Da EU i 2009 vedtog en revision af telelovgivningen sneg der sig en bestemmelse med om brugen af cookies og lignende filer.

Som vi ser det kan det betyde en stor ændring i den måde man driver sin online forretning og det vil helt sikkert betyde, at alle er nødt til at fortage ændringer og overveje om den måde, der bruges cookies på websitet i dag giver anledning til at man laver ændringer til fx. hvordan indkøbskurven fungerer. Reglerne træder i kraft i maj så det er tid til at danske virksomheder går i gang med analysen og implementeringen.

Som altid kan man kontakte os for at rådgivning om, hvordan den process gribes bedst an.

UPDATE: Siden indlægget kom for nogle dage siden har der været en god diskussion på såvel bloggen som blandt kunder og kollegaer. Og det er tydeligt, at der hersker usikkerhed og uklarhed om hvordan fremtiden bliver på dette område, selvom der er et lovforslag der er sendt til høring. Derfor besluttede jeg at tage videokameraet under armen og besøge Flemming Christensen, der også gav input til det første indlæg. Se mere: Ny cookie-lovgivning PART II: Video interview

Det er næppe forket at antage, at alle kommercielle hjemmeside i dag anvender i cookies i større eller mindre omfang. Nogle hjemmesider anvender endda rigtigt mange cookies i forsøget på at skaffe sig information og viden om internettets anvendelse herunder trackingsystemer som Google Analytics eller Omniture Sitecatalyst. Cookies betragtes i nogle henseender – særligt i forbindelse med markedsføring på internettet – for livsvigtige, da viden om en given brugers adfærd er omdrejningspunkt for at kunne yde en individuel service.

Mange spørgsmål presser sig på – hvad skal vi gøre? Hvad betyder det for brugen af webtracking systemerne, hvad betyder det for de andrecookies vi bruger?

Vi har bedt it-advokat Flemming Christensen fra advokatfirmaet Bender von Haller Dragsted om at besvare en række spørgsmål om de nye regler.

Hvad var baggrunden for EU-bestemmelsen om cookies?
Oprindeligt var hensigten blot at imødegå den stigende udbredelse af de såkaldte ”ondsindende programmer” som spyware, adware og malware programmer samt vira og trojanske heste. Programmerne lagres på en pc uden brugerens viden og påvirker pc’ens ydeevne – i værste tilfælde ødelægger pc’en eller stjæler information fra brugeren såsom kreditkortoplysningerne.
Gennem en lidt uheldig lovgivningsproces kom reglerne imidlertid til også at omfatte cookies og andre tilsvarende funktioner, som lagres på en pc, mobiltelefon, iPad og stort set enhver anden tilsvarende elektronisk enhed.

Hvad betyder de nye regler?

Det vil fremover være et krav, at man skal have brugerens samtykke til at anvende cookies, samt give brugeren en række informationer om hvad man foretager sig. Man skal altså have accept fra brugeren før man ligge en cookie (eller andre tilsvarende filer) på brugerens pc, mobiltelefon eller helt tredje enhed.

Vi kender endnu ikke den endelige udformning af reglerne, som skal vedtages af Folketinget senest i maj måned 2011, men det står allerede nu klart, at der bliver behov for at ændre adfærd i forhold til hvordan cookies bruges i dag.

IT- og Telestyrelsen, som bliver den myndighed, der skal sikre reglerne overholdes, har ikke meldt klart ud hvordan samtykket skal indhentes men blot angivet, at det må ske på en ”passende måde”. Det efterlader unægtelig nogle spørgsmålstegn.

Det står dog allerede nu fast, at det ikke vil være tilstrækkeligt at forholde sig brugernes indstillinger i f.eks. internetbrowseren. Selvom en bruger har indstillet sin internetbrowser til at acceptere cookies, skal man altså stadig sørge for at indhente accept og give forudgående nødvendige oplysninger til brugeren.
Hvad vil reglerne betyde for e-handel indenfor og udenfor Danmark?
Det er naturligvis svært at forudse fremtiden, men reglerne vil kræve ændringer i den måde, hvorpå cookies hidtil har været anvendt.
Danske hjemmesider skal sikre sig, at de overholder de danske regler – hvilket som nævnt er udfordring nok – uanset om ens aktivitet er rettet mod Danmark, andre EU-lande eller lande udenfor EU.

Den gode nyhed (hvis man kan tale om sådan) er, at EU-reglerne kommer til at gælde for alle EU-lande, så konkurrenterne i Europa må i det mindst også følge trop.

Det er vigtigt at nævne, at som en af de eneste undtagelser fra kravet om samtykke er de såkaldte ”tekniske cookies”, som er teknisk nødvendige for at udføre en given funktion, som brugeren har anmodet om. Det kunne f.eks. være i forbindelse anvendelse af en elektronisk indkøbskurv i en e-butik. Men en sådan cookie skal slettes igen, når brugeren forlader hjemmesiden.

Hvad betyder det for brugen af tracking systemer som fx Google Analytics, Omniture Sitecatalyst, Webtrends mv. – skal hente brugerens accept af det?
Hvis man anvender tjenester fra trejdemand på ens hjemmeside som Google Analytics eller Omniture Sitecatalyst, og disse bruger cookies til at udføre deres arbejde, er det nødvendigt at få brugerens samtykke til at placere disse konkrete cookies.

Det sammen gælder hvis man har indarbejdet data-feeds i form af f.eks. nyheder eller reklamebannere. Også her kræver brug af cookies konkret samtykke.
Man skal ikke forvente at kunne ikke indhente ét generelt samtykke og så bare fortsætte som hidtil.

Hvordan skal man indhente den accept?
Brugeren skal aktivt acceptere de konkrete cookies, som man ønsker at anvende og ligge på brugerens pc.

Mange danske websites har aktiviteter i mange EU lande. Kan man bruge samme metode i alle lande?
Måske! Der arbejdes på at sikre ens regler i alle medlemslandene, men der risiko for, at implementeringen kommer til at variere. Man kan måske forstille forskellige krav til den information, som skal gives i forbindelse med man beder om samtykke.

Hvornår træder reglerne i kraft?
Regler skal være i kraft senest den 25. maj 2011.

Desværre kom de danske myndigheder meget sent ud af startblokken, og vi blev først i sidste uge bekendt med udkastet til den nye lovtekst. Lovforslaget er i høring frem til 1. april, hvorefter det kommer til at gå stærkt.

Har du nogle gode råd til de danske virksomheder?
Man kan med fordel allerede nu gennemgå sin hjemmeside for at afklare om man får et problem. Og hvis man anvender cookies kan søge at afdække deres formål og nødvendigheden heraf. Herefter kan man overveje om det er muligt at opnå samme funktionalitet på anden vis end ved brug af cookies.

Herefter bør man tage en drøftelse med sin rådgiver om hvordan man bedst sikrer overholdelse af de nye regler.

Her vil det være en god ide at skele lidt til It-sikkerhedskomiteens anbefalinger, som blev præsenteret i sidste uge. Udkastet til de nye regler kan ses på IT- og Telestyrelsens hjemmeside

I billedet ses et eksempel på en accept boks som man kan blive mødt med fremover: