Følger din webside de nye cookie-regler? Her er tre bud på løsningen

De nye cookie-regler, som formelt er trådt i kraft, men i praksis ikke bliver håndhævet endnu, kan fortolkes på mange måder. Se her tre helt forskellige bud.

Siden 25. maj har websider i hele EU skullet leve op til nye regler, hvor de besøgende skal informeres om de cookies, websiden bruger, og ’give samtykke’.

Men da forvirringen om de nye regler har været massiv, og de 27 EU-lande slet ikke er enige om fortolkningen af paragrafferne, har de danske myndigheder valgt at melde ud, at man ikke vil håndhæve reglerne, før forvirringen har lagt sig.

Alle, der driver en hjemmeside, vil være omfattet af reglerne, når de engang kommer i brug reelt, og selvom der ikke falder bøder nu, er det på høje tid at overveje, hvordan man selv får informeret besøgende om brugen af cookies.

Version2 har fundet tre eksempler, der er meget forskellige:

Det officielle bud

På IT- og Telestyrelsens egen webside itst.dk har man naturligvis sørget for at være artige og har forfattet en side om de cookies, der bliver brugt.

Via et ’Brug af cookies’-link i topmenuen på samtlige sider på websitet kan man som besøgende klikke sig videre til informationerne. Her er der både en introduktion til begrebet cookies og en gennemgang af de cookies, der bliver brugt - samt hjælp til at slette cookies i browseren igen.

Men selvom IT- og Telestyrelsens bud nok er det tætteste, man kommer en officiel fortolkning af reglerne lige nu, skal man ikke bare kopiere teksten og tro, at den hellige grav er velforvaret.

»Vi har prøvet at arbejde med reglerne for information om cookies på vores egen side itst.dk. Det er et bud på, hvordan man kan give relevant information i vores kontekst. Men det vil ikke være dækkende bare at lave copy-paste af vores information, for det skal hele tiden vejes imod, hvilke cookies man selv bruger,« siger Kresten Bay, kontorchef i IT- og Telestyrelsen, til Version2.

Han forventer, at reglerne om information om cookies vil være uændrede, da uenighederne blandt EU’s medlemslande primært går på, hvordan begrebet ’samtykke’ skal fortolkes. Til gengæld kan fortolkningen af reglen om, at de besøgende skal ’give deres samtykke’ altså godt ændre sig, så det skal man være opmærksom på fremover.

Internetbranchens bedste bud

Hos Foreningen af Danske Interaktive Medier, som blandt andet repræsenterer landets netmedier, har man også haft hovedet lagt i blød. Resultatet er blandt andet en ny mærkningsordning, som alle websider kan bruge, hvis ejerne skriver under på at følge reglerne i ordningen.

Her placerer man mærket - et lille 'i' i en blå trekant - på sine websider, og i takt med at symbolet vil blive brugt af flere og flere, vil de besøgende vide, hvor de kan finde information om cookies på siden.

Den måde at efterleve de nye regler på bliver for eksempel brugt af Ekstra Bladet, som har placeret den blå trekant i toppen af alle avisens websider.

På websiden Minecookies.org kan man læse mere om ordningen, hvor der også er et eksempel på, hvordan man kan give de besøgende fyldestgørende information om sidens cookies og privatlivspolitikken.

Lige ud af posen-buddet

Et tredje - og ganske anderledes - bud på information om cookies kommer fra Martin Thorborg og hans iværksætter-forum Amino.dk. Her er der ikke lange falbelader om hvordan Google Analytics virker, men en kontant opfordring til at slukke computerne, hvis man ikke bryder sig om cookies.

»Kan Amino ikke køre uden cookies? Jo da, det kunne Amino sagtens. Vi kan også skaffe hestevognene tilbage. Men det er forbandet besværligt, så vi beholder vores cookies og du beholder din knallert. Kan jeg slippe for Amino Cookies? Jo da, det kan ikke være meget lettere. Du slukker bare for din computer og læser en god bog i stedet for,« skriver Amino blandt andet i sitets privatlivspolitik.

Om den version lever op til alle krav i de nye regler, er nok tvivlsomt. Men alene ved at være kort og morsom, vil den måske blive læst og forstået af væsentligt flere besøgende, end de lange, mere formelle informationssider.

Cookie-loven blev indført, fordi EU-politikerne ville sætte en stopper for, at en webside ubemærket kunne tilgå brugerens harddisk og læse og gemme filer. Besøgende skal have tydelig oplysning om, hvad de går ind til, når de besøger en webside, siger reglerne.

