?

I min shop har jeg f.eks. mængderabat på visse produkter og forskellig fragtpris, alt efter bestillingens samlede pris. Der kan jeg ikke se hvordan jeg skulle kunne oplyse kunden om den samlede og reelle pris for en eller flere varer, uden brug af cookies.

Du har tidligere udtalt at du ikke har teknisk baggrund, så jeg magter ikke at prøve at forklare dig hvorfor, men det kan sagtens gøres!

Kim Sørensen

Op du kan slet ikke se at alle til sidst (undtagen 1%'erne) bliver tabere i det spil?

Jo, men kan du slet ikke se, at min holdning ikke er, vi skal acceptere ureguleret indsamling og handel med data?
Vi er sådan set på samme side i den her diskussion. Jeg kritiserer sådan set bare det, at folk er utroligt unuancerede i deres holdninger og derudover, at ingen kan pege på et realistisk alternativ til cookies.

Du har tidligere udtalt at du ikke har teknisk baggrund, så jeg magter ikke at prøve at forklare dig hvorfor, men det kan sagtens gøres!

Jeg har heller ikke bedt dig om at forklare mig hvordan det fungerer. Jeg har bedt dig om at fremvise bare et eksempel, hvor det rent faktisk er implementeret i en aktiv og fungerende webshop eller andet site, med tilsvarende funktionalitet/kompleksitet.

Hvis det vitterligt er så indlysende og noget der "kan sagtens gøres!", hvorfor kan du så ikke fremvise så meget som et eneste eksempel på nogen, der rent faktisk har gjort det? Når man kigger på den offentlige debat om cookies og overvågning på internettet, skulle man så ikke mene der var masser af plads på markedet, til webshops der kører helt uden brug af cookies?
Så hvor er de shops og sites?

Bjarne Nielsen

Kan vi ikke for diskussionens skyld, om ikke andet, blive enige om, at samtlige af en virksomheds udgifter i sidste ende bliver "tørret af på kunden"?

Øhm, hvis vi antager at virksomheden er interesseret i at profit optimere, så afhænger det faktisk af de relative priselasticiteter. Kun hvis efterspørgslen er fuldkommen uelastisk vil det give mening at vælte den fulde byrde over på kunderne. Men det er vist rimeligt offtopic.

Kim Sørensen

Øhm, hvis vi antager at virksomheden er interesseret i at profit optimere, så afhænger det faktisk af de relative priselasticiteter

Ja, men det ændrer da ikke på det i sidste ende er hos kunderne, at virksomheden henter den indtægt, der skal dække udgifterne.

Altså, min påstand er alene den, at en virksomhed altså ikke kan øge sine udgifter, samtidig med den optimerer sin profit, uden den også øger sin indtægt. Og i den forbindelse tillader jeg mig så at se bort fra aktiespekulation, ejendomshandel, flaskesamling og andre aktiviteter, der ikke typisk hører til blandt kerneaktiviteterne i f.eks. en webshop der sælger sneakers.

Er det virkeligt umuligt, at blive enige om, at hvis en webshop går ud og investerer i et skræddersyet system til datanalyse, så vil virksomheden også skulle hente pengene til dette ude hos kunderne, hvis de vil bevare eller ligefrem øge deres overskudsgrad?
I så fald, siger jeg pænt tak for debatten.

Kim Sørensen

Jeg går ind på sundhed.dk i den tro at det er et website som drives af den danske stat, for derefter at konstatere at der sladres til Google om mit besøg

Og hvad så, du går vel ikke ind på den gennemsnitlige webshop i den tro, at sitet drives af den danske stat?

Personligt overlever jeg nok, at sundhed.dk bruger Analytics. Men jeg kan sagtens følge din kritik og principielt vil jeg nok også være helt enig med dig. Danske sites, drevet af offentlige eller kommunale myndigheder, skal selvfølgelig ikke udveksle informationer om brugerne, med private virksomheder. Jeg kan egentlig heller ikke se, hvorfor danske myndigheder skulle have brug for at køre den slags analyse på deres sites.
Men hvad har det at gøre med den generelle diskussion om cookies osv.? Webshops og andre private virksomheders aktiviteter på internettet fordrer oftest brug af cookies og forskellige analyseværktøjer. Skal vi så bare lukke ned for kommerciel udnyttelse af internettet, fordi du ikke bryder dig om den måde den danske stat driver sundhed.dk på?

Pointen her er jo ikke, at vi er uenige om det grundlæggende. Jeg er fuldstændigt enig i, at brugerne selvfølgelig skal oplyses om hvilke informationer der indsamles og hvordan de bruges. Jeg er også 100% enig i, at de enkelte sites selvfølgelig ikke skal indsamle personlige data om brugerne og så videresælge eller dele disse.
Vi er så muligvis ikke helt enige om hvad der er "følsomme data". Personligt mener jeg f.eks. ikke der er nogle problemer i, at Google har adgang til information om hvilken browser og skærmopløsning en i øvrigt fuldstændigt anonymiseret bruger på et givent site benytter sig af. Men jeg kan forstå kritikken og bekymringerne, hvorfor jeg også har slået alt datadeling fra på min Analytics-konto. Så vi er jo enige i langt det meste.
Det jeg er uenig i er, at man nærmest både er totalt idiot og betalt NSA-spion, hvis man lægger så meget som en session-cookie til brug i forbindelse med indkøbskurven på en webshop. Jeg synes det er nedladende og useriøst.

Kim Sørensen

Aha, hvordan (udover at gå via en proxy)?

Som du selv ynder at understrege, er jeg ikke ekspert. Så det skal jeg ikke kunne sige. Men hvorfor har du også brug for andre eksempler, end brug af en proxy?

Det essentielle er, at man kan skjule sin IP for de enkelte sites, hvis man altså ønsker det. I øvrigt ligesom jeg kan skjule mit telefonnummer for min lokale slagter, hvis jeg ønsker det.

Christian Nobel

Det essentielle er, at man kan skjule sin IP for de enkelte sites, hvis man altså ønsker det. I øvrigt ligesom jeg kan skjule mit telefonnummer for min lokale slagter, hvis jeg ønsker det.

Helt ærligt, det er noget vrøvl.

Når du ikke har nogen teknisk baggrund, så lad være med at udtale dig om noget du ikke har forstand på.

Man kan undgå at IP identificeres hvis man går gennem en proxy eller en VPN, men det er ikke nødvendigvis noget Hr. og Fru. Danmark gør, og det kan på ingen måde sidestilles med bare at taste stjerne 31 stjerne [1] før man ringer.

[1] V2's l... forum tillader ikke brugen af stjerne tegn, da de bruges til formatering - suk.

Kim Sørensen

Christian

Der er da fuldstændigt underordnet om det er noget Hr. og Fru Danmark gør. Fakta er det kan lade sig gøre og fakta er, at det er en service der står til rådighed for internetbrugerne.
Det kan vi jo holde op mod din cookie-løse webshop, vi stadigvæk venter på bare et enkelt eksempel på fra den virkelige verden.

Så hvis vi lige opsummere en gang her. Det er noget vrøvl, at jeg påstår man ikke kan skjule sin IP, på trods der findes utallige udbydere af lige netop den specifikke service og det i øvrigt har været dækket massivt landets største medier den seneste tid i forbindelse med Netflix' tiltag mod netop sådanne services? Her kan man i øvrigt så undre sig over hvorfor Netflix har besluttet sig for at slå ned på proxy'er, hvis ingen almindelige borgere benytter sig af dem?
Alt imens vi, med allerstørste selvfølge, da skal antage din påstand om det da sagtens kan lade sig gøre, at bygge en cookie-løs webshop, er intet mindre end den åbenbarede og uingendrivelige sandhed? I øvrigt udelukkende ved et leap of faith, da du ikke kan fremvise et eneste eksempel på sådan et site.
Når du kommer med en eller anden tilfældig og fuldstændigt ubegrundet påstand skal vi altså bare sige tak og amen. Mens det er noget vrøvl, hvis jeg påstår man kan skjule sin IP-adresse ved brug af en proxy?

Sådan en debat har jeg ærligt talt ikke lyst til at deltage i. Så det bliver et farvel og tak herfra.

Bjarne Nielsen

Er det virkeligt umuligt, at blive enige om, at hvis en webshop går ud og investerer i et skræddersyet system til datanalyse, så vil virksomheden også skulle hente pengene til dette ude hos kunderne, hvis de vil bevare eller ligefrem øge deres overskudsgrad?

Enig. Det følger af dem måde begreberne er defineret på. Men husk på, at det kan være ved at få flere kunder og/eller bedre kunder (eller måske ligefrem skille sig af med de kunder, man måtte tabe på), fremfor at hæve prisen for eksisterende kunder.

Altså, min påstand er alene den, at en virksomhed altså ikke kan øge sine udgifter, samtidig med den optimerer sin profit, uden den også øger sin indtægt.

Hvis det, som du siger er, at der kun er kunderne til at betale, så er det til gengæld forkert - eller i det mindste alt for simpelt betragtet (og det er desværre et ofte gentaget mantra, specielt på visse dele af det politiske spektrum).

Det kan nemt indses ved at antage fuldkommen elasticitet: hvis du øger prisen med bare en øre, så går alle dine kunder; profitoptimering vil da være at tage hele udgiftsstigningen selv, så man stadig har en forretning (hvis man da stadig har en forretning i det hele taget, men det er en anden snak). Heraf følger også, at når efterspørgslen er elastisk, så må virksomheden selv tage en del af omkostningsstigningen, for at tilpasse sig den nye virkelighed (hvis den er uelastisk, så skulle den have øget sine priser i første omgang).

Og det inden vi tager tidsaspektet med ind. Man kan faktisk godt afholde en nutidig udgift i forventningen om fremtidige reducerede omkostninger. Det hedder 'investering'. Hvis nutidsværdien viser sig at være positiv, så kaldes det for en 'god investering'.

Derfor mener jeg, at det er alt for simpelt at sige, at der kun er kunderne til at betale.

Christian Nobel

Mens det er noget vrøvl, hvis jeg påstår man kan skjule sin IP-adresse ved brug af en proxy?

Vær venlig at læse hvad jeg skriver, før du hidser dig op.

Jeg har jo lige præcist sagt at man godt kan skjule IP vha. en proxy eller VPN, men at en almindelig bruger, ved almindelig browsing, hvilket trods alt udgør hovedparten, ikke kan undgå at IP adressen høstes.

Man kan så diskutere værdien af IP adressen hvis det er bag Carrier Grade NAT.

Gert Madsen

Og i den forbindelse nytter det altså ikke noget, hvis man giver folk det indtryk, at virksomhederne bare kan æde alle mulige udgifter, uden det kommer til at påvirke kunderne på en eller anden måde.


Det kan jeg heller ikke se at jeg skriver nogen steder.
Jeg ønsker bare transperans, så jeg kan handle det bedste/billigste sted.
Det er oplagt at feks. nærværende sted fungerer ved visning af reklamer.
Det er mindre oplagt at de også sælger oplysninger om brugerne, og DET burde kræve speciel accept/tilladelse.
Det er absolut ikke oplagt, at der sælges oplysninger om brugernes færden og opsætning, fordi man vil undersøge egenskaber og pris på et produkt i en WEB-butik.
Det er indsamling og videregivelse af oplysninger, som er vigtige - ikke hvilken teknologi der bruges.

Christian Nobel

Jeg ønsker bare transperans, så jeg kan handle det bedste/billigste sted.
Det er oplagt at feks. nærværende sted fungerer ved visning af reklamer.
Det er mindre oplagt at de også sælger oplysninger om brugerne, og DET burde kræve speciel accept/tilladelse.

Ville det så ikke være mere reelt at der blev stillet krav om at en side meldte rent ud:

Vi får penge af trediepart ved at videregive oplysninger om din færden på vores side - dette gør at vi kan sælge vores varer billigere (eller du kan læse nærværende pamflet "gratis").
Hvis du vil acceptere dette, klik ja for at fortsætte.

Kim Sørensen

hvis du øger prisen med bare en øre, så går alle dine kunder

Jeg har ikke skrevet noget om at hæve prisen. Jeg har hele tiden henvist til forøgelse af indtægten.
Mon ikke debatten ville være betydeligt sjovere og berigende for alle parter, hvis jeres udgangspunkt ikke var at jeg er komplet idiot? ;)

Man kan faktisk godt afholde en nutidig udgift i forventningen om fremtidige reducerede omkostninger. Det hedder 'investering'

Det er jeg naturligvis godt klar over og har heller aldrig påstået andet. Du behøver ikke tale ned til folk, for at få ret.

Diskussionen startede med Gert skrev, at virksomhederne tørrede regningen af for dataindsamling på sine kunder, fordi de var for nærige. I den forbindelse spurgte jeg dig så, hvor han ellers havde tænkt sig, at virksomhederne skulle hente midlerne til at dække forskellige udgifter.

Gert Madsen

Diskussionen startede med Gert skrev, at virksomhederne tørrede regningen af for dataindsamling på sine kunder, fordi de var for nærige


Ja, når man forsøger at skjule prisen for sin service, ved at sælge kundernes oplysninger bag om deres ryg, så er det tilfældet.
I bund og grund er det denne meget tvivlsomme forretningspraksis, som er årsag til at politikerne har fundet det nødvendigt at lave et cookie-direktiv.

Så vidt jeg kan læse, forsøger du så at strække det ud over almindelig hæderlig forretningspraksis. Det må så stå for din egen regning.

Kim Sørensen

Jeg ønsker bare transperans, så jeg kan handle det bedste/billigste sted

Det synes jeg også er et rimeligt ønske og derfor forsøger jeg også at være så gennemsigtig som mulig i forbindelse med min egen shop.
Men samtidig må jeg jo også notere mig, at det langt fra er nemt, måske endda umuligt, at drive en virksomhed på internettet, der er 100% gennemsigtig i forhold til dataindsamling.
Jeg har som sagt slået alt datadeling fra i min Analytics konto, ligesom jeg i øvrigt også har i min shops back end. Men jeg benytter mig jo samtidig af annoncer på bl.a. Facebook og Googler, der fungerer ved brug af indsamlede data om brugerne på de forskellige services. Det er altså begrænset hvor mange data jeg selv indsamler og jeg videresælger/deler ingen af de indsamlede data. Men jeg køber i princippet selv data - jeg benytter i hvert fald services, der fungerer ved hjælp af indsamlede data. Så det er ikke for at spille hellig.
Jeg har bare svært ved at se det konstruktive eller de realistiske løsningsforslag i den debat der foregår om emnet.

Det er mindre oplagt at de også sælger oplysninger om brugerne, og DET burde kræve speciel accept/tilladelse

Helt enig. Men hvordan forestiller du dig det skal foregå i praksis? Og det er ikke et retorisk (eller flabet) spørgsmål. Jeg har en oprigtig interesse i at finde en realistisk løsning, der gør det muligt at drive virksomhed på internettet, uden man behøver være afhængig af services eller teknologi, der konstant (og ofte med rette) bliver mistænkeliggjort.
Jeg har bare ikke set de realistiske løsningsforslag og det synes jeg egentlig er dybt frustrerende. For det virker jo lidt for nemt, at sidde og sige praktisk talt alle virksomheder på internettet er nogle idioter, fordi de ikke benytter sig af en eller anden åbenlys løsning man selv har lavet 1000 gange hjemme i kælderen, når man ikke kan pege på et eneste eksempel på en virksomhed på internettet, der gør tingene rigtigt.

Det er absolut ikke oplagt, at der sælges oplysninger om brugernes færden og opsætning, fordi man vil undersøge egenskaber og pris på et produkt i en WEB-butik

Enig. Spørgsmålet er jo bare, hvordan man så løser det problem?
Website-ejerne har et reelt behov for dataindsamling og analyse af trafikken på deres sider. Så vi skal jo finde en løsning, der gør dét muligt, samtidig med den (så vidt muligt) tilfredsstiller brugernes og interesseorganisationernes krav til privacy. Og i den forbindelse synes jeg ikke det er et seriøst løsningsforslag, at website-ejerne bare vælger en anden udbyder end Google til deres dataindsamlingsaktiviteter. For vi kan jo ikke vide, om de øvrige udbydere er mere troværdige og respektfulde i forhold til brugernes privacy end Google. Og i yderste konsekvens risikerer vi, at gøre situationen endnu mere uoverskuelig og ugennemsigtig for den enkelte bruger, hvis de skal forholde sig til en ny udbyder og ny metode til dataindsamling, hver gang de klikker sig ind på et site.

Det er indsamling og videregivelse af oplysninger, som er vigtige - ikke hvilken teknologi der bruges

Jeg er helt enig. Derfor mener jeg også man må tage den der med den cookie-løse webshop af bordet. Det er en super interessant diskussion og på et tidspunkt kan det da meget vel også være en realistisk løsning. P.t. er det bare dybt urealistisk for langt de fleste, at drive deres sites uden brug af cookies. Så hvis vi skal have en seriøs debat om emnet, kunne man måske opfordre folk til at være lidt mere imødekommende, i stedet for at insinuere alle der benytter cookies er NSA's småtbegavede nyttige idioter?

Kim Sørensen

Ja, når man forsøger at skjule prisen for sin service, ved at sælge kundernes oplysninger bag om deres ryg, så er det tilfældet

Det er vi fuldstændigt enige i.
Spørgsmålet er bare, hvad alternativet er?
Virksomheden kan i princippet godt gå ud og investere i en skræddersyet løsning. I forhold til lave priser, er efterspørgslen efter webshops, der drives uden brug af GA, så bare praktisk talt lig nul.
Derfor er spørgsmålet jo, hvis kunderne ikke vil betale for den service, hvad er alternativet så?
Endvidere kan man jo også spørge, hvis der ikke er penge i skidtet, hvorfor skal så virksomhederne så være forpligtede til at bekymre sig om det?
Sandheden er jo, at uanset hvor forargede folk sidder og er, og uanset hvor meget interesseorganisationerne råber vagt i gevær, så efterspørger kunderne ganske enkelt ikke det her. Og det er ikke en stillingtagen til det normative. Det er bare en simpel konklusion.

I bund og grund er det denne meget tvivlsomme forretningspraksis, som er årsag til at politikerne har fundet det nødvendigt at lave et cookie-direktiv

Det handler nok mere om man forsøger at sende et signal om, hvor meget man bekymrer sig om borgernes privacy-rettigheder, samtidig med man så indfører andre (fuldstændigt modstridende) initiativer, der tillader større overvågning og logning. Ligesom når tryllekunstneren står og vifter med en tryllestav med den ene hånd, mens han fisker Spar Es ud af ærmet med den anden :)
Men ja, det er en tvivlsom forretningspraksis og det er selvfølgelig den nominelle årsag til cookie-direktivet.

Så vidt jeg kan læse, forsøger du så at strække det ud over almindelig hæderlig forretningspraksis. Det må så stå for din egen regning

Overhovedet ikke. Jeg forsøger bare, at minde folk om der altså ikke er noget odiøst i, at virksomhederne forsøger at tjene penge.
Forbrugerne og borgerne har selvfølgelig nogle fuldstændigt rimelige interesser i forhold til sikringen af deres ret til privatliv, som nogle gange er i modstrid med visse virksomheders praksis. Men det er altså useriøst, at trække begreber som nærighed ind i diskussionen. Succesfulde virksomheder er per definition nærige, det er jo bare det vi normalt kalder profitable.
Hvis vi skal have en seriøs debat og i øvrigt ruste forbrugerne bedre til det digitale liv, bliver vi altså også nødt til at forholde os seriøst til tingene. Og i den forbindelse synes jeg godt man kan forvente, at folk indser man ikke kan opretholde en fuldstændigt uigennemtrængelig firewall mellem virksomheden og forbrugerens færden på internettet. I hvert fald ikke, hvis man samtidig forventer virksomheden skal være profitabel, billigere end konkurrenterne, lettilgængelig (og konstant tilgængelig) og have de varer man efterspørger, lige nu og her.

Gert Madsen

så efterspørger kunderne ganske enkelt ikke det her


Helt ærligt. Det kan da ikke være en betingelse for at handle på nettet at man ved, og forstår hvad Google Analytics er. Så det mener jeg ikke man kan bruge som målestok.

Problemet er, at man meget længe har undladt at forholde sig til at der foregår ting og sager på nettet, som man aldrig ville acceptere i en fysisk butik.
Derfor har der udviklet sig en praksis, som jeg mener reelt er syg.
Det betyder også at det er meget svært at have en "ærlig" WEB-butik, da de "tvivlsomme" metoder er blevet normalen.

Men, Kim. Du kan jo forsøge at bruge det aktivt i din markedsføring, placere det øverst i Cookie-teksten at du ikke viderebefordrer oplysninger etc.
Det vil klart være et mindretal der opdager det, men brug det da.

Og så synes jeg at påstanden om "forbedrede oplevelser" etc., der bruges i de fleste cookie-tekster, ofte er noget tynd.
Jeg kan i hvert fald konstatere at der er nogle WEB-butikker, og i særdeleshed nogle ikke-kommercielle WEB-sider, der bærer præg af at GA i hvert fald ikke bruges til nogen som helst forbedring af oplevelsen.
Det er jo heller ikke sådan at man i fysiske butikker har tingene stående helt tilfældigt, fordi man ikke har nogen GA.

Jeg mener at det er helt urimeligt besværligt at have lidt privacy på nettet. Og det er nødvendigt at stramme reglerne på højt niveau, som netop EU. Ellers får man ikke flyttet Google og Facebook. Og ja, det kan nok ikke gøres uden konsekvenser for den enkelte butik.

Kim, jeg vil ikke stå på mål for din definition af nærighed.
Jeg mener at det er negativt, når man forsøger at tjene penge på noget andet end det man påstår at være sat i verden for. Derfor nærigt.
Noget tilsvarende skete blandt de "gamle" forretninger, da den forrige borgerlige regering afskaffede kravet om at gebyrer skulle være omkostningsbestemt.
Det betød at et brev, der typisk kostede 1 kr. + porto, pludselig betød en opkrævning af kr. 49,-.
Man kunne også se at der var visse firmaer, som, fra den ene dag til den anden, blev ude af stand til at lægge 2 faktura-beløb sammen. Således at man kunne opkræve 2 gebyrer i stedet for 1.
Du kan kalde det profitabel alt det du vil. Jeg synes det er nærigt.

Kim Sørensen

Det kan da ikke være en betingelse for at handle på nettet at man ved, og forstår hvad Google Analytics er

Hvorfor ikke det?
Der er selvfølgelig ikke nogen, der forventer folk skal have et dybere fagligt kendskab til de her ting. Men jeg synes da sagtens man kan forvente, at internetbrugerne bliver sat ind i de grundlæggende koncepter.
Børnene i landets folkeskoler bliver i forvejen undervist i hvordan man læser en avis, formelregning og alt muligt andet. Hvorfor skulle vi så ikke også kunne undervise dem i hvordan de beskytter deres personlige oplysninger og hvordan virksomhederne på internettet indsamler data?

Problemet er, at man meget længe har undladt at forholde sig til at der foregår ting og sager på nettet, som man aldrig ville acceptere i en fysisk butik

Problemet er, at I seriøst tror de her ting kun foregår på internettet.
Det er ikke et forsvar af noget som helst eller et forsøg på at negligere de privacy issues der reelt er. Men tror I virkelig ikke, der foregår massiv dataindsamling og handel med data ude i de fysiske butikker?
Men jeg er som sagt fuldstændigt enig i, der er reelle problemer og bekymringer, som skal tages alvorligt i forhold til virksomhedernes overvågning på internettet. Man er bare hamrende naiv, hvis man tror det her kun er noget, der foregår på internettet og at virksomhederne i øvrigt bare kan være lidt mindre nærige og så lade være med at indsamle/analysere data om deres eksisterende og potentielle kunder.

Det betyder også at det er meget svært at have en "ærlig" WEB-butik, da de "tvivlsomme" metoder er blevet normalen

Nemlig. Og det er det, jeg mener er det reelle problem. Forbrugerne er enten uvidende eller også er de bare ligeglade med det her, og der ligger hunden begravet. Hvis der rent faktisk var penge i at drive den mest ærlige virksomhed på internettet, der indsamler og behandler mindst data om brugerne, ville situationen jo være en helt anden.
Men det er jo også derfor, vi bliver nødt til at være realistiske og løsningsorienterede i debatten om det her.

Du kan jo forsøge at bruge det aktivt i din markedsføring, placere det øverst i Cookie-teksten at du ikke viderebefordrer oplysninger etc

Tak for tippet :)
Men hvorfor i alverden skulle jeg dog gøre det? Det er jo svært nok i forvejen, at være the good guy og informere brugerne om hvad der egentlig foregår. Selvom folk skal godkende handelsbetingelserne inden køb, kan jeg se det kun er 30-40% af kunderne, der overhovedet går ind og kigger på dem. Og så er der jo også hele SEO-perspektivet. Jeg smasker allerede min cookie-notifikation ind i en kæmpe blok i toppen af siden, så folk ikke kan undgå at se den og det er jo ikke ligefrem noget Google er fan af, da det i princippet skubber indlæsningen af hvad vores i Mountain View mener er the good stuff.
Så jeg kan desværre ikke se nogen grund til at møde mine brugere med en wall of text, bare for hyggens skyld. Brugerne er åbenlyst uinteresserede i det "tilbud" og man risikerer at blive "straffet" af Google for at gøre det.

Og så synes jeg at påstanden om "forbedrede oplevelser" etc., der bruges i de fleste cookie-tekster, ofte er noget tynd

Tjo, det kan jeg et eller andet sted godt følge dig i. Personligt vil jeg da mene, det er en "forbedret oplevelse", at f.eks. indkøbskurven fungerer i en webshop. Men det er da klart, at virksomhederne fyrer en masse "salgssnak" af, når de kommunikerer til brugerne om den slags. Det synes jeg så bare ikke man kan klandre virksomhederne for, når reglerne på området er lavet helt bevidst, med plads til bred fortolkning.
Løsningen kunne så måske være, at man indførte krav om standardiserede tekster. Men den løsning er jo heller ikke uden problemer.
Først og fremmest ville det være en praktisk talt umulig opgave, at håndhæve reglerne på området. Det ville i hvert fald kræve, man satte en kæmpe bunke skattekroner af til projektet og er skatteyderne virkeligt villige til at betale for det gilde?
Dernæst skal man jo også huske på, at pladsen til fortolkning også er indbygget af hensyn til brugerne/forbrugerne. I den slags regler og love (markedsføringsloven, cookie-direktivet osv.) er der jo typisk et lag af etik eller skik. Dvs. der ud over de formelle krav også er krav om virksomhederne skal opføre sig ordentligt og tvivlsomme forretningsmetoder i princippet altid kan udfordres af en domstol eller andre myndigheder, i stedet for at kunne gemme sig bag teknikaliteter. Hvilket jeg synes er en vigtig og grundlæggende del af vores forbrugerbeskyttelse, som ville være en skam at miste, hvis man gør reglerne alt for rigide.

Det er jo heller ikke sådan at man i fysiske butikker har tingene stående helt tilfældigt, fordi man ikke har nogen GA

Nej, men du skal altså være mere end almindelig naiv, hvis du tror indretningen af fysiske butikker udelukkende foregår ved de ansatte gætter sig frem i blinde. Der foregår massiv indsamling og analyse af data om kunderne i de fysiske butikker, og det er sådan set noget man har gjort i næsten et århundrede. Så det er altså hverken unikt for internettet eller noget, Google har opfundet.
Prøv f.eks. at læse denne artikel:
http://politiken.dk/oekonomi/ECE75896/penge-i-at-tjekke-skraldeposer/

Jeg mener at det er helt urimeligt besværligt at have lidt privacy på nettet. Og det er nødvendigt at stramme reglerne på højt niveau, som netop EU. Ellers får man ikke flyttet Google og Facebook. Og ja, det kan nok ikke gøres uden konsekvenser for den enkelte butik

Og det er for så vidt også en ærlig holdning. Spørgsmålet er bare, hvor du vil lægge ansvaret for det henne?
Virksomhederne skal selvfølgelig ikke bare have frit spil og brugerne har naturligvis ret til at vide, hvilke data der indsamles og hvordan de bruges. Og så vidt muligt, også selv bestemme om de vil deltage i den dataindsamling eller ej. Men spørgsmålet er jo, om I rent faktisk vil løse problemet eller bare pudse glorien og more jer over hvor torskedumme alle website-ejerne er, fordi de ikke lige selv udvikler den der helt åbenlyse teknologi, nogen af jer har bygget hjemme i kælderen?
Hvis man reelt vil beskytte internetbrugernes privatliv, mener jeg helt klart man bør starte med at uddanne dem bedre. Man kan mene hvad man vil om virksomheder og andre på internettet. Det er bare at stikke blår i øjnene på folk, at lægge hele ansvaret for brugernes privatliv over på skuldrene af en eller anden tilfældig webshop, der sælger powerbanks eller billige sneakers.
Derudover kunne man jo også fokusere på at bygge privacy ind i de værktøjer, brugerne benytter til at gå på nettet med.

