Ny vejledning: Sådan overholder du cookie-reglerne

17 kommentarer.  Hop til debatten
Ny vejledning: Sådan overholder du cookie-reglerne
Illustration: Privatfoto.
Ved at opdele sine cookies i tre kategorier kan man lettere se, om det er nødvendigt at bede om brugerens samtykke, og man kan også se, om der er cookies, man helt skal droppe. Sådan lyder det i ny vejledning fra Dansk Industri.
person
13. februar 2013 kl. 09:54
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

EU's cookie-regler betyder, at hjemmesider nu skal bede om brugerens samtykke for at sætte cookies, som brugeren ikke selv har bedt om, og som ikke er teknisk nødvendige. Brancheorganisation ITEK under DI vil nu hjælpe danske virksomheder med at finde rundt i cookiereglerne.

»På den ene side er lovgivningen på dette område meget rigid og omfatter nogle cookies, som giver god funktionalitet for brugerne. På den anden side findes der cookies, som placeres på brugernes udstyr med det formål at profilere dem uden deres ønske, viden og samtykke,« skriver chefkonsulent Henning Mortensen DI ITEK i en e-mail til Version2.

DI ITEK har udgivet en vejledning til virksomheder, som blandt andet anbefaler, at man opdeler de cookies, der bruges på virksomhedens websteder, i tre kategorier.

Den ene kategori omfatter cookies, som brugeren selv sætter, og som har en direkte teknisk funktion. Det kan eksempelvis være indkøbskurven til en netbutik. Ifølge DI ITEK er disse cookies ikke omfattet af den danske cookie-bekendtgørelse, og det er derfor frivilligt, om man vil informere brugerne om brugen.

Artiklen fortsætter efter annoncen

De to andre kategorier gælder cookies, som bruges til at følge brugeren på tværs af flere sessioner eller websteder. Så længe det sker inden for den samme virksomheds univers, mener DI ITEK, at brugerne skal spørges først og derefter have let mulighed for at trækkes en accept tilbage senere.

Hvis det drejer sig om cookies, der sættes af eksterne leverandører, så lyder rådet fra DI ITEK, at man bør overveje, om man reelt har behov for denne type cookies, eller om man kan fjerne dem fra sit websted.

»Der er ingen tvivl om, at det her bliver dyrt for virksomhederne. Især virksomheder med mange domæner og CMS-systemer kommer til at betale en høj pris. Denne pris vil jo alt andet lige blive væltet over på forbrugerne. Uanset hvad man måtte mene politisk om bekendtgørelsen, så er lov lov, og lov skal holdes,« skriver Henning Mortensen.

17 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
13
Daniel Johannsen
18. februar 2013 kl. 13:04

Intentionen bag EUs cookie-direktiv og den affødte danske cookie-bekendtgørelse er at beskytte den enkelte brugers ret til en privatsfære. I praksis betyder det, at brugeren skal have et valg, helt i tråd med vores kulturelle selvforståelse på alle andre områder. Det har man som bruger ikke i dag - enten finder du dig i, at der bruges cookies, eller også må du lade være med at bruge hjemmesiden. Det er bare ikke godt nok.

Udfordringen er at tilvejebringe et bruger-samtykke på en brugervenlig og diskret måde, hvilket på ingen måder er umuligt. Den virkelige udfordring er at få virksomhederne til at se konkurrence-fordelen i at respektere brugerens ret til at sige nej tak. Det er jo i virkeligheden ikke i nogen virksomheds interesse at tvinge sine brugere. Faktisk har det langt højere værdi at tilbyde brugerne et valg, for på den måde kvalificerer du dine brugere på en hidtil uset måde: Brugere, der accepterer cookies på din hjemmeside, er typisk brugere, der har tillid til dit brand. Derved får du identificeret brugerens tillidsforhold, og kan målrette indhold til brugeren på basis af dette forhold. På den måde kan kræfterne bruges målrettet mod købe-klare kunder i stedet for at skyde med spred-hagl på alle brugere, der ikke har haft nogen mulighed for at tilkendegive deres privatlivs-præferencer.

Er det svært? Nej, der findes mange gode, nemme løsninger, både open source og kommercielle. Den indledende øvelse med at kortlægge hvilke cookies ens hjemmeside faktisk anvender tager selvfølgelig tid - hvilket er sundt under alle omstændigheder, som DI påpeger i deres cookie-vejledning til danske virksomheder.

  • more_vert
    • insert_linkKopier link
15
Daniel Johannsen
20. februar 2013 kl. 17:03

Man kan da nemt bruge en hjemmeside i dag uden cookies, du får måske en ringere oplevelse men den ringere oplevelse vil du også få hvis websiden spørger om den må bruge cookies og du siger nej.

Nej, der er afgørende forskel: Under EU-direktivet og den danske cookiebekendtgørelse er det lovligt at placere "strictly necessary cookies" eller "grønne cookies", som DI betegner dem i deres cookie-vejledning: "Grønne cookies er cookies, som er en teknisk nødvendighed for at kunne tilvejebringe en bestemt tjeneste, der fungerer i overensstemmelse med tjenestens formål. Det kan f.eks. være cookies, der bruges til login eller en indkøbskurv."

Hvis en bruger vælger at takke nej til cookies på den enkelte hjemmeside, er det derfor i praksis et nej tak til cookies, der ikke er "grønne". Dvs. at du kan yde en velfungerende service på din hjemmeside, selvom brugeren formelt har fravalgt cookies. Dette er ikke muligt, hvis brugeren blot blokerer for cookies i sin browsers generelle indstillinger.

Hvad der er "grønne" cookies varierer fra hjemmeside til hjemmeside, alt efter hvilken service hjemmesiden stiller til rådighed. Browserens generelle cookie-blokering kan ikke bruges til at differentiere mellem disse, og derfor er et aktivt valg på den enkelte hjemmeside eneste mulighed for at give en professionel service samtidig med at brugeren får et reelt valg.

  • more_vert
    • insert_linkKopier link
16
Kristian Klausen
20. februar 2013 kl. 18:48

Nej, der er afgørende forskel: Under EU-direktivet og den danske cookiebekendtgørelse er det lovligt at placere "strictly necessary cookies" eller "grønne cookies", som DI betegner dem i deres cookie-vejledning: "Grønne cookies er cookies, som er en teknisk nødvendighed for at kunne tilvejebringe en bestemt tjeneste, der fungerer i overensstemmelse med tjenestens formål. Det kan f.eks. være cookies, der bruges til login eller en indkøbskurv."</p>
<p>Hvis en bruger vælger at takke nej til cookies på den enkelte hjemmeside, er det derfor i praksis et nej tak til cookies, der ikke er "grønne". Dvs. at du kan yde en velfungerende service på din hjemmeside, selvom brugeren formelt har fravalgt cookies. Dette er ikke muligt, hvis brugeren blot blokerer for cookies i sin browsers generelle indstillinger.</p>
<p>Hvad der er "grønne" cookies varierer fra hjemmeside til hjemmeside, alt efter hvilken service hjemmesiden stiller til rådighed. Browserens generelle cookie-blokering kan ikke bruges til at differentiere mellem disse, og derfor er et aktivt valg på den enkelte hjemmeside eneste mulighed for at give en professionel service samtidig med at brugeren får et reelt valg.

Arh, havde forstået det anderledes :) Men så kan en udvidelse som Ghostery da næsten tage alle cookies som ikke er "grønne", med undtagelse af nogle i kategori 2 hvis virksomheden har kodet sin egen tracking løsning.

  • more_vert
    • insert_linkKopier link
8
Deleted User
13. februar 2013 kl. 15:49

Hvorfor reguleringen af sætning af cookies skal foregå på de enkelte hjemmesider, og ikke i browseren, er mig en gåde. Det er 100 gange nemmere at administrere hvis man regulerer det i browseren fremfor at skulle tage stilling til om man vil acceptere cookies hver gang man besøger en hjemmeside.

  • more_vert
    • insert_linkKopier link
10
Deleted User
13. februar 2013 kl. 18:18

Det forudsætter en forklaring som kun websitet, der sætter cookies, kan give dig.

Og det svarer lige præcis til at sætte ulven til at vogte får.

Hvis man har et problem med cookies, kan man jo bare slå det fra. Det er et valg man har haft længe. Præcis ligesom man kan slå Flash eller Java fra. Eller skal alle hjemmesider nu også specifikt spørge brugerne hver gang om det er i orden, at der afvikles Flash-kode eller ej (og dermed bruge af ens systemresourcer)? Eller giver det sig selv, når man går ind på en hjemmeside med Flash, at man accepterer det?

Hvorfor ikke tage browserens cookie-indstillinger for pålydende, og som en accept af at man accepterer brugen cookies (eller det modsatte)?

Det ville være meget smartere med en generel "nej tak til cookies", efter samme koncept som "nej tak til reklamer" på postkassen, så man i sin browser kunne markere om man ville tillade den slags eller ej.

Det ville da også være tåbeligt, hvis man på sin postkasse skulle have 117 forskellige klistermærker siddende for at dække alle afsendere. Det er sådan de nye cookieregler kommer til at virke?

  • more_vert
    • insert_linkKopier link
11
Jesper Lund
13. februar 2013 kl. 18:33

Hvis man har et problem med cookies, kan man jo bare slå det fra.

God ide, men forklar mig lige hvordan jeg får borger.dk (som jeg er tvunget til at bruge) til at virke uden cookies?

Borger.dk skal dog roses for at gøre visse beskedne fremskridt. Tidligere var deres design så defekt at borger.dk kørte i et endeløst loop hvis man blokerede third-party cookies.

Visse browsere (Safari eksempelvis) blokerer som standard third-party cookies, men det ville nogle websites ikke acceptere. De udnyttede bugs i Safari til at sætte third-party cookies.

Google Analytics er også en stor omgåelse af cookie begrebet. Cookies udveksles kun med det website som sætter dem, og da GA cookies er first party, kan de ikke havne hos Google. Nå ja, det kan de så alligevel hvis man laver lidt kreativ javascript og hæfter cookie indholdet på en webbug download URL.

Skal vi virkelig betragte cookies på samme måde som hacking og malware?

  • more_vert
    • insert_linkKopier link
5
Daniel Johannsen
13. februar 2013 kl. 11:45

Jeg er ikke enig i Henning Mortensens påstand om, at det er dyrt og besværligt for hjemmeside-ejerne at implementere en velfungerende løsning, hvor man oven i købet nemt kan differentiere mellem aktivering af forskellige typer af cookies. Man kan sagtens fortsætte med at tracke, hvis blot brugeren samtykker. Der findes gode open source værktøjer og kommercielle løsninger, som gør det nemt og enkelt for hjemmesideejeren, uden at det går ud over brugervenligheden.

  • more_vert
    • insert_linkKopier link
4
Mathias Valentin
13. februar 2013 kl. 11:44

Vil i klassificer Google Analytics som rød? også hvis Data Sharing er slået helt fra, altså så brugerdataen ikke bliver delt med andre Google produkter som f.eks. AdSense.

Uanset hvad, så er GA cookies omfattet af lovgivningen og det bliver spændende at se hvornår webstederne begynder at tage den seriøst, samt hvornår der begynder at falde bøder til dem der ikke gør.

  • more_vert
    • insert_linkKopier link
12
Jesper Lund
13. februar 2013 kl. 18:46

Vil i klassificer Google Analytics som rød? også hvis Data Sharing er slået helt fra, altså så brugerdataen ikke bliver delt med andre Google produkter som f.eks. AdSense.

I forhold til mit besøg på version2.dk er Google en tredjepart (så vidt jeg kan se bruger version2.dk ikke GA p.t. så det er blot nævnt som eksempel).

GA cookies er ganske vist en first-party cookie, men de har funktion som en third-party cookie, fordi indholdet sendes til Google via javascript som download parametre på en webbug URL.

Der kan ikke være nogen tvivl om at Google Analytics er rød.

Det norske datatilsyn har godkendt Google Analytics (i Norge selvsagt), men bemærk betingelsernehttp://www.datatilsynet.no/Nyheter/2013/Aksepterer-bruk-av-Google-analytics/

Ingen data sharing (må være underforstået), brug af GAs IP-anonymisering, samt at der indgås en formel databehandlingsaftale med Google. Og brugerne skal informeres om det.

Hvordan det norske datatilsyn mener at den dataansvarlige skal føre tilsyn med databehandleren (Google) henstår dog i det uvisse..

  • more_vert
    • insert_linkKopier link
3
Lars Sommer
13. februar 2013 kl. 11:23

Hvem skriver et lille værktøj, der kan trevle alle EU's egne sites igennem, og kontrollere at der ikke sættes disse farlige ulovlige cookies uden tilladelse?

..eller findes det allerede? - så det også kan bruges i testøjemed på ens egne sites?

  • more_vert
    • insert_linkKopier link
17
Mie Elmkvist Jensen
26. marts 2013 kl. 14:34

Værktøjerne findes allerede, men er dog ikke små, hvis du vil have det komplette overblik. Hos Siteimprove kan du få lavet en komplet rapport over hvilke cookies der sættes fra dit site. Rapporten medtager også flash cookies.

  • more_vert
    • insert_linkKopier link
7
Esben Madsen
13. februar 2013 kl. 13:21

en rekursiv wget med --save-cookies (og evt. --keep-session-cookies) kunne være et godt bud på en start... så er det bare at se på alle de cookies der er gemt i cookie-filen bagefter...

  • more_vert
    • insert_linkKopier link
1
Baldur Norddahl
13. februar 2013 kl. 10:14

Endelig en vejledning, som nævner den helt åbenlyse mulighed helt at undlade at sætte tracking cookies. Hvis du kun har funktionelle cookies på dit site behøver du ikke informere brugeren og du kan forsætte dit liv uden at bruge mere tid på dette.

Og hvordan undlader man at sætte tracking cookies? Du starter med at droppe Google Analytics samt diverse "like" knapper. Lige siden midt 90'erne har der eksisteret fine statistikværktøjer der arbejder på logfiler fra webserveren.

Disse to tiltag er nok for de fleste. Hvis du har reklamer på dit site, så har du dog nok et problem. Jeg tror ikke det er muligt at vise reklamer uden at der bliver sat et hav af tracking-cookies.

  • more_vert
    • insert_linkKopier link
6
Michael Kjeldsen
13. februar 2013 kl. 12:36

Hvis man ikke har et website for at tjene penge, så er valgmuligheden at fjerne adfærdstracking absolut en farbar vej.

Ellers ikke...

  • more_vert
    • insert_linkKopier link
2
Patrick Mylund Nielsen
13. februar 2013 kl. 10:31

Med mindre du selv hoster dem, er det praktisk talt ikke muligt, nej.

Det gælder dog ikke kun cookies, men alt der "læses eller skrives fra en terminal" (inklusive selve HTTP request), så hvis du bruger access logs, ETags, m.v. til at spore brugerne, og denne information ikke kvalificerer som nødvendig for drift, skal brugeren stadig informeres.

  • more_vert
    • insert_linkKopier link