Som du måske allerede ved, er der ændringer på vej omkring brugen af cookies på danske websites. Men hvem påvirker det, hvornår sker det og hvad skal du gøre? Jeg giver her et overblik over de væsentligste ændringer i bekendtgørelsen, samt kommer med advokat Heidi Steen Jensens anbefalinger til hvad din virksomhed bør have styr på, inden de nye regler træder i kræft den 25. maj.
Vi deltog på FDIM-seminaret om de nye cookie-regler i sidste uge. Dagens oplægsholdere var Morten Helveg Petersen fra FDIM, Kresten Bay fra IT & Telestyrelsen, advokat Heidi Steen Jensen fra Horten, Thomas Myrup, Senior EU Policy Director fra Microsoft og Poul Melby, analysechef fra Politiken
Dagens emne var de nye ændringer i IT & Telestyrelsens bekendtgørelse som træder i kræft den 25. maj i år. Bekendtgørelsen er den danske implementering af skærpelsen i EU-direktivet, artikel 5, stk. 3 som er sat i søen for at skabe en forholdsvis ens tilgang til cookies i Europa, og i sidste ende beskytte forbrugeren.
De tre væsentligste ændringer i bekendtgørelsen er:
- Informeret samtykkekrav
- Gældende ved alle former for lagring
- Opstramning af undtagelser
1. Samtykkekrav ved brug af cookies
Den ændring som uden tvivl har skabt mest røre i andedammen er det nye informerede samtykkekrav. For hvordan skal kravet om samtykke tolkes? Skal samtykket ske som det første på sitet, skal det ske via en aktiv handling som fx en pop og hvad menes der med informeret?
Først og fremmest, der var bred enighed blandt dagens oplægsholdere om at det ikke tjener noget formål at lave forstyrrende pop-ups på websitet. Brugeren på websitet skal tidligt i processen informeres om brugen af cookies på websitet. Umiddelbart kan reglerne tolkes således, at brugeren ikke behøver udføre en aktiv handling for at afgive en såkaldt viljestilkendegivelse. Hvis brugeren er informeret om ”reglerne” og alligevel vælger at fortsætte kan dette således tolkes som et samtykke.
Vigtigt i samtykkekravet er at det er frivilligt, specifikt og informeret. Med andre ord, brugeren skal have mulighed for at sige nej tak! Og de skal vide præcist hvad cookies bliver brugt til, af hvem og hvor længe.
IT & Telestyrelsen lagde kraftig vægt på at de ikke ønsker at udstikke et sæt guidelines for hvordan samtykket skal indhentes eller hvordan informationen formuleres på det enkelte website, idet de mener den bedste løsning er forskellig fra website til website. De har derfor valgt at lave et såkaldt ”rum til selvregulering” hvori det er op til den enkelte at tolke og implementere ændringerne i bekendtgørelsen. Kresten Bay understregede dog, at man bør “tænke privacy ind i alt hvad man laver fra nu af”.
2. Alle former for lagring af cookies
Det er væsentligt at holde sig for øje at denne bekendtgørelse ikke kun gælder websites, men også diverse webapplikationer, iPhone-applikationer og lign. Reglerne er derfor også gældende ved lagring via andre enheder såsom usb stiks m.m.
3. Ingen regler uden undtagelse
Hvem er undtaget disse nye regler om samtykketrav? Ikke mange, men hvis brugen af cookies er en nødvendighed for at gennemføre den tjeneste kunden kom til websitet for, er samtykkekravet ikke nødvendigt. Dette kunne fx være i en webshop, hvor et køb ikke kan gennemføres uden lagring af cookies på brugerens computer.
Skal vi gøre noget inden 25. maj?
Alle websites som bruger cookie-teknologi skal fra 25. maj overholde ovenstående regler. Mange websites benytter udelukkende cookies til webanalyse som fx Google Analytics, og også her er det vigtigt at brugeren informeres og giver samtykke til brugen af cookies.
Advokat Heidi Steen Jensen anbefalede at man på sit website får gjort følgende inden den 25. maj:
- Indsat info (informeret samtykke) på sit website
- Udforme eller ændre sin cookie-politik
- Højst sandsynlig genforhandler aftaler med mediebureauet
Heidi Steen Jensen foreslog desuden at man løser kravet om informeret samtykke ved at lave en synlig tekst på forsiden som informerer om brugen af cookies, og herfra linker til en underliggende side med mere information. Hun forslår at en sådan tekst kan lyde således:
”Vi og vores samarbejdspartnere bruger cookies for at forbedre brugervenligheden på vores site og forbedre og målrette vores markedsføring. Klik her for at læse mere. Klik her for at sige nej til cookies”.
Heidi Steen Jensen husker samtidig på, at den underliggende politik på websitet skal være tilgængelig fra alle sider på websitet og teksten skal naturligvis opfylde samtlige krav fra bekendtgørelsen.
Mange webstedsejere har derfor småtravlt, hvis man skal nå at komme på plads inden 25. maj. Kresten Bay fra IT & Telestyrelsen forsikrede dog for at de ikke ville stå klar med bødeblokken overfor alle som ikke er helt på plads den 26. maj. Men som Poul Melbye, analysechef fra Politiken pointerede, det kan godt være vi ikke får en bøde for ikke at være på plads inden deadline, men hvis brugerne forventer det, er det vigtigt at have styr på spillereglerne til tiden.
Hvad så nu?
Bekendtgørelsen i sin eksisterende form er sendt til høring som afsluttes den 1. april, og det forventes derfor at der kan komme enkelte ændringer i formuleringerne og lign. Inden den træder i kræft den 25. maj 2011. IT & Telestyrelsen ønsker som nævnt ikke at komme med en branchestandard, men efter høringens afslutning den 1. april forventer FDIM at lave en række anbefalinger samt et fælles ikon til brug på danske websites.
Du kan se hele udkastet til bekendtgørelsen via nedenstående link samt finde informationer om hvem du skal sende din kommentar til, hvis du vil deltage i debatten inden høringens afslutning 1. april.
Vi glæder os til at følge udviklingen og se hvordan de forskellige websites løser de kommende udfordringer i forbindelse med de nye cookie-regler.
Opdatering
Det nye cookie direktiv trådte i kraft den 14. december 2011. Du kan læse mere om den gældende bekendtgørelse samt downloade hele cookie-bekendtgørelsen og tilhørende vejledning her.
God gennemgang af hvor vi står pt. Men der er godtnoks tadig mange åbne spørgsmål.
Jeg er selv ved at forske lidt i, hvordan jeg selv og mine kunder kan komme til at overholde de nye regler. Og lige pt. er jeg rendt ind i følgende problemstilling:
Både Google Analytics og Google Adwords sætter (1st party) cookies for mit site på brugerens computer. Derfor skal man informere om dette, og give brugeren mulighed for at sige “nej tak” til disse. Men den eneste måde man pt. kan lave en opt-out på de to systemers tracking cookies, er via en browser plugin:
http://www.google.com/privacy/ads/
Og det er jo ikke godt nok. Så hvordan pokker løser vi lige den problemstilling?
Til yderligere info:
FDIM har netop lanceret et brancesite med info omkring cookies: http://www.minecookies.org/
@ Søren Sprogø
Helt enig, det bliver en udfordring mange står overfor. – Og mange er måske slet ikke klar over at også er berørt af de nye cookie-regler, blot ved at benytte Google Analytics.
Vi ser selv på problemstillingen i øjeblikket (bl.a. med vores advokat). Det bliver spændende at se hvordan folk rundt omkring i branchen løser den udfordring.
De bedste hilsner
Charlotte [Digital Works]
Kun informeret samtykke på forsiden? Det giver da ikke mening.
Mener det er Thomas Rosenstand der har udtalt noget ala “Et websites forside er ikke nødvendigvis websitets forside”. Altså ment på den måde at der er lige så mange forsider som der er sider på hjemmesiden.
Hvis man gør noget forkert eller mangelfulgt, er det værste der kan ske så ikke blot at man bliver i rettesat?
Hej Lars
Nu var det med informeret samtykke på forsiden kun ét forslag. IT & Telestyrelsen har hele tiden lagt vægt på at der ikke findes en løsning til alle, men at den enkelte skal finde den løsning som passer til deres website, og dermed deres behov. Det såkaldte “rum til selvregulering”. Vigtigt er dog at holde sig for øje, at man skal kunne tilgå denne information fra alle sider på websitet.
Mht. om straffen “kun” er en irettesættelse må jeg være dig svar skyldig. Men mon ikke bødeblokken kommer frem engang når tiden er moden til det?
Indtil da vil jeg dog mene at vi alle kan risikere værre ting end bødeblokken og/eller en irettesættelse – nemlig hvis vores brugere føler sig ført bag lyset. I takt med at alle os webstedejere skal lære at tolke de nye regler, bliver den “almindelige internetbruger” jo også klogere på sine rettigheder. Og ingen af os er interesserede i vrede besøgende.
Der er stadig masser af spørgsmål til hvordan reglerne skal implementeres, så det bliver spændende at følge udviklingen over den næste måneds tid.
FDIM har desuden lavet dette branchesite hvor man kan finde mere information om cookies: http://www.minecookies.org/.
De bedste hilsner
Charlotte [Digital Works]
Skulle nogen være i tvivl, så er fristen for implementeringen af de nye regler udskudt på ubestemt tid jf. FDIM’s pressemeddelelse fra 25. maj 2011 http://fdim.dk/nyheder/pressemeddelelser/2011/5/25/fdim_en_sejr_for_brugerne_at_cookie
Læs mere i artiklen her https://digitalworks.dk/artikler/er-du-klar-til-den-25-maj-nye-cookie-regler