Cookie-ministeriet fortolker egen bekendtgørelse stramt: »Kønt er det ikke«

Erhvervs- og vækstministeriets hjemmeside beder i et stort banner på forsiden om brugerens accept af, at siden placerer cookies på harddisken.

Da Erhvervs- og Vækstministeriet i onsdags offentliggjorde cookie-bekendtgørelsen, var det selv klar med en løsning. Erhvervs- og Vækstministeriet har valgt at tolke sin egen bekendtgørelse om cookies meget stramt. Ministeriet har valgt at tolke begrebet "aktivt samtykke" som, at den besøgende aktivt skal klikke på en knap for at acceptere, at der placeres cookies.

Læs også: Her er de nye cookieregler: Sådan skal du gøre

I bekendtgørelsen fremgår det, hvordan hjemmesideejere skal oplyse besøgende omkring brugen af cookies samt oplyse om, hvorfor cookies benyttes og hvordan man kan fjerne eventuelle cookies. Ministeriet løsning indebærer, at der i toppen af hjemmesiden er en bjælke, der oplyser omkring brugen af cookies. Først når den besøgende har accepteret, at der placeres cookies, bliver der rent faktisk placeret en cookie.

Men det betyder også, at de cookies, ministeriet tidligere kunne bruge til at køre statistik over siden ikke længere er der på brugernes computere, med mindre de altså accepterer cookies. Med andre ord skal besøgende altså acceptere, at der placeres cookies på computeren udelukkende for at ministeriet kan lave besøgsstatistik.

»Vi har implementeret løsningen så nemt og diskret som muligt. Det er ikke kønt, men det er det mest diskrete, vi kunne finde på. Vi har en enkel hjemmeside og bruger kun cookies til webstatistik,« siger Malene Jørgensen til Version2 og fortsætter:

»Det går nok voldsomt ud over den statistik, vi fremover vil lave. Jeg går ikke ud fra, der er vildt mange, der accepterer, at der placeres cookies udelukkende for statistik, for de får ikke noget ud af det.«

Malene Jørgensen erkender, at de ikke har en reel chance for at se, hvor mange, der bruger hjemmesiden. Derfor må de gå ud fra, at der er flere brugere, end statistikken viser.

Det gode forbillede

Når det ministerium, der selv har udstukket reglerne tolker dem meget stramt, risikerer man at sende et signal om, at det er sådan, reglerne skal tolkes. Men det er Malene Jørgensen ikke bange for.

»Vi ville gerne gøre det grundigt, fordi vi som den danske telemyndighed har ressortområdet. Derfor var det vigtigt, at vi var klar med en løsning fra starten, og så var det let at lave,« siger Malene Jørgensen til Version2 og fortsætter:

»Folk må hjertens gerne lade sig inspirere. Men der bliver lagt op til fri fortolkning i både bekendtgørelsen og vejledningen, så det er ikke noget, jeg er så bekymret for andre vil se som en definition på reglerne. Vi har tolket det på denne her måde, og andre kan tolke det på en anden måde afhængig af deres side.«

En uges arbejde for at overholde reglerne

Arbejdet har taget tre-fire medarbejdere en uges tid at lave, oplyser Malene Jørgensen. Koden er udviklet af det firma, der har leveret hjemmesiden til Erhvervs- og Vækstministeriet. Hjemmesiden kører på CMS’et Sitecore, som en lang række andre ministerier også benytter.

Når I nu har betalt for at få løsningen udviklet, er det så noget, de andre ministerier må benytte sig af, hvis det kan bruges?

»De andre ministerier skal være velkomne. Det er os, der ejer koden, og den deler vi gerne, og vi hjælper også gerne med sparring.«

Da ministeriet skulle implementere reglerne, måtte det nøje overveje behovet for de enkelte cookies, fortæller Malene Jørgensen.

På evm.dk oplyses det, at der placeres tre former for cookies fra henholdsvis Sitecore, Google Analytics og så en EVM-cookie, der har til formål at registrere, at man har sagt god for cookies.

»Vi kunne jo ikke placere en cookie hos dem, der ikke ønsker cookies, som fortæller systemet, at de ikke ønsker cookies fra Google Analytics. Så ville de jo få en cookie for ikke at ville have cookies. Derfor valgte vi at lave en EVM-cookie, så systemet kan se, at der må placeres yderligere cookies,« siger Malene Jørgensen til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Randstoft

Vi har her at gøre med en lovgivning, om en teknologi, nogen få misbruger, mens langt de fleste bruger den fornuftigt. Det er selvfølgelig (og som sædvanlig) en lovgivning der er håbløst bagefter, idet cookies er på vej ud, erstattet af html5 storage, der snart er tilgængeligt alle steder, hvordan de så vil takle dette kan vi jo kun se på med gru...

Løsningen er selvfølgelig også voldsomt uhensigstmæssig i det dem, der misbruger systemet i dag ikke per se er underlagt, facebook følger ikke bare denne lovgivning, måske efter en lang udtrukken retssag, en ting som mindre virksomheder ikke har råd til, så i stedet for at gøre systemet bedre, laver man blot en højere entry til markedet.

Hvis ikke det var så tragisk for os der skal leve med resultaterne, at se politikerne famle rundt i teknologiland uden viden og mål, ville det være ret komisk.

  • 2
  • 1
Peter Favrholdt

Vi har brug for en lovgivning om privatlivets fred på nettet. I stedet fik vi en cookie-lov der giver indtryk af at brugeren selv er ansvarlig.

Jeg har ikke noget problem med at en hjemmeside lagrer oplysninger i form af cookies på MIN COMPUTER - disse kan jeg nemlig se, slette, eller helt afvise (hvis jeg har lyst). Det er langt værre at der hele tiden gemmes oplysninger PÅ SERVERNE om min færden på nettet - disse oplysninger har jeg ikke indsigt i og heller ikke mulighed for at slette. At man afviser cookies forhindrer ikke at der gemmes oplysninger på serveren.

En bedre løsning havde været at lovgive om sporing/samkøring af oplysninger om hvilke hjemmesider vi benytter. Der burde være meget strenge krav til f.eks. Google om opbevaring (og forbud mod udlevering - også til efterretningstjenester) af loggede data (f.eks. fra Google Analytics).

I stedet har man med cookie-loven "vasket hænder" ved at lægge et ligegyldigt spørgsmål om cookies ud til brugerne (der er nødt til at klikke ja hele tiden for at kunne bruge Internettet).

Gemmer en hjemmeside en cookie er det (normalt) kun denne server der har adgang til at læse den igen. Problemet med sporing opstår f.eks. pga. indlejrede reklamer (der leveres fra de samme servere uanset hvilken hjemmeside man benytter). Det giver reklame-firmaerne mulighed for at spore folks færden (og derved tilpasse reklamerne til den enkelte bruger - hvilket egentlig ikke er en dårlig ting og meget væsentligt for reklame-firmaernes forretning). Problemet er når/hvis andre kan få fat I oplysningerne og bruge dem til formål der går ud over at målrette annoncering. Det er så her at lovgivning kunne have hjulpet - man kunne kræve af firmaerne at de anonymiserer data (så godt det kan lade sig gøre) og i øvrigt behandler disse data som de bør: som private og fortrolige data (der ikke må sælges videre/udleveres).

Der er jo mange andre måder at spore folk på end ved at lagre en cookie på deres computer - f.eks. kan man bruge en kombination af Useragent, Ip-adresse, skærm-størrelse...

Og vil man vide hvilke sites brugeren har besøgt tidligere kan man bruge javascript/css (til at se hvilke links der ligger i browserens historik).

Hvornår får vi en lovgivning der beskytter os i stedet for et ligegyldigt (og besværligt) forsøg på et "teknisk fix"?

  • 9
  • 0
Michael N. Jensen

"Malene Jørgensen erkender, at de ikke har en reel chance for at se, hvor mange, der bruger hjemmesiden. Derfor må de gå ud fra, at der er flere brugere, end statistikken viser."

Kender ingen almindelig brugt webserver software, der ikke kan genere ganske almindelig log filer, og det ud anset om brugeren har accepteret cookies eller ej.

  • 8
  • 2
Flemming Bach

@Michael:
Kan godt følge dig omkring statistik.
Google Analytics og lignende er ikke nødvendige for at få statistik, man skal bare kigge i loggen på serveren.
Så de har vel en aftale med deres hosting om adgang til at lave datamining på loggen, så de mister ikke noget.
Google Analytics og lignende er kun for marketingsfolk, som vil vide, hvor brugerne kom fra og gik hen.
Alt andet statistik kan findes i loggen, hvis man har sat det rigtig op.

  • 2
  • 1
Mark S. Rasmussen

Med log filen kan du tælle ip adresser og hits, men med NAT siger det ikke noget om antallet af brugere. Der har du brug for en cookie for at genkende browseren.

Under forudsætning af at session cookies bliver benyttet uanset brugerens valg (såvidt jeg fortolker lovteksten så er de undtaget jvf. §4 stk. 2), så kan du vel stadig tracke sessions på trods af NAT.

  • 3
  • 0
Claus Pedersen

Med logparser statistik kan du også sagtens se hvor folk kom fra og hvor de går hen.
De eneste ting du ikke kan se er information om klienten som ikke bliger sendt med. Dvs. primært skærmopløsning og tilsvarende.
Du kan godt se hvilken browser der er brugt.

Det største problem er at der ikke er så mange log statistik værktøjer der kan konkurrere med Google Analystics på pris (hvis man ser bort fra den pris som brugeren betaler i form af central logning).
De store systemer som Webtrends og Omniture koster en arm.

Med log analyse får man også en anden fordel, nemlig at man kan måle besøg fra brugere der ikke understøtter javascript. Dette vil primært være søgemaskine robotter.

  • 0
  • 0
Nikolaj Andresen

Så vidt jeg forstår er session cookies undtaget hvis de er nødvendige for normal brug af sitet, fx til at binde en indkøbskurv til besøget. Hvis man samtidig benytter session cookie til statistik så skal brugeren godkende det.

Kan man forresten ikke omgå direktivet ved at indsætte session id i samtlige URL'er på sit site og så benytte dette til statistik?

  • 0
  • 0
Claus Pedersen

Jo, man kunne godt indsætte sessionid i url, men det ville medføre nogle andre problemer.
Bl.a. duplicate content i søgemaskiner og nemmere mulighed for at overtage andres sessioner hvis man ikke passer på.

  • 0
  • 0
Mark S. Rasmussen

Kan man forresten ikke omgå direktivet ved at indsætte session id i samtlige URL'er på sit site og så benytte dette til statistik?

Jo, omend det vil være en større teknisk udfordring for en del systemer.

Bl.a. duplicate content i søgemaskiner og nemmere mulighed for at overtage andres sessioner hvis man ikke passer på.

Risikoen for at få overtaget sin session er vel ikke større end ved en cookiebaseret løsning - begge kan modificeres direkte, samt evt. udnytte en simpel kryptering for at binde en session til en valid IP.

  • 0
  • 0
Mark S. Rasmussen

Jeg mener ikke at det kan tolkes som at session cookies er undtaget. Desværre.

FDIHs vejledning lægger ellers også op til at session cookies er undtaget:

Undtagelsesbestemmelsen i § 4, stk. 1, nr. 2, finder eksempelvis anvendelse i forbindelse med brugen af elektroniske indkøbskurve i webshops, hvor det er nødvendigt at kunne genkende brugeren på tværs af sideskift (genindlæsninger af webshoppen), da indkøbskurven ellers vil være tom ved visning af en ny side. Lagring af fx en cookie eller lignende teknologi er dermed en teknisk forudsætning for at kunne levere den tjeneste (e-handel), som brugeren udtrykkeligt har anmodet om (tilgået webshoppen og lagt varer i indkøbskurven). Indkøbskurven fungerer desuden i overensstemmelse med det formål (at købe varer), med hvilket brugeren tilgår webshoppen.

Lignende tjenester (eller dele heraf), som eksempelvis betalingsgateways, bookingsystemer, webformularer o.l., kan også være omfattet af undtagelsesbestemmelsen.

(http://www.fdih.dk/media/311531/vejledning_til_bekendtg_relse_111208.pdf)

  • 0
  • 0
Claus Pedersen

Hov Mark, jeg kom til at "anmelde" dit indlæg da jeg ville svare :-)

Ja, det er korrekt at risikoen ikke er større end ved cookies, men da sessionsid'er i url's vil være noget man selv skal håndtere så er der risiko for at man ikke får beskyttet det godt nok. Det var derfor jeg skrev "hvis man ikke passer på".
Sessions cookies er som regel håndteret af det sprog man koder i hvor de har sørget for at sørge for kryptering og binding til ip.

  • 0
  • 0
Mark S. Rasmussen

Omvendt er der også en del systemer der automatisk kan håndtere session IDs i URL'er, ihvertfald til en vis udstrækning (ASP.NET/PHP f.eks.). Vi kan dog godt blive enige om at barrier of malicious entry er væsentligt lavere, og således udgør en større sikkerheds risiko. Samtidig er der, som tidligere nævnt, ikke uvæsentlige tekniske udfordringer ved at bruge URL baserede sessions da selv den "transparente" understøttelse af langt fra komplet, også i ASP.NET/PHP.

  • 0
  • 0
Nikolaj Andresen

Min pointe var sådan set også bare, at kravet omkring brugertilladelse af session cookies i direktivet ikke løser noget som helst da der er andre muligheder for at opnå nøjagtig det samme (hvis man benytter session cookies til statistik).

Jeg vil nu nok mene at sikkerhedsrisikoen for session fixation er væsentlig større ved session id i selve URL'en, fordi denne kan formidles af brugeren selv, hvor en cookie er en del af HTTP-headeren.

  • 0
  • 0
Michael Reiche

Ifølge vejledningen til fortolkningen fra "Den danske telemyndighed" ex. IT- og telestyrelsen:

http://www.itst.dk/sikkerhed/privacy/lagring-af-og-adgang-til-oplysninge...

så er session cookies undtaget i ihvertfald ifm. webshops. Samme sted kan man også læse at det ikke specifikt handler om http cookies, men mere generelt om lagring i slutbrugerens terminal udstyr. Og dermed er HTML5 andre teknologier omfattet.

Det er vel egentligt OK, at der indføres den slags tiltag, de ville bare være rart og mere betryggende, hvis det blev understøttet af en standard på browser niveau.

  • 0
  • 0
Mark S. Rasmussen

Det er vel egentligt OK, at der indføres den slags tiltag, de ville bare være rart og mere betryggende, hvis det blev understøttet af en standard på browser niveau.

De fleste (alle?) browsere i dag understøtter allerede at brugeren kan fravælge cookies, endda filtreret på 1/3. grad.

Vi har allerede en international standard i form af W3C P3P projektet, til udstillelse af privatlivspolitiker: http://www.w3.org/P3P/

Ligesom flere andre, så synes jeg det er håbløst at de har lavet en "cookie" lovgivning. Der er allerede fremkommet flere eksempler på hvordan, på trods af de højst sandsynligt er undtaget, session cookies kan implementeres udenom brugen af cookies. Det er således ikke cookies der er problemet, men resultatet af cookies. Lovgivningen burde have kørt på hvad man må benytte informationen til, hvordan/hvor længe den må lagres, etc. - ikke på teknologien som så.

  • 0
  • 0
Baldur Norddahl

Skal vi ikke blive enige en gang for alle: Session cookies er IKKE undtaget. Undtaget er formål ikke bestemte teknologier.

Du må bruge en hvilken som helst slags cookie, eller anden teknologi til at bygge din webshop, så længe det er nødvendigt for shoppens funktion. Du må ikke samtidig "komme til" at bruge disse ekstra oplysninger til statistik. Til det formål skal du spørge brugeren først.

Hvis en cookie har flere formål, og ikke samtlige formål er undtaget, så skal brugeren spørges.

Så burde det være klart at cookies til statistisk er dødt. Stendødt. Det er mere uklart om diverse forslag med at omskrive URL'en med ekstra tracking oplysninger er omfattet. Men helt ærligt, man kan faktisk lave fin statistik på almindelige server-logs. Det gjorde vi i "gamle dage". Det er måske ikke helt ligeså præcist, og man må gætte lidt på unikke brugere ud fra samme IP-adresse og user agent, men det er altså rigeligt til de fleste formål.

  • 1
  • 0
Baldur Norddahl

Lovgivningen burde have kørt på hvad man må benytte informationen til, hvordan/hvor længe den må lagres, etc. - ikke på teknologien som så.

Helt ærligt, tag og læs loven. Den er teknologineutral og går på hvad man må bruge informationen til. Det er tvivlsomt om diverse undgåelser er lovlige. Der står intet om hvor længe, eller på hvilket medie, noget skal være lagret før det er omfattet. Så vi kan antage at hvor længe = 1 ms og medie inkluderer "ram". Dermed er alt i HTML filen omfattet, uanset om det er i dine links (URL omskrivning) eller HTTP POST du ønsker at bruge til omgåelse.

  • 0
  • 0
Nikolaj Andresen

Så vi kan antage at hvor længe = 1 ms og medie inkluderer "ram". Dermed er alt i HTML filen omfattet, uanset om det er i dine links (URL omskrivning) eller HTTP POST du ønsker at bruge til omgåelse.

Med den antagelse må man vel heller ikke registrere URL'en i en server log, da den jo er "lagret" i HTML-siden og muligvis i browserens adressefelt. Helt galt går det hvis man også benytter referer fra HTTP-headeren - det må være den ultimative krænkelse af privatsfæren! :D

  • 0
  • 0
Baldur Norddahl

Med den antagelse må man vel heller ikke registrere URL'en i en server log, da den jo er "lagret" i HTML-siden og muligvis i browserens adressefelt. Helt galt går det hvis man også benytter referer fra HTTP-headeren - det må være den ultimative krænkelse af privatsfæren! :D

Det er kun et problem hvis URL'en indeholder unik information. Ellers er der næppe tale om at hente oplysninger gemt på brugerens computer. User agent er en gråzone men jeg mener ikke de har haft til hensigt at forhindre logning af user agent, referer og andre http headers.

  • 1
  • 0
Log ind eller Opret konto for at kommentere