Cookie information – fakta, fare og lov
Cookies er små stykker tekst, der gemmes på dine brugeres computer, når de besøger din hjemmeside.
Man skelner som regel mellem førstepartscookies og tredjepartscookies, dvs. cookies som dit domæne selv sætter (f.eks. cookies der er nødvendige for at indkøbskurven husker dine brugeres valg, eller for din hjemmesides chatfunktion) og cookies som bliver sat af andre end din hjemmeside selv, f.eks. ad tech virksomheder såsom Google eller Facebook.
Men sandheden er desværre mere kompliceret og alarmerende:
99% af cookies bruges til at spore brugere eller tilbyde adfærdsbaserede reklamer.
72% af cookies bliver sat af fjerdeparter, der lastes i skjul af tredjepartscookies, dvs. trojanske heste.
18% af cookies stammer fra femte-, sjette-, syvende- eller ottendeparter – altså endnu dybere og mere skjulte trojanske heste.
50% af trojanske heste, der skjult loades af tredjeparter, vil ændre sig ved næste besøg. Forskellige skjulte fjerdepartscookies og dybere vil altså blive loadet af de samme tredjepartscookies ved nye besøg.
Disse tal kommer fra en undersøgelse offentliggjort i februar 2020 af forskere fra Ruhr Universitet og Institute for Internet Security, der målte 10.000 hjemmesider for tracking. Deres fund viser, hvor svært det er som hjemmesideejer at beskytte sine besøgendes privatliv og overholde den europæiske Persondataforordning (GDPR).
Det er her Cookiebot CMP kommer ind i billedet.
Cookiebot CMP sikrer din hjemmeside fuld compliance med GDPR (og andre af verdens databeskyttelseslovgivninger, såsom Californiens CCPA).
Cookiebot CMP dybdescanner dit domæne og finder alle cookies og trackers, der måtte være til stede (ja, også de trojanske heste).
Når Cookiebot CMP har afsløret hvad der måtte gemme sig, blokerer den alt, indtil dine brugere har givet deres specifikke samtykke til ingen, nogle eller alle af fire kategorier af cookies.
Cookiebot CMP dokumenterer alle opnåede samtykker og fornyer dem regelmæssigt, begge lovkrav i Databeskyttelsesforordningen (GDPR).
Prøv Cookiebot CMP gratis i dag.
Datatilsynets nye retningslinjer 2020
I februar 2020 offentliggjorde Datatilsynet en række nye retningslinjer for behandling af persondata for hjemmesider i Danmark. Disse er nu de gældende lovkrav, som hjemmesider skal følge, når de indsamler persondata gennem cookies og trackers.
Datatilsynet har til opgave at håndhæve Databeskyttelsesforordningen (GDPR) på dansk jord.
Når du har cookies på din hjemmeside, der indsamler persondata, skal du kunne svare på følgende spørgsmål –
- Hvilke oplysninger indsamler du?
- Hvilken rolle spiller du i indsamlingen?
- Hvilket behandlingsgrundlag har du for indsamlingen (fx samtykke)?
- Hvilke betingelser er gældende for samtykket?
Datatilsynets retningslinjer kræver at hjemmesider sikre –
- at samtykke opnås ved frivilligt og aktivt tilvalg fra den besøgende (ingen forudafkrydsede felter i banner),
- at tydeligt informere den besøgende om hvilke formål persondata bliver til,
- at det er nemt for den besøgende at give sit samtykke til nogle formål og ikke give det til andre formål (også kendt som granulært samtykke),
- at det er let for den besøgende at afstå fra at give sit samtykke,
- at dokumentere hvad den besøgende har givet sit samtykke til og hvordan dette samtykke er blevet opnået (fx gennem samtykkebanner).
Læs mere i vores artikel, der går i dybden med Datatilsynets nye retningslinjer.
Cookies og information
Oprindeligt blev cookies udviklet til at berige hjemmesiderne med en “hukommelse”, så interaktionen mellem hjemmesiden og brugeren blev mere personaliseret og intuitiv, og den overordnede brugeroplevelse derved blev bedre.
Netflix’ “The Great Hack” forklarer online tracking på en letforståelig måde.
Mens dette stadig gør sig gældende, er cookiernes indbyggede potentiale for tilpasning og personalisering dog et dobbeltægget sværd.
Hvad er egentlig problemet med cookies?
På den ene side gør cookien brugernes digitale liv meget lettere.
Den tilpasser browseroplevelsen og gør det muligt for dig at byde dine brugere velkommen tilbage som en venlig tjener, der husker dine brugeres præferencer fra gang til gang.
Takket være cookies kan hjemmesiden vise sig fra sin bedste side til den specifikke bruger, og komme med forslag, information og inspiration, der matcher brugerens interesser og behov.
Som hjemmesideejer kan du få indblik i, hvordan dit site virker og hvordan det bliver brugt, hvilket giver en unik mulighed for løbende forbedringer og optimering.
Cookien sparer også brugeren for masser af tid og besvær ved at gemme data, så man ikke behøver at indtaste alle oplysningerne forfra, hver gang man f.eks. køber noget.
Det store “men” i denne ligning er, at cookien indsamler informationer om brugernes færden på nettet på en måde, der kan være alt andet end transparent.
Hvilke data spores, af hvem, til hvilket formål, hvor bliver de sendt hen og med hvem bliver de delt?
Man kan slette sine cookies, men kan man reelt også få slettet sine spor?
Især tredjepartscookies (og fjerdeparts- osv.) er der grund til at være på vagt overfor, fordi de, som navnet antyder, ikke bliver sat af den aktuelle hjemmeside, som brugeren har opsøgt, men af andre, “udefrakommende”, som oftest i markedsføringsøjemed.
Hvad er tredjepartscookies?
Tredjepartscookies er cookies, der bliver sat af andre end den konkrete hjemmeside, som brugeren har opsøgt. De stammer typisk fra indlejret indhold og værktøjer, som er i brug på hjemmesiden.
Ved hjælp af cookies kan man spore brugernes eksakte handlinger, mens de surfer:
Hvilke artikler scroller de forbi, hvilke standser de op ved og læser, hvad får dem til at klikke og dele.
Formålet med tredjepartscookies er som regel at indsamle data til brug for fremadrettet målrettet marketing, og det er de, der som oftest indsamler personfølsomme data.
Cookiesættende tredjeparter på din hjemmeside kan f.eks. være en Facebook-synes-godt-om-knap eller Google Analytics, der kører i baggrunden.
Data om brugere er hurtigt blevet et yderst værdifuldt aktiv, og metoderne til at indsamle dem bliver stadigt mere sofistikerede.
Jo flere informationer firmaer har om brugere, desto bedre kan de gå efter dem og i sidste ende sælge produkter og maksimere deres profit.
Ved at kombinere brugerdata som alder, køn og geografisk placering med digital aktivitetshistorik, kan søgemaskiner og hjemmesider kredse sig ind på brugere og segmentere dem med en evigt voksende præcision.
Den detaljerede segmentering af brugerne påvirker alle aspekter af deres browseroplevelse, fra hvilke reklamer man får vist og hele vejen til de resultater, der kommer frem, når man søger information i søgetjenester som fx. Google.
Hvilket i sidste ende er et grundlæggende demokratisk problem med hensyn til den fælles viden og dialog, der deles i et samfund.
Hvad betyder Databeskyttelsesforordningen (GDPR) for brugen af cookies?
I maj 2018 trådte den europæiske Databeskyttelsesforordning (GDPR) i kraft. Loven kontrollerer, hvordan virksomheder og andre organisationer håndterer persondata.
Det er det mest betydningsfulde initiativ på området for databeskyttelse i 20 år, og har stor betydning for alle organisationer i verden, der har at gøre med brugere fra EU.
Lovgivningen fremsætter strenge krav for databehandlingsprocedurer, gennemsigtighed i din cookie information, dokumentation og brugersamtykke.
Formålet er at give individer kontrollen tilbage over deres data, og at beskytte “fysiske personers fundamentale rettigheder og friheder”.
Når det kommer til brugen af cookies, betyder Persondataforordningen for dig som hjemmesideejer, at du skal give en klar og specifik cookie-information til dine brugere.
For mere information om cookies og GDPR, læs vores artikel om GDPR, og se den fulde lovtekst på dansk: persondataforordningen pdf og persondataforordning html tekst.
Her er den engelske lovtekst: The General Data Protection Regulation.
Cookie regler:
1. Forudgående samtykke
Hvis din hjemmeside betjener personer fra EU, og du og/eller en indlejret tredjepart, f.eks. Google Analytics eller en Facebook-knap, behandler nogen form for persondata, skal du indhente forudgående samtykke fra brugeren inden cookierne bliver sat.
2. Cookie information og cookie politik
For at samtykket skal være gyldigt, skal omfanget af- og formålet med databehandlingen beskrives i et klart sprog til brugeren, inden cookierne sættes.
Cookie informationen skal til enhver tid være tilgængelig for brugeren, f.eks. som del af din privatlivspolitik eller cookiepolitik.
3. Brugerens ret til at ombestemme sig
Du skal også gøre det let for brugeren at ændre i sit samtykke eller helt og holdent at trække det tilbage.
4. Dokumentation
Dokumentation er en vigtig del af de nye krav. Alle samtykker skal logges som bevis for at samtykket er givet, og al sporing af persondata skal dokumenteres, herunder til hvilke lande dataene overføres.
Sådan hjælper Cookiebot CMP
Med Cookiebot CMP kan du uden besvær overholde GDPR’s krav vedrørende datasporing og samtykke. Du får kontrol og dokumentation over alle typer af tracking der finder sted på din hjemmeside. Dine brugere får et klart overblik over den tracking, der finder sted, og deres samtykker indhentes og logges automatisk.
FAQ
Hvad er definitionen på en cookie?
En cookie er en lille bid tekst, som en hjemmeside automatisk gemmer på din computer, mens du browser.
Cookien er dybest set en tekststreng og kan stort set indeholde hvad som helst og tjene en lang række forskellige formål.
Cookien gør hjemmesiden i stand til at genkende dig og registrere specifikke informationer om dig.
Disse informationer kan være dit login, dit foretrukne sprog osv., så du ikke behøver at starte forfra ved hvert besøg.
I mange tilfælde er cookies uundværlige for at hjemmesiden kan fungere korrekt.
Autentificeringscookien, for eksempel, giver hjemmesiden mulighed for at vide, om du er logget ind eller ej – og derfor hvad du har adgang til.
Hvor længe holder en cookie?
Hver cookie har et navn og en udløbsdato.
Når en hjemmeside sender en cookie, beder den browseren om at gemme den bestemte cookie indtil et bestemt tidspunkt, som står skrevet i tekstfilen.
Ifølge loven bør cookies slettes senest efter 12 måneder, men nogle gemmes i meget længere tid. I Google Adwords f.eks. kan en cookie holde i op til 540 dage.
Set fra et tekstmæssigt synspunkt er der ingen grænser for, hvor længe en cookie kan tænkes at vare, og der er registreret eksempler på cookies, der er blevet lavet til at have en levetid på over 7000 år!
Hvad er de forskellige slags cookies?
Generelt kan cookies placeres i en af følgende kategorier, baseret på deres varighed og afsender:
Session-cookies
Session-cookies er midlertidige og udløber, når du forlader den pågældende hjemmeside. Denne slags cookies bruges hovedsageligt af internetbutikker til at holde dine varer i kurven, mens du shopper online.
Permanente cookies
I modsætning til session-cookies kan permanente cookies forblive på din disk i lang tid efter sessionen er slut. Ifølge loven bør cookies slettes senest efter 12 måneder, men nogle kan blive på din disk i meget længere tid. Disse cookies kan indeholde data som f.eks. login-oplysninger, kontaktoplysninger og kontonumre, så du ikke behøver at udfylde dem, hver gang du bruger hjemmesiden.
Førstepartscookies
Førsteparts-cookies sættes af den aktuelle hjemmeside, som du har opsøgt. Disse cookies bruges ofte så hjemmesiden kan huske dine data og præferencer, og dermed give en god brugeroplevelse.
Tredjepartscookies
Tredjeparts-cookies sættes af en anden hjemmeside end den, som du er på. F.eks. kan cnn.com have en Facebook Synes-godt-om-knap på deres side. Den synes-godt-om-knap sætter en cookie der kan læses af Facebook. Formålet med tredjeparts cookies er ofte at indsamle informationer om adfærd, demografi, især til brug i fremadrettet målrettet markedsføring.
Fjerdepartspartscookies og dybere trojanske heste
Et flertal af de cookies, der findes på hjemmesider, er rent faktisk skjulte cookies, der loades af tredjepartscookies. Vi kalder disse for trojanske heste, netop fordi de aktiveres i al hemmelighed, uden hverken hjemmesideejerens eller brugernes viden herom.
Trojanske cookies kan ligge skjult helt ned i ottende lag – det vil sige at en tredjepartscookies loader en fjerdepartscookie, der loader en femte, sjette, syvende og til slut en ottendepartscookies på dine hjemmeside, som indsamler og behandler persondata fra dine brugere og sender denne ud i verden – også til lande der ligger udenfor EU’s sikre databeskyttelseszoner.
Dette er selvsagt dybt problematisk, fordi det er næsten praktisk talt umuligt for brugere at være bevidst om, og enormt svært for hjemmesideejere at blive klog på og kontrollere uden teknologi, der er bygget til præcis dette formål.
Cookiebot CMPs teknologi dybdescanner dit domæne og finder alle cookies – også de dybe trojanske heste beskrevet ovenfor. Med Cookiebot CMP opnår du fuld gennemsigtighed og kontrol.
Hvad er bøderne for ikke at overholde persondatalovens krav?
Organisationer, der ikke overholder loven, risikerer store bøder på op til 20 millioner Euro, eller 4% af organisationens globale årlige omsætning, hvad end der er størst.
Hvor kan man tage kursus i persondataforordningens lovkrav?
Du kan opnå de to ISO 17024- godkendte kvalifikationer, dels EU GDPR Foundation (EU GDPR F), og EU GDPR Practitioner (EU GDPR P), på forskellige kurser f.eks. hos IT Governance. International Association of Privacy Professionals (IAPP) yder også online træning.
Kilder
Omfattende information om cookies
En artikel fra The Guardian om hvordan dobbeltklik og andre digitale reklametjenester virker
En artikel på Lifewire om hvordan man beskytter sit privatliv på Google
Et overblik over forskellige slags cookies brugt af Google
En generel information om cookies på Lifewire
En introduktion til websporing fra The Guardian
En sjov introduktion til tredjeparts cookies