Kaos hos danske websider: Nye cookie-regler er stadig ikke klar

Fra 25. maj skal alle danske hjemmesider leve op til nye regler for brugen af cookies. Men reglerne er stadig ikke offentliggjort, og hele internetbranchen er 'i vildrede', fortæller FDIM.

Skal man holde sig på den rigtige side af fartgrænsen, er det en fordel at vide, hvor hurtigt man må køre.

Men en uge før, at nye EU-regler om cookies skal træde i kraft i en dansk version, har IT- og Telestyrelsen stadig ikke offentliggjort reglerne, der vil gælde for alle danske websider. Det er frustrerende for branchen, fortæller direktøren for Foreningen af Danske Interaktive Medier, FDIM.

»Vi er stadig i vildrede om, hvad der kommer til at ske. Og hele branchen er frustreret over, at man skal indfri regler, man ikke kender ordlyden af. Det siger sig selv, at det er en umulig opgave,« siger Morten Helveg Petersen.

Læs også: Massiv kritik af nye cookie-regler: »Tåbelig, sjusket lov«

Et udkast til reglerne blev sendt i høring i hele marts måned, og dengang lød slagplanen fra IT- og Telestyrelsen, at man så ville indarbejde eventuelle ændringer i tæt samarbejde med internetbranchen i Danmark ? og med løbende møder med de andre EU-lande, der også skal igennem samme øvelse.

Læs også: Råb op: Kan du leve med disse regler for cookies på nettet?

Bliver reglerne om brug af cookies på websider afgørende forskellige fra land til land, bliver det nemlig mange gange mere avanceret at drive en webside, hvis man ikke kun går efter danske besøgende. Men ifølge FDIM er der ikke stor enighed i Europa.

»Der er vidt forskellige tilgange i forskellige EU-lande, og det er meget uheldigt. Vi har stadig brug for et klart svar på, hvad EU-Kommissionen vil med de nye regler,« siger Morten Helveg Petersen.

Dialogbokse vil smadre internettet

Den kommende bekendtgørelse strammer reglerne på internettet ved at kræve et samtykke fra brugerne, før en webside må gemme en fil lokalt på deres computere. Det sker typisk i form af en cookie, der kan have mange forskellige formål.

På en konference om de nye regler den 2. marts i år, var der meget diskussion af, hvordan ordet 'samtykke' skal fortolkes. Skal brugerne klikke ja eller nej til hver eneste cookie? Eller er det godt nok at sige ja til cookies i browseren?

Ud fra meldingerne fra IT- og Telestyrelsen fornemmer Morten Helveg Petersen ikke, at der bliver krav om dialogbokse på alle websider med ja eller nej til cookies.

»Den idé har ikke sin gang på jord, er mit indtryk. Heldigvis. Ellers ville det jo smadre internettet, som man kender det i dag, hvis det gik så vidt,« siger FDIM-direktøren.

Foreningen, der har en lang række netmedier og kommercielle websider som medlemmer, har i mangel på klare svar fra EU og IT- og Telestyrelsen i stedet skrevet sit eget bud på, hvordan man lever op til kravene.

Retningslinjerne kan findes på informationssiden Minecookies.org, og senere i dag onsdag bliver en mærkningsordning også introduceret.

»Vi forsøger at fylde rammerne ud, på trods af alle de blinde makkere i det her spil. Vi har opfordret medlemmerne til at indføre en privatlivspolitik på websiderne, og så kan de bruge vores mærke, hvis de lever op til retningslinjerne,« siger Morten Helveg Petersen.

På Minecookies.org kan man også som internetbruger få hjælp til at spærre for de cookies, som koordinerer reklamer på tværs af forskellige websider. Dermed vil man ikke få reklamer for bestemte produkter over hele internettet, hvis man én gang har vist interesse for det.

Generelt gør internetbranchen sit bedste for at samarbejde om de nye regler og tankerne bag, mener FDIM-direktøren.

»Udover frustration er der også en generel stemning for at være konstruktiv og tage ansvar, så vi kan finde nogle gode, solide løsninger. Men det er altså svært, når man skyder efter et mål i bevægelse,« siger Morten Helveg Petersen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Hansen

Minecookies.org burde have været ligesom "Nej tak til reklamer"-skiltene. Desværre er det blevet til :
"Nej Tak til Føtex-reklamer","Nej Tak til Irma-reklamer", "Nej Tak til Fona-reklamer".....

Det forhindrer ikke tracking-cookies, jeg tror ikke engang at det vil have en nævneværdig effekt, hvis man selv skal vælge alle de sites, man ikke vil trackes af. Det findes jo allerede i browserens indstillinger - der er blot få, der benytter sig af det, for det er irriterende, at skulle inkludere de mange hundrede tracking-sites.

Som et lille fingerpeg om, hvor seriøst minecookies selv tager det med cookies, så benytter de selv google analytics og gemius!

Anonym

Det kunne være interessant at vide hvad bødestørrelsen ville komme til at ligge på ved overtrædelser?

Det kunne måske være at det er bedre rent økonomisk bare at tage bøderne og se dem som en ekstra driftomkostning, og så ellers ignorere cookielovgivningen.

Det her lugter langt væk af at der har siddet en politiker et sted i EU, hvor konen har opdaget at han har surfet rundt på "frække" sider, og nu skal der ske en masse arbejde med det der "indernet" for det er da godt nok noget farligt noget.

Flemming Frandsen

Det er noget pladder at bebyrde normale menesker med beslutninger om cookies, af tre grunde:

1) Cookies bruges til meget andet, vigtigt, end at tracke folk og når folk bliver bange for cookies, så slår de alle cookies fra og hele deres Internet brækker.

2) Cookies er blot en implementationsdetalje, hvis man vil undgå tracking så er der mange andre ting man også skal slå ned på.

3) Hvis man vil have en robust løsning på problemet, så skal man lave en teknisk løsning der gør det muligt for browseren at håndhæve brugerens ønsker mht. tracking cookies.

Michael Lykke

Det her er et pragteksemplar på spontan "hovsa" lovgivning som på ingen måder er gennemtænkt og som i sidste ende er baseret på en eller anden skræmmekampagne.

Brugerne har i forvejen alle værktøjer for at blokere for cookies enten helt eller delvist og når man ser på "loven" så ser det jo ud til den har så mange gummiparagraffer indbygget at man alligevel kan gøre næsten som man vil.
Hvis nogen gør sig nogen forhåbninger om at folk aktivt skal sige ja til cookies i en dialogboks eller lign. så har man valgt at "ulovliggøre" stort set samtlige sites på én gang. At tro at folk gider smide ressourcer efter dette for at ødelægge brugeroplevelsen med dialogbokse grænser til idioti af episke proportioner!

Det her ender jo bare som endnu et eksempel på at forskellige statsmagter forsøger at lovgive på et område hvor der bare ikke rigtig kan lade sig gøre.

Jesper Lund

Som et lille fingerpeg om, hvor seriøst minecookies selv tager det med cookies, så benytter de selv google analytics og gemius!

Der er dog taget et gigantisk forbehold i deres privatlivspolitik som nævner cookies fra omtrent samtlige firmaer i verden som lever af at profilere folk uden deres samtykke og vidende
http://minecookies.org/privatlivspolitik

Derudover kommer FDIM ind på den dataansvarlige for Gemius, men der er ikke tilsvarende information om Google, selv om Google Analytics cookies sender en masse information til Google. Herunder information som i Tyskland anses for at være så personfølsom, at brugen af Google Analytics nærmest er blevet ulovlig (og den tyske persondatalov er baseret på samme EU direktiv som den danske, men vores datatilsyn er desværre knap så aktivistisk som det tyske..).

Jeg mener dog ikke at det er tilstrækkeligt i forhold til Google Analytics at sige at Google måske sætter cookies (third party cookies som man nemt kan blokere). GA cookies er first party, men indholdet af GA cookies sendes til Google via den javascript kode som man udfører. Jeg mener at denne adgang til cookie indholdet må være omfattet af §3 stk 3 nr 4) og 5) i udkastet til bekendtgørelsen.

Informationen om hvordan man skal slette cookies
http://minecookies.org/cookiehandtering
giver indtryk af at man kan slette alle cookies via browseren. Det er misvisende i forhold til GA cookies. da man ikke kan slette de kopier som allerede er sendt videre til Google.

Peter Hansen

Hej Jesper,
du har ret (bl.a. derfor har jeg selv blokeret google analytics i min DNS).
Minecookies.org er spækfyldt med fejl og misinformation omkring tracking, men jeg orkede bare ikke at remse det hele op.

Det, som de fleste (avancerede) trackere benytter sig af er netop det hul i browser-sikkerhed som javascript loadet fra 3. part udgør - men dette er jo (desværre) blevet til standarden for embedding af indhold på hjemmesider (youtube, facebook, etc.).
Så hvis man skal gøre noget seriøst ved dette skal hele sikkerhedsmodellen for hjemmesider/browser tænkes om - og hvem skal finansiere denne udvikling ? Google eller andre som selv lever af reklamer og tracking? Microsoft ?

Deri består problemet - finansiering af indhold, som vi idag er vant til er gratis betales jo netop gennem tracking af forskellig art - og det er svært at melde sig ud af (prøv at gå på nettet uden at have slået javascript/scripting til).

Jesper Lund

Brugerne har i forvejen alle værktøjer for at blokere for cookies enten helt eller delvist og når man ser på "loven" så ser det jo ud til den har så mange gummiparagraffer indbygget at man alligevel kan gøre næsten som man vil.

Det er korrekt at værktøjerne findes, men jeg har ikke indtryk af at der er ret mange som bruger dem. Det kan skyldes manglende viden om disse værktøjer, eller det kan skyldes at folk er ligeglade med om de bliver overvåget og profileret af firmaer som Google med version2's og andres hjælp.

Hvis cookieloven kan bidrage til at skabe mere opmærksomhed om dette emne så folk bedre kan træffe et informeret valg, er det i sig selv positivt, og så tjener cookieloven at væsentligt formål.

I dag gør websites som bruger Google Analytics cookies, såsom version2.dk, et stort nummer ud af at skjule dette. Google kræver faktisk af europæiske websites at de skal have en privacy policy som tydeligt informerer brugerne om at der sendes oplysninger til Google via GA cookies (sikkert en cover-my-ass politik som Google's advokater har anbefalet dem). Det undlader version2.dk og mange andre websites imidlertid at gøre.

Jeg tror [heller] ikke på ideen om at man via popup boxe (som mange browsere blokerer) og endnu flere cookies kan løse problemet (hvis man selv gør alle cookies til session cookies, hvilket er gavnligt for din privacy, vil disse popup boxe og ønsker om samtykke blive ved med at komme..).

Men et krav om en privatlivspolitik (som er synlig med et link fra alle sider) hvor der tydeligt informeres om hvilke cookies der sættes, hvad de bruges til, og hvem oplysningerne deles med (f.eks. Gemius og Google), ville gøre en forskel. I hvert fald for dem som ønsker at træffe et informeret valg, og gerne vil vide om de bliver overvåget.

Hvis version2.dk eller andre mener at man skal betale for brugen af deres website ved at dele ud af sine personlige oplysninger (f.eks. til Google's massive profilering via GA cookies), så bør det fremgå eksplicit. Betingelsen for at et marked kan fungere er at man kender prisen før man køber varen.

Casper Thomsen

Hej Jesper.

I dag gør websites som bruger Google Analytics cookies, såsom version2.dk, et stort nummer ud af at skjule dette

Det er lidt at overdrive at skrive, at vi gør et stort nummer ud af at skjule det. Enhver person med en smule teknisk indsigt kan kigge i kildekoden og se, at vi benytter Google Analytics; det har vi ingen grund til at skjule.

Når det er sagt, så bør vi selvfølgelig - som du foreslår - gøre dette tydeligt i vores privatlivspolitik, og det arbejder vi på netop nu i forbindelse med de nye cookie-regler og at vi i øvrigt er ved at relancere sitet.

Mvh Casper, Version2

Jesper Lund

Det er lidt at overdrive at skrive, at vi gør et stort nummer ud af at skjule det. Enhver person med en smule teknisk indsigt kan kigge i kildekoden og se, at vi benytter Google Analytics; det har vi ingen grund til at skjule.

Den formulering er uheldig, beklager. Det som jeg havde i tankerne var sites som wrapper GA javascript koden ind i deres egen javascript, så det bliver sværere at blokere (man kan selvfølgelig stadig blokere one-pixel webbug upstream delen mod Google).

Det gør version2 ikke, men jeg har set det hos (af alle steder!) dr.dk, hvor jeg ellers vil mene at jeg har betalt for indholdet via medielicensen.

Jeg opdagede dette fordi jeg fandt __utm* cookies under dr.dk, selvom jeg havde blokeret GA javascript.

borger.dk har også skjult GA tracking, dog lidt mindre skjult end DR (javascript elementet hedder trods alt urchin.js).

Jesper Lund

Det har de da allerede gjort, den hedder danid.log

$ ls -l ~/danid.log
-r--r--r-- 1 jesper jesper 0 2010-12-21 23:47 /home/jesper/danid.log

Bekendtgørelsen regulerer ikke alene cookies, men lagring af og adgang til oplysninger i slutbrugerens terminaludstyr. Det må kun ske efter et informeret samtykke.

Gad vide om danid.log ikke vil være omfattet af bekendtgørelsen, og så skal DanID til at indhente nye samtykker?

Log ind eller Opret konto for at kommentere