Ny EU-lov: Alle cookies skal godkendes af brugeren

Inden for 18 måneder skal EU-landene forbyde websider at placere cookies hos en besøgende uden at spørge om lov. Det kan gøre livet svært for online-reklamer og måling af webtrafik.

Mens det store slag stod i EU om den kontroversielle mulighed for at spærre for musikpiraters webadgang uden dommerkendelse, blev en anden konsekvens af den såkaldte telekom-pakke ganske overset: Et forbud mod at bruge cookies, uden at brugeren bliver spurgt.

De små tekstfiler, som en webside kan sende til en browser og få gemt lokalt, bliver i dag brugt i stor stil på internettet. Et besøg på en kommerciel webside vil typisk betyde, at der bliver sendt cookies fra reklameudbyderen, fra analyseværktøjer som Google Analytics, fra Gemius, der bestyrer den officielle webtrafik-statistik og fra sitet selv.

Men med den nye EU-lov skal det være slut med at sende disse cookies, uden at spørge om lov hver gang. Kun i tilfælde, hvor det er strengt nødvendigt med en cookie for at få websiden til at fungere, er det tilladt uden at spørge. For eksempel i en webshop, hvor kunden lægger varer i kurven og til sidst går til 'kassen'. Her holder en cookie styr på indkøbet, uden at kunden skal logge ind.

En af grundene til loven er, at nogle firmaer bruger cookies på en måde, der ikke gavner forbrugerne. For eksempel kan et flyselskab med en cookie registrere, hvis den samme kunden tjekker prisen på en bestemt afgang tit. Sker det, vil prisen automatisk blive hævet lidt hver gang, fordi det vil få kunden til at slå til og købe. Sletter kunden sine cookies, ryger prisen tilbage til udgangspunktet, skriver dr.dk.

Men en lov, hvor cookies aktivt skal godkendes af internet-brugerne, vil ikke fungere, mener projektchef for FDIM, Foreningen af Danske Interaktive Medier, Peter Djurup:

»Hvis man skal sige ja tak, hver gang man går ind på et nyt site, så bliver det ikke sjovt at være internetbruger, og så vil brugen af internet falde voldsomt. Så kan vi ligeså godt lukke internettet,« mener han, ifølge dr.dk.

Cookies bliver også brugt til at registrere, om en reklame på et website virker, og hvor mange forskellige brugere, der klikker på den. Gør man det normalt, at folk afviser cookies, vil hele økonomien bag mange websites være i fare, fordi det bliver svært at dokumentere effekten af en bannerreklame, lyder et andet kritiskpunkt fra FDIM.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Makholm Blogger

Min ene browser spørger mig allerede hver gang jeg modtager en cookie fra et ukendt domæne. Så kan jeg vælge mellem 'Ja, denne gang', 'Nej, denne gang', 'ja, altid' og 'nej, altid'.

Hvorfor ikke bare udnytte sig af at cookies rent er noget der sker på brugerens maskine og så bede brugerene om at vælge browsere der giver dem den fornødne kontrol over egen maskine?

  • 0
  • 0
#3 Pascal d'Hermilly

Jeg glæder mig til ikke at blive tracket på alle mulige måder af reklame-sider. Det er jo ikke fordi de ikke kan lave reklamer uden cookies. Hvis jeg er på en side med artikler omkring f.eks. tomat-dyrkning, så skal de nok prøve at sælge mig nogle haveredskaber. Hvis cookies er strengt nødvendige for en service brugeren har bedt om må man jo godt bruge dem. Desuden kan man jo bare altid få brugeren til at acceptere cookie'en. Så vil de vise sig hvor mange der er interesserede.

  • 0
  • 0
#4 Ove Andersen

Er det websiderne (alle milliarder) der skal spørge brugerne, eller er det browseren der skal spørge?

Og hvad med organisationer udenfor EU, e.g. Google Analytics? Skal de spørge for hver enkelt side, én gang og så er Google Analytics godkendt i fremtiden, eller aldrig fordi Google er et Amerikansk foretagende?

Jeg lader bare Adblock Plus droppe de sider jeg ikke gider have til at snuse rundt, og det skulle da også stoppe en del tracking cookies.

  • 0
  • 0
#5 Torben Mogensen Blogger

Man kan godt lave indkøbskurve uden cookies: Man koder det blot i URL'en som parametre, f.eks.

www.firma.com/side.msp?session=djfgsjk

hvor djfgsjk er en kode for den igangværende session. Serveren skal så lokalt have en fil, der beskriver indkøbskurv osv. for denne session.

Den eneste ulempe er, at man ikke kan bevare indkøbskurv mellem sessions, med mindre man bookmarker URL'en med sessionskoden eller logger ind (hvorved sessionskoden erstattes af en brugerkode). Serveren kan slette data for anonyme sessions efter et stykke tid, men bevare data for registrerede brugere. Dermed kan registrerede brugere også bevare indkøbskurv osv. mellem sessions.

  • 0
  • 0
#6 Peter Makholm Blogger

Et problem med at gemme identifikationen af en session i query-part af en URI er at brugere rask væk lige via noget instant messaging klipper url'en over i en anden kontekst. Dette giver i nogle tilfælde mulighed for at lække fortrolig data.

  • 0
  • 0
#7 Deleted User

Det er så tåbeligt. Så hvergang man vil logge ind på et site skal man også lige bekræfte at det er iorden at man gemmer en session cookie på personen computer.

Det vil også forvirre brugere at de skal godkende noget, som de ikke forstår.

  • 0
  • 0
#8 Allan Ebdrup Blogger

Det lyder helt åndssvagt, er det virkeligt sandt? De nævntet eksempel på misbrug:

For eksempel kan et flyselskab med en cookie registrere, hvis den samme kunden tjekker prisen på en bestemt afgang tit. Sker det, vil prisen automatisk blive hævet lidt hver gang, fordi det vil få kunden til at slå til og købe. Sletter kunden sine cookies, ryger prisen tilbage til udgangspunktet, skriver dr.dk.

Er det så ikke mere relevant, at gøre det ulovligt at have individuelle priser, til folk der ikke aktivt har identificeret sig, ved fx at logge ind? At kræve accept af stort set alle cookies, rammer alt for mange sites der bruger cookies til noget fornuftigt.

  • 0
  • 0
#10 Flemming Frandsen

Mon ikke det cookie forbud er et eller andet vildskud fra en interesseorganisation som er blevet forvansket gennem 100 led og endt som noget helt andet end det der blev ønsket?

Under alle omstændigheder er det eneste man kan gøre at ignorere det og håbe på at det går væk en gang.

  • 0
  • 0
#11 Carsten Sonne

Session cookies er en ganske god måde at styre en webapplikation på. Jeg kan ikke forestille mig det er her skoen trykker. I øvrigt er der med nutidens sprog som ASP.Net og JSP (etc), rigeligt med andre muligheder for at identificere en klient imellem sideforespørgsler.

Der hvor cookies ikke er i orden, er såkaldte tracecookies. De gemmes på klienten uden brugerens viden med det formål at udnytte brugerens brugsmønstre. Hvis man bliver spurt, som man jo i øvrigt alligevel gør ved de fleste legitime persisterede cookies, så ved man da i det mindste at siden man er inde på, holder øje med en.

  • 0
  • 0
#12 Allan Ebdrup Blogger

Der hvor cookies ikke er i orden, er såkaldte tracecookies. De gemmes på klienten uden brugerens viden med det formål at udnytte brugerens brugsmønstre. Hvis man bliver spurt, som man jo i øvrigt alligevel gør ved de fleste legitime persisterede cookies, så ved man da i det mindste at siden man er inde på, holder øje med en.

Jeg synes du er meget kategorisk når du afviser alt andet end session cookies (eller er det ikke det du mener). På mit fritidsprojekt (obsurvey.com) har jeg lavet det sådan at man bare kan klikke "Try now" og får oprettet en brugerkonto og lagt en cookie på computeren sådan at når man kommer næste gang og trykker "Try now" bliver man logget på med samme bruger. Så kan man prøve applikationen med det samme uden at registrere sig. Man kan altså vente med at registrere sig, så man kan logge ind fra en anden computer/browser, til man har lyst. Det jeg ikke kan gennemskue er om jeg så skal til at spørge om tilladelse til det. Det ville være svært uhensigtsmæssigt og sikkert skræmme folk væk der bare lige vil prøve.

  • 0
  • 0
#13 Kevin Steffer

Jeg vil også mene at kun giver mening at spørge når man ønsker at placere cookies (session cookie og persistent cookies) som skal gælde cross-domain med P3P http://www.w3.org/TR/P3P/ standarden som fx skal anvendes i forbindelse med sporing af køb fra Kelkoo.dk og lign. services. Ikke at kelkoo.dk misbruger deres tillid, men har man ikke så meget moral kan et misbruges også i kommercielle sammenhænge. Og der kunne det være en god idé at spørge brugeren, fordi man har reelt en mulighed for at lave server-server callbacks i fx en kelkoo.dk- og affiliateløsninger.

Men det vækker da helt sikkert en god debat!

  • 0
  • 0
#14 Deleted User

Ville det ikke være dejligt, hvis vi kunne få forbudt misbrug af data om folk på nettet, frem for at at forbyde en masse af de måder hvorpå man kan misbruge dem?

"Du må ikke slå ihjel", frem for a opremse alle metoderne de kan komme på at dette kan gøres... "Du må ikke uden brugerens explicitte samtykke bruge eller indsamle oplysninger om brugeren til handlinger som ikke er nødvendige for at brugeren kan udføre den ønskede handling." Så har vi vel også dækket cookies, og måske oven i købet lagt op til spørgsmål som "Må vi gemme lidt data hos dig, så det næste gang er nemmere for dig at komme til at skrive kommentarer" frem for "Må vi gemme data hos dig, for det siger loven vi SKAL spørgem om".

Jeg er altid bange for love der omhandler specifikke tekniske implementationer, frem for at angribe problemet fra en mere hensigtsbeskrivende vinkel. Tekniske implementeringer kan hurtigt ændres til at indsamle data om brugeren på anden vis (Eksempelvis gemme IP + browser, nu om dage sidder en router ofte konstant på nettet, så selv ved dynamisk IP holder man IPen i månedsvis).

  • 0
  • 0
#16 Pascal d'Hermilly

Ville det ikke være dejligt, hvis vi kunne få forbudt misbrug af data om folk på nettet, frem for at at forbyde en masse af de måder hvorpå man kan misbruge dem?

Jo. Men det er jo nærmest umuligt at påvise hvornår noget er misbrug og i de tilfælde er det forsent. Når data er indsamlet vil de blive misbrugt.

Så skal du lave en lov om at man ikke må hive data ud af brugeren med mindre han/hun har givet lov.

Det vil dog gøre det fuldstændig umuligt at se om folk bryder loven hvis de får lov til at gemme en cookie med et id. Alle data kan jo bare ligge på serveren. Så man bliver nødt til at sige at man ikke må gemme en cookie uden at brugeren giver lov.

Ellers skal du lave en lov som siger "Du må ikke gemme nogen oplysninger om brugeren der kan genkende dem uden for session, medmindre de giver lov." Det ville nok være den bedste løsning.

  • 0
  • 0
#17 Pascal d'Hermilly

På mit fritidsprojekt (obsurvey.com) har jeg lavet det sådan at man bare kan klikke "Try now" og får oprettet en brugerkonto og lagt en cookie på computeren sådan at når man kommer næste gang og trykker "Try now" bliver man logget på med samme bruger.

Jeg synes det var et dårligt eksempel på god brug. Det lyder som en meget uoverkuelig process for brugeren medmindre du alligevel forklarer at du skal gemme noget information på brugerens PC. Det kan også være at det slet ikke matcher brugerens ønsker at genoptage sin session.

  • 0
  • 0
#18 Allan Ebdrup Blogger

Jeg synes det var et dårligt eksempel på god brug. Det lyder som en meget uoverkuelig process for brugeren medmindre du alligevel forklarer at du skal gemme noget information på brugerens PC. Det kan også være at det slet ikke matcher brugerens ønsker at genoptage sin session.

Jeg forklarer det i introduktionsvideoen, der er ingen der har beklaget sig over metoden. Hvad er det mere præcist du ikke kan lide? Hvilken situation kan opstå, som er forvirrende?

  • 0
  • 0
#19 Pascal d'Hermilly

Jeg forklarer det i introduktionsvideoen, der er ingen der har beklaget sig over metoden. Hvad er det mere præcist du ikke kan lide? Hvilken situation kan opstå, som er forvirrende?

Jeg har ikke kigget på dine hjemmeside. Jeg synes bare det er et dårligt eksempel du fremlægger. Du kan lige så godt sige til folk kan logge ind med id "brugernavn" og eller bare bede dem acceptere din cookie. Hvis de er interesserede skal de nok gøre det. F.eks. "Hvis du ønsker at vi skal gemme dine oplysninger til næste gang: CHECKMARK HER".

  • 0
  • 0
#20 Allan Ebdrup Blogger

Jeg har ikke kigget på dine hjemmeside. Jeg synes bare det er et dårligt eksempel du fremlægger. Du kan lige så godt sige til folk kan logge ind med id "brugernavn" og eller bare bede dem acceptere din cookie. Hvis de er interesserede skal de nok gøre det. F.eks. "Hvis du ønsker at vi skal gemme dine oplysninger til næste gang: CHECKMARK HER".

Det giver ikke ret meget mening at bruge applikationen uden at gemme login. for så kan man ikke se de svar der er givet til spørgeskemaet.

  • 0
  • 0
#21 Niels Larsen

Hvsi man logger på med brugernavn og adgangskode, så må den man logger på hos da kunne huske, hvad man gjorde sidst man var "på besøg". Alene evnen til at lægge en cookie på en persons PC bør forbydes, idet et brugernavn og adgangskode til de der ønsker "avanceret adgang" kan hindre uønsket tapning af forbrugsmønstre m.v.

Jeg undgår virksomheder, der vil have mig til at acceptere cookies for at komme ind på deres hjemmeside.

Når så vi har fået forbudt cookies, så kan vi starte med at forbyde udveksling af email-adresser. Straffen for en CEO for en virksomhed, der sælger ens email adresse til andre skumle virksomheder kan passende være 16 års fængsel.

  • 0
  • 0
#22 Laurids Pedersen

Flash har en shared object funktion, der kan gemme og læse data på brugerens maskine. Brugeren kan i lighed med cookies disable dem i Flashplayeren. Som standard kan gemmes op til 100 kB ialt.

Hvis forbudet gælder Cookies alene, er Flash et smuthul til omgåelse.

  • 0
  • 0
#23 Carsten Sonne

Ingen tvivl om at loven kan omgås, forstået på den måde at brugere alligevel vil kunne blive genkendt uden for sessioner. Men det bliver alt andet lige, lidt sværere end det har været med cookies.

Det ville være en uoverkommelig opgave at lave en lov der på teknisk niveau specificerede alle muligheder der potentielt set kan anvendes til at genkende en bruger imellem sessioner.

Så er det nok mere en 'Du må ikke misbruge brugeres data' lov (Mark Gjøls indlæg), der er brug for

  • 0
  • 0
#25 Niels Larsen

Nej, hvis jeg kommer til en webside, der siger at mit sikkerhedsniveau forhindrer cookies, så får de ikke lov at sælge mig noget.

Cookies er derfor ikke et problem for mig, men for dem der vil sælge mig noget, som de ikke kan få lov til, da jeg ikke kan se, hvad de udbyder - jeg bevæger mig ikke ind på deres websider.

Mit indlæg var seriøst derhen, at jeg mener at de der misbruger nettet skal straffes voldsomt - det kan jo kaldes en form vor virtuel voldtægt. Og strengt taget, så er der ikke nogen der har brug for cookies, den webside man besøger kan da gemme opsætning af dette og hint lokalt på sin egen server. Hvis man er for doven til at taste brugernavn og adgangskode, så kan man jobede browseren huske det for een. Jeg har ikke hørt eet eneste validt argument for at cookies skal være tilladt overhovedet.

  • 0
  • 0
#26 Niels Larsen

Til det allerøverste indlæg:

Hvis man elsker sikkerhed, så kan man som jeg have en PC, som den jeg bruger i øjeblikket, hvor næsten alt er tilladt, og udstyret med det bedste i virusbeskyttelse. Denne PC bruges imidlertid ikke til nethandel og netbank, det har jeg en anden PC til. De hjernelamme idioter der forsøger at målrette reklamer efter mine indkøb bliver slemt skuffede, for de finder ikke noget nethandel på denne PC.

På den anden PC, der handler jeg kun på steder der ikke forsøger at lære mig at kende. Jeg har enkelte gange været nødt til at acceptere en cookie, fordi det jeg skulle købe kun kunne fås eet sted. Inden jeg lukkede PCen ned var cookien fjernet.

Cookies er kun til for at genere almindelige mennesker.

Jeg kan i øvrigt se på den negative respons på et af mine andre indlæg, at der er een af de tilstedeværende debatører, der lever af spionere på vi andre, og sælge den viden til skumle virksomheder. Gad vide om man kan bruge spionage paragraffen i straffeloven til at komme efter sådanne useriøse mennesker.

  • 0
  • 0
#27 Deleted User

Jeg vil lige påpege at der er en lille forskel på hvad der er nødvendigt, og hvad der blot er et praktisk værktøj.

Man kan jo godt undvære cookies, men de er altså generelt ganske praktiske. Ikke blot kan cookies bruges til at huske login mellem sessions og faneblade, de kan også bruges til at gemme indstillinger og data til gavn for brugeren, uden at brugeren behøver at oprette en konto, logge ind osv. Fx kan man på en del tegneseriesider sætte et bogmærke så man ikke selv behøver at huske hvor langt man er kommet. Det er ikke nogen kæmpe revolution, det er bare praktisk.

Hvis du blot indstiller din browser til ikke at acceptere 3. part cookies så er tracking cookiesne praktisk talt ryddet af vejen.

Meningen med loven er jo god nok, men eftersom enhver kan opnå det samme blot ved at ændre indstillingerne i sin browser så er loven i bedste fald overflødig.

Jeg er helt enig i din holdning omkring folk der misbruger email systemet, de skulle sendes hen hvor peberen gror/spankes med et vådt håndklæde/skydes ved daggry eller noget i den retning, men det er jo sådan set off topic.

  • 0
  • 0
#28 Anonym

Eftersom man med fast IP blot kan erstatte cookies med webbugs og reelt opnå den samme 3.parts effekt er det lidt svært at se hvad man opnår ved isoleret at kræve samtykke til cookies.

Hvis formålet er at styrke forbrugeren, så skal der anderledes tekniske foranstaltninger til - f.eks. at undgå fast IP, erstte logins med blinded signatures, kredit kort med digital cash osv.

Det andet her er nok velment, men mere besværligt end gavnligt.

  • 0
  • 0
#29 Anonym

Jeg forstår ikke hvorfor det er nødvendigt at lovgive på dette område, og andre lignende områder. Der findes massere af browsere som allerede kan håndtere og beskytte brugeren i passende omfang. Når man vælger at bruge nettet medfølger visse risici, og dem har man som bruger ansvaret for at lære at omgås og undgå. Alt andet svarer jo til at sejle ud på åbent hav, i en ukendt båd, og uden at vide noget om hvad sorte skyer medfører.

  • 0
  • 0
#30 Jesper Lund

Thomas Jensen skrev:

Jeg forstår ikke hvorfor det er nødvendigt at lovgive på dette område, og andre lignende områder. Der findes massere af browsere som allerede kan håndtere og beskytte brugeren i passende omfang.

Er det ikke lidt det samme som at sige at vi behøver ikke forbyde automatvåben på Nørrebro, fordi folk jo bare kan vælge at gå med skudsikker vest?

Du har ret i at man kan opsætte browsere så man ikke bliver overvåget med cookies (til en vis grænse), men det er ikke default indstillingen nogen steder, og jeg synes at det er sund fornuft at virksomheder er forpligtet til at fortælle folk hvad de registrerer om dem og bede om samtykke til registrering af personlige oplysninger.

  • 0
  • 0
#31 Anonym

Min kommentar er en smule banal, indrømmet, men pointen er at folk i højere grad skal være klar over at det kræver bare lidt tid at sætte sig ind i hvordan man håndterer og bruger nettet. Se nu bare på alt det lort der spreder sig gennem MSN, Facebook og lignende tjenester, de er alle resultatet af uhensigtsmæssig brug af nettet og uvidende brugere. Herhjemme er vi, så vidt jeg ved, gået fri, og det tror jeg primært skyldes at vi har en forholdsvis kritisk men sund holdning til internettet. Jeg siger ikke, at man ikke kan blive snydt, men langt de fleste ting kan undgås med fornuftig brug. Det er svært at få skidt ned på computeren, uden selv at have bedt om det, på den ene eller anden måde. Eksempelvis ved at klikke på et link sendt over MSN i beskeden "Oooh! This can't be true! Is this really you on these pictures?! http:// some.pictures.of.youre.friend.on.the.internet.russian-TLD" - fra en ellers dansk talende person.

  • 0
  • 0
#32 Anonym

Der findes ikke browsere som kan håndtere det grundliggende - ingen browser kan f.eks. håndtere problemet med fast IP-addresse som betyder at enhver online session kan kobles på tværs medmindre man bruger en masse overhead a la TOR.

Problemet er jo at infrastrukturen i dag - af gatekeeperne - er indrettet til at underminere din sikkerhed af kommercielle årsager. Dine data kan sælges og din beslutningsprocess påvirkes imod dine interesser hvis man kan opsamle viden (primært såkaldt behavioural data) og misbruge dem uden du er opmærksom herpå.

Så længe sikkerhed er så groft ude af balance er det poliritiske system nødt til at regarer på det hastigt voksende misbrug.

At man sjældent lovgiver klogt er så et forværrende problem.

  • 0
  • 0
#33 Anonym

Internettet er på ingen måde mindre privat end det "virkelige" liv. Skal vi så også til at bære masker når vi går ned i Fona og køber et TV? Tænk hvis sælgeren kan huske os næste gang, og så bevidst viser os den nyeste DVD, som passer til?! Det er vel misbrug af private oplysninger? Alle bør som det mindste have fast IP, så man eksempelvis har mulighed for at udelukke misbrugere fra en side. Ligesom man har et ansigt når man ellers besøger butikker, caféer, diskotekter, varehuse, uddannelser, arbejdssteder eller hvad man nu laver.

  • 0
  • 0
#34 Deleted User

Er det ikke lidt det samme som at sige at vi behøver ikke forbyde automatvåben på Nørrebro, fordi folk jo bare kan vælge at gå med skudsikker vest?

Hvis du virkelig vil køre den sammenligning:

Cookies har i de fleste tilfælde lovlige praktiske formål, det har automatvåben på Nørrebro ikke. Den negative effekt som cookies kan have kan du let og effektivt beskytte dig imod med en browserindstilling. En skudsikker vest derimod er ret langt fra at være egentlig skudsikker, og dækker ikke engang hele kroppen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere