TÆNK om cookies: Forbrugerne efterlades i kæmpe uigennemsigtighed

Ny undersøgelse fra Forbrugerrådet TÆNK påpeger, at forbrugerne ikke kan overskue reglerne i cookie-direktivet fra 2011.

For første gang siden indførelsen af cookie-bekendtgørelsen i 2011, typisk omtalt som cookie-direktivet, har Forbrugerrådet TÆNK gennemført en undersøgelse, der måler effekten af direktivet hos forbrugerne.

I undersøgelsen svarer 46 procent af de adspurgte, at de aldrig læser betingelserne i de pop up-bokse, der skal informere om cookies på den besøgte hjemmeside. Forbrugerrådet mener dermed at kunne påvise, at cookie-direktivet ikke virker som tiltænkt.

»Loven virker ikke. Der er gået fem år, og forbrugerne ved simpelthen ikke, hvad der foregår. Det viser flere tal i undersøgelsen,« fastslår seniorjurist i Forbrugerrådet Tænk Anette Høyrup.

Myndighederne løber fra ansvaret

Anette Høyrup mener, at cookie-reglerne, som de er i dag, stiller forbrugerne i en urimelig situation, hvor det er umuligt for den enkelte at gennemskue, hvilke informationer de forskellige cookies videregiver og til hvem.

»Myndighederne har ansvaret for at sikre klassisk forbrugerinformation på det her område, og den opgave er der ingen, der har løftet, hverken Datatilsynet, Digitaliseringsstyrelsen eller Erhvervsstyrelsen,« konkluderer hun.

Undersøgelsen afslører også, at 18 procent helt forsøger at undgå hjemmesider, der anvender cookies.

»Det vidner jo om, at der er en kæmpe uigennemsigtighed, der skal tages hånd om. Fra myndighedernes, men også fra virksomhedernes side,« fastslår hun.

Nye regler og bøder

Forbrugerrådet TÆNK mener, det er på høje tid, at cookie-reglerne tages op til revidering, og Anette Høyrup håber i den forbindelse, at man vil skele til reglerne i den kommende persondataforordning og ensrette reglerne således, at virksomheder og myndigheder bliver pålagt større gennemskuelighed på deres hjemmesider.

»Når den nye dataforordning kommer, skal forbrugerne kunne slette deres data og trække deres samtykke tilbage, hvis de ønsker det,« fastslår hun.

Og så håber Anette Høyrup på, at Datatilsynet vil bruge nogle af de nye ressourcer, de får tilført, på at anvende de nye og massive bødemuligheder i Persondataforordningen over for de virksomheder, der ikke følger reglerne.

Kom gratis med til Danmarks største it-sikkerhedsevent!

Infosecurity, Europas mest populære it-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Følg forløbet

Kommentarer (27)

Henrik Eriksen

Prøv nu at høre: Vi får tudet ørerne fulde af at alt og alle overvåger hvert eneste tryk på tastaturet, og vi kan ikke gøre noget som helst ved det.
Hvorfor skulle det røre mig overhovedet, at jeg får at vide at en eller anden hjemmeside også lige vil registrere noget om mig?

Og så er den meddelelse jo somme tider komplet ulogisk: "Du kan sige nej tak til cookies ved at klikke her. Vi bruger en cookie, for at huske dit valg."
Hvad fanden er det for noget vrøvl?

Jeg vil vædde hvad som helst på, at 99,9 % af alle der bruger internettet klikker 'OK' uden videre. Man skal jo bruge siden, ellers var man jo ikke gået ind på den, vel?

Anne-Marie Krogsbøll

...men TÆNK har ret - der bør simpelthen ryddes grundigt op i dette, med lovgivning der sikrer, at ens privatliv ikke invaderes. Cookies, der primært går på opsamling af Big Data til videresalg og snagen, bør simpelthen forbydes.

Og tilsagn, der meget bredt baserer sig på "cookies", bør forbydes - for det er umuligt at vide, hvad vi siger ja til.

Hvis der så er cookies, som er nødvendige for sidens drift, så må det præciseres i samtykket, at det er det, man giver tilsagn til - ikke alt muligt andet.

Det er ikke rimeligt, at vi har valget mellem helt at melde os ud af internettet og de digitale muligheder - og dermed helt ud af samfundet - eller at finde os i at blive underlagt grænseløs overvågning, hvor pengestærke interesser og udemokratiske magthavere i stadig højere grad sætter sig tungt på det hele, og reducerer os andre til magtesløse undersåtter og datamalkekvæg.

For det er jo det scenarie,, der er ved at udvikle sig. Vore politikere har i ly af mørkelygten solgt vore privatlivsrettigheder til den nye udvikling, hvor vi primært skal fungere som dataråstof. Hør indslaget om grunddata et stykke inde i denne udgave af "aflyttet" på radio 24/7:
http://www.radio24syv.dk/programmer/aflyttet/12965908/aflyttet-uge-9-2016/

Angiveligt et "paradigmeskift" i retning af mindre fokus på privatlivsrettigheder og mere fokus på den økonomiske udnyttelse af data.

Hvem har givet vore politikere ret til at ekspropriere vores privatliv på den måde, og basere statskassens indtægter på dette salg af privatliv på længere sigt? Jeg mindes ikke, at det på noget tidspunkt har været et emne i en valgkamp - tværtimod - rent politisk har mørkelygten taget denne livsvigtige debat. Af en eller anden grund mener man fra politisk side ikke, at det er noget, der rager os, hvad man gør med vores privatliv!

Allan Astrup Jensen

Problemet er at hvis man i dag fravælger cookies, så fravælger man samtidigt den pågældende hjemmeside. Det burde kun være cookies man fravalgte. Mange af de sider, hvor man ikke kan undgå cookies er officielle sider, som man er nødt til at bevæge sig på. Dette er uacceptabelt!

Mathias Hagensen

»Når den nye dataforordning kommer, skal forbrugerne skal kunne slette deres data og trække deres samtykke tilbage, hvis de ønsker det,« fastslår hun.

Øh, hvorfor vente til en ny dataforordning. Alle kan da slette deres cookies uden at man behøver rette henvendelse til ejeren af hjemmesiden.

André Nielsen

"Forbrugerrådet TÆNK mener, det er på høje tid at cookie-reglerne tages op til revidering, og Anette Høyrup håber i den forbindelse, at man vil skele til reglerne i den kommende Persondataforordning og ensrette reglerne således, at virksomheder og myndigheder bliver pålagt større gennemskuelighed på deres hjemmesider."

Jeg er helt enig i, at der skal være langt større gennemskuelighed. Problemet er bare, at det opnår man næppe med endnu flere oplysningskrav.

Tværtimod bliver det hele langt mere uoverskueligt for brugerne, jo flere oplysninger vi skal tage stilling til.

Nu nævner Anette Høyrup selv den kommende Persondataforordning der, ligesom Cookie loven, teoretisk er et godt tiltag, men som sandsynligvis ender med at man man som bruger / forbruger skal bombarderes med endnu flere oplysninger som vi skal tage stilling til, med det samme vi besøger en side eller shop.

Og jeg tør godt tage et væddemål på, at det langt fra slutter der. Det går så stærkt med nye EU oplysnings tiltag, at vi nok skal forvente at der kommer mange flere ting vi skal til at tage stilling til, på hver eneste side vi besøger.

Så løsningen er nok ikke flere og længere oplysningskrav, men tværtimod færre og mere gennemskuelige. Evt. med fokus på noget der rent faktisk betyder noget.

Men sådan bliver det nok ikke..

Anne-Marie Krogsbøll

Eller måske er løsningen, at visse former for cookies m.m. simpelthen forbydes. Det nytter - som du ganske rigtigt siger - ikke, at vi bombarderes med endnu mere, vi skal læse og tage stilling til - for vi komme uvægerligt til at sige ja til ting, som vi dybest set ikke ønsker at sige ja til.

Det skal simpelthen forbydes at indsamle alle disse Big Data m.h.p. alt muligt andet end det, der er formålet med, at man besøger en given hjemmeside.

Anne-Marie Krogsbøll

Det er da altid noget, at denne praksis er ulovlig, og jeg synes også at det lyder som en ret grov besked, at man blive bedt om at forlade siden.

Men sker der egentligt noget ved, at man blot ignorerer cookie-advarslen? Bliver det opfattet som et indirekte tilsagn, hvis man klikker videre på siden, og blæser på pop-up-en? Eller hvad sker der egentlig?

Det er ofte min foretrukne strategi - så kan der være ting, der ikke fungerer, men det kan man jo tage stilling til, når man når dertil - om de er vigtige nok til, at man skal acceptere.

Lars Meldgård

Hvorfor er det at man ikke promoverer browsernes indbyggende mulighed for at skelne mellem 1. og 3. parts cookies. Min `Browser er sat op til at blokere 3. part og tillade 1. part.
Er det fordi at det ikke virker, eller fordi man tror at folk godt vil tillade 3. part på nogle sider, men ikke andre sider?

Jesper Lund

Er det fordi at det ikke virker, eller fordi man tror at folk godt vil tillade 3. part på nogle sider, men ikke andre sider?

Jeg har svært ved at se en legitim grund til at bruge 3. parts cookies, men hvis du blokerer dem, skal du være forberedt på at enkelte websites ikke virker.

Jeg har blokeret 3. parts cookies i 5+ år (Firefox), og det er meget få sites som skaber problemer. En af dem er indberetning af gasforbrug hos Frederiksberg Forsyning, der har lavet den mest hjernedøde IT-løsning..

Bjarne Nielsen

Min `Browser er sat op til at blokere 3. part og tillade 1. part.

...og man kan normalt også sætte browseren til at "glemme" alt som er 1. part cookies, når den lukker ned. Det meste fungerer stadigvæk. Det betyder så godt nok også, at man skal logge ind igen næste gang (og at man skal acceptere/ignorere cookieadvarsler igen, igen, igen), men det er faktisk ikke så slemt (og ja, jeg ved godt, at de mest ihærdige nok skal få mig alligevel, men der er ingen grund til at gøre det for nemt for dem :-) ).

Jeg har blokeret 3. parts cookies i 5+ år (Firefox), og det er meget få sites som skaber problemer.

Måske man skulle lave en cookiepris, hvor de mest tåbelige eksempler på urimelig brug af cookies blev belønnet med en othello-lagkage til den ansvarlige? Eller måske en kiksekage?

Lars Meldgård

Men pointen er jo netop at grunden til at Cookieloven (og dermed advarslerne) er lavet, er for at gøre opmærksom på tracking-issues og overvågning.
1. parts cookies er ikke underlagt loven, for de er jo nødvendige for at kunne lave noget som "login", "indkøbskurv" og hvad ved jeg - altså primær funktionalitet. Det behøver du ikke advare for.
3. part er noget med statistik, facebook og lign. på andre folks domæner. Der er altså en klar forskel i de to typer af cookies.
Hvorfor bruge så meget krudt på det hele når man bare kan få 3. part til at forsvinde?
Hvis enkelte sites ikke virker korrekt uden 3.part, så sætter med en undtagelse ind i sin opsætning og så kører det også fint :-)

Jesper Lund
Anne-Marie Krogsbøll

Den udgave af Internet Explorer, IE 11, som jeg jævnligt bruger, synes jeg ikke skelner mellem 1. og 3. parts cookies. Den skelner mellem forskellige typer af 3. parts cookies (som jeg ikke kan gennemskue), men man kan ikke vælge at blokere alle 3. parts cookies, og tillade 1. parts cookies.

Kigger jeg et forkert sted ( "Beskyttelse af personlige oplysninger" i "Indstillinger")

Bjarne Nielsen

Eller måske er løsningen, at visse former for cookies m.m. simpelthen forbydes.

Det er en oplagt mulighed, og beskyttelse af en svag part i et ulige forhold gennem ufravigelige minimumsrettigheder ses allerede mange andre steder i lovgivningen. At gøre noget ulovligt forhindrer det ikke i at ske, men det sender et stærk signal, og det gør det meget nemmere at placere et ansvar efterfølgende.

Men jeg ville nok kigge på visse anvendelser fremfor at kigge på selve formen. Det er ikke teknikken, som er "god" eller "ond", det er det, som man bruger den til. Og derfor er det også alt for snævert, kun at fokusere på cookies (men det er en anden snak).

Forbud er dog ofte meget firkantede, og kan - populært sagt - smide barnet ud med badevandet. Jeg vil tro, at det er derfor, at man har tilladt at man kan aftale sig ud af det, med samtykker. Det har dog åbenlyst fejlet, og af flere årsager:

  1. For tit. Man har tilladt en fortolkning, som tillader, at man råber "ulven kommer".
  2. For løst. Man har tilladt at teksterne skrives på "ejendomsmænglersprog".
  3. For meget. Man har tilladt at teksterne skrives på "embedsmandsprog".
  4. For sent. Havde man taget det i opløbet, så ville det have været svært at kaste den første sten, men nu kan man gemme sig i mængden.

Derfor skal vi have reduceret mængden og vi skal have gjort det åbenlyst, hvad der sker. Jeg har tidligere foreslået, at der kommer en "smiley-ordning" eller en anden form for anerkendt mærkningsordning. Og der er efter min mening to interessante dimensioner:

  1. Henførbarhed. Her ser jeg tre niveauer: "kun teknik", "ikke personhenførbar", "personhenførbar"
  2. Udbredelse. Overordnet set to niveauer: "kun lokalt" og "deles med andre".

F.eks. er en session-cookie "kun teknik" indtil den bliver brugt til andet end at betjene brugeren.

Det er for mig helt forståeligt, at offentlige hjemmesider og selvbetjeningsløsninger gerne vil vide noget overordnet om, hvad der er populært og hvad der ikke fungerer. Så det er OK, at der laves målinger, men jeg så gerne, at man helt holdt sig fra det dels det "personhenførbare" og dels "deles med andre". Det udelukker jo så helt åbenlyst løsninger som Google Analytics.

Ligeledes ville jeg sætte pris på, hvis samtykker kun behøvedes, hvis man var i kategorien "personhenførbar" og med en ekstra og meget tydelig advarsel, hvis det også var "deles med andre". Jeg er pænt ligeglad med, at Silvan danner og sælger viden om, at dem som kigger på søm, som regel også kigger på hamre.

Det private er nok i nogen grad tabt, i hvert fald i første omgang, men det offentlige ville kunne gøre en reel forskel ved at gå foran, og vise, at det dels sagtens kan lade sig gøre, dels ved at lave en standard-erklæring om principperne, som er kort og forståelig (hvis der er behov for supplere med detaljer, så kan det gøres efterfølgende). Som sagt, så ville en mærkningsordning også hjælpe.

Og så kan man så håbe, at nogle i det private vil tage udfordringen op, og følge med - det ville være et stærkt signal at sende.

PS: Og når jeg er igang med at ønske, så ville det være rart, hvis man opbyggede sin løsning på en måde, så man ikke skulle advare om alt på forkant, men kunne nøjes med at gøre det, hvor det var nødvendigt. Inspiration kan hentes i, hvordan Android nu giver mulighed for at vente med at spørge om rettigheder, til det er nødvendigt og til det giver mening. Hvis man ønsker en facebook-like funktionalitet, så sørg for, at facebook først bliver involveret, når brugeren rent faktisk vil like og gerne efter at man har advaret om konsekvenserne.

Anne-Marie Krogsbøll

Bjarne:

Gode forslag til klassificering, du kommer med. Jeg kunne så ønske mig, at "personhenførbar" og "deles med andre" som udgangspunkt simpelthen blev forbudt.

Hvis de af en eller anden grund skulle være direkte nødvendige i nogle sammenhænge, så kunne man måske indføre, at det er noget, man skal søge tilladelse hos myndighederne til?

I "gamle dage" måtte man jo ikke oprette databaser med personoplysninger uden Datatilsynets tilladelse (så vidt jeg husker). Nu kræver det åbenbart bare, at man har sat en uklar, tvetydig og meget bredt formuleret samtykkeanmodning på hjemmesiden, hvilket er en total udvanding af de beskyttelsesbestemmelser, der tidligere gjaldt. For det store flertal af befolkningen (inkl. mig) kan ikke gennemskue, hvad man siger ja til.

De beskyttelsesbestemmelser må vi have genoplivet!

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen