GDPR vs moderne hjemmesider

Cookies er data som gemmes i min browser og som sendes til websitet når jeg besøger det igen.

Som bruger kan jeg selv slette disse data når jeg har lyst. Eller bruge inkognito mode og så slettes de når jeg lukker browseren.

Det er langt værre med data som logges på serveren. Her præsenteres brugeren blot for en mulighed for at klikke "OK" og så har man accepteret alt.

GPDR regulerer dataopsamlingen og giver ret til at få data udleveret og slettet. Men brugeren har ikke nogen reel mulighed for at forhindre det - og det er efter min mening her at fokus bør ligge (på serverdata - ikke cookies).

Hvad sker der med data opsamlet af en virksomhed om mig? Sælger de dem til andre? Hvad hvis virksomheden lukkes/købes?

Det er ikke praktisk at skulle bede om at blive slettet hver gang man har brugt en service på nettet. Der må være plads til et teknisk bidrag her - hvis alt der blev gemt lå i min browser (som cookie), så havde jeg selv magten til at slette og bestemme om det må sendes til samme eller andre websites...

Fonte skal da ligge på ens egen sever

Enig. Men ufatteligt mange henter dem fra googles server. MAO google kan kigge med.

Google Analytics findes der alternativer til som man selv kan hoste bla Piwik

Nemlig. Og der er mange alternativer ( selvfølgelig af svingende kvalitet )

Stripe er så vit jeg ved et betaling system og dem er der rigtig mange af

Ja. Bruger det selv i et par sammenhænge. Bare ikke sådan som Stripe gerne vil have.

De anbefaler nemlig at ALLE sider henter Stripe javascript library, "så de bedre kan risiko-vurdere brugerne".

Alle de steder jeg har kørende, samler data sammen enten lokalt eller via serveren, som sender først brugeren til Stripe når der rent faktisk skal betales, og klipper bruger-Stripe forbindelsen igen når den er gennemført.

/Henning

Hvad har Google Analytics, Google Fonts, Stripe at gøre med opbygning af hjemmeside at gøre

Fonte skal da ligge på ens egen sever

Google Analytics findes der alternativer til som man selv kan hoste bla Piwik

Stripe er så vit jeg ved et betaling system og dem er der rigtig mange af

Tak for forklaring, Yoel.

Kan du oplyse, hvilke data Motoma samler - og hvorfor? Hvad bruges de til?

Med forbehold for, at jeg ikke kender den konkrete Matomo-installation:

Matomo er et open source analyseværktøj, der kan anvendes som et reelt GDPR compliant alternativ til Google Analytics.

I UVM's tilfælde ser der ud til at være tale om en løsning, som hostes af UVM selv. Den sætter ingen cookies, og Matomo kan desuden indstilles til at anonymisere den enkelte besøgende (ved at fjerne en del af IP-adressen i loggen og den efterfølgende behandling).

Hvis ens mål med analyse af besøgendes handlemønstre er at optimere websitets user experience uden at gå på kompromis med brugernes privatliv, er en on-premises hosted Matomo (som den UVM ser ud til at bruge) den helt rigtige løsning.

Du kan finde mere information her:

https://matomo.org/

Martin Bjerregaard.

Et lille ekstra spørgsmål, når nu jeg er i gang med at blive klogere, Morten Bjerregaard: Kan du oplyse, hvilke data Motoma samler - og hvorfor? Hvad bruges de til?

For hvilke data om mig er der brug for at samle og beskytte, hvis jeg går ind for at finde nogle oplysninger på uvm.dk?

For hvis Motoma samler en masse personoplysninger - bare ikke via cookies - så er vi jo lige vidt, forekommer det mig.

Tak for svar, og god forklaring, Martin Bjerregaard. Jeg bøjer mig for den, men undrer mig alligevel over, at Bitdefender så åbenbart alligevel opfatter Matomo som en tracking-ting. Men det har jeg ikke teknisk indsigt til at gennemskue grunden til. Og det er i øvrigt ikke kun linket under "Persondatapolitik", der ikke virker (den blå knap) - når man blokerer for Matomo, kommer der slet ikke noget cookiesamtykke, når man går ind på siden - det skal man aktivt fremsøge under "Persondatapolitik" - og der virker linket så ikke. Men jeg bøjer mig for, at uvm.dk åbenbart har forsøgt at vælge en bedre løsning end Google Analytics, som Udenrigsministeriet til gengæld er skamløst forelsket i.

Mht. "herotratisk berømt", så er det måske mest i Version2-kommentar-kredse, hvor der adskillige gange har været fokus på alle de forsknings- og andre projekter, som kører under Undervisningsministeriet, som er ret ivrige, og i mine øjne skrupelløse, privatlivsdatasamlere. Diverse trivselsundersøgelser og den slags, som ofte har meget svært ved at respektere retten til privatliv.

Hej Anne- Marie, Jeg kan ikke nødvendigvis svare på hvorfor at linket til dit samtykke ikke virkede med Bit defender - om det skyldes den løsning der er valgt til indsamling af samtykke ( Cookie information - samme som her på Version 2) skal jeg ikke kunne sige, men jeg kan svare dig på Matomo, - og hvrfor at du ikke bliver spurgt til det i forbindelse med Cookies - det skyldes at Matomo i UVMs instalation ikke benytter Cookies. I UVM anvendes matomo, hostet i et lukket miljø - af hensyn til brugerne data skulle beskyttes en rejse der blev iværksat for være compilant. Jeg er ked af at læse din påstand om at "uvm er jo herostratisk berømte for at være meget ivrige persondatasamlere...." Det billede kan jeg ikke genkende. Det skal siges at jeg utrykke mig som privatperon, men det stemmer slet ikke i min optik, tværtimod er det noget vi har stort fokus på i hele det daglige arbejde i uvm - altså at værene om bruger og borgeres data. - Men kortfattet - Matomo sætter igen Cookies, derfor er det ikke nævnt i samtykket.

Et bedre link end det i min kommentar ovenfor (jeg lærer det nok en gang): https://um.dk/-/media/websites/umdk/danish-site/om-os/kontakt/privatlivspolitik/cookieoversigt_250518_2.ashx

Det er virkelig en grim og uforskammet liste, um.dk byder sine borgere - GA i lange baner!

...har slet ikke et cookie-samtykke. De sætter en frygtelig masse for mig at se grove 3. parts-cookies - men intet samtykke. Derimod en besked om, at hvis man ikke vil have deres cookies må man selv gå ind og blokere for cookies i browsrindstillingerne: file:///C:/Users/ANNE-M~1/AppData/Local/Temp/cookieoversigt_250518_2.pdf

Ingen forklaringer på, hvilke der er den ene og den anden type.

Er det overhovedet lovligt at spise os af med så lidt indsigt?

Jeg har fået opklaret, at linket ikke virker, fordi jeg har aktiveret antitracker af "site-analytics" (Bitdefender). Da jeg deaktiverede anti-trackeren, virkede linket.

Det er jo lidt langt ude, at man skal deaktivere anti-trackere forat få lov at se cookie-samtykket.

Når jeg ser på, hvad det er for en "site-analytics"-cookie, så hedder den "matomo.stil.dk". "stil.dk" er en side under undervisningsministeriet - og om Matomo kan jeg finde dette:https://matomo.org/

Er Matomo mon virkelig løsningen på Google Analytics? Og hvorfor skal man tvinges til at accceptere denne cookie, inden man overhovedet får lov at se cookie-samtykket?

Og hvorfor fremgår matomo.stil.dk slet ikke af cookie-samtykket, så vidt jeg kan se?

svar fra Datatilsynet vedr bla legitiminteresse:

1. Jeg kan i forbindelse med dit første spørgsmål oplyse, at Datatilsynet ikke har afvist muligheden for at bruge ’legitim interesse’ (interesseafvejningsreglen), som hjemmel til behandling af statistisk data, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra f. Tilsynet har imidlertid afvist muligheden for at bruge Google Analytics til statistisk behandling, jf. interesseafvejningsreglen.</p>
<ol start="2"><li>
<p>Dataansvaret vil komme an på, hvem en behandling er fastlagt og sker på vegne af. Det vil kræve nærmere kendskab til parternes aftaler, såfremt et dataansvar endegyldigt skal fastlægges.</p>
</li>
<li>
<p>Interesseafvejningsreglen kan rumme mange behandlinger af personoplysninger, men det kræver – som navnet antyder – at behandlingen er legitim, og der sker en konkret afvejning mellem den registreredes og den dataansvarliges (eller tredjemands berettigede) interesser. De fleste behandlinger af en hjemmeside, som resultere i tracking af brugere, vil dog oftest kræve samtykke. Datatilsynet har fokus på området, bl.a. også i samarbejde med vores europæiske kollegear, men det vil – henset til bestemmelses natur – ikke være muligt at lave en udtømmende liste over behandlinger omfattet af interesseafvejningsreglen.</p>
</li>
<li>
<p>Erhvervsstyrelsen fører tilsyn med reglerne i cookiebekendtgørelse (hvornår man må sætte cookies), mens Datatilsynet fører tilsyn med databeskyttelsesforordningen (hvornår man må behandle eventuelle personoplysninger fra en cookie).</p>
</li>
</ol><p>

Det gør det ikke nemmere, at man ikke kun har ét tilsyn, men skal kontakte både en styrelse og et tilsyn, hvis man vil klage over en cookie, der behandler persondata

Jeg har sågar set sites der helt havde misforstået den - og bare skrev "vi bruger cookies - klik OK"..

Jeg har sågar set en der var endnu bedre: "vi bruger cookies - klik OK" efterfølgende bliver der sat en "cookie-ansver=1" .

Det var alt. Intet andet. Alt content blev hentet fra samme host. uden yderligere cookies.

/Henning

Er der nogen, der har en definition på "nødvendige" cookies?

Kig på Klavs' link. Den er go ;-)

For hvis man nu er en virksomhed, hvis business-case hviler på indsamling af personoplysninger (profilering), så kan man måske med en vis ret hævde, at cookies til indsamling af disse er"nødvendige" for hjemmesidens funktion?

Ja hvis du går ind på facebooks hjemmeside må man forvente at facebook holder øje med hvad du laver der.

Men når jeg går ind på en anden hjemmeside som henter en eller anden dims hos facebook, og derfor sætter en cookie hos facebook, er det en helt anden ting.

Det er af den grund at på mine maskiner KAN man ikke tilgå facebooks services. Der routes til 127.0.0.1 i stede for.

( og derudover helt generelt kører 99% af tiden i incognito-mode, så mine spor ikke bliver pokkers lange, hvis de skulle blive samle sammen )

/Henning

Er det kun mig, der ikke kan få lov at komme ind og se, hvad der gemmer sig i uvm.dk's cookiesamtykke?:https://www.uvm.dk/ministeriet/kontakt/ministeriets-hjemmeside/persondatapolitik

uvm er jo herostratisk berømte for at være meget ivrige persondatasamlere....

Statsministeriet har lært det:https://www.stm.dk/cookies/

Så når selv Statsministeriet har rettet ind, hvem giverså SST lov til at fortsætte sin datafangst på vegne af facebook, LinkedIn og Adform - og hvorfor? Hvem i SST er det, som skummer fløden på de lyssky aftaler?

Legitim interesse

Og hvis man på forsiden af cookie-boksen har trykket "Nej til alle andre end nødvendige cookies", gælder dette nej så automatisk også "Legitime interesser" og "Samarbejdspartnere"? Det er jeg ikke overbevist om.

Er det ikke - sådan sat på spidsen - ligegyldigt med de mange regler, hvis de ikke bliver håndhævet endsige overholdt? Betyder det ikke bare, at de smarte og de skruppelløse løber om hjørner med de artige?

Schrems-sagerne og ditto-dommene er jo grundlæggende set det samme, hvor man kører rundt i manegen med teknikaliteter, spidsfindigheder og forhalinger (og hvor det ikke at tydeligt hvilket hold myndigheder, som f.eks. det irske datatilsyn, reelt spiller på). Og kommer der en dom, så flyttes nogle kommaer, og så starter det hele forfra.

Selv Kbhs kommune er ude med ønsket om, at man snart får “reglerne fixet igen”, så deres smarte spareprojekt med at gøre databehandlingen oversøisk, kan komme videre - hvilket vist mest er et ønske om at reetableret tilstrækkelig uklarhed om reglerne til, at man kan gøre, som det passer en … ihvertfald indtil næste dom, som heldigvis ikke er lige om hjørnet. Med lidt held kan man endda nå at blive færdig inden da.

Og myndigheder, som har sagsbehandlingstider, som får et gletscher til at ligne en racerbil i sammenligning … hvor mange sager er det lige, at det Irske datatilsyn (som alle angiveligt venter på) rent faktisk har fået afgjort? Det er vist forsvindende få.

Eller cookiebannere, hvor Datatilsynet henviser på Erhvervsstyrelsen, som ikke har spor travlt, især ikke med opsøgende kontrol, og virksomheder, som går hvad det passer dem, fordi at der “ikke er skrevet en vejledning endnu” og “burde man ikke bruge sin energi på rådgivning fremfor håndhævelse?”

Det svarer lidt til, at politiet kun kontrollerer fart en gang hvert andet år, og kun er sted i landet og i den ene retning. Og at bøden er 10 år undervejs i retssystemet, og man så konkluderer, at vejen er lavet om siden, skiltningen var uklar, vejret mest var tåget, kontroludstyret er forældet, og bilen havde forbrændingsmotor, og reglerne derfor ikke gælder for moderne elbiler. Så bøden, ja, den bliver ikke til noget alligevel. Men reglerne, de er fine!

Kort sagt, er der ikke tale om ligegyldige regler pga manglende evne eller vilje til håndhævelse?

Man har jo et generelt problem med den praksis man har opbygget. Hvis en pige udleverer sit mobilnummer til mig, så er jeg da et svin, hvis jeg deler det med den første, jeg møder på gaden.

I IT-branchen er den slags en udbredt praksis og giver et gustent skær af en moralsk meget anløben branche. Som IT-mand har jeg det meget stramt med det, selvom jeg godt er klar over at det langt hen af vejen er styret af marketingfolk og jurister.

Og det er allerede inden vi begynder at spekulere i risiko for ekskludering fra forsikringer etc. og her kommer GDPR virkeligt til sin ret.

Principielt er jeg enig i at det er et udtryk for magtglidning mod EU, men det ændrer vel ikke det principielle i om GDPR er en god ide?

Jeg må så også erkende at det rammer ned i en undersøgelse af befolkningens støtte til EU i forskellige lande. Jo mindre tillid til landets egne politikere, jo mere støtte til EU. Og lige på dette punkt er min tillid til de danske politikere ligefrem proportional med åbenheden om støtte til partiers og kandidaters kampagnekasse, som jo er et fast kritikpunkt i alle rapporter om demokratiets tilstand.

Salgssider har også direkte mulighed for krumspring. Som en sælger af dynamiske web-sider en gang sagde: Hvis vi har identificeret en bruger, som utilfreds og i risiko for at sende en vare retur, så kan man flytte tlfnr og mail-adresse til en obskur underside, eller helt lade være at vise det. . .

Hej Jesper,

Jeg glæder mig til at følge med i din serie. I fald du mangler flere idéer til dette komplekse emne, så er her lidt flere :-)

Er EU-baserede tjenester bedre?

Google Analytics dømmes ude fordi de hører til I USA. Men er det protektionistisk, eller bare fordi jurister laver doven evaluering: Hvis noget er ulovligt ifølge A, så slilpper vi for at diskutere, om det også er ulovligt ifølge B.

Hvis Google var hjemmehørende i EU, ville deres omfattende profilering så ikke stadig være problematisk i forhold til GDPR?

Er skyen overhovedet GDPR-kompatibel?

Kernen i Screms-dommene har været, om man kunne stole på, at data var sikre i hænderne på firmaer udenfor EU. Der bliver talt om, at man skal have en begrundet tillid.

Men kan man overhovedet have tillid til, at en tredjepart kan passe ordentligt på data? Er det nok at sige "det er jo et stort firma, og de har lovet at være ærlige"?

Der ligger følsom data om mig hos mange firmaer, som jeg ikke selv stoler på over en dørtærskel og i hvert fald aldrig ville overlade mine hemmeligheder til. Men jeg har ikke mulighed for at vælge dem fra, når det er f.x. en offentlig myndighed, der outsourcer mit privatliv.

Og jeg har ingen forhåbning om at få noget der ligner er passende erstatning, hvis mine oplysninger bliver lækket.

Legitim interesse

Mange cookie-monstre påberåber sig "legitim interesse" i tilfælde hvor jeg ikke mener, deres interesse er legitim.

Hvordan defineres legitim interesse, og hvordan kan jeg reelt gøre indsigelse?

Er Erhvervsministeriets vejledning striks nok?

Du skriver, at det er "blevet helt forbudt for offentlige hjemmesider og digitale tjenester at bruge tredjepartscookies" og linker til en floromvundet pressemeddelelse.

Men hvis man læser selve vejledningens, så gælder det kun for selvbetjeningsløsninger. Og der er et par gigantiske kattelemme i afsnit 3.1. For eksempel:

Myndigheder kan anvende tredjepartscookies og lignende teknologier, hvis tredjeparten, i forbindelse med opsætningen af tjenesten, i deres ”indstillinger” har en funktion, der giver hjemmesideejeren mulighed for at fravælge, at det indsamlede data bliver delt og anvendt til tredjepartens egne formål, og denne funktion aktiveres.

Med andre ord: Du må gerne bruge GA, hvis du sætter kryds i, at Google ikke må bruge oplysningerne.

Kan det på nogen måde forsvares juridisk at være så naiv?

en åben diskussion om, hvorvidt cookies og tracking generelt rent faktisk gør en positiv forskel i praksis

"Positiv forskel for hvem?", er det jeg går rundt og tænker over.

Er det en positiv forskel, at nogen bliver bedre til at sælge mig noget, jeg ikke har været på udkig efter? At styrke erhvervslivet og den kapitalistiske maskineri? (uden at gå for meget ud ad en tangent)

Jeg har ofte haft diskussioner omkring, hvor vidt markedsføring egentlig virker. Jeg har altid haft den opfattelse, at reklame er irriterende, og at jeg altid prøver ikke at gå efter det, jeg har set reklame for eller som er blevet præsenteret mig som det første. Og det langt før GDPR udkom.

Folk der går ind for marketing eller har læst det / haft fag omkring det, fortæller mig, at alle mine valg er forud blevet manipuleret og at mine valg blot er et resultat af de reklamer og den placering af varer i supermarkedet, som jeg bliver udsat for. Derfor var det ikke mig, der valgte at købe Colgate, men reklamen, som både gør mig bevidst, at der findes Colgate, og minder mig om, at jeg kan få det dårligt, hvis jeg ikke bruger tandpasta, og at Colgate er meget velkendt og kan en hel masse ting, og derfor er bedre end de andre.

Men forholder det sig virkelig sådan? Er det ikke, i mit tilfælde, mere sådan at jeg bliver irriteret, når jeg ser Colgate, og at jeg fravælger det, grundet associationen til irritation, og jeg ikke køber Colgate fordi jeg ved, de er en stor koncern og bruger mange penge på reklame og derfor har en høj pris på deres produkter? Tvivler jeg ikke mere på Colgate end på det billige tandpastaprodukt, blot af den årsag at jeg ved, at nogen prøver at manipulere mine valg?

Jeg kan helt klart også følge Klavs' argument ovenfor omkring at tracking og cookies, hvis ikke for at logge ind og vise sidens væsentlige elementer, blot er noget som er designet til at give fordel for nogen, som yderligere ønsker at udnytte og manipulere os (forbrugerne) i sidste ende.

Jeg kan også godt forstå, at den afhængighed, som erhvervslivet har af tracking og cookies, nu engang gør, at det vil skade virksomheder, og dermed også andre, i.e. ansatte, BNP, omverdenen, hvis vi forbyder Google Analytics. Det er ikke sundt, at det forholder sig således.

Jeg ville også være okay tilfredse med, at jeg stadig bliver udsat for en masse reklamer. Men jeg kan ikke se, hvorfor alle pr. default skal være med til at understøtte at erhvervslivet har nemmere ved og bliver bedre til at overleve og sælge os deres produkter og ydelser. Det må de selv stå for, og det ønsker måske ikke alle at ofre deres privatliv for. Jeg er fint tilfreds med irrelevante reklamer og lign. Ja, nogle gange bliver jeg da også irriteret over, at browserne tilpasser en internetside til at vise indholdet på dansk. Lad det da være mit valg?!

Reklamer blev opfundet i en tid, hvor et produkt simpelthen kunne risikere at gå under, fordi folk ikke vidste, at produktet eksisterede, eller endda at den type produkt eksisterede. I dag har vi søgemaskiner, der kan fortælle dig, hvilke sider der bedst rammer det, du har søgt efter. Så bruger man lige lidt tid på at forske sig igennem de søgeresultater, og så har man fundet et produkt på samme måde, som man ellers får et produkt kastet om ørene.

Jeg håber du har ret i, at det er så enkelt Jørgen L. Sørensen. Det bør det i hvert fald være.

PS: Det fremgår måske ikke så klart, men facebooks marketingscookies er en af dem, som ligger på sst.dk. Forstå det, hvem der kan.

Hvis det er fordi, man gerne vil linke til SST's facebook-side, kunne man jo bare nøjes med linket, ikke? Det kræver vel ikke den cookie, som er noget af det mest snagende i verden?

Kan nogen opklare, hvilken funktion facebooks cookies har på SST.dk? Altså formål, som befolkningen, ikke kun facebook, faktisk har gavn og glæde af?

(Jeg har i et par dage afventet svar på det spørgsmål fra SST. Ikke en gang SUM's DPO, som der henvises til på SST's side, ved det, i det jeg derfra har fået følgende svar:"Kære Anne-Marie. I min egenskab af koncernfælles databeskyttelsesrådgiver (DPO) for Sundhedsministeriets koncern, herunder for Sundhedsstyrelsen, har jeg modtaget din e-mail nedenfor, hvor du spørger til cookies på sst.dk. Jeg kan orientere om, at jeg d.d. har videresendt din henvendelse til Sundhedsstyrelsen med henblik på, at styrelsen svarer dig direkte. Du er velkommen til at vende tilbage, hvis du har bemærkninger til svaret fra Sundhedsstyrelsen, når det foreligger. Venlige hilsener.."

Jeg gætter på, at SST heller ikke selv ved det, men nu må vi se....

Er der nogen, der har en definition på "nødvendige" cookies?

Som ikke-jurist, men almindelig bruger, synes jeg det er ret simpelt:

GDPR er til for at beskytte mine data. Derfor skal "nødvendig" ses fra mit synspunkt --- f.eks. er en indkøbskurv nødvendig for at jeg kan handle på nettet. Men det er ikke nødvendigt for mig at siden samler en masse information om hvordan jeg bruger siden, og hvilket systemer jeg har på min computer.

Og nej, brugervenlighed behøver ikke statistik med mine private data --- brugervenligheden en test/brugerundersøgelse være med til at afække.

Er der nogen, der har en definition på "nødvendige" cookies? For hvis man nu er en virksomhed, hvis business-case hviler på indsamling af personoplysninger (profilering), så kan man måske med en vis ret hævde, at cookies til indsamling af disse er"nødvendige" for hjemmesidens funktion?

verdens mest data-indsamlende og snagende platform er ikke et særligt illustrativt eksempel for en almindelig dansk hjemmeside

Men er det ikke netop det, det er? Illustrativt for en almindelig dansk hjemmeside? Endda en offentlig hjemmeside?

Jeg skal prøve at finde andre eksempler, men jeg glæder mig til dine fremtidige blogindlæg, hvor du uddyber.

Jeg er enig i, at vi bliver nødt til at tale om, at ikke alt er farligt, fx IP-adresser. Det slører fokus, hvis alt opfattes som værende alvorligt.

Bortset fra dét, så foreslår jeg, at "subtile" services såsom Cloudflare medtages, når der kigges på, hvilke cloud-services, som myndigheder og organisationer benytter uden for EUs jurisdiktion. Jeg tror også, at der er mange organisationer, hvor IT-afdelingen kan have sat DNS-servere op til at slå forward'e til 8.8.8.8 eller tilsvarende services, som igen drives af firmaer med base ude for EU. Den slags services har en tendens til at blive overset.

og som eksempel på noget der hører herunder: "elektroniske indkøbskurve på webshops".

Tak. Der tog jeg helt fejl. Det må have været en fejl i en RAM klods:)

Erhvervsstyrelsen gør det klart, at man ikke skal informere om nødvendige cookies for services, den besøgende udtrykkeligt beder om.

Jo, man skal stadig bede om samykke til at behande persondata, selvom det er en del af teknisknødvendighed på sitet.

Det er ikke korrekt. Læs selv: https://erhvervsstyrelsen.dk/hvem-er-omfattet-af-cookiereglerne

"Hvis brugen af cookies og lagring af data på brugerens pc, tablet, smartphone eller lignende er en teknisk forudsætning for at kunne gennemføre en tjeneste, som brugeren udtrykkeligt har bedt om, vil sådanne cookies typisk være undtaget for reglerne."

og som eksempel på noget der hører herunder: "elektroniske indkøbskurve på webshops".

Så når man anvender cookies til hjemmeside funktionalitet som dette - hvilket er det eneste de fleste hjemmesider faktisk behøver- så behøver de slet ikke at spørge.

så behøver de jo slet ikke at prompte den besøgende.

Jo, man skal stadig bede om samykke til at behande persondata, selvom det er en del af teknisknødvendighed på sitet.

er for de flest sider UNØDVENDIGE - og jeg forstår ikke at flere sites ikke undlader at bruge flere cookies - så de på den måde helt slipper for at genere den besøgende med et spørgsmål. Jeg har sågar set sites der helt havde misforstået den - og bare skrev "vi bruger cookies - klik OK".. Hvis de cookies de anvender faktisk KUN er de NØDVENDIGE (og dvs. de KUN går til deres site - ikke eksterne kilder) - så behøver de jo slet ikke at prompte den besøgende.

Går verden under, hvis vi dropper cookies?

Hvis debatten skal give mening, så skal det indledningsvis stå soleklart hvorfor cookies og tilsvarende tekniske løsninger, er nødvendige for en lang række interaktioner.

Kort sagt, uden cookies ingen mulighed for at logge ind på noget website. (Trylleløsninger med sessionsvariable i URLer gælder ikke)

Det er også soleklart at cookies idag anvendes til heftig marketing profilering. Dette naturligvis fordi det digitale reklamemarked er en multimiliard forretning, og at indtjeningen er direkte propertional med graden af målrettetheden reklamerne kan serveres i. Profileringen er primært for at øge CTR.

Og så er der de mørkere sideeffekter ved henførbahed, som cookies og ipadressen giver (delvist) anledning til:

• Efterretningstjenester
• Screening af forsikringskunder og lignende forskelsbehandling
• Afpresning fra teknisk personel med adgang til data
• Prispumpning på baggrund af profilering
• Datalæk
• Osv osv..

Det bliver spændende at følge hvorledes GDPR fortolkes i Danmark ift.

• IP adresser, som jo per definition behandles uanset om de logges eller ej
• Irreversibel periodisk hashing af device IDer
• In-browser kohorte etablering
• Fingerprinting
• Trediepartscookies generelt
• Iframe services fra tredieparter

Ved siden af dette har vi så ganske rigtigt nogle argumenter om, at “snagen” i form af fx målrettede annoncer ved hjælp af cookies sig selv nogle gange indenfor GDPR - også selvom vi ikke kender, og aldrig kan komme til at kende, navnet på personen bag.

Og hvis de ved alt om mig - selvom de ikke har mit navn og adresse - er det så ikke stadigvæk skidt? Det føler jeg ihvertfald - og en sådan centraliseret informationsdatabase - vil være noget der kan misbruges af mange.. og med lidt graven i en sådan central database, kan man hurtigt se hvad "identitet X" har foretaget sig af "ting man kan bruge til noget" - osv. Hvis jeg nu er sur på en der har skrevet noget dumt på mit chatforum - så har jeg ip'en de er logget på med da de skrev - og hvis man har facebook/google cookies - så har google også en komplet identitet på præcis DET system de genkendte - så forskellige personer bag samme IP - vil kunne skilles ad.

Så FORDI man hos Google/Facebook VIL kunne identificere mig - i det mindste godt nok til at jeg som f.ex. ejer at det chatforum vil kunne (med adgang til googles/facebooks bagvedliggende data - som ikke alle har selvfølgelig) - finde f.ex. "pinlige sider den person har besøgt" eller andet - som kan bruges til f.ex. at true vedkommende eller identicere hvor de overvejer at tage på ferie henne - og f.ex. manglende aktivitet kan hurtigt bruge til at udlede at nu ER de på ferie (ie. sælg info til indbrudstyve) mm.

Det er det samme med de kvitteringer man kan bede supermarkederne gemme hos dem - mit betalingskort er jo knyttet hos selvsamme udbyder til en profil i deres app, så hvis man har adgangen til de info - kan man finde adressen på vedkommende og med indkøbskvitteringer kan jeg snildt se hvornår personen ikke er hjemme - og sælge den slags info til højestbydende.. "indbrudsmuligheder i postnr 2650" eller lign.

Så hvis jeg var kriminel - ville jeg finde den slags centrale lagre af personhenførbar information MEGET interesssant - og derfor er jeg MEGET glad for GDPR - der i det mindste forsøger at give mig som privatperson et valg over hvilken information der ligger hos hvem - så jeg kan forsøge at undgå den slags trusler imod mig.

Jeg er stærk fortaler for GDPR og synes at de seneste afgørelser er ganske fine. Når du nævner at det er et protektionistisk værktøj så har du helt ret; GDPR er til for at beskytte borgeres privatliv på nettet. Ifm. USA så har de nogle klare brud med ånden i GDPR som dermed betyder at det kan virke protektionistisk overfor EU-baserede virksomheder. Det du skal huske er at den almene internet-bruger ikke har nogen kendskab til de værktøjer virksomheder bruger til at profilere/indsamle personoplysninger, så vi kan ikke efterlade særlig meget råderum og lade borgeren fravælge det de ikke vil være med til.

For det andet er jeg modstander af, at stort set alt hvad vi laver efterhånden falder ind under de strenge krav i GDPR.

Selvom det nok lyder lidt ironisk så er jeg faktisk enig med dig her, men af en anden årsag. Alt hvad vi laver falder efterhånden ind under GDPR fordi flere og flere virksomheder bygger deres forretningsmodel op omkring profilering og tracking af brugere. Der er kommet et hav af tjenester som er gratis eller meget billige hvor fortjenesten er blevet rykket til dataindsamlingen. Analytics, Facebook, you name it. Og mange af de tjenester kan du ikke undgå da de bliver brugt af tredjeparter, herunder størstedelen af alle webshops.

Æbler og bananer: Google og Facebook har tracking af brugere som grundlæggende forretningsmodel, men den seneste praksis rammer også digitale tjenester, som dybest set ikke har nogen interesse i at vide, hvem deres brugere er.

Indtil videre har jeg svært ved at finde digitale tjenester der ikke bruger profilering, er det muligt du kan komme med nogle eksempler? Her tænker jeg at de ikke bruger Google Analytics, Facebook Pixel, eller andre profileringsværktøjer i samme dur. Det er dog værd at bemærke at har du en størrelse som Netflix så har du nok ikke behov for eksterne profileringsværktøjer og får sågar en større værdi af at udvikle dit eget profileringsværktøj der passer bedre ind i konteksten med film og serie-visning. Hvis vi tager webshops (ja, det er ikke rigtigt en digital tjeneste, men det er nu et godt eksempel) så har jeg set mange der ikke er interessede i at vide hvem deres brugere er men alligevel bruger Analytics og Pixel da de "ikke kan køre en webshop uden det" (hvilket er skræmmende, både hvis det er rigtigt men satme også hvis det ikke er...). Så vidt jeg kan se så er virksomheder der ikke er interesserede i hvem deres brugere er stadig interesserede i at tredjeparter kan profilere deres brugere for dem.

Som eksempel kan nævnes, at IP-adresser efterhånden stort set altid sidestilles med en personoplysning, selvom det juridisk set kræver en retskendelse at få udleveret identitet på personen bag

Under en retssag ville jeg give dig ret; hvis min IP-addresse dukkede op i en sag, så kan den ikke bruges som bevis. Jeg kan have en delt IP-addresse, jeg kan have et åbent gæste-netværk, det kan være hvem som helst fra min husstand, osv. Der er alt for mange variabler til at endegyldigt kaste en dom over sagen udelukkende på baggrund af det. Men profilering er ikke en retssag. IP-addresser er en oplysning der kan identificere en stor andel af internet-brugere med god sikkerhed i sig selv. Der er trosalt mange der bruger statisk IP. Tager du denne ene oplysning og kæder det sammen med personens øvrige profil/adfærd så kan du garantere en identitet. Selv hvis min IP-addresse deles med 10.000 andre så tvivler jeg på at der er mange der deler mine kendetegn. Hvis vi antog at Version2 brugte Analytics (heldigvis er det ikke tilfældet), så har de allerede et fuldt navn på mig. Det vil så være ingen sag at finde samme IP-adresse for Reddit-brugeren 'totallyNotSimon' og med dén ene IP-addresse har Google fået en stor indikator for at 'totallyNotSimon' måske rent faktisk er ham Simon. Resten er blot at lave en passiv profilering og inden længe vil min anonyme aktivitet på nettet ikke være anonym længere.

Og det samme gælder stort set enhver form for profilering/målretning af annoncer, også selvom der slet ikke er indblandet nogen IP-adresse eller personoplysninger i øvrigt...!

Jeg har tilkendegivet ovenfor hvorfor jeg mener IP-addresser er personhenførbare oplysninger (IP-addressen kan jo ikke i sig selv identificere mig men blot give en indikator som dog kan være meget nær "uden tvivl" i tilfælde af statisk IP i en enkeltmandshusstand). Vi er nemlig nået langt med maskinintelligens der let kan lægge to og to sammen i store mængder af data.

Men pointen for mig her er at jeg synes ikke profilering eller målretning af reklamer direkte mod individet hverken er etisk eller moralsk forsvarligt. Profilering gøres ofte uden at brugeren ved det eller skjules profileringen så godt at kun den kyndige kan tyde at den sker (se ovenstående kommentar omkring SST - en hjemmeside der nok burde være de mindst interesserede i hvem den enkelte bruger er. Hvordan mon profileringen så ser ud ved Amazon?). Profilering er meget forsimplet at lave en database hvor man løbende indsamler så mange personlige oplysninger som muligt uden at anmode om dem fra fx officielle registre. Der er ingen begrænsning af hvad der profileres og det er også umuligt at få et overblik over hvad profilen indeholder med undtagelse af at fysisk kigge direkte i databasen. Virksomheder kan så lave mange løfter om hvad de gør og ikke gør men reelt set er det det vilde vesten så længe at vi kører Privacy by Policy. Det eneste vi kan gøre er at nægte at give vores data i første omgang, men det er tæt på umuligt da profileringen kører på en stor andel af internettet, før eller siden vil du komme til at nævne noget som du ikke ønsker associeret med dig selv i den virkelige verden - en helbredsmæssig tilstand du lige skulle slå op på netdoktor, gode skilsmisseadvokater i dit nærområde.

Dernæst er der målretningen. Målretningen af reklamer tager udgangspunkt i den profilering der blev udarbejdet af dig. Du rammer med andre ord mennesker når de er mest sårbare. Du ved allerede alt om dem. Om din feriepakke så skal sælges som "slip for hverdagens problemer" til personen der søger skilsmisse eller "man lever kun én gang" til personen der har en uhelbredelig sygdom er derefter underordnet - det klarer algoritmen for dig. Målretning af reklamer er en psykologisk udnyttelse. Du behøver ikke at se længere end Cambridge Analytica og Brexit for at se den skade det kan gøre. Men hvis vi ignorerer samfundsmæssig skade (det er lidt ekstremt, trosalt) så er der stadig en risiko for skade for individet. Reklamerne bliver målrettet til lige præcis dig, så du vil have svært ved at identificere en skadelig reklame. Reklamen ved busstoppestedet eller ved togstationen ses af mange mennesker og kan ikke skjule dårlige intentioner for alle der passerer, så en eller anden vil før eller siden rapporterer reklamen til den ansvarshavende. Men hvis du i forvejen er skeptisk på hvad immigranter kan forårsage af skade, så kræver det ikke særlig meget at målrette et budskab om at vi bør løsrive os fra EU så vi slipper for dem. Eller sælger dig en rejse du reelt set ikke ønskede eller havde økonomien til.

Hej Anne-Marie. Jeg skal nok uddybe min kritik af GDPR’s vidtgående rækkevidde i et senere indlæg. Men i mellemtiden vil jeg altså opfordre dig til at bruge andre praktiske eksempler end Facebook - verdens mest data-indsamlende og snagende platform er ikke et særligt illustrativt eksempel for en almindelig dansk hjemmeside ?

Konkretiseret fra facebooks cookiesamtykke:

"Annoncører. Vi leverer rapporter til annoncører om, hvilke typer personer der ser deres annoncer, og hvor effektive deres annoncer er, men vi deler ikke oplysninger, der identificerer dig personligt (oplysninger som f.eks. dit navn eller din e-mailadresse, der i sig selv kan bruges til at kontakte dig eller identificere dig), medmindre du giver os tilladelse til det. "

Navn - altså!

Og deres luskede formulering om, at de kun giver det videre, hvis man giver tilladelse: Men er det ikke netop det, man gør med cookie-samtykket? Ergo bliver hele ens privatliv solgt til stanglakrids, uanset at de enkelte oplysninger måske ikke er så personlige.

Jeg går ud fra, at det er mod betaling, det gives videre - så der fik jeg selv besvaret mit spørgsmål ovenfor.

Så jeg forstår ikke din kritik af GDPR her? Er det noget andet, du mener, når du synes, for meget stemples som "personoplysninger"?

Tak for svar Jesper.

Allerede her har jeg chancen for at blive lidt klogere: Når man giver tilladelse til eks. markedsføringscookies - indebærer det så ikke, at cookie-ejeren f.eks. får tilladelse til at indhente eks. ip-adresse, navne, etc. etc.?

Når jeg læser f.eks. LinkedIns oplysninger om deres cookie-brug, så er der jo ikke meget, LinkedIN i ikke ved om mig, hvis jeg kommer til at give tilladelse til deres cookie:https://www.facebook.com/privacy/explanation

I mine øjne giver det ikke rigtig mening at begynde at botanisere i, om disse oplysninger enkeltvis kan siges at være "personoplysninger" - for den samlede mængde gør mig i den grad identificeerbar - retskendelse eller ej.

Og yderligere er det nærmest i praksis skjult for menigmand, at man faktisk giver tilladelse til så meget, bare med den ene cookie. Det er i sig selv et problem.

Igen er jeg lidt forvirret over din bemærkning om "retskendelse". Hvem tænker du på? I mine øjne giver disse tusindvis af oplysninger umiddelbart mulighed for at identificere personen, retskendelser eller ej. Er du uenig i det?

Og endnu et konkret spørgsmål: Kan andre lovligt købe disse oplysninger af LinkedIn?

(Rettelse: Ret er facebooks cookiesamtykke, jeg taler om her - ikke LinkedINs. men deres ligner)

Hej igen igen. Også her rammer du plet ift de diskussioner jeg gerne vil have: Vi har tre afgørelser fra EU-Domstolen, som omhandler, hvorvidt/hvornår behandling af IP-addresser skal anses for at udgøre “personoplysninger”, og her fokuseres der på risikoen/sandsynligheden for at det rent faktisk er realistisk at nogen, fx via en retskendelse, kan koble ip-adressen til en navngivet person. MEN! Ved siden af dette har vi så ganske rigtigt nogle argumenter om, at “snagen” i form af fx målrettede annoncer ved hjælp af cookies sig selv nogle gange indenfor GDPR - også selvom vi ikke kender, og aldrig kan komme til at kende, navnet på personen bag. Jeg er i ikke nødvendigvis uenig i sidstnævnte, men min oplevelse er bare, at tingene i praksis bliver mudret sammen, og jeg vil derfor i et kommende indlæg prøve at “skille skæg fra snot” ?

.. til dit indlæg. Du skriver:"Som eksempel kan nævnes, at IP-adresser efterhånden stort set altid sidestilles med en personoplysning, selvom det juridisk set kræver en retskendelse at få udleveret identitet på personen bag. Og det samme gælder stort set enhver form for profilering/målretning af annoncer, også selvom der slet ikke er indblandet nogen IP-adresse eller personoplysninger i øvrigt...!"

Hvem tænker du på her? Hvem er det, der skal have retskendelse for at få dem udleveret? For cookie/hjemmesideejeren har vel umiddelbart adgang til disse oplysninger, og kan i følge de oplysninger, som følger med de enkelte cookies, vel umiddelbart bruge dem til profilering etc?

Og er det ikke også i ligeså høj grad det, GDPR skal beskytte borgerne imod - fordi det er snagen i deres privatliv, og derudover kan bruges til at manipulere/udnytte borgeren?

Og det er jeg også meget enig i: Både at vi generelt savner diskussioner der bliver konkrete nok (hvilket er formålet med disse indlæg), og i høj grad også at have en åben diskussion om, hvorvidt cookies og tracking generelt rent faktisk gør en positiv forskel i praksis. Jeg satser nemlig også stærkt på selv at blive klogere undervejs i processen.

Tak for svar, Jesper. Det glæder mig, at du er mere positiv overfor GDPR, end jeg lige fangede, og jeg glæder mig meget til forhåbentlig at få opklaret nogle af mine mange spørgsmål. Det er nemlig oftest på et ret overordnet niveau, der diskuteres - det er svært for menigmand at få en fornemmelse af, hvad det faktisk er, disse cookies faktisk helt konkret gør på hjemmesiderne - eller for hjemmesideejerne - ud over at snage.

Går verden under, hvis vi dropper cookies?

Nu kan jeg se, at også Version2's cookiesamtykke nu ligger som ikon i nederste venstre hjørne...Er det ikke noget nyt?

Mit spørgsmål er det samme: Hvorfor ligger det ikke som menupunkt sammen med andre menupunkter nederst? Hvis det faktisk er tanken, at brugerne skal kunne finde det?

Jeg kan kun se det som et forsøg på at vanskeliggøre brugernes adgang til cookie-samtykket. Men jeg må jo så sige til både Version2 og SST: Det trick virker kun et kort stykke tid, så har brugerne luret det.

(Men så finder I vel bare på et nyt benspænd? Det er jo i hvert fald helt utroligt, som kreativiteten blomstrer inden for fantasifulde og uigennemskuelige udforminger af cookies-samtykker i øjeblikket. Helt i modstrid med GDPR's intentioner.)

Hej Anne-Marie. Mange tak for input og spørgsmål - det var lige præcis det jeg efterlyste, og jeg håber også at folk der ved mere end mig om teknikken vil byde ind med svar. Ps. Jeg kan godt se, at ovenstående indlæg måske ikke indikerer at jeg generelt er tilhænger af GDPR - men det er jeg altså ? Men meget lidt her i verden er sort/hvidt, og det er GDPR heller ikke. Jeg bruger 90% af min tid på at rådgive om GDPR i scenarier, hvor jeg synes at reglerne gør en positiv forskel. Men jeg synes at nogle af disse hjemmeside-relaterede sager bevæger sig for langt væk fra reglernes formål, og i visse tilfælde også bliver et geopolitisk/protektionistisk værktøj.

Jeg glæder mig til at læse indlæggene i denne serie, selv om jeg lige nu - ved første indtryk - får lidt indtryk af, at det der med at gå ind forGDPR vist alligevel er sådan lidt...bobbob...Der er vist lidt rigeligt forbehold til min smag.

Men der efterlyses "forslag til konkrete indlæg og vinkler". Jeg har et bud:

• SST.dks cookiessamtykke gemmer sig i det lille cookie-ikon i nederste venstre hjørne her (for at det ikke skal være alt for let at finde, ligger det ikke som et menupunkt sammen med de andre menupunkter nederst på siden):https://www.sst.dk/da/

Når jeg ser dette cookiesamtykke, bobler en del spørgsmål op, f.eks.:

• Hvorfor skal samtykket gemmes i en lille, mystisk ikon i nederste venstre hjørne, som man må henvende sig direkte til SST for at finde?
• Er de angivne "nødvendige" cookies faktisk nødvendige?
• Er de angivne "funktionelle" cookies særligt nødvendige?
• Hvorfor ligger der en lang stribe private "marketing"-cookies på en offentlig hjemmeside? Hvad laver de der, og hvad ville der ske, hvis de blev fjernet?
• Hvorfor får jeg det svar, når jeg spørger SST, at teksterne omkring marketing bare er fimaernes egne - det har ikke noget med SST at gøre?
• Hvorfor fjerner SST ikke bare disse i mine øjne i denne sammenhæng kriminelle cookies, når de bliver gjort opmærksomme på, at de ikke har noget at gøre på en offentlig hjemmeside?
• Hvordan er disse (facebook, linkedin osv) overhovedet kommet ind på hjemmesiden?
• Hvilke fordele giver disse marketingcookies SST?
• Tjener SST på at have disse cookies liggende?
• Hvorfor ligger disse cookies stadig på SST, på trods af at 3. parts cookies ikke mere er tilladt på offentlige hjemmesider? Er det ikke 3. parts cookies? Og kunne man ikke uden videre fjerne dem, uden at hele vores sundhedsvæsen bryder sammen?

Jeg glæder mig til at få svar på disse spørgsmål (også gerne fra andre)...