Nye retningslinjer for cookie-brug: Borgerne skal være trygge ved offentlige hjemmesider

Nye retningslinjer skal blandt andet hjælpe myndigheder med privacy-venlig SoMe-integration

Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag et nyudgivet sæt retningslinjer for kommuner og andre offentlige institutioners anvendelse af cookies.

Ifølge en meddelelse på Erhvervsstyrelsens hjemmeside, så er formålet med retningslinjerne, at borgerne trygt skal kunne bruge alle offentlige myndigheders hjemmesider. Et kig i retningslinjerne viser, at fokus blandt andet er på brugen af tracking-cookies i forhold til hjemmesiders integration med sociale medier som Facebook.

I retningslinjerne, der er udgivet som en digital PDF-folder (PDF), står der blandt andet:

'Retningslinjerne beskriver de principper, som offentlige myndigheder bør følge og giver en guide til, hvordan offentlige myndigheder bør bruge cookies, sociale medier og værktøjer, så borgerne med tillid
og tryghed kan anvende offentlige digitale tjenester og selvbetjeningsløsninger.'

Ordet 'bør' går igen gennem retningslinjerne. Der er godt nok en lovgivning på området i form af den såkaldte cookie-bekendtgørelse, men alligevel er retningslinjerne tænkt som en opfordring og ikke et krav til myndigheder.

Kontorchef i Erhvervsstyrelsen Helle Bøjen Larsen forklarer, hvordan det hænger sammen.

»Det er meget bevidst, der står bør. Der er tale om en høflig opfordring. Vi har jo en cookie-bekendtgørelse, men den handler om, at hjemmesider skal informere og indhente samtykke, når man bruger cookies. Altså de cookie-bokse, vi alle sammen kender. Men loven handler faktisk ikke om, hvilke cookies en hjemmeside må bruge. Så der er ikke noget 'skal'.«

Lidt skal er der dog i folderen med retnignslinjer. Det handler dog ikke om cookies, men om databehandleraftaler, som kan være nødvendige ved brug af web-analyseværktøjer. Databehandler-aftaler sorterer under Datatilsynet og ikke cookiebekendtgørelsen og Erhvervsstyrelsen.

Praktisk hjælp til myndigheder

Overordnet er folderen tænkt som en praktisk hjælp til myndighederne, forklarer Helle Bøjen Larsen.

»Man 'bør' gøre det her, fordi det er vigtigt, at borgerne trygt kan anvende de digitale løsninger, som myndighederne har. Og så vil vi samtidig gerne give noget praktisk hjælp til myndighederne, når de laver deres hjemmesider. Derfor har vi forsøgt at gøre den så praktisk anvendelig som mulig. Også med eksempler på, hvordan man kan gøre nogle ting,« siger hun.

Der er også et i folderen, hvor det fremgår at mange offentlige myndigheder har sociale plugins på deres hjemmesider. Eksempelvis i forhold til Twitter og Facebook.

I den forbindelse næves det, at brugerne blot ved at besøge hjemmesiden udsættes for tracking fra disse aktører. Og at i nogle tilfælde sker, uden myndigheden selv er bevidst om det.

'Linkes der på hjemmesiden til andre hjemmesider, anvendes der 'synes-godt-om'- og 'del'-knapper fra fx Facebook eller indlejres der medieelementer fra fx YouTube-videoer eller Instagram-billeder, er det vigtigt at være opmærksom på, hvorvidt disse sociale medier sætter cookies, allerede inden brugeren interagerer med dem,' står der i retningslinjerne.

Det skulle dog være muligt at lave integration med sociale medier på eksempelvis en kommunal-hjemmeside, uden det nødvendigvis betyder brugeren bliver tracket, før han eller hun er blevet informeret om det.

»Det er vores forståelse, at det er muligt. Som vi forstår det, kan man lave inaktive eller døde-knapper, hvor der ikke blive sat en cookie før brugeren aktivt kliker på knappen. Og der opfordrer vi så til, at man aktivt giver information om, at 'hvis du trykker her, så bevæger du dig over i et facebook-univers eller et twitter-univers, eller hvad det nu måtte være. Og så kan der komme cookies fra det sociale medie, du nu er på vej til,« forklarer Helle Bøjen Larsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
Pernille Tranberg

Man kunne jo også have valgt at rådgive offentlige sites om lidt dataetik. Hvorfor har man egentlig 3. part cookies på sit site? Det har de fleste pga reklamer og tracking. Mange off sites kunne sagtens droppe dem og dermed IKKE sladre til 100vis af andre virksomheder om, hvad vi laver inde på deres sites. Det samme kunne patientforeninger, der sladrer om vores meget følsomme oplysninger. Man behøver heller ikke have cookies på for at få folk til at dele indhold på SoMe. De fleste deler indhold på andre måder end de små klikbare logoer til Twitter og FB der medfører cookies. Så måske de offentlige websites skulle lytte lidt til Sorø Kommune: https://samfundsdesign.dk/temaer/dataetik/cookies-med-made-i-soro-kommune/

Maciej Szeliga

Kunne det offentlige ikke droppe
* Facebook knappen (som er en notorisk spion helt uden cookies)
* div, analyse sites (som også kan indsamle data uden cookies)

Privatlivspolitikken kan defineres så nemt:
Det er ikke tilladt at indsamle data om personer:
1. uden deres vidende
2. uden andet formål end det som er nødvendigt for sitets funktion
3. anonymiserede statistikdata må ikke kunne indeholde information som kan de-anonymisere dem.
4. det er forbudt at kræve tilladelse til indsamling af data som "betaling".

Simon Mikkelsen

Der er så meget skidt at man ikke kan stole på nogen. De to browser-addons https everywhere og privacy badger sørger dels for https og for at blokere de fleste trackere. En ret nem måde at undgå det meste sporing.

Til Firefox har jeg lige fundet Multi account containers, der som navnet siger, holder cookies i en "container", så man kun er logget ind på Facebook, Google ol. når man har den container åben, hvor man loggede ind dér.

Mikael Ibsen

Ingen tvivl om, hvem der er herrer, og hvem der skal adlyde.
Det morsomme - eller rettere tragikomiske - er, at de offentlige institutioner jo egentlig er skabt og født til at servicere borgerne, hvilket ind imellem synes at være gledet lidt ud af konceptet i offentlig administration.
Ikke mindst i opfattelsen af økonomiske dispositioners relevans - og lavpraktiske ting som borgernes pligt til at overholde tidsfrister contra det offentliges ret til at blæse på samme. Eller manipulere dem fx. i forbindele med høringer.

"Skal" til borgerne - "Bør" til det offentlige

Idet hele taget er der en meget forskellig opfattelse af ordet "skal" i borgerlig hhv. offentlig brug.

I borgerlig sammenhæng falder der brænde, hvis ordet "skal" ikke følges punktligt.

I offentlig sammenhæng har ordet som oftest en mere futuristisk betydning i retning af "vil gerne, når vi får tid og kraft til at tage os sammen til at".

Tænk på standardfrasen, når det offentlige har fejlet:

"Vi skal blive bedre til..."

Og så et den ting på plads, og nok snart glemt.

"Bør" til det offentlige - "Skal" til borgerne.

Benjamin Bach

Jeg har engang arbejdet et sted, hvor jeg integrerede Piwik uden cookies. Formålet var tildels at undgå at tracke folk; tildels at undgå at skulle have en stor klodset advarsel på hjemmesiden; og i særlig grad at undgå Google, så vi ikke lå og delte kunders data med Google på en måde, vi ikke havde styr på.

Uden cookies kan man sagtens sammensætte data om, hvilke sider og links, folk klikker på. Og man kan privacy-sikre data. Det er formålet med Piwik.

Men desværre var advarslerne allerede blevet en norm, så ledelsen følte nærmest, at vores hjemmeside var teknologisk bagude, hvis ikke der var en cookie-advarsel på den.

Vi skiftede således Piwik ud med Google Analytics.

Inden udskiftningen undrede jeg mig: Fordi ved en rundspørge viste det sig, at ingen havde gjort rigtig brug af de data, der allerede var tilgængelige i Piwiks; men ord såsom "SEO" blev nævnt, vi skulle tracke nogle nye kampagner osv... altså ikke fordi man ikke kan gøre den slags uden Google Analytics, cookies osv.. jo, det kunne man sagtens.

Tracking er en norm og dækker over en frygt for at indsamle kvalitative data. Der er masser af selvmodsigelser i tracking, og selve EU-direktivets intention er god nok, men fra Dag 1, hvor det blev fortolket som en latterlig pop-up advarsel uden alternativer, burde kommissionen har skredet ind og forklaret den adfærd, man havde håbet på.

Opsummering af problemerne, må lyde således:

  1. Manglende reel brug af adfærds-data: man opfinder et behov for data og indsamler høstakke
  2. Ledelser tror, at cookie-advarsler er noget, man skal have (sammen med den tracking, der nu engang følger med) - advarslerne har skabt en stemning et sted mellem "alle gør det jo" og "sådan en advarsel skal vi også ha', de er moderne!"
  3. Vanetænkning ift. brug af Google Analytics: Markedsførings- og it-folk tror, at man for at kunne lave SEO ("Google Optimization") også skal have Google Analytics.
  4. Manglende etisk tænkning ift. kunders private data, tracking og deling med tredjeparter
  5. Manglende kvalitative data: F.eks. ring til folk og snak med dem, det er simplere at afdække komplekse adfærd på den måde.
  6. En udbredt misforståelse om, at man slet ikke må bruge cookies og advarslen derfor er uundgåelig: Jo, man må bruge cookies til alle interne nødvendige funktioner på en hjemmeside uden at advare brugeren!
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017