Dermed kan besøgende bedre sige nej til for eksempel cookies, som bruges til at spore en computerbruger på tværs af forskellige websider, eller til at lade prisen på en flybillet stige, hvis en kunde søger mange gange på samme rejse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (25)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Mors

"Cookie-loven blev indført, fordi EU-politikerne ville sætte en stopper for, at en webside ubemærket kunne tilgå brugerens harddisk og læse og gemme filer."

Godt nok implementeres cookies ofte ved at de bliver gemt i filer på harddisken (det er ihvertfald det IE gør), men at sige at de kan bruges til at læse og skrive filer på brugerens harddisk er da vildledende.

Flemming Hansen

Hele det her cookie halløj er fuldstændig grotesk. Jeg vil helt klart følge Martin Thornborgs eksempel. Ikke om jeg gider skulle til at lave tekniske beskrivelser til folk der hverken læser eller forstår det.
De skulle hellere fokusere på den der rent faktisk "misbruger" cookies (hvad misbrug end dækker over) og lade være med at spilde flertallets tid og ressourcer på noget der reelt ingen betydning har for dem der laver et misbrug

Esben Rasmussen

Jeg arbejder selv med at rådgive om online effektmåling heriblandt Google Analytics og tilsvarende, og er derfor meget opmærksom på cookieloven.

En side jeg anbefaler alle at besøge er: http://cookies.dev.wolf-software.com/

Sidens omdrejningspunkt er en rimelig elegant løsning på cookies, da den uden at være påtrængende beder brugeren om lov til at gemme cookies. Afvises dette, gemmes der ingen cookies, hvorfor det ikke er nødvendigt at give lange instruktioner i hvordan brugeren fjerner dem.

Pt. er frameworket målrettet Google Analytics, men da det er gratis at hente og åbent for redigering, kan man selv føje flere cookies til og oversætte det, som man ønsker.

Jesper Kildebogaard

Godt nok implementeres cookies ofte ved at de bliver gemt i filer på harddisken (det er ihvertfald det IE gør), men at sige at de kan bruges til at læse og skrive filer på brugerens harddisk er da vildledende.

Sætningen er en meget kort opsummering af loven, som dækker over al form for kommunikation på nettet, som på en eller anden måde kan skrive og læse fra harddisken (forbrugernes 'terminal', som de kalder det).

Det omfatter alt fra malware (som i forvejen er forbudt) og selvinstallerende USB-dimser, men fokus har mest været på cookies, fordi loven også dækker den form for skrivning til harddisken. Og da cookies jo bliver brugt er nærmest alle websider, har det givet store hovedbrud at fortolke reglerne, så det bliver brugbart i praksis.

Læs evt. mere i denne ældre artikel:

http://www.version2.dk/artikel/forvirret-faa-styr-paa-de-nye-cookie-regl...

vh.

Jesper, Version2

Flemming Frandsen

Jeg vil benytte den fjerde mulighed, at ignorere det pladder til det går væk.

Alternativt kunne man lave en fælles cookie politik og kun vise den til folk der ikke har accepteret den.

Tricket er at den fælles cookie politik skal være: "Internettet består af cookies og de kan bruges til en masse ting" og sitet skal have 2 knapper:

"Jeg kan ikke acceptere denne politik" Som popper en dialog op med teksten: "Sluk computeren og læs en bog".

"Jeg accepterer denne politik for alle websites i hele verden".

Esben Rasmussen

@Lars

Ja, reglerne gælder alle hjemmesider.

I og med at reglerne er europæiske og håndhæves i det individuelle europæiske land betyder det, at hvis du har en DK adresse og en hjemmeside, der målretter sig den danske eller europæiske befolkning, så skal den overholde loven - gør den ikke det, kan du dømmes i det europæiske land, du er bosiddende/forretningsdrivende i.

Boede du derimod i USA og havde en hjemmeside målrettet det europæiske marked som brød med reglerne, så ville der ikke ske noget ved det, da USA ikke har eller håndhæver disse regler.

Kasper Grubbe

Boede du derimod i USA og havde en hjemmeside målrettet det europæiske marked som brød med reglerne, så ville der ikke ske noget ved det, da USA ikke har eller håndhæver disse regler.

Er du sikker? Til mødet ved IT & Telestyrelsen tilbage i marts, kom det frem at hvis du har en side hvis målgruppe er danske, så skal du efterleve de danske krav, uanset om du er amerikansk, din side er hostet i mosambique, og din virksomhed er registreret i Sverige.

Esben Rasmussen

Strengt taget har du ret, men bor du uden for EU, sker der ikke noget. Ingen lande, der ikke selv har disse regler, vil bruge ressourcer på at håndhæve sådanne bagateller - og jeg tvivler kraftigt på at så lille en forseelse vil medføre DNS spærring her i DK.

Det er jo af samme årsag, at det er så hamrende svært at få lukket f.eks. cypriotiske svindleres hjemmesider, som er målrettet til danskere.

chris warner

Hvorfor dog hidse sig op over noget, der med garanti vil gå i sig selv, såfremt valgene var simple og logiske:
1) set kryds her, såfremt du gerne vil surfe uden at blive registreret af side-ejeren.
2) set kryds her, såfremt du accepterer og er tilfreds med at al din surfing bliver overvåget og registreret af side-ejeren og om muligt solgt for betaling (som du selvfølgelig ikke får noget af) til fremmede du end ikke kender eksistensen af, til formål du end ikke anede eksisterede.

KLAR FORBRUGER BESKYTTELSE

Kasper Grubbe

Det vil jo ende med følgende:

1) Sæt kryds her, såfremt du gerne vil surfe uden at blive registreret af side-ejeren. Og blive lukket ude af siden.
2) Sæt kryds her, såfremt du ønsker at betale for din brug af siden, uden at se reklamer og få tredjepartscookies.
3) Sæt kryds her, såfremt du accepterer og er tilfreds med at al din surfing bliver overvåget og registreret af side-ejeren og om muligt solgt for betaling (som du selvfølgelig ikke får noget af) til fremmede du end ikke kender eksistensen af, til formål du end ikke anede eksisterede.

chris warner

Nej og atter nej- ren malipulation
Kasper Grubbe fortier (selvfølgeligt) den vigtigste pointe, at side-ejeren som den økonomisk ansvarlige er villig til at give ret til u-registreret surfing - også uden betaling, det er jo en salgskanal billigere end en annonce i avisen/radioen/TVet.

Selvfølgelig kan ingen fortænke sælgeren i at forsøge at opnå dobbelt indkomst, ved først at stjæle bruger netadfærden for dernæst at sælge produktet/service ydelsen uden fradrag af indkomsten ved salget af cookie oplysningerne.

DER ER FAKTISK HJEMMESIDE-EJERE, DER IKKE REGISTRERER BRUGERE OG GIVER GRATIS DIREKTE ADGANG.

Jesper Poulsen

Sætningen er en meget kort opsummering af loven, som dækker over al form for kommunikation på nettet, som på en eller anden måde kan skrive og læse fra harddisken (forbrugernes 'terminal', som de kalder det).

Hvor står NemID i denne sag? Java-appletten både læser og skriver på brugernes maskiner og der læses ikke bare i et specielt directory med et bestemt navn.
Der læses i brugerens home-directory (der har forskellige navne alt efter OS), hvis brugeren har sådan et. Hvis ikke brugeren har sådan et, så vil appletten vel læse hele disken igennem.

Jesper Lund

ITST skal have ros for at informere om cookies, men jeg synes at deres omgang med det kritiske ord "samtykke" er noget lemfældig (og når ITST ikke kan vide hvad Google gør med de data som indsamles via Google Analytics, virker det noget besynderligt at ITST begynder at give "garantier" på Google's vegne; garantier som ITST umuligt kan stå inden for). ITST's privacy policy var sikkert passende før 25. maj 2011 og cookie loven, men næppe efter denne dato.

ITST informerer om cookies, men ITST begynder samtidig at sætte cookies før brugeren har taget stilling til om han/hun vil give et samtykke. Hvis der alene var tale om cookies som kun læses af ITST selv, kunne det måske undskyldes (de kan slettes igen så skaden er begrænset), men ITST bruger også Google Analytics.

Det betyder at i samme øjeblik som jeg har indlæst siden www.itst.dk i min browser, er der videregivet information til Google om at jeg læser denne side. Uden noget samtykke fra min side. De almindelige cookies kan jeg slette (som ITST skriver), men jeg kan ikke slette de oplysninger om mig som er videregivet til Google.

Et forudgående samtykke kan nemt indhentes på den måde som Esben Rasmussen foreslår. Samme metode bruges af de britiske datatilsyn ICO
http://www.ico.gov.uk/

Der sættes ingen cookies før et samtykke er givet.

En anden ting som websites bør tage hensyn til er Do-Not-Track (DNT) headers. Mine HTTP GET requests kommer med "DNT: 1" i GET header informationen, og det bør opfattes som en forhåndsafvisning af at give samtykke til tracking cookies, herunder Google Analytics.

DNT understøttes allerede af Internet Explorer 9 og Firefox 4 (samt tidligere versioner af Firefox med plugins som Adblock Plus). Der er igangværende standardiseringsinitiativer vedr. DNT i IETF og W3C regi
http://en.wikipedia.org/wiki/X-Do-Not-Track

Esben Rasmussen

Der er dog den krølle, at som det er formuleret, så tæller det som ulovlig indtrængning på privat ejendom, hvis der uretmæssigt skrives til brugerens "terminal".

Som nævnte mange andre steder, så er det muligt at lave online tracking ved at se på brugerens browser-settings samt diverse andre info, der sendes med omkring brugerens "terminal" og således etablere et id for denne bruger. Det er med sådanne løsninger ikke nødvendigt med cookies for at spore brugere på tværs af websites, da ip-adresser, browsersettings, installerede programmer osv. alle er med til at gøre brugerens terminal genkendelig - og det vil kunne køre rent serverside, helt uden brugerens vidende. Og ja, det går måske imod ånden i lovgivningen, men det bryder den ikke.

Derudover skal det nævnes, at Jesper faktisk ikke skriver noget sted, at han ikke ønsker sine oplysninger sendt til Google. Dog pointerer han problemet i en adfærd, der lægger op til at ITST går efter tilgivelse mere end tilladelse, når de starter med at gemme cookies på min "terminal" og samtidigt videregiver oplysninger til 3. part - for først bagefter at oplyse mig om det og så fortælle, hvad jeg kan gøre for at hindre det i fremtiden.

På den måde vil jeg give Jesper ret i, at forudgående samtykke er gentleman-måden at anvende tracking på (hvadenten trackingen skyldes reklamepartnere eller effektmåling).

Jesper Lund

Som nævnte mange andre steder, så er det muligt at lave online tracking ved at se på brugerens browser-settings samt diverse andre info, der sendes med omkring brugerens "terminal" og således etablere et id for denne bruger. Det er med sådanne løsninger ikke nødvendigt med cookies for at spore brugere på tværs af websites, da ip-adresser, browsersettings, installerede programmer osv. alle er med til at gøre brugerens terminal genkendelig - og det vil kunne køre rent serverside, helt uden brugerens vidende. Og ja, det går måske imod ånden i lovgivningen, men det bryder den ikke.

Når der ikke lagres oplysninger hos brugeren (i terminaludstyret), er vi ude over cookie bekendtgørelsen, som du skriver.

Men persondataloven gælder stadigvæk, i det omfang at din behandling af data og videregivelse af disse data til Google eller andre er omfattet af persondataloven.

I Tyskland er Google Analytics reelt blevet forbudt, og det er, så vidt jeg har forstået det, sket med henvisning til persondataloven (der bygger på samme EU direktiv som vores persondatalov).

Baldur Norddahl

Jeg har kodet en shop som ikke bruger cookies. Der overføres ingen information til webserveren før brugeren har valgt varer og udfyldt alt nødvendig information til et gennemføre et køb.

Men man kan naturligvis ikke implementere en indkøbsvogn-funktion uden at gemme et eller andet. Jeg bruger en javascript funktion som vælger en af 5 API'er (HTML5, flash, etc) som kan gemme information. Når brugeren bladrer videre til en anden side vil en anden javascript funktion indlæse disse data og vise indkøbskurven.

De traditionelle cookieløsninger overfører løbende information til webserveren med en session id og foreløbig indhold af indkøbskurv. Min løsning overfører som sagt intet. Ingen session id, ingen information om hvad brugeren indtil videre har foretaget sig etc.

Løsningen kan sammenlignes med det man ser hos justeat hvor man vælger mad uden at siden genindlæses. Min løsning virker bare også selvom man går videre til andre produktsider.

Spørgsmålet er så om en sådan løsning falder ind under cookie reglerne, på trods af at der ikke foregår nogen form for tracking eller dataoverførsel.

Jeg har på fornemmelsen at man ikke har overvejet muligheden og derfor rammer løsningen på at der teknisk set bliver gemt oplysninger. Uanset at de gemte oplysninger aldrig forlader computeren.

Log ind eller Opret konto for at kommentere