Jeg mener at det er negativt, når man forsøger at tjene penge på noget andet end det man påstår at være sat i verden for. Derfor nærigt

Jeg synes ikke det er nærigt, men uærligt. Det gør så ikke nødvendigvis tingene bedre. Men hvis den moderne forbruger skal være i stand til at beskytte sine egne interesser (herunder sit privatliv), må vi altså også være voksne nok til at erkende, at virksomhederne selvfølgelig forsøger at tjene så mange penge som muligt og der i øvrigt ikke er noget bemærkelsesværdigt i det.
Det er jo ikke fordi ejerne af Netto er nogle flinke fyre eller fordi ejerne af Irma er mere nærige (eller grådige), at Netto er det billigste supermarked af de to. Det er fordi Netto driver deres forretning på en anden måde end Irma. Ligesom internetbutikken, der sælger mærkevarer billigere end de fysiske butikker, driver sin virksomhed på en anden måde end de fysiske konkurrenter. Det synes jeg godt man kan forvente, at forbrugerne forstår, i stedet for at ævle løs om hvordan der findes nærige virksomheder.

Det betød at et brev, der typisk kostede 1 kr. + porto, pludselig betød en opkrævning af kr. 49,-.
Man kunne også se at der var visse firmaer, som, fra den ene dag til den anden, blev ude af stand til at lægge 2 faktura-beløb sammen. Således at man kunne opkræve 2 gebyrer i stedet for 1.
Du kan kalde det profitabel alt det du vil. Jeg synes det er nærigt

Jeg synes som sagt ikke det er nærigt. Jeg synes det er grådigt og det kan både være godt og skidt. Når grådigheden betyder, at man direkte udnytter bestemte kunder eller sin magtposition på markedet, er det bestemt en dårlig ting. Men bortset fra det, synes jeg ærligt talt det er useriøst, at klandre virksomheder for at være grådige eller nærige. Der er sgu ikke nogen, der brokker sig, hvis en virksomhed viser sin grådighed ved at underbyde konkurrenterne - det er da lidt spøjst, synes du ikke?
Men det er da fair nok, hvis du ønsker et socialistisk samfund, hvor hvor produktion og priser bestemmes af partiapparatet. Det ønsker jeg så bare ikke og derfor har jeg svært ved at tage det seriøst, når folk kritiserer virksomhederne for at ville optimere deres profit. Man kan (og bør) sagtens kritisere visse forretningsmetoder. Men udgangspunktet for forbrugere og borgere generelt må altså være, at virksomhederne ikke er der for forbrugernes blå øjnes skyld. Uanset om en virksomhed sælger økologisk fairtrade-kaffe fra en lille trækvogn i vejkanten eller om den sælger discount-kaffe gennem en webshop, handler det først og fremmest om at tjene penge. Det synes jeg godt man som virksomhed kan tillade sig at antage, at forbrugeren er bevidst om. Og hvis forbrugeren så har et principielt problem med cookies eller GA, vil virksomheden med den lille trækvogn jo hellere end gerne sælge dem et pund lækker kaffe.

Gert Madsen

Men udgangspunktet for forbrugere og borgere generelt må altså være, at virksomhederne ikke er der for forbrugernes blå øjnes skyld.


Samfundet og borgerne kan være ligeglad med din selvforståelse.
Du kunne med fordel sætte dig lidt ind i hvad de forskellige samfundsformer indebærer.
Og så skriver jeg åbenbart totalt uforståeligt, siden du i den grad kan svare i vest, når jeg spørger i øst.

Kim Sørensen

Gert

Nu er det jo ikke min selvforståelse. Det er en, i øvrigt ganske ukontroversiel, forståelse af hvordan et kapitalistisk samfund og de frie markedskræfter fungerer.
Det kan forbrugerne så godt være ligeglade med. Men hvis de rent faktisk ønsker, at deres interesser bliver varetaget, kan de jo ikke bare trække på skuldrene og antage, der nok er nogen som tager sig af alt for dem.
Og hvad er det i øvrigt du spørger om? Jeg giver dig ikke ubetinget ret i alle dine påstande, det har du ganske rigtigt spottet. Men det betyder altså hverken, at jeg er uvidende eller bevidst forsøger at tale udenom. Vi er bare uenige og det må du så lære at leve med.

Kim Sørensen

Gert

Og her kan jeg jo så følge op med at stille dig et spørgsmål.

Hvordan ville du, som forbruger og internetbruger, foreslå, at en webshop skal drive sin virksomhed, så den både er konkurrencedygtig og leverer et acceptabelt niveau af såvel respekt for brugernes privatliv som oplysning omkring hvordan websitet teknisk fungerer?
Det er jo det, der er det centrale. Omend virksomhederne først og fremmest driver virksomhed for at skabe profit er der jo ingen, der er interesseret i at træde brugerne over tæerne, bare for at træde dem over tæerne. Jeg har i hvert fald selv en helt ærlig interesse i at drive min lille virksomhed så on the up-and-up som muligt. Både fordi jeg tror det er en rigtigt fornuftig (læs: profitabel) forretningsmodel på den lange bane og fordi jeg gerne vil kunne være stolt over det jeg render rundt og foretager mig.

Baldur Norddahl

Eksempel på cookieløs webshop: http://gigabit.dk

Det er godt nok ikke en webshop i traditionel forstand, men rent teknisk er der ikke nogen forskel på at huske adressen fra en side til den næste og på at huske indholdet i en indkøbskurv. Siden indeholder tilmed en betalingsdel med kreditkort.

Kim Sørensen

rent teknisk er der ikke nogen forskel på at huske adressen fra en side til den næste og på at huske indholdet i en indkøbskurv

I princippet ikke. Men det er så heller ikke det den side gør. Nu er vi godt nok alle enige om, at jeg bare er sådan en neandertalmand, hvis tekniske viden kun lige akkurat strækker sig til at binde mine egne snørebånd. Men umiddelbart ser det jo ud til de første skridt bare består af at brugeren laver opslag i sitets database, hvorefter man så indsender sine kontaktinformationer via en simpel kontaktformular - siden husker ikke noget som helst og hvis du genindlæser siden ryger du tilbage til første trin.
Så jeg mener overhovedet ikke man kan sammenligne den sides funktionalitet med f.eks. en webshops indkøbskurvfunktion.

Baldur Norddahl

Men umiddelbart ser det jo ud til de første skridt bare består af at brugeren laver opslag i sitets database, hvorefter man så indsender sine kontaktinformationer via en simpel kontaktformular

Du tager fejl. Der er absolut intet der bliver overført til serveren før at man går til kreditkort betaling.

Der er fire trin som foregår på fire "sider":

Trin 1: Du indtaster et vejnavn og postnummer
Trin 2: Du vælger en adresse ud fra en liste
Trin 3: Du udfylder en formular
Trin 4: Du betaler

Alt hvad du taster og gør i trin 1 til 3 bliver først overført til serveren i det øjeblik du trykker betal og dermed går videre til trin 4.

Forskellen til en webshop er beskeden. En webshop har de samme trin. Blot er "trin 3" lidt mere avanceret og anderledes idet den typisk består af en indkøbskurv, hvor varen her blot vælges fra en drop down (100 eller 1000 Mbit/s).

Ja du starter forfra hvis du reloader siden. Det gør du netop fordi der ikke er nogen cookies og serveren har nul information om din "session" (fordi ingen session eksisterer). Men det er faktisk muligt at implementere et system der også kan huske på tværs af besøg, stadig uden at overføre cookies til serveren. Det kan gøres med et data storage api i JavaScript eller med en cookie - men en cookie der aldrig overføres til serveren.

Hvordan virker det så? Faktisk ret simpelt - det er bare JavaScript. State bliver ikke gemt i cookies eller på serveren. I stedet er state gemt i helt almindelige JavaScript variabler. Det er et program der kører i browseren. Der er ingen grænser for hvor avanceret det kan blive, se blot eksempelvis GMail som er en temmelig avanceret JavaScript applikation.

Adressesøgningen er et REST lignende API som klienten gør brug af. Serveren kan naturligvis se at nogen har søgt på en bestemt adresse, da den returnerer svarene. Men den husker ikke nogen state. Det er glemt med det samme igen og bliver rent faktisk ikke engang logget.

Mellem trin 1 og trin 2 er der et kald til adresse API'et. Men der er ingen kommunikation med serveren mellem trin 2 og trin 3. Tjek selv... Konsekvensen er at vi faktisk ikke server side kan se hvilken eksakt adresse der er blevet søgt på hvis ikke brugeren går videre til betalingssiden. Om man så synes det er en fordel er en anden snak - der er jo en del der mener at man bør kigge kunderne lidt over skulderen for at analysere købsmønstre etc.

Den nuværende gigabit.dk er en såkaldt single page app (SPA). Den næste udgave bliver lidt mere traditionel af hensyn til søgemaskinerne. Men det bliver stadig uden cookies. Jeg ser ikke rigtigt nogen grund til at lave andet end API'er på serveren.

Kim Sørensen

Baldur

Ja, selvfølgelig tager jeg fuldstændig fejl :)
Men er vi enige om siden ikke fungerer som en webshop, dersom den ikke "husker" indholdet af "kurven"?
Ved du hvad, bare glem det. Jeg skal ikke forstyrre mere.

Baldur Norddahl

Men er vi enige om siden ikke fungerer som en webshop, dersom den ikke "husker" indholdet af "kurven"?

Den husker adressen, hvilket er præcis den samme udfordring programmeringsmæssigt. Eller er vi ude i at du mener der er forskel på en variabel der indeholder en adresse og en variabel der indeholder et produktnummer?

Jeg skrev at det ikke var en webshop i traditionel forstand. Det er en demonstration af hvordan du implementerer et cookie løst system og et system der faktisk er i drift.

Næste udgave bliver i øvrigt en webshop da vi også sælger routere og kabler.

Hvis der er mere du er i tvivl om, så må du endelig spørge.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen