Radikale kritiseres for at bruge cookies til målrettet valgkamp

Det Radikale Venstres brug af cookies til at målrette partiets budskaber i bannerreklamer kritiseres skarpt. I praksis er der dog ikke er tale om andet end, hvad millioner af andre websteder gør dagligt.

Partiet Radikale Venstre brugte i forbindelse med valgkampen i efteråret 2011 cookies til at målrette bannerreklamer med politiske budskaber til udvalgte vælgere. Det skriver Jyllands-Posten.

Cookiesene blev brugt i forbindelse med annoncer på websteder, hvor de besøgende blev spurgt om deres holdning til bestemte politiske spørgsmål. Svarene blev angiveligt senere brugt til at målrette annoncer mod brugerne på andre websteder ud fra deres svar.

Det skete, inden bekendtgørelsen om den danske fortolkning af EU's cookiedirektiv var på plads, men det Radikale Venstres brug af cookies bliver alligevel kritiseret.

Læs også: Hver tredje dansker aner ikke hvad en cookie er

»Det skærper det kun, at man opsamler information om politisk observans, og at oplysningerne er blevet videregivet,« siger forsker i databeskyttelse Rikke Frank Jørgensen fra Institut for Menneskerettigheder til Jyllands-Posten.

Spørgsmålet om videregivelse afhænger dog af, hvordan man fortolker funktionaliteten af en tredjepartscookie, altså en cookie, som placeres af en ekstern udbyder, når en bruger besøger et websted. I princippet overdrager cookien ikke information til andre, men den eksterne udbyder kan læse den, når brugeren besøger et andet websted, som samarbejder med udbyderen.

Ifølge Jyllands-Posten vil Datatilsynet overveje at tage sagen op.

Radikale Venstre påpeger imidlertid i en pressemeddelelse, at Jyllands-Postens udlægning af sagen indeholder flere tekniske misforståelser.

Af Jyllands-Postens artikel fremgår det således, at Radikale Venstre skulle have overvåget vælgernes pc'er.

»Op til det seneste valg installerede Det Radikale Venstre uden folks vidende små programmer, såkaldte cookies, på tusindvis af computere. Med disse cookies kunne partiet overvåge, hvordan brugere af computere bevægede sig rundt på nettet,« skrev Jyllands-Posten i den oprindelige forsideartikel i den trykte udgave af avisen.

I onlineudgaven af artiklen har Jyllands-Posten siden ændret formuleringen fra 'små programmer' til 'små stykker data'.

Radikale Venstre understreger, at partiet efter egen mening ikke har gjort noget ulovligt ved ikke at informere brugerne om de cookies, der blev brugt i kampagnen, og heller ikke har overtrådt den danske cookie-bekendtgørelse ved ikke at bede om brugernes samtykke, da kampagnen fandt sted, før bekendtgørelsen trådte i kraft.

Var det i orden, at de Radikale brugte cookies til at målrette valgkampen? Skriv din mening i debatten

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Müller

Læg mærke til den kommer fra Ritzau. Politiken har en lignende artikel med ekstakt samme ordlyd om de små programmer. Så vi kommer nok til at se flere copy/paste artikler af samme slags.

  • 2
  • 0
Robert Larsen

De hersens programmer, som cookies jo så afgjort er...hvilket programmeringssprog skrives de i?
Og kan man fjerne dem under "Tilføj/Fjern programmer"?

Mulighed for kunstigt degraderet IQ kan forekomme i ovenstående.

  • 3
  • 3
Mads Buch

må indrømme at jeg troede folk ville være mere kompetente herinde, og ikke blindt linke til JP o Politiken artikler herinde.

Det er ikke i denne nyhed, men i følgende:

http://www.version2.dk/artikel/minister-nu-skal-danskerne-stemme-elektro...

Folk skriver endda dumt ovenover:

Ha'! - De radikale vil sikkert bruge de små programmer som de helt uden accept har lagt ind på vores computere til at afgive vores stemmer på dem!

  • 1
  • 1
michael thomsen

Hmm. Jeg synes jeg mangler lidt info om hvad der egentlig er sket.
Hvis de - som jeg har på fornemmelsen - har lavet et af de sædvanlige Test-om-du-er-radikal-spørgeskemaer, og så brugt svarene derfra til at bestemme hvor vælgerne skal flyttes for at stemme radikalt, så synes jeg, at de er gået over min grænse for politisk reklame.
Hvis de 'bare' har lagt en coockie, der fortæller at denne person har besøgt de radikales hjemmeside, så er det altså en helt anden snak, det er stadig lidt 'uldent', men mindre 'privatlivs' overskridende.

  • 1
  • 0
Jesper Lund

Dette dokument fra Mindshare (De Radikales reklamebureau) er nok det nærmeste vi kommer på en "objektiv" beskrivelse af hvad der er foregået
http://www.jyllands-posten.dk/incoming/article4914971.ece/BINARY/Det+Rad...

Medmindre De Radikale selvfølgelig vælger at komme med en præcis redegørelse for hvad de og deres reklamebureau har lavet (i stedet for deres spin-control pressemeddelelse tidligere i dag).

Det fremgår af side 8 at Mindshare har indtrykket internet bannerannoncer hvor folk kunne tage stilling til Radikale synspunkter ved at klikke med musen el.lign. Denne stillingtagen registreres i en cookie. Der er tale om en tredjeparts cookie, så information om politisk stillingtagen sammen med IP adresse går til Mindshare (og ikke til den netavis el.lign. hvor bannerannoncen læses). Vi har altså systematiseret videregivelse af politiske holdninger samkørt med en IP adresse, der af Datatilsynet anses for at være personhenførbar. Det er i sig selv et problem, formentlig også juridisk før cookiebekendtgørelsen trådte i kraft (lad os håbe at Datatilsynet iværksætter en undersøgelse, så de juridiske aspekter kan blive afklaret).

Mindshare kalder selv dette "rettidig omhu" (de har selvfølgelig en pointe med at denne dataindsamling med profilering af vælgerne skal starte inden valget).

Denne Mindshare politiske tracking cookie bliver brugt på radikale.dk til at vise målrettede politiske budskaber afhængig af hvad den besøgende tidligere havde svaret på bannerspørgsmålene. Cookien bliver sikkert også brugt til at målrette reklamebudskaber andre steder fra De Radikale. Folk forventer næppe at deres svar på en bannerundersøgelse bliver (mis)brugt på den måde.

Mindshare har også brugt oplysningerne fra cookien til at afgøre om der skulle vises Radikale reklamer på andre netmedier. Side 10 øverst hvor de beskriver hvordan de fravælger visse netbrugere. Fravælgelsen sker igen på grund af oplysninger som folk har afgivet i en helt anden context (den oprindelige bannerreklame med spørgsmål om Radikale synspunkter).

Det som er lidt uklart (da jeg læste dokumentet) er oplysningerne om samkøring med Xaxis media og Specific media (side 11), altså det punkt som har fået størst opmærksomhed i medierne.

Vi ved heller ikke om Mindshare har opdateret deres "politiske tracking" cookie med andre oplysninger, men vil være nemt for Mindshare at gøre dette. Hver gang deres reklameelementer vises på en webside, modtager Mindshare information om dels den eksisterende cookie sat for deres domæne hvorfra reklamen vises, men også om hvilken webside brugeren p.t. læser (enten via Referer eller fordi siden er encoded ind i URL'en, formentlig typisk det sidste fordi det også virker ved Referer blokering). Der er rige muligheder for Mindshare (der har andre kunder end De Radikale) for at opbygge profiler med hvad folk læser på internettet, vel at mærke effektivt samkørt med den politiske stillingtagen som Mindshare tidligere har registreret.

Vi ved fra side 11 at der er sket en eller anden udveksling af information med Xaxis media og Specific media for at gøre målgruppen større. I teorien kunne denne samkøring være sket centralt da brugerne hele siden sender deres cookie til Mindshare. Det afhænger også af hvad der er registreret i Mindshare cookien? Er det alle indsamlede oplysninger som kun ligger der, eller er det blot et unikt ID som henviser til en database hos Mindshare hvor de reelle oplysninger ligger? Væsentlig information som mangler, så vidt jeg kan se. Jeg er ikke klar over hvordan tracking industrien, herunder Mindshare, normalt opererer på dette punkt.

Uanset hvordan denne samkøring er foregået (centralt eller lokalt ved f.eks. at inkludere tredjepartselementer fra flere kilder), må Mindshare i sagens natur have registreret andre oplysninger end bare svaret på bannerreklamen i deres cookie, dvs. det må bekræfte at der er sket en udvidet profilering ud fra personens trafikdata og browsing præferencer/historik. Hvis cookie profilen hos Mindshare alene bestod af svaret på det politiske spørgsmål i den oprindelige bannerreklame, ville der ikke være nogle profiloplysninger at samkøre med i forhold til Xaxis og Specific media. Samkøringen må være sket på profilniveau, ikke individ niveau. Det sidste ville forudsætte at Mindshare og de to andre kunne sætte samme cookie ID, hvilket ikke er teknisk muligt. Men samkøring af profiler fra cookies er muligt.

  • 7
  • 0
Hans Peter Nielsen

Mindshare har uden tvivl været grundige og udnyttet deres cookie til sidste krumme.
Men du drager forhastede konklusioner, når du konkluderer, at der er samkørsel med IP-adresser, og at der derfor skulle være behov for at Datatilsynet kommer på banen.
En IP-adresse er slet ikke nødvendig i dette setup og desuden langt mindre interessant at bruge til målretning end en cookie, da en IP-adresse kan deles af mange personer i en husstand eller måske en hel arbejdsplads.

  • 0
  • 0
Jesper Lund

Mindshare har uden tvivl været grundige og udnyttet deres cookie til sidste krumme.
Men du drager forhastede konklusioner, når du konkluderer, at der er samkørsel med IP-adresser, og at der derfor skulle være behov for at Datatilsynet kommer på banen.

Det er ubestridt at der er sket en registrering af en politisk stillingtagen i en cookie sat for et domæne tilhørende Mindshare, enten direkte i cookien eller via et cookie ID som er linket til en database hos Mindshare hvor selve registreringen er foretaget.

Sådan som en webbrowser fungerer sendes denne cookie til Mindshare og med ethvert HTTP GET request følger en IP adresse. Datatilsynet anser en IP adresse for en være en personhenførbar oplysning, jf. denne nylige udtalelse der er i overensstemmelse med praksis i andre EU lande (henvisningen til Artikel 29 Working Group)
http://cookie-bekendtgoerelsen.dk/ip-adresser

Mindshare modtager altså oplysninger om politisk stillingstagen i en sådan form at det må betegnes som personhenførbart fordi oplysningen (kan) knyttes til en IP adresse (det var hvad jeg mente med "samkørt" i den forbindelse).

Det er meget uheldigt da oplysningerne om politisk stillingtagen ikke må behandles jf. persondatalovens § 7, medmindre der er givet samtykke til behandlingen. Og det kan vi vist roligt udelukke er sket her.

En anden ting er at Mindshare efterfølgende har vist forskellige reklamer til web brugerne afhængig af den tidligere registrerede politiske stillingtagen (det fremgår af Mindshare's egen beskrivelse). Selv hvis vi ser bort fra IP adresserne, og alene holder os til hvad der er registreret i cookien, kan denne selektive reklamevisning meget vel være en behandling af oplysninger om politiske forhold i strid med § 7 i persondataloven.

Så ja, jeg håber at Datatilsynet tager denne sag op.

  • 0
  • 0
Hans Peter Nielsen

At noget kan gøres er jo ikke det samme, som at det er gjort.
Når fx DR traditionen tro tilbyder en "Find dit parti"-test op til et valg, så kan man jo ikke deraf konkludere, at de laver et register med alle besvarelser matchet op på IP-adresser.

Så du har stadig draget en forhastet konklusion om registrering af IP-adresser.

Edit: Og hvordan ser du at persondataloven kommer i spil i cookien selv uden IP-adresse? Der er jo ikke nogen persontilknytning til de data, som cookien leverer.

  • 0
  • 0
Jesper Lund

At noget kan gøres er jo ikke det samme, som at det er gjort.
Når fx DR traditionen tro tilbyder en "Find dit parti"-test op til et valg, så kan man jo ikke deraf konkludere, at de laver et register med alle besvarelser matchet op på IP-adresser.

Hvad der præcist er foregået er vanskeligt at vide uden en uafhængig undersøgelse eller en tilpas troværdig redegørelse fra Mindshare eller De Radikale. Det eneste vi har er noget markedsføringsmateriale fra Mindshare hvor de beskriver deres indsats.

Men det er ubestridt at der uden samtykke er videregivet (til Mindshare) oplysninger om politisk stillingstagen sammen med en IP adresse. Denne videregivelse er teknisk set sket af de netmedier som har vist Mindshare's bannerreklame med mulighed for at svare på politiske spørgsmål. Så der er bestemt andre end Mindshare som kan have overtrådt persondataloven i denne sag. Men Mindshare har stadig behandlet disse oplysninger (fordi de har modtaget dem), selv om de nok ikke har registreret IP adressen permanent fordi deres naturlige interesse er cookien.

Men der er mere i sagen end bare den indledende registring af en politisk stillingtagen. Som jeg skriver videre bliver denne registrering brugt til at vise selektive reklamer. Spørgsmålet er om det ikke i sig selv er en behandling af oplysninger om politiske forhold efter persondatalovens § 7 (i givet fald sket uden samtykke). Det bør afklares, og det kan kun ske ved at Datatilsynet kommer på banen.

Jeg har meget svært ved at se at det skulle kunne sammenlignes med DRs "find dit parti". Dels fordi der næppe sker nogen registrering hos DR, dels fordi du implicit har givet et samtykke til at DR behandler dine oplysninger for at "finde et parti" når du deltager. Mindshare bad ikke om noget samtykke til deres permanent registring af politisk stillingstagen i en cookie og heller ikke til den efterfølgende behandling af disse oplysninger til f.eks. selektiv reklamevisning. At cookiebekendtgørelsen ikke var trådt i kraft er fuldstændig underordnet hvis vi taler om § 7 oplysninger (politiske forhold).

Hvis jeg som webbruger var blevet udsat for dette, havde jeg personligt sendt en anmeldelse til Datatilsynet. Men jeg blokerer alle bannerreklamer og al third-party reklame-spyware tracking via cookies og andet skrammel (Google Analytics, Facebook elementer, social media plugins, m.v.), så jeg er ikke personligt ramt af Mindshares overgreb. Sagen viser i øvrigt at den strategi er tvingende nødvendig hvis man vil beskytte sig privatliv, selv om det måske går udover visse netmedier økonomi.

  • 0
  • 0
Jesper Lund

Edit: Og hvordan ser du at persondataloven kommer i spil i cookien selv uden IP-adresse? Der er jo ikke nogen persontilknytning til de data, som cookien leverer.

Personoplysninger defineres i persondataloven som
"Enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede)."

Identificerbar er tilstrækkelig. Der behøver ikke at være sket identifikation, blot muligheden foreligger.

Eftersom en cookie kan knyttes til en IP adresse, jf. tidligere indlæg ovenfor, vil jeg anse indholdet af en cookie for et være personoplysninger i persondatalovens forstand.

Mange af disse er trivielle og kan behandles uden videre. Men det gælder ikke oplysninger om politisk stillingstagen som Mindshare har registreret.

  • 0
  • 0
Hans Peter Nielsen

Jeg har meget svært ved at se at det skulle kunne sammenlignes med DRs "find dit parti". Dels fordi der næppe sker nogen registrering hos DR, dels fordi du implicit har givet et samtykke til at DR behandler dine oplysninger for at "finde et parti" når du deltager

Naturligvis sker der registrering af svar ved den slags tests om ikke andet så med en session cookie for at kunne holde fast i brugeren under besvarelsen.
De fleste mini-afstemninger på hjemmesider som fx bt.dk har også en cookie-baseret blokering af "snyd" med stemmer, og jeg har da set nogle af dem have spørgsmål om politisk eller filosofisk overbevisning.

Hvad angår implicit samtykke alene på baggrund af at spørgsmålet stilles, kan det vel også bruges i de radikales kampagne.

Din præmis om, at alene muligheden for registrering i sig selv bryder persondataloven indebærer, at det aldrig kan være lovligt at stille et spørgsmål om politisk overbevisning (eller andre oplysninger under § 7) i en HTTP transaktion uden at have udførlig samtykke fra respondenten. Og i så fald får Datatilsynet travlt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere