Da EU i 2009 vedtog en revision af telelovgivningen sneg der sig en bestemmelse med om brugen af cookies og lignende filer.
Som vi ser det kan det betyde en stor ændring i den måde man driver sin online forretning og det vil helt sikkert betyde, at alle er nødt til at fortage ændringer og overveje om den måde, der bruges cookies på websitet i dag giver anledning til at man laver ændringer til fx. hvordan indkøbskurven fungerer. Reglerne træder i kraft i maj så det er tid til at danske virksomheder går i gang med analysen og implementeringen.
Som altid kan man kontakte os for at rådgivning om, hvordan den process gribes bedst an.
UPDATE: Siden indlægget kom for nogle dage siden har der været en god diskussion på såvel bloggen som blandt kunder og kollegaer. Og det er tydeligt, at der hersker usikkerhed og uklarhed om hvordan fremtiden bliver på dette område, selvom der er et lovforslag der er sendt til høring. Derfor besluttede jeg at tage videokameraet under armen og besøge Flemming Christensen, der også gav input til det første indlæg. Se mere: Ny cookie-lovgivning PART II: Video interview
Det er næppe forket at antage, at alle kommercielle hjemmeside i dag anvender i cookies i større eller mindre omfang. Nogle hjemmesider anvender endda rigtigt mange cookies i forsøget på at skaffe sig information og viden om internettets anvendelse herunder trackingsystemer som Google Analytics eller Omniture Sitecatalyst. Cookies betragtes i nogle henseender – særligt i forbindelse med markedsføring på internettet – for livsvigtige, da viden om en given brugers adfærd er omdrejningspunkt for at kunne yde en individuel service.
Mange spørgsmål presser sig på – hvad skal vi gøre? Hvad betyder det for brugen af webtracking systemerne, hvad betyder det for de andrecookies vi bruger?
Vi har bedt it-advokat Flemming Christensen fra advokatfirmaet Bender von Haller Dragsted om at besvare en række spørgsmål om de nye regler.
Hvad var baggrunden for EU-bestemmelsen om cookies?
Oprindeligt var hensigten blot at imødegå den stigende udbredelse af de såkaldte ”ondsindende programmer” som spyware, adware og malware programmer samt vira og trojanske heste. Programmerne lagres på en pc uden brugerens viden og påvirker pc’ens ydeevne – i værste tilfælde ødelægger pc’en eller stjæler information fra brugeren såsom kreditkortoplysningerne.
Gennem en lidt uheldig lovgivningsproces kom reglerne imidlertid til også at omfatte cookies og andre tilsvarende funktioner, som lagres på en pc, mobiltelefon, iPad og stort set enhver anden tilsvarende elektronisk enhed.
Hvad betyder de nye regler?
Det vil fremover være et krav, at man skal have brugerens samtykke til at anvende cookies, samt give brugeren en række informationer om hvad man foretager sig. Man skal altså have accept fra brugeren før man ligge en cookie (eller andre tilsvarende filer) på brugerens pc, mobiltelefon eller helt tredje enhed.
Vi kender endnu ikke den endelige udformning af reglerne, som skal vedtages af Folketinget senest i maj måned 2011, men det står allerede nu klart, at der bliver behov for at ændre adfærd i forhold til hvordan cookies bruges i dag.
IT- og Telestyrelsen, som bliver den myndighed, der skal sikre reglerne overholdes, har ikke meldt klart ud hvordan samtykket skal indhentes men blot angivet, at det må ske på en ”passende måde”. Det efterlader unægtelig nogle spørgsmålstegn.
Det står dog allerede nu fast, at det ikke vil være tilstrækkeligt at forholde sig brugernes indstillinger i f.eks. internetbrowseren. Selvom en bruger har indstillet sin internetbrowser til at acceptere cookies, skal man altså stadig sørge for at indhente accept og give forudgående nødvendige oplysninger til brugeren.
Hvad vil reglerne betyde for e-handel indenfor og udenfor Danmark?
Det er naturligvis svært at forudse fremtiden, men reglerne vil kræve ændringer i den måde, hvorpå cookies hidtil har været anvendt.
Danske hjemmesider skal sikre sig, at de overholder de danske regler – hvilket som nævnt er udfordring nok – uanset om ens aktivitet er rettet mod Danmark, andre EU-lande eller lande udenfor EU.
Den gode nyhed (hvis man kan tale om sådan) er, at EU-reglerne kommer til at gælde for alle EU-lande, så konkurrenterne i Europa må i det mindst også følge trop.
Det er vigtigt at nævne, at som en af de eneste undtagelser fra kravet om samtykke er de såkaldte ”tekniske cookies”, som er teknisk nødvendige for at udføre en given funktion, som brugeren har anmodet om. Det kunne f.eks. være i forbindelse anvendelse af en elektronisk indkøbskurv i en e-butik. Men en sådan cookie skal slettes igen, når brugeren forlader hjemmesiden.
Hvad betyder det for brugen af tracking systemer som fx Google Analytics, Omniture Sitecatalyst, Webtrends mv. – skal hente brugerens accept af det?
Hvis man anvender tjenester fra trejdemand på ens hjemmeside som Google Analytics eller Omniture Sitecatalyst, og disse bruger cookies til at udføre deres arbejde, er det nødvendigt at få brugerens samtykke til at placere disse konkrete cookies.
Det sammen gælder hvis man har indarbejdet data-feeds i form af f.eks. nyheder eller reklamebannere. Også her kræver brug af cookies konkret samtykke.
Man skal ikke forvente at kunne ikke indhente ét generelt samtykke og så bare fortsætte som hidtil.
Hvordan skal man indhente den accept?
Brugeren skal aktivt acceptere de konkrete cookies, som man ønsker at anvende og ligge på brugerens pc.
Mange danske websites har aktiviteter i mange EU lande. Kan man bruge samme metode i alle lande?
Måske! Der arbejdes på at sikre ens regler i alle medlemslandene, men der risiko for, at implementeringen kommer til at variere. Man kan måske forstille forskellige krav til den information, som skal gives i forbindelse med man beder om samtykke.
Hvornår træder reglerne i kraft?
Regler skal være i kraft senest den 25. maj 2011.
Desværre kom de danske myndigheder meget sent ud af startblokken, og vi blev først i sidste uge bekendt med udkastet til den nye lovtekst. Lovforslaget er i høring frem til 1. april, hvorefter det kommer til at gå stærkt.
Har du nogle gode råd til de danske virksomheder?
Man kan med fordel allerede nu gennemgå sin hjemmeside for at afklare om man får et problem. Og hvis man anvender cookies kan søge at afdække deres formål og nødvendigheden heraf. Herefter kan man overveje om det er muligt at opnå samme funktionalitet på anden vis end ved brug af cookies.
Herefter bør man tage en drøftelse med sin rådgiver om hvordan man bedst sikrer overholdelse af de nye regler.
Her vil det være en god ide at skele lidt til It-sikkerhedskomiteens anbefalinger, som blev præsenteret i sidste uge. Udkastet til de nye regler kan ses på IT- og Telestyrelsens hjemmeside
I billedet ses et eksempel på en accept boks som man kan blive mødt med fremover:
Det her er selvfølgelig noget som mange virksomheder følger meget nøje, jeg tror dog man skal passe på med male fanden på væggen. Jeg var på et seminar hvor IT- og Telestyrelsen deltog, og der er ingen tvivl om at de ikke er ude efter at smadre den danske E-handels branche. Det handler om at opføre sig ordentligt og jeg er meget enig med synspunterne fra IUM i dette link: http://www.markedsforing.dk/artikler/vis/artikel/ingen-grund-til-cookie-panik/
Hvor der tales om en gylden middelvej, og evt. en form for E-handels mærke omkring cookies.
@rasmus Jeg er selvfølgelig 110% enig i at det ville være mest hensigtmæssigt hvis man fandt en løsning ala det som IUM skriver.
Desværre er det ikke det er er lagt op til i det IT&Telestyrelsen har sendt ud – så på kort sigt tror jeg det bliver svært at komme ud om noget der vil genere mange brugere. Dog ser det ud til at man kan spørge og få accept og så lade den accept gælde i 3 mdr. – så er man “kun” nødt til at spørge 4 gange om året. Men det vil være glædeligt hvis der kommer et tilbagetog den næste måned.
Hej Morten
Var på samme seminar som Rasmus, og det var ikke mit indtryk, at der var en tremånedersregel på vej heller. Faktisk var fyren fra IT&T rimelig pragmatisk og lagde op til, at man i de første mange måneder – indtil de har egentlige retningslinjer klar – blot skulle informere på sitet (dog tydeligt) at der var nye regler, og at man arbejder på sagen. For mig lød det klart som om, at de nye cookieregler kunne blive lidt som fx forretningsbetingelser, dog med den forskel at opt in formentlig ikke bliver nødvendigt, men at synlig placering af reglerne derimod gør.
- Håber alt er vel, rigtig god weekend
ITST har helt rigtigt meldt ud, at de ikke vil fare ud ved reglernes ikrafttræden pr. 25|05|11 og slå branchen hårdt oven i hovedet. Det gjorde de senest ved It-sikkerhedskomiteens høring i sidste uge.
ITST ved godt online brahcnen (og alle andre) ikke kan ændre adfærd på så kort tid, og vil (heldigvis) gå ad dialogens vej.
Men informationen om brugen af cookies kan ikke gemmes i en erklæring – den skal sikres en eller anden form for informeret samtykke.
Det er rigtigt, at det har været drøftet, at tydelig og konsekvent henvisning til information om hvilke cookies man bringer i anvendelse, har været nævnt som en del af en mulig løsningsmodel.
Et råd under EU (kaldet artikel 29-gruppen) har udtalt, at der skal udvikles “mekasnimer til forudgående tilvalg” (rigtigt jura-sprog!), og brugeren skal gives “information dirkete på skærmen på en interaktiv måde”.
Dermed ikke sagt, at vi kommer til at skulle klikke os igennem 5 pop-up vinduer hver gang vi skal besøge en hjemmeside, men vi skal have udmøntet ovenstående i den virkelige verden.
Hørte også Kresten Bay fra ITTS. Desuden har jeg i flere omgange hørt Morten Helveg FDIM, som ønsker at kigge alvorligt på en form for mærkning af sider som lever op til et antal sikkerhedskrav. DVS. sider hvor brugeren gennem en større omgang information ved at der sættes cookies, men samtidigt også garanterer at disse ikke bliver udnyttet unødvendigt og med skumle hensigter. Jeg synes vi alle skal være med til at bakke op om en sådan løsning. En form for E – Handelsmærke på områdey
@Kristian Det er jeg helt enig i er en god ide. Og den vej de går i England ser det ud til. Udfordringen er dog den korte tid til ca. 1.5 maj hvor lov teksten skal være færdig – men forhåbenligt kan der blive en overgangsperiode. Det er også tydeligt at der er forskellige tolkninger af hvordan det skal implementeres og hvilke cookies der falder under de forskellige definitioner. Vi har derfor taget initiativ til samle nogle af de forskellige parter fra advokater til brancheforening med håbet om at finde en farbar løsning for alle.
Comments
Skriv en kommentar