DI og DI ITEKs vejledning om cookiebekendtgørelsen
Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-989-7 0.02.13
Kort baggrund Det er på baggrund af EU-lovgivning forbudt af lagre og søge adgang til oplysninger i brugeres terminaludstyr uden informeret, frivilligt og specifikt samtykke fra brugeren. EU-lovgivningen er indarbejdet i teleloven og udmøntet i cookiebekendtgørelsen, Bekendtgørelse om krav til information og samtykke ved lagring af og adgang til oplysninger i slutbrugeres terminaludstyr. Baggrunden for loven er, at det fra politisk side er ønsket, at brugerne skal have kontrol med, hvad der placeres af software på deres terminaludstyr, og hvad der hentes af informationer fra deres terminaludstyr. Helt lavpraktisk har begrundelsen for loven været, at man ønskede at imødegå, at der aflures oplysninger om brugernes adfærd og præferencer uden deres viden, samtykke og ønske. Loven er en konkret reaktion på den til stadighed mere udbredte profilering af brugerne gennem anvendelse af cookies, der registrerer præferencer og adfærd på tværs af forskellige hjemmesider (sites) på internettet. DI og DI ITEK, har været i dialog med Erhvervsstyrelsen om den aktuelle fortolkning af loven, og udgiver denne vejledning med det formål at gøre det operationelt for danske virksomheder at bringe deres hjemmesider og disses anvendelse af cookies i overensstemmelse med lovgivningen. Den her skitserede fortolkning gælder for den danske implementering af loven og dermed for alle danske hjemmesider. Der kan være andre fortolkninger andre steder i EU. Domæner Det første, der skal gøres, er at få et overblik over, hvilke domæner virksomheden er involveret i. Nogle af disse domæner vil virksomheden selv eje og have ansvaret for. Andre domæner ejes i fællesskab med andre eller helt af andre, og virksomheden giver kun indhold til domænet. Det er domænets ejer, der har ansvaret for, at domænet er i overensstemmelse med loven. Alle der lagrer eller opnår adgang til oplysningerne er dog omfattet af reglerne. Domænets ejer er også ansvarlig for indhold, der kommer ind udefra herunder tredjepartsleverandører. I det omfang, at man leverer indhold til andre domæner, end dem man selv ejer, vil det være et pænt træk at arbejde for, at disse domæner også er i overensstemmelse med cookie lovgivningen. Når man har et overblik over relevante domæner, vil der givetvis blandt dem findes domæner, som ikke længere anvendes. Det kan f.eks. være domæner brugt til en konkret kampagne. Disse domæner bør lukkes. Herefter afgrænses opgaven til de domæner, man ønsker i en konkret arbejdsproces at bringe i overensstemmelse med lovgivningen. For hvert af disse domæner anbefales det at gennemløbe nedenstående proces. Klassifikation af cookies For det pågældende domæne identificeres al den funktionalitet, som falder under lovgivningen inkl. undtagelserne. Der vil formodentlig fortrinsvis være tale om cookies, men man skal være opmærksom på, at loven gælder for lagring af alle former for software på brugerens terminaludstyr. Vi beskæftiger os i denne vejledning alene med cookies. Det skal bemærkes, at det bør betragtes som en positiv proces i virksomheden at skaffe sig klarhed over, hvad det egentlig er, man placerer på brugernes terminaludstyr, og dermed hvordan man behandler sine brugere. At få bestemt formålet med hver enkelt cookie er dermed helt centralt.
Mange virksomheder vil formodentlig blive overraskede over, hvor store mængder cookies de placerer og hvor indgribende disse cookies faktisk er. Det følger ikke af lovgivningen, men for at gøre arbejdet operationelt foreslår DI, at cookies opdeles i grøn, gul og rød afhængig af, om de falder i en af nedenstående klasser: Grønne cookies er cookies, som en bruger udtrykkelig har anmodet om, og som er en teknisk nødvendighed for at kunne tilvejebringe en bestemt tjeneste, der fungerer i overensstemmelse med tjenestens formål. Det kan f.eks. være cookies, der bruges til login eller en indkøbskurv. Mange af disse cookies lever kun indenfor en browser session. Denne type cookies er undtaget i lovgivningen. Det betyder, at det ikke er krævet i loven, at der gives information om cookien og indhentes samtykke fra brugerne. Det kan dog betragtes som et pænt træk at give information til brugeren. Gule cookies er cookies, der ikke er nødvendige for, at sitet virker. Disse cookies bruges ofte til at give brugeren en bedre oplevelse eller give information til web-afdelingen om, hvordan brugeren navigerer på siden. Disse cookies deles (som udgangspunkt 1 ) ikke med tredjepartsleverandører. Begrebet tredjepartsleverandører bør i denne sammenhæng anskues fra brugerens synspunkt: Hvis samme virksomhed leverer to eller flere services under hver deres navn, kan det fra brugerens side anskues som to forskellige leverandører (f.eks. en søgemaskine og en webmail). Det kan opfattes som uheldigt, hvis de to services deler informationer om brugerens adfærd på de to services. De gule cookies giver altså ikke en teknisk mulighed for sporing af brugeren på tværs af sites, og dermed kan de ikke bruges til profilering på tværs af sites. Mange af disse cookies lever længere end en browsersession. Denne type cookies er omfattet af lovgivningen. Det betyder, at der skal gives fyldestgørende information om cookien og indhentes samtykke fra brugeren, inden cookien sættes i brugerens terminaludstyr. Herudover skal der være en umiddelbar tilgængelig adgang for brugeren til at afslå eller tilbagekalde samtykke til brugen af cookies. Røde cookies kan udnyttes til udveksling af brugeroplysninger på tværs af sites og oplysningerne tilfalder typisk forskellige tredjeparter. Dermed kan tredjeparter bruge cookies til at profilere i bred forstand. Disse cookies lever længere end en browsersession. Denne type cookies er omfattet af lovgivningen. Det betyder, at der skal gives fyldestgørende information om cookien og indhentes samtykke fra brugeren, inden cookien sættes i brugerens terminaludstyr. Herudover skal der være en umiddelbar tilgængelig adgang for brugeren til at afslå eller tilbagekalde samtykke til brugen af cookies. Desuagtet at det ikke er et lovkrav bør man for alle cookies, der lever længere end en browsersession, fastslå et tidsrum for, hvor længe cookien skal eksistere på brugerens terminaludstyr. Det bør grundig overvejes, om der kan tillades en levetid på mere end 400 dage, svarende til at gæster kan være i kontakt med et site som følge af sæsonudsving f.eks. en bruger der kun er interesseret i et site i en bestemt måned om året. 1 Enhver kategorisering er en forenkling af den virkelige verden. Hvis ejeren af et site har en aftale med en tredjepartsleverandør om, at cookies ikke bruges til andre formål overhovedet end at give sites ejer indsigt i brugerens adfærd, kan en cookie, der i udgangspunktet er rød, måske skønnes til at blive omklassificeret som en gul. Tilsvarende gælder, hvis cookien deles anonymt med en tredjepartsleverandør. Anonymitet må så omfatte både henvisninger til personlige oplysninger og oplysninger om hardware/software, således at hverken person eller udstyr kan profileres.
Vurderingen af hvilke cookies, der placeres på brugerens terminaludstyr, kan være afhængig af det tidspunkt, som man analyserer sine cookies på. Har man et meget levende site, vil der typisk være cookies, der skiftes måske så hyppigt som på daglig basis. Det er virksomhedens ansvar, at alle disse cookies indgår i analysen. For de dele af indholdet, som leveres af en tredjepartsleverandør, kan virksomheden stille krav til denne om, at han skal redegøre for, hvilke cookies han placerer på brugerens terminaludstyr og hvilket formål, de har. Virksomheden kan eventuelt aftale at auditere tredjepartsleverandøren. Er alle cookies nødvendige? Når man har en oversigt over, hvilke cookies der sættes på brugernes terminaludstyr, bør man herefter vurdere, om alle disse cookies faktisk er nødvendige. Der bør tages hensyn til virksomhedens økonomiske interesse: Behøver vi disse oplysninger?. Der bør også tages hensyn til brugernes interesse: Skal jeg virkelig overvåges så meget for at bruge denne service?. De røde cookies bør man have en virkelig god begrundelse for at beholde og alternativt skaffe sig af med dem. Tilvejebringelse af information Er blot en eneste af de cookies man placerer på hjemmesiden gul eller rød, har man en forpligtelse til at informere brugerne om cookies. Det anbefales også, at give brugerne information om cookies, der karakteriseres som grønne. For hver cookie skal der gives informationer om: Med hvilket formål den lagres Hvilken fysisk eller juridisk person der foranstalter lagringen Hvordan man kan afslå eller tilbagekalde samtykke til lagringen Informationerne skal gives på en let forståelig måde evt. som billedskrift. Informationerne skal gives forud for lagringen af en cookie. Informationerne skal til enhver tid kunne tilgås af brugeren. Det anbefales også at give informationer om, hvor længe cookies lagres. Sådan kan man slå cookies fra Er blot en eneste af de cookies man placerer på hjemmesiden gul eller rød, har man en forpligtelse til at lade brugerne vælge, om de vil acceptere cookies. Man har mulighed for at udelukke brugere, der ikke vil acceptere cookies fra hjemmesiden, men det er i de fleste sammenhænge ikke en løsning, der kan anbefales. Grønne cookies er undtaget loven, og de må derfor placeres uden samtykke. Der findes flere forskellige måder at opfylde den forpligtelse på. Hvis man vil være helt sikker på at være i overensstemmelse med lovgivningen, anbefaler DI, at man til enhver tid lægger sig op af den løsning som Erhvervsstyrelsen, der forvalter loven i Danmark, har valgt. Der kan skitseres to forslag til at efterkomme kravene i loven. Disse forslag er netop forslag - og altså ikke en udtømmende liste over mulige måder at gøre det på!
Scenariet ser generelt ud som følger: Når en bruger kommer ind på siden bedes vedkommende tage stilling til, om cookies kan accepteres eller ej. Brugerens stillingtagen lagres i en cookie. Denne cookie er i den klassifikation, der er omtalt i dette notat, grøn. Hvis der siges nej, må der efterfølgende ikke placeres gule eller røde cookies på terminaludstyret. Hvis der siges ja, må der gerne placeres gule og røde cookies på terminaludstyret forudsat at informationsforpligtelsen er opfyldt. Første forslag, til hvordan brugeren kan tage stilling, indebærer, at brugeren præsenteres for en dialogboks, hvori brugeren bedes om at tage stilling. Dialogboksen er permanent synlig, indtil brugeren aktivt har taget stilling ved at klikke ja eller nej, og der sættes ikke cookies, førend man eventuelt har modtaget et samtykke. Et praktisk eksempel på denne type implementering kan i skrivende stund (januar 2013) findes på Erhvervsministeriets hjemmeside: http://www.evm.dk. Andet forslag indebærer, at dialogboksen, hvori brugeren bedes om at tage aktivt stilling, forsvinder efter et klik på siden. Det antages, at ved at have dialogboksen synlig indtil brugeren begynder at anvende siden, er brugeren informeret om, at lagringen vil finde sted fra første klik på siden og har dermed samtykket hertil. Det skal eksplicit fremgå af dialogboksens tekst, hvad der sker. Et praktisk eksempel på denne type implementering kan i skrivende stund (januar 2013) findes på Erhvervsstyrelsens hjemmeside, http://www.erst.dk. Hvis du vil vide mere Erhvervsstyrelsen er myndighed på området og står til rådighed for besvarelse af spørgsmål. Her kan man finde selve bekendtgørelsen, http://erst.lovportaler.dk/showdoc.aspx?docid=bek20111148- full. Man kan også læse mere i Erhvervsstyrelsens vejledning på området, http://www.erhvervsstyrelsen.dk/file/254079/vejledning-cookiebekendtgorelse.pdf. Det skal bemærkes, at der offentliggøres en ny version i første kvartal 2013. Der findes forskellige cookie mærker lavet af forskellige organisationer. Der findes dog ikke en officiel vurdering af, om de bringer virksomheden i overensstemmelse med hele loven. Hvis du er erhvervsvirksomhed kan du tage kontakt til Chefkonsulent Henning Mortensen i DI ITEK, hem@di.dk.