EU har vedtaget dødsdom over cookies
Et nyt EU direktiv, der netop er vedtaget, forbyder brug af cookies med mindre hver enkel bruger siger ja på forhånd til det for hver enkel cookies vedkommende – for hvert eneste domæne! Mange websites – særligt de største og kommercielle, sætter mange forskellige cookies – fra f.eks. analytics, banner systemer, shop, debat osv. Hver enkel af disse cookies skal brugerne fremover godkende.
Det er intet mindre end en katastrofe!
Der er tilsyneladende ikke nogen vej udenom – direktivet er vedtaget og det venter nu blot på de forskellige nødvendige procedure inden det føres ud i livet. Jeg er ikke sikker på den nøjagtige dato for dette.
Der er tilsyneladende et lille hul i loven, hvor der tales om at man godt må sætte cookies hvis det er tvingende nødvendigt (“strictly necessary”) for en service der udtrykkeligt ønskes (“explicitly requested”) af brugeren. Dette tolkes af Law.com som, at man f.eks. godt må sætte en cookie, når brugere klikker på en “køb” knap på en produkt-side i en shop. Men jeg er usikker på, om det er en korrekt fortolkning. Det vil kun tiden – og eventuelt retssager (argh!) vise.
I alle fald er der ingen tvivl om, at hvis man fremover vil være på den sikre side, så skal man sørger for, at alle brugere udtrykkeligt giver dig deres tilladelse til, at sætte samtlige af de cookies du sætter (og husk så også lige alle dem du måske ikke lige tænker på fra 3. parts leverandører på dit website, som f.eks. Google Analytics!)
Du kan læse lidt flere detaljer om sagen på Law.com (engelsk)
http://out-law.com/page-10510
Casper skriver
Det her er så ufatteligt dumt, at det ikke er til at tro på.
Som jeg ser det, vil det betyde en total og kæmpe forringelse af brugeroplevelsen på alle websites i EU.
Jeg ser allerede nu skræk-scenarier for mig, i stil med Vista’s UAC, hvor *alt* hvad man foretager sig skal godkendes/accepteres først.
Når det så er sagt, er der god mening i at sikre privatlivet på nettet – jeg mener bare at dette er den helt forkerte vej frem.
Jannik skriver
Er det ikke “bare” et spørgsmål om at skrive i footeren på alle sider, at man ved at besøge siden giver lov til at få gemt en cookie på sin computer?
Og man kan vel også godt omgå det med én tilladelse pr. domæne ved at lave subdomæne-aliasser til diverse analytics-sites og banner-systemer?
Meh, det er under alle omstændigheder fuldstændig hul i nakken med sådan et “forbud” – og Casper rammer meget godt med sin UAC-sammenligning :-s
Mikkel deMib Svendsen skriver
Nej, det er helt bestemt ikke nok at skrive det i footeren. Loven kræver at der gives udtrykkeligt samtykke – ikke passivt.
René skriver
Det er typisk lovgivning uden at vide nok om realiteter inden for et specifikt område, jeg har ikke gennemgået lovteksten, men generelt kan det siges, at de personer der arbejder med lovgivning og behandling af disse tit ikke har den helt store IT forståelse, dette afspejler sig vel i at se f.eks. mange advokatkontorer og lign. steder stadig foretrækker telefax frem for email som kommunikationsform.
Politikere, handelsskolelærere der råber op når f.eks. jetsetdronningens navn nævnes på nettet, og 100.000 personer allerede har set sitet og det stadig ligger på Google samt i gemte versioner, her råber sågar professorer op og vil have stoppet det, ”aldeles omgående”, det viser jo dybest set at de ikke fatter en meter at det de taler om, når de står på TV og hælder vandet ud af ørene, derfor opstår der lovgivning der absolut ikke tager udgangspunkt i den virkelige verden, men mere i en verden, hvor udslaget er udtryk for nogle gamle politikeres opfattelse af virkeligheden, og som ikke ved Internettet er opfundet og hvordan det virker.
🙂
Morten Bock skriver
Ikke verdens bedste lovgivning. Et andet spørgsmål kunne være, hvem er det EU bestemmer over når det gælder web?
Du nævner selv Google Analytics. Den service hører jo formentlig hjemme i USA. Skal et amerikansk domæne så overholde EU lovgivning, bare fordi sitet kan vises i EU? Eller gælder det kun domæner registreret i europa eller hvordan?
Det kunne i hvert fald være interessant at høre en uddybning af.
Mikkel deMib Svendsen skriver
I forhold til Google Analytics er det lige meget hvor de holder til. Når du smider deres tracking kode på dit website, så gemmes der en cookie fra dit domæne og der er derfor ingen tvivl om at lovgivningen vil ramme netop dette. Det samme gælder annoncenetværk, AdWords mv.
Janno skriver
Man sidder jo og ryster på hovedet… det er jo himmelråbende åndssvagt.
Jeg sad seriøst og overvejede om det var 1.april i dag.
Det gælder vel så for alle eu-tld’er?
Så bliver man jo nok nødt til at redirecte alle sine dk sider til .com eller lignende for de kan vel ikke tvinge amerikanske sites til at overholde et eu-direktiv?
Og vil de så vurdere overtrædelser baseret på tld eller ip?
Det var vist det med de inkompetente politikere vi kom bort fra (i forbindelse med kommunalvalget) der stikker snuden frem igen.
Som jeg altid har sagt, den sidste idiot er ikke født endnu.
Mikkel deMib Svendsen skriver
Jeg kan ikke forestiller mig det har noget som helst med TLD’er at gøre – men derimod hvor den juridiske enhed (person eller firma) befinder sig og/eller driver forretning fra og til.
Det vil så naturligvis stille globalt opererende virksomheder fra EU dårligere end andre udenfor – det vil f.eks. ramme mig med Joblr. Det kan så i sidste ende betyde, at vi kunne blive fristet til at drive den virksomhed fra et andet sted – f.eks. USA.
EU kan naturligvis kræve, at også virksomheder fra USA skal overholde EU lovgivning hvis de sælger til virksomheder her – på samme måde som det gælder f.eks. de eksisterende markedsføringslove. Men indtil nu har EU-landende vist aldrig brugt dette til at køre retssager mod mindre virksomheder i f.eks. USA, som ikke har besiddelser her i USA – men virksomheder som Google kan naturligvis ikke slippe udenom sådanne regler.
John skriver
Der skal nok komme flere tossede regler fra den side.
For blot nogle få år siden var der en EU-politiker, der foreslog afgifter på E-mails.
Casper Lohse skriver
Ifølge COMON.dk vil direktivet træde i kraft i 2011 – kilde: http://www.comon.dk/nyheder/Ny-cookie-lov-skaber-frygt-i-online-branchen-1.246993.html
Også frontbox.dk har skrevet om sagen, men de anser det ikke som sandsynligt, at samtlige cookies skal godkendes, men det bliver jo interessant at følge sagen. – Kilde: http://www.frontbox.dk/2009/11/12/kan-det-blive-forbundt-at-bruge-cookies-uden-tilladelse/
Men hvis store dele af internetmarkedet går imod dette forslag, må de da slå øjnene op for modargumenterne og overveje, om de bør lave nogle forskellige regelsæt mv.
Mikkel deMib Svendsen skriver
Såvidt jeg kan forstå er direktivet, der danner grundlag for den nationale lovgivning allerede lavet og vedtaget. Så med mindre der laves et andet, så bliver det som der står i det nuværende.
Uanset hvad er der dog ingen tvivl om at det vil skabe en masse uro, unødig usikkerhed (også hos kunderne), ekstra omkostninger til virksomhederne og en masse spildt energi og arbejde (det kunne være sjovt at lve en CO2 beregning på det direktiv! hehe)
Parfume skriver
Man skal høre meget. Er der noget der kender baggrunden for EU beslutning. Er det et forsøg på at beskytte forbrugerne eller hvordan kommer EU ind i det billede ?
Tror i ikke man kommer til at se en massiv udflytning af de store hjemmesider til lande undenfor EU ? Man kan vel ikke lovgive om, at virksomheder udenfor EU skal overholde de samme regler – kan man ?
Mikkel deMib Svendsen skriver
Jeg kender ikke den præcise baggrund, men jeg er overbevist om at det er – et omend noget kluntet – forsøg på at beskytte forbrugerne.
Der er massr af national lovgivning allerede som udenlandske virksomheder skal overholde, hvis de vil sælge til folk i de pågældende lande. Dette gælder f.eks. markedsføringslove.
Parfume skriver
Hvor er det bare typisk at nogle beslutninger bliver taget uden at der er nogen der tænker sig lidt om. Desværre står det nok ikke lige til at love om
Anders skriver
Som webmaster for en webshop, kan jeg jo kun frygte hvad det vil gøre for et købsflow og brugervenligheden af vores shop. Og, hvis vi skal kigge lidt længere ud i fremtiden, vil denne lov så ikke også smadrer udviklingen af web 3.0?
Mikkel deMib Svendsen skriver
Du behøver skam ikke være i tvivl om hvad det vil betyde: Det VIL betyde en dårligere brugeroplevelse, og det VIL stille EU virksomheder dårligere end dem udenfor, som kan slippe afsted med ikke at overholde denne lovgivning.
Theis Brouer-Jensen skriver
Lige umiddelbart er jeg ikke så sikker igen på at der skelnes imellem, hvor virksomhederne ligger.
Microsoft skulle trods alt betale en del tilbage til EU pga. at IE var “standard browser”. Det kunne de ikke komme udenom om de så havde gemt sig på Nordpolen.
EU kæmper denne sag for forbrugerne og må have valget at beskytte alle EU lande og EU borgere, uanset hvad nogle virksomheder så gør ovre i f.eks. USA.
Men vil nogle af disse ting ikke kunne løses teknisk vha. server fremfor klienten (og cookies) ???
Mikkel deMib Svendsen skriver
Forskellen på f.eks. Microsoft eller Google og så de mange mindre og mellemstore webshops der f.eks. befinder sig i USA er, at de første har selskaber og besiddelser her i EU – det har de sidste ikke.
Så myndighederne har i praksis langt sværere ved at gøre noget ved den sidste gruppe og jeg har da heller ikke set de gør det. Og hvis de gør bliver det nærmest umuligt at inddrive eventuelle bøder.
Janno skriver
Quote Mikkel
“Jeg kan ikke forestiller mig det har noget som helst med TLD’er at gøre – men derimod hvor den juridiske enhed (person eller firma) befinder sig og/eller driver forretning fra og til.”
Siger du hermed at hvis jeg oprettede at firma i asien, og flyttede ejerskabet af mine .dk domæner derhen ville de ikke kunne røre mig?
Mikkel deMib Svendsen skriver
Nej, Janno – ikke hvis du fortsat markedsføre dig til danskere – så vil loven gælde. Og hvis du fortsat bor her er det jo ret let at komme efter dig og dine værdier. Flytter du derimod fra Danmark og opgiver dit statsborgerskab, så vil det være så svært at komme efter dig, at med mindre du bliver den næste Google, så tror jeg ikke i praksis der il ske noget.
Om DK-Hostmaster så kan fratage dig domænet, hvis der foregår ulovligheder skal jeg ikke kunne sige
Morten skriver
Jeg ser også et stort problem i forbindelse med affiliate-marketing.
Der er man jo (så vidt jeg har forstået) afhængig af cookies for at registrere et salg, hvis kunden ikke køber med det samme.
Mikkel deMib Svendsen skriver
Ja, det vil sætte et ekstra led ind – en advarsel mod cookies, som de så skal godkende, foran man af de vigtige steps, som vi ellers har gået sådan og optimeret på gennemårene. Back to sqare one, suckers …
Anders skriver
Jeg synes at EU kommer med mange ubrugelige og direkte skadelige love i forvejen, men denne her lov viser bare så tydeligt at EU virkelig ikke har nogen forståelse for halvdelen af de love de stemmer om.
Ikke nok med de bruge millioner af kroner på at holde hele deres store system kørende – omfanget af nye love og medlemslande er simpelt hen blevet for stort. Når flere og flere af deres indgreb direkte gør skade i mange EU medlemslande, er der så ikke noget helt galt med systemet?
Og nu, så oven i købet en lov mod Cookies – huhej hvor det går i “the Council of the EU”
Folkebevægelsen mod EU giver da mere og mere mening.
BilligLEg skriver
jeg håber der kommer et klart reglsæt for det på dansk,
vi driver en webshop og det kan da ikke lade siggøre at skulle godkende alle cookies der er på siden det er da noget skrammel
hvis der er nogen der falder over sådan et reglsæt så send det lige til info@legbilligt.dk
Kim skriver
Har der været tale om hvem der skal sørge for at loven på dette område og hvordan de vil sørge for det. Er det noget der skal sættes op teknisk hos de forskellige webhoteller eller skal hver enkelt website ejer sørge for dette eller kan i se andre metoder?
Mikkel deMib Svendsen skriver
> det kan da ikke lade siggøre at skulle godkende alle cookies der er på siden det er da noget skrammel
Jo, det kan det godt – men det bliver bare røvbesværligt – ikke mindst for de stakkels kunder. Men så kan de jo så vælge at handle i shops udenfor EU hvor dette krav ikke findes … fedt 🙁
> Har der været tale om hvem der skal sørge for at loven på dette område
Ikke hvad jeg ved af. Direktivet er først lige vedtages – frem til april 2011 skal de enkelte lande så implementere det
Martin LeBlanc Eigtved skriver
Det er dybt godnat at lovgive om brugen af en teknologi bare fordi den kan misbruges. Lovgivningen bør være omkring hvordan cookies bliver brugt. Det vidner om nogen der har meget ringe indsigt i hvordan websites fungerer og hvilken betydning det får hvis alle brugere konstant skal godkende cookies. Lovgiv i stedet om hvad man må gemme i cookies!
På en almindelig arbejds-dag vil man nok skulle trykke “ja tak” et sted mellem 100 og 1000 gange vil jeg tro. Skal vi ikke gætte på at de fleste brugere hakker af i feltet “Vis ikke denne meddelelse igen.”
Den del af loven omkring “strictly nessesary” skal nok blive fortolket på interessante måder!
Dennis Lauritzen skriver
Nu sidder jeg og tænker lidt over det og kommer nu med en kommentar uden at have læst alle de øvrige kommentarer:
Kan det ikke blot være et spørgsmål om, at man blive hosted i USA 🙂 ?
På den måde må man da kunne omgå denne lovgivning? 🙂
Det kan jo i værste fald blive scenariet, at danske hostingfirmaer opretter selskaber i USA blot for at danske kunder kan omgå denne lovgivning? 🙂
Leif Nielsen skriver
Gad nok vide hvilken EU funktionær der har skrevet og maskinoversat følgende indlæg på Karsten Bundgaards blog:)
“Cookies skal kun vaere tilladt hvis de identifiseres til brugeren at man vil saette en cookie, ellers kan det medfoere viruses ogsaa bliver anbragt. Intet fordaekt skal lade sige lovligt indsaettes i folks computers. Et enkelt EU direktiv man kan leve med ”
http://blogs.jp.dk/erdetbaremig/2009/11/20/skal-eu-begrænse-mulighederne-pa-internettet/
Mikkel deMib Svendsen skriver
> Kan det ikke blot være et spørgsmål om, at man blive hosted i USA ?
Nej, så enkelt er det ikke. Ike med mindre du så også imigrerer til USA og ikke længere sælger til foilk i EU
Henrik Eiberg skriver
Er det hele nu så galt igen…. Har ikke haft tid til at læse alle indlæg her men fandt nedenstående som måske er spændende:
http://www.comon.dk/nyheder/Cookie-skandalen-smuldrer-1.247925.html
Martin Noer skriver
Det seneste jeg har hørt er, at reglerne ikke betyder noget i forhold til hvordan det allerede er i dag.
http://www.comon.dk/nyheder/Cookie-skandalen-smuldrer-1.247925.html
ask josephsen skriver
Cookie-panik afblæst
Det lader til at de slækker lidt på det; http://mediawatch.dk/artikel/cookie-panik-afblaest. Men “lokal implementation” betyder vel ikke at faren er drevet helt over?
Mikkel deMib Svendsen skriver
Faren er på ingen måde drevet over fordi nogle politikere trækker lidt i land. Direktivet er jo vedtaget.
Iøvrigt ville det jo langt fra være første gang af politikerne får indført nogle idiotiske love der har med IT at gøre – og det bliver desværre nok heller ikke sidste gang 🙂
Finn Harreby Jepsen skriver
Bare rolig alle – direktivet vil aldrig kunne håndhæves i praksis – heller ikke om man så gjorde det globalt. Og det ville være en total umulighed at forfølger sagerne juridisk, som ville kræve 1 mio. advokater på fuldtid 🙂
Mikkel deMib Svendsen skriver
Finn, der findes masser af anden lovgivning, hvor nøjagtigt det samme gælder. Og det har ikke forhindret den i at blive vedtaget. Så din teori holder desværre ikke. Uanset om love i praksis kan håndhæves, og uanset hvor generende det måtte være, så vedtages de nu alligevel af og til.
Og som sagt – direktivet ERR vedtaget, så der er sådan set ingeng grund til at diskutere OM det bliver vedtaget – for det ER det allerede. Implementeringen af dette direktiv SKAL ske i alle medlemslande inden april 2011.
Kim Tetzlaff skriver
Godt nok noget underligt noget alligevel, nu er det ikke fordi jeg bruger cookies så meget i det jeg laver, bruger mere sessions og lign, men ved da at der er masser af applikationer/funktioner som ikke kan køre uden, alt kan selvfølgelig laves. Folk tænker sig vidst ikke rigtig om.
Jakob Søndergård skriver
Kim Tetzlaff >> Kig efter cookies med navnet PHPSESSID på din computer, så går der (forhåbentligt) et lys op for dig…
Oskar skriver
Hej,
Kan du så sige om vi hos vandreshoppen.dk overholder de krav der ligger for accept af cookies?
Venligst
Oskar
Jonathan skriver
Ja der var engang det var nok at bede brugerne om at godkende en cookie. Vi brugte ca. 14 dage på at implementere det nye gdpr regelsæt fra google.
Det er lidt træls når man lever af at sælge båludtyr til friluftfolket! Vi kunne bruge tiden så meget bedre.