Følger din webside de nye cookie-regler? Her er tre bud på løsningen

Man kunne passende informere med: "På denne side benyttes der Internet".

Jeg har kodet en shop som ikke bruger cookies. Der overføres ingen information til webserveren før brugeren har valgt varer og udfyldt alt nødvendig information til et gennemføre et køb.

Men man kan naturligvis ikke implementere en indkøbsvogn-funktion uden at gemme et eller andet. Jeg bruger en javascript funktion som vælger en af 5 API'er (HTML5, flash, etc) som kan gemme information. Når brugeren bladrer videre til en anden side vil en anden javascript funktion indlæse disse data og vise indkøbskurven.

De traditionelle cookieløsninger overfører løbende information til webserveren med en session id og foreløbig indhold af indkøbskurv. Min løsning overfører som sagt intet. Ingen session id, ingen information om hvad brugeren indtil videre har foretaget sig etc.

Løsningen kan sammenlignes med det man ser hos justeat hvor man vælger mad uden at siden genindlæses. Min løsning virker bare også selvom man går videre til andre produktsider.

Spørgsmålet er så om en sådan løsning falder ind under cookie reglerne, på trods af at der ikke foregår nogen form for tracking eller dataoverførsel.

Jeg har på fornemmelsen at man ikke har overvejet muligheden og derfor rammer løsningen på at der teknisk set bliver gemt oplysninger. Uanset at de gemte oplysninger aldrig forlader computeren.

Som nævnte mange andre steder, så er det muligt at lave online tracking ved at se på brugerens browser-settings samt diverse andre info, der sendes med omkring brugerens "terminal" og således etablere et id for denne bruger. Det er med sådanne løsninger ikke nødvendigt med cookies for at spore brugere på tværs af websites, da ip-adresser, browsersettings, installerede programmer osv. alle er med til at gøre brugerens terminal genkendelig - og det vil kunne køre rent serverside, helt uden brugerens vidende. Og ja, det går måske imod ånden i lovgivningen, men det bryder den ikke.

Når der ikke lagres oplysninger hos brugeren (i terminaludstyret), er vi ude over cookie bekendtgørelsen, som du skriver.

Men persondataloven gælder stadigvæk, i det omfang at din behandling af data og videregivelse af disse data til Google eller andre er omfattet af persondataloven.

I Tyskland er Google Analytics reelt blevet forbudt, og det er, så vidt jeg har forstået det, sket med henvisning til persondataloven (der bygger på samme EU direktiv som vores persondatalov).

Og hvad har det med cookie lovgivningen at du ikke vil have dine oplysninger sendt til Google?

ITST lagrer oplysninger i mit terminaludstyr (Google Analytics bruger first-party cookies), og giver Google adgang til disse oplysninger. Begge forhold er reguleret af cookie bekendtgørelsen.

Der er dog den krølle, at som det er formuleret, så tæller det som ulovlig indtrængning på privat ejendom, hvis der uretmæssigt skrives til brugerens "terminal".

Som nævnte mange andre steder, så er det muligt at lave online tracking ved at se på brugerens browser-settings samt diverse andre info, der sendes med omkring brugerens "terminal" og således etablere et id for denne bruger. Det er med sådanne løsninger ikke nødvendigt med cookies for at spore brugere på tværs af websites, da ip-adresser, browsersettings, installerede programmer osv. alle er med til at gøre brugerens terminal genkendelig - og det vil kunne køre rent serverside, helt uden brugerens vidende. Og ja, det går måske imod ånden i lovgivningen, men det bryder den ikke.

Derudover skal det nævnes, at Jesper faktisk ikke skriver noget sted, at han ikke ønsker sine oplysninger sendt til Google. Dog pointerer han problemet i en adfærd, der lægger op til at ITST går efter tilgivelse mere end tilladelse, når de starter med at gemme cookies på min "terminal" og samtidigt videregiver oplysninger til 3. part - for først bagefter at oplyse mig om det og så fortælle, hvad jeg kan gøre for at hindre det i fremtiden.

På den måde vil jeg give Jesper ret i, at forudgående samtykke er gentleman-måden at anvende tracking på (hvadenten trackingen skyldes reklamepartnere eller effektmåling).

Nu kan Jesper nok svare for sig, men jeg vil da lige gøre opmærksom på den detalje, at formålet med Cookie-lovgivningen er sådan set ikke at undgå at der skrives en fil på din PC, men netop at undgå misbrug af folks personlige oplysninger.

Og hvad har det med cookie lovgivningen at du ikke vil have dine oplysninger sendt til Google?

ITST skal have ros for at informere om cookies, men jeg synes at deres omgang med det kritiske ord "samtykke" er noget lemfældig (og når ITST ikke kan vide hvad Google gør med de data som indsamles via Google Analytics, virker det noget besynderligt at ITST begynder at give "garantier" på Google's vegne; garantier som ITST umuligt kan stå inden for). ITST's privacy policy var sikkert passende før 25. maj 2011 og cookie loven, men næppe efter denne dato.

ITST informerer om cookies, men ITST begynder samtidig at sætte cookies før brugeren har taget stilling til om han/hun vil give et samtykke. Hvis der alene var tale om cookies som kun læses af ITST selv, kunne det måske undskyldes (de kan slettes igen så skaden er begrænset), men ITST bruger også Google Analytics.

Det betyder at i samme øjeblik som jeg har indlæst siden www.itst.dk i min browser, er der videregivet information til Google om at jeg læser denne side. Uden noget samtykke fra min side. De almindelige cookies kan jeg slette (som ITST skriver), men jeg kan ikke slette de oplysninger om mig som er videregivet til Google.

Et forudgående samtykke kan nemt indhentes på den måde som Esben Rasmussen foreslår. Samme metode bruges af de britiske datatilsyn ICO https://www.ico.gov.uk/

Der sættes ingen cookies før et samtykke er givet.

En anden ting som websites bør tage hensyn til er Do-Not-Track (DNT) headers. Mine HTTP GET requests kommer med "DNT: 1" i GET header informationen, og det bør opfattes som en forhåndsafvisning af at give samtykke til tracking cookies, herunder Google Analytics.

DNT understøttes allerede af Internet Explorer 9 og Firefox 4 (samt tidligere versioner af Firefox med plugins som Adblock Plus). Der er igangværende standardiseringsinitiativer vedr. DNT i IETF og W3C regi https://en.wikipedia.org/wiki/X-Do-Not-Track

Arg...

Jeg satte CR-LF efter "Præcis." - hvorfor er der så ikke CR-LF når det bliver gemt?

Latterlige makværk!

DER ER FAKTISK HJEMMESIDE-EJERE, DER IKKE REGISTRERER BRUGERE OG GIVER GRATIS DIREKTE ADGANG.

Præcis. Her er f.eks. et: https://polimiken.dk/

Tilmed god læsning... :-)

Sætningen er en meget kort opsummering af loven, som dækker over al form for kommunikation på nettet, som på en eller anden måde kan skrive og læse fra harddisken (forbrugernes 'terminal', som de kalder det).

Hvor står NemID i denne sag? Java-appletten både læser og skriver på brugernes maskiner og der læses ikke bare i et specielt directory med et bestemt navn. Der læses i brugerens home-directory (der har forskellige navne alt efter OS), hvis brugeren har sådan et. Hvis ikke brugeren har sådan et, så vil appletten vel læse hele disken igennem.

Nej og atter nej- ren malipulation Kasper Grubbe fortier (selvfølgeligt) den vigtigste pointe, at side-ejeren som den økonomisk ansvarlige er villig til at give ret til u-registreret surfing - også uden betaling, det er jo en salgskanal billigere end en annonce i avisen/radioen/TVet.

Selvfølgelig kan ingen fortænke sælgeren i at forsøge at opnå dobbelt indkomst, ved først at stjæle bruger netadfærden for dernæst at sælge produktet/service ydelsen uden fradrag af indkomsten ved salget af cookie oplysningerne.

DER ER FAKTISK HJEMMESIDE-EJERE, DER IKKE REGISTRERER BRUGERE OG GIVER GRATIS DIREKTE ADGANG.

Det vil jo ende med følgende:

1. Sæt kryds her, såfremt du gerne vil surfe uden at blive registreret af side-ejeren. Og blive lukket ude af siden.
2. Sæt kryds her, såfremt du ønsker at betale for din brug af siden, uden at se reklamer og få tredjepartscookies.
3. Sæt kryds her, såfremt du accepterer og er tilfreds med at al din surfing bliver overvåget og registreret af side-ejeren og om muligt solgt for betaling (som du selvfølgelig ikke får noget af) til fremmede du end ikke kender eksistensen af, til formål du end ikke anede eksisterede.

Hvorfor dog hidse sig op over noget, der med garanti vil gå i sig selv, såfremt valgene var simple og logiske:

1. set kryds her, såfremt du gerne vil surfe uden at blive registreret af side-ejeren.
2. set kryds her, såfremt du accepterer og er tilfreds med at al din surfing bliver overvåget og registreret af side-ejeren og om muligt solgt for betaling (som du selvfølgelig ikke får noget af) til fremmede du end ikke kender eksistensen af, til formål du end ikke anede eksisterede.

KLAR FORBRUGER BESKYTTELSE

Strengt taget har du ret, men bor du uden for EU, sker der ikke noget. Ingen lande, der ikke selv har disse regler, vil bruge ressourcer på at håndhæve sådanne bagateller - og jeg tvivler kraftigt på at så lille en forseelse vil medføre DNS spærring her i DK.

Det er jo af samme årsag, at det er så hamrende svært at få lukket f.eks. cypriotiske svindleres hjemmesider, som er målrettet til danskere.

Boede du derimod i USA og havde en hjemmeside målrettet det europæiske marked som brød med reglerne, så ville der ikke ske noget ved det, da USA ikke har eller håndhæver disse regler.</p>
<p>

Er du sikker? Til mødet ved IT & Telestyrelsen tilbage i marts, kom det frem at hvis du har en side hvis målgruppe er danske, så skal du efterleve de danske krav, uanset om du er amerikansk, din side er hostet i mosambique, og din virksomhed er registreret i Sverige.

@Lars

Ja, reglerne gælder alle hjemmesider.

I og med at reglerne er europæiske og håndhæves i det individuelle europæiske land betyder det, at hvis du har en DK adresse og en hjemmeside, der målretter sig den danske eller europæiske befolkning, så skal den overholde loven - gør den ikke det, kan du dømmes i det europæiske land, du er bosiddende/forretningsdrivende i.

Boede du derimod i USA og havde en hjemmeside målrettet det europæiske marked som brød med reglerne, så ville der ikke ske noget ved det, da USA ikke har eller håndhæver disse regler.

Ups - jeg skynder mig at rette.

vh.

Jesper, Version2

Jeg er lidt forvirret, og måske nogle kan hjælpe.

1. Gælder reglerne også private og foreninger der har en amatør hjemmeside?
2. Hvad hvis man har en dk adresse, men serveren står USA? mvh lars

Jeg vil benytte den fjerde mulighed, at ignorere det pladder til det går væk.

Alternativt kunne man lave en fælles cookie politik og kun vise den til folk der ikke har accepteret den.

Tricket er at den fælles cookie politik skal være: "Internettet består af cookies og de kan bruges til en masse ting" og sitet skal have 2 knapper:

"Jeg kan ikke acceptere denne politik" Som popper en dialog op med teksten: "Sluk computeren og læs en bog".

"Jeg accepterer denne politik for alle websites i hele verden".

Tegnet i trekanten er altså ikke et udråbstegn ! - her vender prikken jo nedad. Det ligner mere et omvendt udråvstegn ¡ - men det er lidet brugt i Danmark - brugest mest på spansk. Jeg tror snarere det er et i - et bogstav - som kunne stå for information.

Godt nok implementeres cookies ofte ved at de bliver gemt i filer på harddisken (det er ihvertfald det IE gør), men at sige at de kan bruges til at læse og skrive filer på brugerens harddisk er da vildledende.

Sætningen er en meget kort opsummering af loven, som dækker over al form for kommunikation på nettet, som på en eller anden måde kan skrive og læse fra harddisken (forbrugernes 'terminal', som de kalder det).

Det omfatter alt fra malware (som i forvejen er forbudt) og selvinstallerende USB-dimser, men fokus har mest været på cookies, fordi loven også dækker den form for skrivning til harddisken. Og da cookies jo bliver brugt er nærmest alle websider, har det givet store hovedbrud at fortolke reglerne, så det bliver brugbart i praksis.

Læs evt. mere i denne ældre artikel:

https://www.version2.dk/artikel/forvirret-faa-styr-paa-de-nye-cookie-regler-18281

vh.

Jesper, Version2

Jeg arbejder selv med at rådgive om online effektmåling heriblandt Google Analytics og tilsvarende, og er derfor meget opmærksom på cookieloven.

En side jeg anbefaler alle at besøge er: https://cookies.dev.wolf-software.com/

Sidens omdrejningspunkt er en rimelig elegant løsning på cookies, da den uden at være påtrængende beder brugeren om lov til at gemme cookies. Afvises dette, gemmes der ingen cookies, hvorfor det ikke er nødvendigt at give lange instruktioner i hvordan brugeren fjerner dem.

Pt. er frameworket målrettet Google Analytics, men da det er gratis at hente og åbent for redigering, kan man selv føje flere cookies til og oversætte det, som man ønsker.

Hele det her cookie halløj er fuldstændig grotesk. Jeg vil helt klart følge Martin Thornborgs eksempel. Ikke om jeg gider skulle til at lave tekniske beskrivelser til folk der hverken læser eller forstår det. De skulle hellere fokusere på den der rent faktisk "misbruger" cookies (hvad misbrug end dækker over) og lade være med at spilde flertallets tid og ressourcer på noget der reelt ingen betydning har for dem der laver et misbrug

"Cookie-loven blev indført, fordi EU-politikerne ville sætte en stopper for, at en webside ubemærket kunne tilgå brugerens harddisk og læse og gemme filer."

Godt nok implementeres cookies ofte ved at de bliver gemt i filer på harddisken (det er ihvertfald det IE gør), men at sige at de kan bruges til at læse og skrive filer på brugerens harddisk er da vildledende.