Internet blog-image-cookie

13-05-2013 - Ny vejledning til lov om hjemmesider – cookiebekendtgørelsen

Erhvervsstyrelsen har lavet en opdateret vejledning til, hvordan du som hjemmesideejer skal forholde dig til cookiebekendtgørelsen. Lovgivningen trådte i kraft 14.december 2011, men er endnu ikke blevet håndhævet. Det har Erhvervsstyrelsen med udgivelsen af den nye vejledning lavet om på, og de har sagt at de fremad rettet vil begynde at håndhæve loven. Lovgivningen angiver ikke hvor store bøder, man kan få for at bryde den. Men et skøn fra datajurist Heidi Steen Jensen skulle være bødestørrelser på mellem 10.000,- og 100.000,- Men nu til sagens kerne. En cookie er i virkeligheden en ret teknisk detalje som kan bruges til rigtig mange ting på en hjemmeside, derfor kan det også være svært at gennemskue, hvornår de opstår og hvordan vi skal styrer dem. En cookie er en stump data(ofte et unikt nummer) der bliver gemt på de computere der besøger din hjemmeside. Det gør det muligt at genkende en bruger når han skifter rundt fra en side til en anden, fx fra forside til kontakt siden.  De kan også bruges til at huske, hvad der ligger i indkøbskurven hvis det er en webshop (uden cookies kunne vi ikke huske, hvad der ligger i kurven og den vil være tom så snart man skifter side). Cookies bruges også til at huske at du er logget ind. Google Analytics bruger også cookies så vi kan se hvad brugerene gør på hjemmesiden så vi kan forbedre den ved hjælp af statistikker. I resten af artiklen prøver jeg at fremhæve de krav lovgivningen stiller til dig som hjemmesideejer. Den er delt op i en kort version og en længere og mere uddybende.

Den korte udgave – det du minimum skal vide om cookiebekendtgørelsen

Alle typer cookies er omfattet af lovgivningen. Som hjemmesideejer er du ansvarlig for de cookies din egen hjemmeside laver og hvis du bruger eksterne services som Google Analytics, Facebook “synes godt om”-knapper osv. er du også ansvarlig for de cookies de laver. Inden du må lave en cookie på en brugers computer skal du spørge om lov, det kaldes samtykkekravet. Du skal også forklarer brugeren hvad cookies bruges til på siden (sporing, markedsføring, design optimeringer osv) og hvem der har adgang til det data der evt gemmes, det er det der kaldes informationskravet. Det er ikke nok bare at skrive at hjemmesiden bruger cookies. Der skal en mere uddybende forklaring til. Her er det specielt vigtigt at holde styr på de cookies som eksterne services laver da du er ansvarlig for dem. For at komme igang med at overholde lovgivningen skal du som minumum igennem følgende tre skridt

  1. Lav en liste over de cookies der sættes på siden
  2. Skriv en tekst der informer brugeren om hvad de forskellige cookies bruges til
  3. Lav et system så brugeren kan godkende at du må sætte cookies, før du sætter dem

Et eksempel på hvordan det kan se ud når der skal spørges om lov til at sætte cookies kommer fra djoef.dk

 

Godkend cookies

 

Erhvervsstyrelsen skriver i deres vejledning, at de i deres tilsyn lægger vægt på hjemmesideejerens indsats for at sikre fyldestgørende information til brugeren om hjemmesidens anvendelse af cookies, samt mulighed for brugeren til at acceptere eller afvise cookies. Styrelsen vil derimod ikke på nuværende tidspunkt fokusere på, om cookies tilbageholdes, indtil brugeren har givet sit samtykke. Du kan derfor ikke nøjes med bare at skrive en tekst, der skal lidt teknik til så du også kan spørge brugerne om lov.

Hvis du har brug for hjælp til at finde ud af hvilke cookies der er på din hjemmeside og hvordan du kommer til at leve op til lovgivningen så kan du kontakte os her.

Den lidt længere gennemgang

Efter den korte beskrivelse er der i resten af artiklen fokuseret på at gå mere i dybden med de forskellige hovedpunkter i vejledningen.

Erhvervsstyrelsen skriver i sin vejledning:

Cookiereglerne skal læses i lyset af reglerne om beskyttelse af persondata, hvor cookiereglerne regulerer indsamling af data i bredere forstand, idet der ikke skelnes til, om der er tale om oplysninger, der kan identificerer en person. Reglerne lægger vægt på, at den enkelte bruger skal have en reel mulighed for at til- eller fravælge lagring af cookies. For så vidt angår den form, det format eller den standard, oplysninger lagres i, omfatter bekendtgørelsen ikke blot ”klassiske” http-cookies, men enhver form for lignende teknologier, herunder også fx Flash-cookies (Local Shared Objects), WebStorage (HTML5), Javascripts eller cookies sat ved brug af Microsoft Silverlight.

Dvs cookiebekendtgørelsen skal læses meget bredt, det er alle typer cookies der er omfattet og at det er vigtigt at brugeren får mulighed for at vælge til og fra. Det er dit ansvar som hjemmesideejer at kende til alle de cookies der kan blive gemt hos brugere, hvad enten det er cookies dit system selv sætter eller om det er Google Analytics, Facebook eller andre services der sætter dem.

Forskellige typer cookies og hvem der har ansvaret

Cookies kan inddeles i 1. parts cookies (dem din egen hjemmeside sætter) og 3. parts cookies (dem andre services sætter). Med 1.parts cookies har du altid ansvaret for at brugeren har mulighed for at vælge fra. 3.parts cookies er cookies som andre systemer sætter på din hjemmeside. Hvis din hjemmeside fx bruger en “synes godt om” knap fra Facebook er du ansvarlig for om knappen sætter en cookie eller ej. Først når brugeren er skifter over til Facebook overgår ansvaret til Facebook. Så længe brugeren er på din hjemmeside har du ansvaret for at brugere kan accepterer cookien. Du kan godt lave en aftale om at det er den eksterne service der spørg brugeren om accept, men det er altid dig der har ansvaret for at det sker. Du har også ansvaret for hvem der har adgang til det data den eksterne service lagre. Derfor kan det hurtigt blive meget svært at holde styr i cookies når man bruger eksterne services.

Hvornår skal brugeren give samtykke og er der undtagelser?

Selvom bekendtgørelsen siger at alle cookies skal accepteres af brugeren så er der selvfølgelig også undtagelser. Alt efter hvad cookien skal bruges til og omstændighederne kan brugeren implicit accepterer cookien.  I vejledningen står der:

En cookies karakter vil i praksis kunne spille ind ved vurderingen af, hvorvidt informations- og samtykkekravet er opfyldt, er det afgørende, at brugeren kender til cookiens funktion, herunder også hvem der står bag cookien, og hvem der herfra får adgang til indsamlet data.

En anden undtagelse er cookies der sikrer funktionaliteten af en tjeneste, som brugeren har bedt om. Det kan være hvis brugeren lægger et produkt i en indkøbskurv, for at holde styr på produktet skal vi bruge en cookie. Fordi det er en funktion brugeren har bedt om og vi ikke kan lave funktionen uden må vi gerne sætte cookien uden at spørge om lov. Det forudsætter selvfølgelig at vi ikke bruger cookien til andre ting end præcis den ydelse. Et andet eksempel på en undtagelse er log-in hvor vi skal bruge en cookie til at leverer ydelsen. Vi må også gerne sætte cookies der bruges til at huske indstillinger på siden som fx sprogvalg, skriftstørrelse, land osv. Så længe cookien slettes når hjemmesiden forlades og ikke bruges til andet end præcis de ting som brugeren aktivt vælger. Der er en lang række eksempler på hvilke cookies der er undtaget, i vejledningen side 24.

Temaet er tydeligt, hvis det er cookies der skal bruges til at leverer den ydelse brugeren har bedt om så er de undtaget. Men hvis det er teknisk muligt at leverer ydelsen uden cookies så skal de accepteres først.

Hvad sker der hvis en bruger vælger alle cookies fra?

Alt efter hvor meget du bruger cookies bliver du påvirket forskelligt. Den største fællesnævner for alle hjemmesider er at sporings systemer som Google Analytics holder op med at virke, dvs at du kommer til at famle i blinde når du skal forbedre hjemmesiden. Det sker fordi det kun er de besøgende der aktivt vælger cookies til, der kan spores. Den store gruppe som vælger ikke at bruge cookies mister du alle oplysning om, og det er ofte de mest interessante når vi skal forbedre siden.

I vejledningen skriver erhvervsstyrelsen:

En udbyder af en hjemmeside ønsker at lave en analyse af, hvordan hjemmesidens brugere benytter siden med henblik på at forbedre brugeroplevelsen. Til dette formål ønsker udbyderen af hjemmesiden at placere cookies i brugernes terminaludstyr. Tjenesteudbyderen er omfattet af bekendtgørelsens krav til information og samtykke for så vidt angår lagringen af cookies, og eventuel senere adgang til disse cookies i brugernes terminaludstyr. Ønsker tjenesteudbyderen efterfølgende at analysere oplysningerne, der er indsamlet ved hjælp af de placerede cookies, falder denne behandling udenfor cookiebekendtgørelsens anvendelsesområde. Det gælder eksempelvis den videre behandling af oplysningerne hos tjenesteudbyderen til brug for udarbejdelse af statistik.

Dvs det er kun selve cookien der skal spørges om lov til. Hvad vi gør med data’en bagefter stiller cookiebekendtgørelsen ikke krav om.

Der er også mange andre services der bruger cookies. Mange systemer der bruges til A/B split tests bruger cookies. Hvor omfattende du vil blive ramt kræver en mere dybdegående undersøgelse.

Hvilke oplysninger skal brugeren have om cookies – informationskravet

Man skal ikke beskrive de enkelte cookies i alle tekniske detaljer. Hvis der bruges fx fire cookies til at lave sporing af den besøgende skal alle fire cookies ikke beskrives. Der kan nøjes med at beskrive at der bruges cookies til sporing og statistik formål.

Hvis beskrivelsen af formålet ikke er fyldestgørende kan bruger ikke lave et oplyst valg om de vil accepterer cookien eller ej. Derfor kan erhvervsstyrelsen vurdere at samtykkekravet ikke er opfyldt fordi brugeren ikke har fået de rigtige oplysninger.

De forskellige typer cookies skal beskrives med væsentlige oplysninger først. Det er også et krav at det skal være forståeligt for brugerne, dvs det er ikke acceptabelt at skrive alt for tekniske beskrivelser.

Et eksempel på en beskrivelse fra djoef.dk omkring Google Analytics cookies:

Google Analytics er et gratis statistik-program, der vha. cookies samler data om, hvordan brugerne bevæger sig rundt på djoef.dk. Hvad er mest besøgt? Hvor mange besøgende er der? Hvor giver folk op? Osv.

I Djøf bruger vi disse data til at forbedre brugeroplevelsen. Fx er boksen med genveje til de mest populære rådgivningsemner på forsiden af djoef.dk, blevet til efter et kig i statistikken. Der er ingen af disse cookies, der holder øje med eller lagrer, hvem du er.

Andre sider der skriver mere om cookiebekendtgørelsen

Hvis du vil læse mere omkring cookiebekendtgørelsen kan du kigge på følgende sider.

Samling af forskellige brancheforeninger – mærkeordning http://minecookies.org/

Erhvervsstyrelsens hjemmeside om cookies - http://www.erhvervsstyrelsen.dk/cookies

Blog omkring cookiebekendtgørelsen - http://cookie-bekendtgoerelsen.dk/

FDIHs side om cookies - http://www.fdih.dk/medlemsfordele/cookie-tjeneste/

Sammenfatning

Vi afslutter med erhvervsstyrelsens liste over de ting du skal gøre for at opfylde kravene.

  • Der skal indhentes samtykke til anvendelse af cookies.
  • Du kan blive gjort ansvarlig for 3. parts brug af cookies på dit site uanset, hvad du har aftalt med tredjepart.
  • Hvis man er etableret i Danmark, skal man overholde de danske regler, også hvis man sender cookies til brugere i andre EU-lande.
  • Sitet skal give brugerne let forståelig men udførlig information om:
  • Samtlige formål med lagring af eller adgang til oplysninger skal forklares.
  • Man skal ikke beskrive hver cookie. Det er tilstrækkeligt at beskrive formålet én gang og ikke for hver oplysning, der lagres eller opnås adgang til.
  • Hvem der foretager lagring eller har adgang til oplysningerne (herunder også tredjepart).
  • Hvordan man kan slette, deaktivere og blokere lagring af information fremadrettet.
  • Der skal linkes til denne information fra alle steder, der anvender cookies.