Forvirret? Få styr på de nye cookie-regler

25. maj kommer nye regler på nettet, hvor brugerne skal give samtykke til cookies. Version2 guider dig igennem de udmeldinger, der er kommet om den uklare lov indtil videre.

Er din webside ulovlig fra 25. maj? Og hvad skal du gøre for at holde den lovlig, når de nye regler træder i kraft?

EU-reglerne, der skal give netbrugere bedre beskyttelse af privatlivet, er ved at finde vej til dansk lov, men på en højst forvirrende måde. Ingen kan endnu svare på, hvordan de generelt formulerede paragraffer skal udmøntes i praksis.

Læs også: Råb op: Kan du leve med disse regler for cookies på nettet?

Reglerne er nu kommet i et udkast og er til høring hele marts måned, og onsdag diskuterede branchefolk og myndigheder, hvordan man skal læse den kommende lov. Her er Version2's sammendrag af de meldinger, som kom fra IT- og Telestyrelsen undervejs.

Din computer er privat område

Formålet med reglerne er, at sikre forbrugerne mere kontrol over, hvad hjemmesider gemmer eller henter af oplysninger lokalt. Langt de fleste ved ikke, at for eksempel cookies gør en computer genkendelig, så aktivitet på nettet kan overvåges og bruges til for eksempel at målrette tilbud eller reklamer.

Med de nye EU-regler, helt præcis Artikel 5 stk. 3 i Databeskyttelsesdirektivet, bliver computerens harddisk helt specifikt omfattet af den grundlæggende rettighed: privatlivets fred. Gemmer man noget lokalt, uden brugerens accept, er det ulovlig indtrængen.

»Indtil nu har der været et vist rend i brugerens forhave. Alle har kunnet gå ind og skrive lidt på husmuren. Det er den indtrængen, der går forbi havelågen, det handler om. Man skal kunne sætte grønt lys eller rødt lys for det,« forklarede Kresten Bay, kontorchef i IT- og Telestyrelsen.

Problemet med de tidligere regler var, at de blev vedtaget i 1995, hvor de færreste var på internettet, og derfor ikke passer ret godt ind i dag.

»Teknologien har det med at ræse fremad, så der opstår gaps. Man har prøvet at snævre det spring ind ved at skærpe teksten. Lovgivningen kommer tættere på de muligheder, som teknologien giver,« sagde han.

Hvad dækker de nye regler?
Alt fra malware på nettet til selvinstallerende USB-enheder bliver omfattet af loven. Men det er interaktionen med en hjemmeside, der rummer den største grå zone, og her forvirringen er størst.

En hjemmeside må gerne lægge en cookie på din computer, hvis det er nødvendigt for den funktion, websiden har. Herunder for eksempel cookies, der husker, hvad du har puttet i 'indkøbskurven' i en webshop.

Men denne paragraf betyder ikke, at man kan snige alt muligt med. Cookies til reklamer og tracking af trafik falder ikke under denne bestemmelse, forklarede kontorchefen.

Alt andet end cookies, som en webside gerne vil placere lokalt, er også dækket, så brugeren skal give sit samtykke til overførslen. Men det er allerede normal praksis med de fleste andre filer end cookies ? og malware og lignende er allerede forbudt.

Hvordan skal brugeren sige ja og nej til cookies?

Det er det helt store spørgsmål, som internetbranchen nu skal forsøge at finde en løsning på.

En dialogboks med ja/nej-knap for hver eneste cookie er at gå for langt, mens det omvendt ikke er nok at gemme information om cookies i en lang, kedelig politik for privatlivsbeskyttelse, gemt langt væk på sitet. Målet er en god mellemting.

Måske bliver det ved at inddele cookies i forskellige kategorier, med tilhørende piktogrammer, så brugerne nemt kan skelne og vælge. For eksempel vil det så være nemt at stoppe alle tracking-cookies. At samle forskellige cookies i bundter gør det også hurtigere at komme igennem processen.

Læs også: Koks i lovmøllen: Nye cookie-regler var slet ikke meningen

Og så længe der er tydelig information om, hvad man går ind til ved at besøge en webside, lægger IT- og Telestyrelsen heller ikke op til, at man helt direkte skal acceptere hver cookies. Det kan være samtykke nok at fortsætte sit besøg på en webside.

Hvor længe et samtykke, man så giver til cookies, skal gælde, er ikke defineret, men skal afklares i løbet af de kommende måneder.

For at brugerne kan give deres samtykke, skal de først have klar besked om, hvad formålet med de forskellige cookies skal være. Men det skal være til at forstå, så mange siders juridiske snik-snak, som man kender det fra licensbetingelser, er ikke godt nok.

Det skal være så overskueligt, at folk forstår det, og grafisk fremstillet, så kravene også bliver indfriet for brugere, der browser fra en smartphone med begrænset skærmplads, lød det fra Peter Hustinx, EU's Data Protection Supervisor.

Gælder reglerne alle websider?

Ja. Også websider fra servere uden for EU er i princippet dækket af reglerne, da handlingen med at læse og skrive til de besøgendes lokale disk sker på EU's område.

»Det giver selvfølgeligt et håndhævelsesmæssigt problem,« som Kresten Bay formulerede det.

Hvem har ansvaret for at reglerne bliver fulgt?
En typisk, kommerciel webside har leverandører af reklamer, tracking, indhold og meget andet. De cookies, som bliver lagret, kommer derfor fra mange forskellige kanter.

Men ansvaret for, at reglerne bliver fulgt for dem alle, ligger hos ejeren af websiden, slog IT- og Telestyrelsen fast. Man skal altså have styr på sine underleverandører.

Hvad skal jeg gøre på min webside?
Lige nu er det svært at gøre noget, så længe ingen er klar over, hvordan reglerne skal fortolkes.

Det kan betyde, at din webside i princippet vil være ulovlig fra den 25. maj, men IT- og Telestyrelsen vil ikke stå klar med bødeblokken, når reglerne træder i kraft. Der vil blive givet lang snor, for styrelsen ved godt, at reglerne endnu er meget uklare, og at ændringerne er markante.

Det vigtigste er at kunne vise, at man følger med i processen og er klar til at rykke, når reglerne er blevet mere konkrete. Brancheforeningerne vil i de kommende måneder arbejde med forslag til praktiske løsninger, og IT- og Telestyrelsen vil senere hen lægge afgørelser om de nye regler ud på styrelsens hjemmeside.

Læs også: Massiv kritik af nye cookie-regler: »Tåbelig, sjusket lov«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Jensen

Vi kan godt blive enige om, at en højere grad af regulering i forhold til privatlivets fred på internettet er en god ting.

Men dette:

For at brugerne kan give deres samtykke, skal de først have klar besked om, hvad formålet med de forskellige cookies skal være. Men det skal være til at forstå, så mange siders juridiske snik-snak, som man kender det fra licensbetingelser, er ikke godt nok.

Hvordan skal det forståes? Skal man lægge en stor advarsel op som kommer frem på alle sider? Bliver lign. love indført i andre lande, skal advarslen så være på alle sprog?
Sådan en advarsel vil da først stræmme en ikke-IT kyndig bruger.

Det skal være så overskueligt, at folk forstår det, og grafisk fremstillet, så kravene også bliver indfriet for brugere, der browser fra en smartphone med begrænset skærmplads

Så alle hjemmesider med cookies skal understøtte alle platforme, ellers er de ulovlige?

Hvem skal desuden bedømme hvad 'overskueligt' betyder?

Men ansvaret for, at reglerne bliver fulgt for dem alle, ligger hos ejeren af websiden, slog IT- og Telestyrelsen fast. Man skal altså have styr på sine underleverandører

Så hvis man f.eks. vil køre en A/B test på sit website i en uge, for at teste en given opsætning, så skal man belemre alle brugere i dette tidsrum, med endnu en advarsel?

Der er så mange use-cases for cookies at innovation og brugervenlighed på internettet i den grad bliver slået ned af dette forslag.

Anonym

Jeg arbejder med kommunale hjemmesider, og vi gør stor brug af eksterne selvbetjeningsløsninger, som i nogle tilfælde er indlejret i vores site eller hvor brugeres bliver stillet videre eksternt. Hvem har ansvaret i den situation for slutbrugeren skal give sin accept?

Hvis brugeren i et tilfælde har givet accept til at vi gerne må smide en Cookie, men har sagt nej til at KMD må det i en anden sammenhæng - hvad skal vi så stille op hvis en af vores løsninger sender borgeren ind på en KMD løsning? Hvem har ansvaret for accepten i flowet?

Jeg er mere tilhænger af at vi informerer borgeren om at vi bruger tracking cookies i et begrænset omfang for at kunne køre statistik og i enkelte tilfælde for at kunne holde styr på sessions. Kan man ikke acceptere dette må man kontakte borgerservice enten ved personligt fremmøde eller på anden vis.

Dette er desværre et meget tydeligt eksempel på at der har siddet nogle embedsmænd/politikere, som ikke har forstand på hvad det i grunden er de sidder og laver love om - suk.

Nils Bøjden

Så vi vil nok snart se:

Interface leveret af add-tracking firmaer, således at 1. parten skriver og læser cookies fra disk, og 3. part med interface til at kalde disse cookie læse/skrive funktioner hos 1. parten.

Cookies vil der defter altid blive læst og skrevet af 1. part. Lovligheden af dette vil blive understøttet af kontrakter i ??? kanal-øerne? Cayman island?

Ole Østergaard

I fx Rails lagres sessionen som udgangspunkt hos brugeren i en krypteret cookie. Det svarer vel som udgangspunkt til det artiklen kalder "cookies, der husker, hvad du har puttet i ’indkøbskurven’ i en webshop"?

Men der er mange ting det kunne være smart at lægge i en session, fx hvilket produkt brugeren har været inde at se sidst, hvis nu det er en web-shop. Det vil gøre navigationen lettere for brugeren.

Går grænsen så et eller andet sted på baggrund af hvad man bruger informationerne til? Altså hvis jeg ved brugerens næste besøg på min web-shop viser en reklame for den vare brugeren var inde på sidst, hvis nu han/hun ikke købte varen, har jeg så overtrådt loven?

Jeg kan selvfølgelig konfigurere fx Rails til at gemme alle disse informationer server-side, men det afskærer så brugeren fra fx bare at slette den cookie der hører til min web-shop. Så ender vi bare med værre forhold for brugeren.

Nils Bøjden

Så vil disse firmaer være 1 part. Det jeg tale rom vil være en standard hvor 3. part (altså dem som ikke er inkluderet i URL'en) leverer et interface til 1. part således at 3. part (add-tracking og analytics) beder 1. part om at læse cookies for dem.

Der vil derefter ikke eksistere 3. part cookies, men du er som bruger stadig lige eksponeret, idet info læses af 1. part og videregives til 3. part.

Scott Hill

EU direktivet fra 2002 skal opdateres,og dermed også den Danske bekendtgørelse, da vores syn på definition af "terminaludstyr" for slutbrugere er ændret i de sidste 9 år:

--direktivet inkludere nu smartphones, tablets og andre
bærbar dataudstyr som terminaludstyr

--tilsluttet memory udstyr omfattes nu af direktivet, udover PC'ens (eller Tablettens eller smartphones) harddisk eller SSD disk, inkluderees også:
--USB drev tilsluttet computeren/smartphone/tablet
--intern og eksterne CD- og DVD drev
--tilsluttet eksterne HD og SSD'er
--andet hukommelse tilsluttet terminalen, inkl. trådløse (wireless, WiFi, WiMax, m.fl.)

--det gælder både private og offentlige terminaler

andre ændringer siden 2002:

--cookies var ikke nævnt i 2002, det er nyt i direktivet

--"Malignent cookies" er nævnt for første gang... sættes tillige med malware/spyware/virus?

--"evercookies"--d.v.s. cookies der ikke slettes automatisk efter hvert browser session, er også nævnt nu

--"session cookies" d.v.s. midlertidige lagringpå HD eller SSD ved f.eks. webshop indkøb eller bestilling af dokumenter, m.fl. men slettes efter endt session, tillades

Scott Hill er IT-sikkerheds konsulent for Cloud og Mobile IT,og blogger her på Version2.dk/grupper/MobileMonday

Carsten Sonne

Lovforslaget handler om persistente cookies. Sammenlign med et installeret program der begynder at gemme ting rundt omkring på computere - samtidig med programmet ringer hjem og fortæller hvad du laver.

Efter min mening burde persistente cookies aldring være blevet en del af HTTP. Cookies blev lavet som kompensation for den ellers stateless HTTP protokol. Seneste definition af cookies fra 2000, RFC 2965, har titlen HTTP State Management Mechanism. Der har aldrig været tanken at bruge cookies til tracking - kun til at vedligeholde en state.

Nå nu sikkerhed i browsere omkring persistente cookies er så ringe som den er, og browser producenter ikke kan finde ud af at implementere iht. specifikationerne, er lovforslaget velkommen - i hvert hos mig.

http://en.wikipedia.org/wiki/HTTP_cookie

Carsten Sonne

Man tør slet ikke tænke på den forvirring det kan skabe i fremtiden:

Computer guy 1: That cookie there looks illigale.
Computer guy 2: Narh, I dont think so. The expiry date is today.
Computer guy 1: Ok - I just thought it was kind of a super cookie.
Computer guy 2: Dont worry - its a safe cookie.
Office woman: Can I eat it ?

:-)

Scott Hill

både ja og nej!!

Den tekst til en Dansk bekendtgørelse af EU direktivet vi fik udleveret, er en UDKAST, og ikke vedtaget endnu! Derfor deltog jeg i høringen sammen med overt 140 andre professionelle i sidste uge...

ordet "persistent cookes" optræder IKKE i udkastet...og hvad er en persistent cookie definition--2 uger? 2 måneder? 2 år? forever?

ordet "evercookie" er brugt i udkastet, men IKKE defineret (endnu!) "a cookie that never expires"??

ordet "maglignent cookie" (ondartet cookie?) er brugt i udkaststeksten, men IKKE defineret, og iøvrigt ikke findes i nogen Dansk ordborg(!?) endnu...

så enhvert kan sige "my cookies are not malignent!" da definitionen mangler....

Carsten Sonne

Scott,

Der er ingen grund til at antage begreberne i bekendtgørelsen bliver defineret anderledes end de gængse definitioner. Jeg tolker, som man jo gør i jura, begreberne som nedenstående.

Vh
Carsten Sonne


Q:

og hvad er en persistent cookie definition--2 uger? 2 måneder? 2 år? forever?

A [1]:

A persistent cookie will outlast user sessions. If a persistent cookie has Max-Age set to 1 year, then, within the year, the initial value set in that cookie would be sent back to server every time the user is visiting the server. This could be used to record a vital piece of information such as how the user initially came to this website. For this reason, persistent cookie is also called tracking cookie.

og [2]

Max-Age - The default behavior is to discard the cookie when the user agent exits.

Q:

ordet "evercookie" er brugt i udkastet, men IKKE defineret (endnu!) "a cookie that never expires"??

A [3]:

Evercookie is not merely difficult to delete, it actively "resists" deletion by redundantly copying itself in different forms on the user's machine, and resurrecting itself if it notices some of the copies are missing or expired. As such, it serves to highlight the ways in which creators of malware can attack browsers.

Q:

ordet "maglignent cookie" (ondartet cookie?) er brugt i udkaststeksten, men IKKE defineret, og iøvrigt ikke findes i nogen Dansk ordborg(!?) endnu...

A [1]:

Most websites use cookies as the only identifiers for user sessions – the alternatives of identifying web users other than using cookies have their own limitations and vulnerabilities. For the websites using cookies as session identifiers, attackers can impersonate users’ requests if they have stolen a full set of victims’ cookies. From web server point of view, a request from attacker will have the same authentication as the victim’s and hence is performed on behalf of victim’s session, with that, victim’s session is hijacked.


[1] http://en.wikipedia.org/wiki/HTTP_cookie
[2] http://www.ietf.org/rfc/rfc2965.txt
[3] http://en.wikipedia.org/wiki/Evercookie

Carsten Sonne

Der er vel heller ikke noget galt i at webserveren kontakter 3. part og vidergiver information, så længe de ikke er personlige?

Mit bedste gæt er, at det ikke bliver afklaret før bekendtgørelsen tager endeligt form. Jeg tvivler dog på 3. parts cookies bliver omfattet. I så fald er slut med Google Analytics og de andre profiling værktøjer. Træerne vokser næppe ind i himlen.

Martin K

Efter hvad jeg har forstået der, så betyder det nu også, at jeg skal min phpBB forum til at vise en besked første gang en bruger besøger forummet om at forummet gemmer en cookie, der sørger for de forbliver logget ind når de har lukket deres browser OG at vi også liiige gemmer en cookie der fortæller at vi også har sagt ja til at vi har accepteret cookies, for at de ikke skal have den hver gang...

Hvis disse regler bliver dømt med en hård straf.... Så tror jeg, at der er mange som kommer i problemer.

Carsten Sonne

... at vise en besked første gang en bruger besøger forummet om at forummet gemmer en cookie, der sørger for de forbliver logget ind når de har lukket deres browser OG at vi også liiige gemmer en cookie der fortæller at vi også har sagt ja til at vi har accepteret cookies ...

Som jeg har forstået tankerne bag EU direktivet, er det nok at brugerne acceptere at "være logget ind, næste gange du kommer tilbage", f.eks. med en checkbox. Det handler mere om at brugeren aktivt skal acceptere persistente cookies frem for der lokalt gemmes alverdens (af brugeren) uønsket ragelse - og som oftest, med knapt så ælde formål.

Igen, det er min egen fortolkning - og hvordan bekendtgørelsen bliver udmøntet af danske lovgivere behøver jo ikke nødvendigvis at i trit med den oprindelige tanke.

Mogens Nielsen

Hvorfor nu gå så meget op i det, når det offentlige i forvejen sprætter folks private post op efter forgodt befindede? Så vidt jeg har forstået bliver alle ens e-mails og kontakter lagret, så der er fri adgang til folks privatliv! Så betyder en "småkage" fra eller til vel ikke så meget?

Paul Weiss

Hvis content providers (læs De-Store-Mediehuse) går sammen, så kan de meget enkelt sætte en effektiv stopklods for alle disse nye regler. Det behøves bare at Mediehusene indfører et "e-abonnement", altså, "hvis du vil læse her" så skal du have et e-abonnement, og hvis du vil have et e-abonnement så skal du acceptere alle de cookies vi har lyst til at lægge i din browser. Du læser gratis - og alle er klare over at ingen har lyst til at betale for at slippe reklamer - så noget for noget må vel være helt i sin orden. Lige nu er det cookies man snakker om, men teknologien sætter ingen grænser. Mha BrowserID lænket til andre informationer, IP-nr, emailadresser mv. kan man styre annoncering lige så effektivt, helt uden cookies. Og hvad skal man så gøre fra myndighedernes side? Vil man prøve at forbyde mulighederne at læse data fra ens egen private server og derefter styre besøgernes adfærd på de sites man ejer?

Carsten Sonne

Og hvad skal man så gøre fra myndighedernes side? Vil man prøve at forbyde mulighederne at læse data fra ens egen private server og derefter styre besøgernes adfærd på de sites man ejer?

Spørgsmålet er af principel karakter. Både svaret og spørgsmålet dækker over et helt grundlæggende princip. Den eneste mulighed er, at undgå identifikation. Desværre bevæger udviklingen sig i modsatte retning: Øget identifikation og sporbarhed.

Eksempelvis:
* Biometriske pas gør identifikation ikke revokerbar
* IPv6 udvider identifikation ned på enhedsniveau ved at fjerne NAT.
* Herhjemme er NemID er baseret på autentificering og autorisation direkte igennem identifikation.
* Identifikation via CPR bliver stadig mere udbredt.

Det siger sig selv, hvis udbyder/myndighed ejer data, så er det meningsløst at forbyde brug. Data ejer bør være entiteten (ham/hende/den) data vedrører. Ikke den der har "tiltvunget" sig viden om entiteten.

Jens Bech

Det var det bedste der er sket indenfor it til dato.
Boligens forhenværende ukrænkelighed blev besudlet da "rettighedshavere" blev bemyndiget til at invadere folks private hjem med fogeden i hånden for at udspionere folks digitale ejendom.

"Firma-banden" har fra starten betragtet alt det it de kunne bryde ind i, som "fair game". Vil du se cookies? Nå ikke!? Så får du ikke lov til at se denne side!! Har parolen været.
Nu kommer der retningslinier og det pointeres at min PC er MIN PC og ikke "Firma-bandens PC"

Jeg håber de får det rigtig modbydelig svært! Jeg håber de får store bøder som tyveknægte, hvis de bryder ind på min private PC.

Lyrik

Jens Bech

""Os andre"-udtrykket sætter det samlede folk bag dine krav om ufrivillig indtrængen på din PC.
Nu er det jo ikke det der er dømt! Men det modsatte! Så hvis hele det danske folk er bag dit krav om indtrængen på din PC uden modstand, så må hele EU folket være på min side, siden det modsatte blev dømt!

For computeren er dømt som privat område, ligesom din dagligstue.
Der må "firma-banden" heller ikke gå ind og placere skjulte mikrofoner for at lære dine vaner bedre at kende.

Din plan om :"bare at slå cookies fra", har "Firma-banden" for længst sat en stopper for.
Slår man cookies fra kan man slet ikke se de fleste sider!! Du er i en gidselsituation hvor "banden" forlanger uhindret overvågning af din PC for at give dig lov til at se "Internettet"
Cookies er blevet et "overvågningskamera" i dit hjem som du bliver presset til at acceptere!

Nu sættes der heldigvis en stopper for disse "Firma-piraters" skalten og valten med folks privatliv. Den rest der er tilbage af det, må vi gøre alt for at bevare.

Jens Bech

Sammenligning:

Jens! Du kan forhindre de fleste tyverier. Når tyvene stjæler dine nøgler, så skal du bare huske at få dem tilbage igen, og kun lige give tyveknægtene lov til at rode rundt i din lejlighed i fem minutter!;-)
Tag så nøglerne retur og lad ikke fremmede fra "Woldsmose" låne dine nøgler. Det er sjældent berettiget at de gør det!;-)

Det vi kan håbe vi har fået nu,- er:"Tyveri forbudt!"
Udlån af nøgler til tyveknægte så de kan frit gå indenfor er nu forbudt uden accept.

Log ind eller Opret konto for at kommentere