Radikale kritiseres for at bruge cookies til målrettet valgkamp

20. november 2012 kl. 09:4118
Radikale kritiseres for at bruge cookies til målrettet valgkamp
Illustration: Bob Smith.
Det Radikale Venstres brug af cookies til at målrette partiets budskaber i bannerreklamer kritiseres skarpt. I praksis er der dog ikke er tale om andet end, hvad millioner af andre websteder gør dagligt.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Partiet Radikale Venstre brugte i forbindelse med valgkampen i efteråret 2011 cookies til at målrette bannerreklamer med politiske budskaber til udvalgte vælgere. Det skriver Jyllands-Posten.

Cookiesene blev brugt i forbindelse med annoncer på websteder, hvor de besøgende blev spurgt om deres holdning til bestemte politiske spørgsmål. Svarene blev angiveligt senere brugt til at målrette annoncer mod brugerne på andre websteder ud fra deres svar.

Det skete, inden bekendtgørelsen om den danske fortolkning af EU's cookiedirektiv var på plads, men det Radikale Venstres brug af cookies bliver alligevel kritiseret.

»Det skærper det kun, at man opsamler information om politisk observans, og at oplysningerne er blevet videregivet,« siger forsker i databeskyttelse Rikke Frank Jørgensen fra Institut for Menneskerettigheder til Jyllands-Posten.

Artiklen fortsætter efter annoncen

Spørgsmålet om videregivelse afhænger dog af, hvordan man fortolker funktionaliteten af en tredjepartscookie, altså en cookie, som placeres af en ekstern udbyder, når en bruger besøger et websted. I princippet overdrager cookien ikke information til andre, men den eksterne udbyder kan læse den, når brugeren besøger et andet websted, som samarbejder med udbyderen.

Ifølge Jyllands-Posten vil Datatilsynet overveje at tage sagen op.

Radikale Venstre påpeger imidlertid i en pressemeddelelse, at Jyllands-Postens udlægning af sagen indeholder flere tekniske misforståelser.

Af Jyllands-Postens artikel fremgår det således, at Radikale Venstre skulle have overvåget vælgernes pc'er.

Artiklen fortsætter efter annoncen

»Op til det seneste valg installerede Det Radikale Venstre uden folks vidende små programmer, såkaldte cookies, på tusindvis af computere. Med disse cookies kunne partiet overvåge, hvordan brugere af computere bevægede sig rundt på nettet,« skrev Jyllands-Posten i den oprindelige forsideartikel i den trykte udgave af avisen.

I onlineudgaven af artiklen har Jyllands-Posten siden ændret formuleringen fra 'små programmer' til 'små stykker data'.

Radikale Venstre understreger, at partiet efter egen mening ikke har gjort noget ulovligt ved ikke at informere brugerne om de cookies, der blev brugt i kampagnen, og heller ikke har overtrådt den danske cookie-bekendtgørelse ved ikke at bede om brugernes samtykke, da kampagnen fandt sted, før bekendtgørelsen trådte i kraft.

Var det i orden, at de Radikale brugte cookies til at målrette valgkampen? Skriv din mening i debatten

18 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
18
22. november 2012 kl. 07:42

Jeg har meget svært ved at se at det skulle kunne sammenlignes med DRs "find dit parti". Dels fordi der næppe sker nogen registrering hos DR, dels fordi du implicit har givet et samtykke til at DR behandler dine oplysninger for at "finde et parti" når du deltager

Naturligvis sker der registrering af svar ved den slags tests om ikke andet så med en session cookie for at kunne holde fast i brugeren under besvarelsen. De fleste mini-afstemninger på hjemmesider som fx bt.dk har også en cookie-baseret blokering af "snyd" med stemmer, og jeg har da set nogle af dem have spørgsmål om politisk eller filosofisk overbevisning.

Hvad angår implicit samtykke alene på baggrund af at spørgsmålet stilles, kan det vel også bruges i de radikales kampagne.

Din præmis om, at alene muligheden for registrering i sig selv bryder persondataloven indebærer, at det aldrig kan være lovligt at stille et spørgsmål om politisk overbevisning (eller andre oplysninger under § 7) i en HTTP transaktion uden at have udførlig samtykke fra respondenten. Og i så fald får Datatilsynet travlt.

11
20. november 2012 kl. 15:07

Dette dokument fra Mindshare (De Radikales reklamebureau) er nok det nærmeste vi kommer på en "objektiv" beskrivelse af hvad der er foregåethttps://www.jyllands-posten.dk/incoming/article4914971.ece/BINARY/Det+Radikale+Venstres+kampagne

Medmindre De Radikale selvfølgelig vælger at komme med en præcis redegørelse for hvad de og deres reklamebureau har lavet (i stedet for deres spin-control pressemeddelelse tidligere i dag).

Det fremgår af side 8 at Mindshare har indtrykket internet bannerannoncer hvor folk kunne tage stilling til Radikale synspunkter ved at klikke med musen el.lign. Denne stillingtagen registreres i en cookie. Der er tale om en tredjeparts cookie, så information om politisk stillingtagen sammen med IP adresse går til Mindshare (og ikke til den netavis el.lign. hvor bannerannoncen læses). Vi har altså systematiseret videregivelse af politiske holdninger samkørt med en IP adresse, der af Datatilsynet anses for at være personhenførbar. Det er i sig selv et problem, formentlig også juridisk før cookiebekendtgørelsen trådte i kraft (lad os håbe at Datatilsynet iværksætter en undersøgelse, så de juridiske aspekter kan blive afklaret).

Mindshare kalder selv dette "rettidig omhu" (de har selvfølgelig en pointe med at denne dataindsamling med profilering af vælgerne skal starte inden valget).

Denne Mindshare politiske tracking cookie bliver brugt på radikale.dk til at vise målrettede politiske budskaber afhængig af hvad den besøgende tidligere havde svaret på bannerspørgsmålene. Cookien bliver sikkert også brugt til at målrette reklamebudskaber andre steder fra De Radikale. Folk forventer næppe at deres svar på en bannerundersøgelse bliver (mis)brugt på den måde.

Mindshare har også brugt oplysningerne fra cookien til at afgøre om der skulle vises Radikale reklamer på andre netmedier. Side 10 øverst hvor de beskriver hvordan de fravælger visse netbrugere. Fravælgelsen sker igen på grund af oplysninger som folk har afgivet i en helt anden context (den oprindelige bannerreklame med spørgsmål om Radikale synspunkter).

Det som er lidt uklart (da jeg læste dokumentet) er oplysningerne om samkøring med Xaxis media og Specific media (side 11), altså det punkt som har fået størst opmærksomhed i medierne.

Vi ved heller ikke om Mindshare har opdateret deres "politiske tracking" cookie med andre oplysninger, men vil være nemt for Mindshare at gøre dette. Hver gang deres reklameelementer vises på en webside, modtager Mindshare information om dels den eksisterende cookie sat for deres domæne hvorfra reklamen vises, men også om hvilken webside brugeren p.t. læser (enten via Referer eller fordi siden er encoded ind i URL'en, formentlig typisk det sidste fordi det også virker ved Referer blokering). Der er rige muligheder for Mindshare (der har andre kunder end De Radikale) for at opbygge profiler med hvad folk læser på internettet, vel at mærke effektivt samkørt med den politiske stillingtagen som Mindshare tidligere har registreret.

Vi ved fra side 11 at der er sket en eller anden udveksling af information med Xaxis media og Specific media for at gøre målgruppen større. I teorien kunne denne samkøring være sket centralt da brugerne hele siden sender deres cookie til Mindshare. Det afhænger også af hvad der er registreret i Mindshare cookien? Er det alle indsamlede oplysninger som kun ligger der, eller er det blot et unikt ID som henviser til en database hos Mindshare hvor de reelle oplysninger ligger? Væsentlig information som mangler, så vidt jeg kan se. Jeg er ikke klar over hvordan tracking industrien, herunder Mindshare, normalt opererer på dette punkt.

Uanset hvordan denne samkøring er foregået (centralt eller lokalt ved f.eks. at inkludere tredjepartselementer fra flere kilder), må Mindshare i sagens natur have registreret andre oplysninger end bare svaret på bannerreklamen i deres cookie, dvs. det må bekræfte at der er sket en udvidet profilering ud fra personens trafikdata og browsing præferencer/historik. Hvis cookie profilen hos Mindshare alene bestod af svaret på det politiske spørgsmål i den oprindelige bannerreklame, ville der ikke være nogle profiloplysninger at samkøre med i forhold til Xaxis og Specific media. Samkøringen må være sket på profilniveau, ikke individ niveau. Det sidste ville forudsætte at Mindshare og de to andre kunne sætte samme cookie ID, hvilket ikke er teknisk muligt. Men samkøring af profiler fra cookies er muligt.

13
21. november 2012 kl. 23:30

Mindshare har uden tvivl været grundige og udnyttet deres cookie til sidste krumme. Men du drager forhastede konklusioner, når du konkluderer, at der er samkørsel med IP-adresser, og at der derfor skulle være behov for at Datatilsynet kommer på banen. En IP-adresse er slet ikke nødvendig i dette setup og desuden langt mindre interessant at bruge til målretning end en cookie, da en IP-adresse kan deles af mange personer i en husstand eller måske en hel arbejdsplads.

14
22. november 2012 kl. 00:10

Mindshare har uden tvivl været grundige og udnyttet deres cookie til sidste krumme.
Men du drager forhastede konklusioner, når du konkluderer, at der er samkørsel med IP-adresser, og at der derfor skulle være behov for at Datatilsynet kommer på banen.

Det er ubestridt at der er sket en registrering af en politisk stillingtagen i en cookie sat for et domæne tilhørende Mindshare, enten direkte i cookien eller via et cookie ID som er linket til en database hos Mindshare hvor selve registreringen er foretaget.

Sådan som en webbrowser fungerer sendes denne cookie til Mindshare og med ethvert HTTP GET request følger en IP adresse. Datatilsynet anser en IP adresse for en være en personhenførbar oplysning, jf. denne nylige udtalelse der er i overensstemmelse med praksis i andre EU lande (henvisningen til Artikel 29 Working Group)https://cookie-bekendtgoerelsen.dk/ip-adresser

Mindshare modtager altså oplysninger om politisk stillingstagen i en sådan form at det må betegnes som personhenførbart fordi oplysningen (kan) knyttes til en IP adresse (det var hvad jeg mente med "samkørt" i den forbindelse).

Det er meget uheldigt da oplysningerne om politisk stillingtagen ikke må behandles jf. persondatalovens § 7, medmindre der er givet samtykke til behandlingen. Og det kan vi vist roligt udelukke er sket her.

En anden ting er at Mindshare efterfølgende har vist forskellige reklamer til web brugerne afhængig af den tidligere registrerede politiske stillingtagen (det fremgår af Mindshare's egen beskrivelse). Selv hvis vi ser bort fra IP adresserne, og alene holder os til hvad der er registreret i cookien, kan denne selektive reklamevisning meget vel være en behandling af oplysninger om politiske forhold i strid med § 7 i persondataloven.

Så ja, jeg håber at Datatilsynet tager denne sag op.

15
22. november 2012 kl. 00:46

At noget kan gøres er jo ikke det samme, som at det er gjort. Når fx DR traditionen tro tilbyder en "Find dit parti"-test op til et valg, så kan man jo ikke deraf konkludere, at de laver et register med alle besvarelser matchet op på IP-adresser.

Så du har stadig draget en forhastet konklusion om registrering af IP-adresser.

Edit: Og hvordan ser du at persondataloven kommer i spil i cookien selv uden IP-adresse? Der er jo ikke nogen persontilknytning til de data, som cookien leverer.

17
22. november 2012 kl. 01:32

Edit: Og hvordan ser du at persondataloven kommer i spil i cookien selv uden IP-adresse? Der er jo ikke nogen persontilknytning til de data, som cookien leverer.

Personoplysninger defineres i persondataloven som "Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede)."

Identificerbar er tilstrækkelig. Der behøver ikke at være sket identifikation, blot muligheden foreligger.

Eftersom en cookie kan knyttes til en IP adresse, jf. tidligere indlæg ovenfor, vil jeg anse indholdet af en cookie for et være personoplysninger i persondatalovens forstand.

Mange af disse er trivielle og kan behandles uden videre. Men det gælder ikke oplysninger om politisk stillingstagen som Mindshare har registreret.

16
22. november 2012 kl. 01:23

At noget kan gøres er jo ikke det samme, som at det er gjort.
Når fx DR traditionen tro tilbyder en "Find dit parti"-test op til et valg, så kan man jo ikke deraf konkludere, at de laver et register med alle besvarelser matchet op på IP-adresser.

Hvad der præcist er foregået er vanskeligt at vide uden en uafhængig undersøgelse eller en tilpas troværdig redegørelse fra Mindshare eller De Radikale. Det eneste vi har er noget markedsføringsmateriale fra Mindshare hvor de beskriver deres indsats.

Men det er ubestridt at der uden samtykke er videregivet (til Mindshare) oplysninger om politisk stillingstagen sammen med en IP adresse. Denne videregivelse er teknisk set sket af de netmedier som har vist Mindshare's bannerreklame med mulighed for at svare på politiske spørgsmål. Så der er bestemt andre end Mindshare som kan have overtrådt persondataloven i denne sag. Men Mindshare har stadig behandlet disse oplysninger (fordi de har modtaget dem), selv om de nok ikke har registreret IP adressen permanent fordi deres naturlige interesse er cookien.

Men der er mere i sagen end bare den indledende registring af en politisk stillingtagen. Som jeg skriver videre bliver denne registrering brugt til at vise selektive reklamer. Spørgsmålet er om det ikke i sig selv er en behandling af oplysninger om politiske forhold efter persondatalovens § 7 (i givet fald sket uden samtykke). Det bør afklares, og det kan kun ske ved at Datatilsynet kommer på banen.

Jeg har meget svært ved at se at det skulle kunne sammenlignes med DRs "find dit parti". Dels fordi der næppe sker nogen registrering hos DR, dels fordi du implicit har givet et samtykke til at DR behandler dine oplysninger for at "finde et parti" når du deltager. Mindshare bad ikke om noget samtykke til deres permanent registring af politisk stillingstagen i en cookie og heller ikke til den efterfølgende behandling af disse oplysninger til f.eks. selektiv reklamevisning. At cookiebekendtgørelsen ikke var trådt i kraft er fuldstændig underordnet hvis vi taler om § 7 oplysninger (politiske forhold).

Hvis jeg som webbruger var blevet udsat for dette, havde jeg personligt sendt en anmeldelse til Datatilsynet. Men jeg blokerer alle bannerreklamer og al third-party reklame-spyware tracking via cookies og andet skrammel (Google Analytics, Facebook elementer, social media plugins, m.v.), så jeg er ikke personligt ramt af Mindshares overgreb. Sagen viser i øvrigt at den strategi er tvingende nødvendig hvis man vil beskytte sig privatliv, selv om det måske går udover visse netmedier økonomi.

12
20. november 2012 kl. 16:31

Tak for den gode gennemgang - De tog altså udgangspunkt i en spørgeskema-undersøgelse. Jeg kan forstå på gennemgangen, at det er på kant med persondataloven, det lyder rimeligt, ihertfald med et begrænsede kendskab jeg har:-)

10
20. november 2012 kl. 14:33

Hmm. Jeg synes jeg mangler lidt info om hvad der egentlig er sket. Hvis de - som jeg har på fornemmelsen - har lavet et af de sædvanlige Test-om-du-er-radikal-spørgeskemaer, og så brugt svarene derfra til at bestemme hvor vælgerne skal flyttes for at stemme radikalt, så synes jeg, at de er gået over min grænse for politisk reklame. Hvis de 'bare' har lagt en coockie, der fortæller at denne person har besøgt de radikales hjemmeside, så er det altså en helt anden snak, det er stadig lidt 'uldent', men mindre 'privatlivs' overskridende.

9
20. november 2012 kl. 11:51

Bare fordi man er paranoid betyder det jo ikke, at der ikke er nogen der ikke er efter én !

7
20. november 2012 kl. 11:29

må indrømme at jeg troede folk ville være mere kompetente herinde, og ikke blindt linke til JP o Politiken artikler herinde.

Det er ikke i denne nyhed, men i følgende:

https://www.version2.dk/artikel/minister-nu-skal-danskerne-stemme-elektronisk-48939

Folk skriver endda dumt ovenover:

Ha'! - De radikale vil sikkert bruge de små programmer som de helt uden accept har lagt ind på vores computere til at afgive vores stemmer på dem!

6
20. november 2012 kl. 11:05

De hersens programmer, som cookies jo så afgjort er...hvilket programmeringssprog skrives de i? Og kan man fjerne dem under "Tilføj/Fjern programmer"?

Mulighed for kunstigt degraderet IQ kan forekomme i ovenstående.

5
20. november 2012 kl. 10:47

til 1. april. Suk....

2
20. november 2012 kl. 10:21

Jeg er normalt ret hysterisk med min privacy, men her er JP da ude i en gang selvsving af rang. Den artikel burde aldrig være blevet trykt.

4
20. november 2012 kl. 10:31

Læg mærke til den kommer fra Ritzau. Politiken har en lignende artikel med ekstakt samme ordlyd om de små programmer. Så vi kommer nok til at se flere copy/paste artikler af samme slags.

1
20. november 2012 kl. 10:16

Få nu afskaffet den lov. Det kan kun gå for langsomt

3
20. november 2012 kl. 10:22

Og få nu lagt cookieskræmmekampagnens mange tekniske misforståelser på hylden så vi kan få en ordentlig, lødig debat om overvågning på nettet.