EUs cookie direktiv nu skal du deklarere brugen af cookies på dit website

UPDATE 15.12.2011: Den danske vejledning er udkommet læs der her i PDF

Jeg var til FDIHs seminar om EUs nye cookie direktiv, som alle websites i EU skal overholde pr. juni 2011 (ja 2011!).

FDIH gør meget for sine medlemmer for at imødekomme det forholdsvis store arbejde, at man som ejer af sit website, nu skal have kortlagt alle cookies der anvendes på alle sine websites, have dokumenteret dem med, navn, type, levetid, formål og funktion. FDIH har i den sammenhæng lavet et samarbejde med Sitemorse, et engelsk firma, som har slået sig ned i Danmark der har et scannings- og rapporteringsværkøj, der analysere websites på kvalitet, fejl og meget mere – nu også sporing af et websites cookies.

Hvad er det man SKAL have styr på som website ejer

For alle de websites du ejer og alle de forskellige domæner du har til dine websites, der skal du pr. domæne/website kombination løbe alle siderne igennem og se, hvilke cookies siderne efterlader på en besøgendes computer.

For alle de cookies du finder på et domæne/website skal du beskrive den med type, navn, levetid, formål og funktion. Det er et stort arbejde, hvis du har mange sites, og forskellige anvendelser med cookies.

Så skal du have noget generel information til brugerne om hvad cookies er for noget, hvordan de kan slette dem, yderliger info evt. med links til 3. parts sites, som dit site måske samarbejder med etc. Sidst også information om, hvordan man klager over cookies. Du kan se et eksempel på FDIHs cookie informationsside her http://www.fdih.dk/cookies/fdih/

Hvorfor nu alt det her og til hvad nytte

Generelt set gav Lett advokaterne en god grundforståelse for EUs højt prioriterede vægt på “privacy” altså, hvad vi i Danmark kender som vores persondatalovgivning, men EU går nu længere med dette direktiv for at komme vores privatlivsrettigheder til gode og siger nu, at vi alle skal ligge kortene på bordet og dokumentere alt, hvad vi bruger cookies til.

At vi dokumentere giver desværre ikke et website et blåstempel på, at det er iorden, og her synes jeg FDIHs seminar står meget på gyngende grund:

1. Kresten Bay fra Erhvers- og vækstministeriet kunne desværre ikke komme – han har dog udtalt til FDIH, at den ventede danske vejledning til overholdelse af EUs cookie direktiv udkommer midt i december

2. Advokaterne er en smule vævende, da denne danske vejledning ikke er udfærdiget, men nævner at konsekvenserne for websites, som ikke overholder cookie direktivet, vil højst sandsynligt kunne få bøder i tilfælde af, at en forbruger indberetter en klager til forbrugerombudsmanden (som om de ikke har nok at lave, men intet mindre)

3. Hvem andre end forbrugerne vil kunne overvåge at et website overhovedet har cookies og om forklaringer er tilstede og ikke mindst, men måske vigtigst, at forklaringerne er korrekte! (bl.a. faldt jeg over denne forklaring på Google Analytics cookie anvendelsen på FDIHs nye cookie side:

Google Analytics
Navn: Google Analytics, Levetid: Slettes automatisk når browseren lukkes
Cookien bruges til indsamling af besøgsstatistik (ej person henførebare) på sitet.

Levetiden er angivet forkert, og navnet på Cookie er også forkert. Ja, jeg ved godt det her går hen over bliver en kende teknisk og nørdet om du vil, men jeg synes i den grad det bidrager til forståelse af, hvor misledende information man hurtig kan slippe af med. Google Analytics består som standard af 4 cookies, som hver især har deres individuelle levetid. Det kan du læse mere om her http://code.google.com/apis/analytics/docs/concepts/gaConceptsCookies.html#HowGAUsesCookies

Min konklusion

Ved bare at være påkrævet, at deklarere vores cookies er vi ikke kommet ret langt med formålet om at skærpe “privacy”. Vi skal have browsere med på vognen, ligesom tilfældet er med SSL (HTTPS), den browser teknologi verificerer om certifikatet er gyldigt, og noget af det samme princip, skal vi have til information omkring cookies.

En løsning kunne være, at website ejerne skal dokumentere deres cookie i et bestemt html-format, så browseren kunne aflæse det, og hvis der så manglede en cookie i sidens kildekode, som serveren fx forsøger at skrive til eller læse fra, så skér der bare ingenting. Sådan lidt efter samme princip, som Flash reagere, hvis man skal arbejde med Flash og data fra forskellige domæner, hvis der ikke findes en crossdomain.xml fil på domænerne som eksplicit giver tilladelse til kommunikation mellem domænerne, ja så skér kommunikationen bare ikke.

Har du sat dig ind i, hvad du skal gøre, hvorfor og hvornår?
Jeg vil mægtig gerne kaste en debat bold i luften på dette område.

, , ,

13 Kommentarer

  • Bo Dudek siger:

    Hey

    Well, det er ikke som sådan et indspark til debatten, men som frontend udvikler håber jeg inderligt på, at der kommer nogle færdige pakker, som kan scanne og generere den nødvendige tekst, for at vi er på den rigtige side af stregen.

    Problemet er nemlig, at en typisk web- eller frontend udvikler næppe vil kunne skrive den korrekte prosa alene.. men en decideret tekstforfatter vil på ingen måde have den tekniske indsigt til at kunne færdiggøre denne opgave.

    Mange gode hilsner
    Bo Dudek
    Webudvikler
    Mediegruppen

  • Hej webudvikler,

    Jeg kan godt lide konceptet med, at vi faktisk får åbenhed omkring cookies og får nogle standardiserede regler på området. I stedet for kun EU, så jeg gerne en aftale med så mange lande som muligt.

    Problemet er ganske rigtigt, at både vejledningen omkring implementation og straffen for at overskride er så dårligt definerede. Når man ikke kan få et klart svar på, hvordan tingene skal være opbyggede, er vi ovre i samme båd som med huslejenævnet. “Vi kan ikke fortælle dig, hvad du maks må tage for at leje din lejlighed ud, men vi kan dømme dig, hvis du sætter den for højt.”

    Tak for et fint indlæg og opfølging på FDIHs cookie seminar.

    Mvh
    Jesper Skytte Hansen
    @greew
    Udvikler hos EduLab Aps

  • Camilla siger:

    Hej Webudvikler

    Lad mig være så fræk at indskyde, at der også findes et dansk firma, Siteimprove A/S, der tilbyder hjælp til at overholde cookie-loven.

    Vi har lavet et dansk udkast til en cookie-tekst, som du frit anvende og tilpasse dit eget website.

    Vi har skrevet en nyhed på vores hjemmeside, hvor du kan se og ‘snuppe’ Cookie-teksten: http://siteimprove.dk/About_Us/News/Er_du_klar_til_Cookie-loven.aspx?utm_source=Blog&utm_medium=comment&utm_campaign=Webudvikler

    Mvh
    Camilla Simonsen

  • Vi arbejder på en drupal løsning til tænk.dk – så måske bliver der hjælp og inspiration at hente der. Regner dog først med at kunne implementere i februar 2012.

    Jeg satser på en bedre løsninger end denne: http://www.regeringen.se/

    Hilsen,
    Camilla, Tænk/Forbrugerrådet
    @wiingaard

  • Kevin Steffer siger:

    @Camilla Wiingaard, hvilket koncept ligger bag jeres løsning i Drupal, laver i et modul som styrer cookies og måske også den vejledende information til brugerne, eller hvordan er jeres løsning tænkt? :)

  • Vi er stadig i den indledende fase og spiller en masse bolde i luften. Vi har en del hensyn som vi skal have til at gå op i en højere enhed:
    – løsningen skal tilfredsstille vores politiske afdeling, som har arbejdet for en strengere kontrol med brug af cookies.
    – vi skal fortsat kunne sælge online indhold med loginfunktion og visning af lukket/åbent indhold.
    – vi skal fortsat kunne arbejde målrettede med brugeroplevelse, navigation, shop, seo, adwords…… ud fra det kendskab analytics giver os.

    Vi arbejder p.t. i retning af en meget tydelige (og irriterende) boks med info til brugerne og en mulighed for at sige ja eller nej. Det vil sige, ingen cookies før en accept og det er vigtigt for os at brugerne tager stilling. Måske et Drupal modul som andre kan have glæde af.
    Et nej vil blive betinget af, at man ikke bruger vores indkøbskurv/shop eller loginfunktion. Desuden vil vi sandsynligvis sætte en ”nej” cookie for at give den bedste brugeroplevelse, når en ”nej” bruger kommer igen.

  • Kevin Steffer siger:

    @Camilla Wiingaard, det er absolut en interessant problemstilling der dukker op i forbindelse med “opt-in” princippet (at brugeren skal sige ja eller nej til cookies), at man faktisk er nødt til at acceptere cookies selvom man siger “nej” til cookies, for ikke at blive generet af spørgsmålet om cookies hele tiden.

  • Joseph S siger:

    Wow, den havde jeg ikke set komme. Det er da vist noget som skal undersøges nærmere, hvis jeg hører mere om sagen – Dog har jeg ikke hørt ret meget om det for tiden, hvor vigtigt er det rent faktisk at gøre det?!

  • Kevin Steffer siger:

    @Joseph, så synes jeg du skal læse den danske vejledning i at opfylde kravene og evt. læse yderligere info på minecookies.org

  • Bo siger:

    Hvad er det seneste nye på dette område?

    Flere og flere sider benytter sig efterhånden af cookies, men jeg synes stadig, at det er lidt af et gedemarked, at finde frem til, hvad der eksakt gælder på markedet.

  • Jeg er ligesom bo lidt nysgerrig for hvad den nyeste
    udvikling på området er, som jeg ser det er der flere og flere
    sites får denne her irriterende popup der forklare at der er en
    cookie på sitet.

  • Kender du iøvrigt et sted hvor man kan hente informations
    popuppen gratis?

  • Kevin Steffer siger:

    Hej Nanna,
    Det sidste nye er, at det ikke længere er nok, at deklarere sine cookies, men at et websted skal hente et samtykke hos sine brugere, hvis der bruges cookies.
    Så derfor ses det mere og mere, at der er en popup-boks, et banner eller lignende, som beder brugeren om at acceptere cookies.

    Jeg anbefaler selv, at vores kunder bruger http://minecookies.org/, som har en popup-løsning du kan “Copy&Paste” og også en skabelon til udarbejdelse af websitets privatlivspolitik.

Skriv et svar

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>