Erhvervsstyrelsen har for nylig annonceret, at de vil undersøge, om cookieløsninger på hjemmesider i Danmark overholder cookiereglerne. Med andre ord er der et tilsyn på vej, og det kan blive dyrt for de virksomheder, der ikke lever op til kravene. Medmindre virksomhederne selvfølgelig bare benytter simple statistiske cookies. Styrelsen har nemlig et par uger efter truslen om tilsynene modificeret udmeldingen og ladet nogle hjemmesideejere slippe med skrækken; de vil ikke prioritere tilsyn med hjemmesiders indhentning af simple statistiske cookies.
Dette efterlader en lang række spørgsmål. For på et område der i sig selv er svært at forstå, kompliceret og fortsat rimeligt ukendt, vender Erhvervsstyrelsen, med en sådan udmelding, rundt på det vi ellers var ved at lære: statistiske cookies må ikke sættes før aktivt samtykke. Men må de nu det alligevel? Hvad er en ”simpel” statistisk cookie? Kan virksomheder og myndigheder efter flere år med tilpasning af cookieløsninger nu ånde lettet op og lempe på kravene?
Blåstempling af cookies uden samtykke?
Det første spørgsmål, der melder sig, er hvad en simpel statisk cookie er, nu hvor denne blot kan sættes, uden Erhvervsstyrelsen kommer efter dig. Men hvis vi lader dette stå i det uvisse lidt endnu, og i stedet træder et skridt tilbage og stiller det mere overordnede spørgsmål: Kan hjemmesideejere nu frit sætte cookie uden samtykke? Som Erhvervsstyrelsen skriver, vil dette udelukkende være en fordel for virksomheder og myndigheder da ”Det er svært at lave en god hjemmeside helt uden cookies.” Svaret er dog kort, og vil for nu fortsat være: nej. Vi må gå ud fra, at GDPR, cookiebekendtgørelsen og de skelsættende sager på cookieområdet der de seneste par år er blevet afgjort, ikke blot kan undergraves.
Det følger af diverse lovgivninger, vejledninger og praksis på området, at ved behandling af personoplysninger i forbindelse med cookies, er samtykke det relevante behandlingsgrundlag. Siden e-privacy forordningen ikke er trådt i kraft endnu, og siden der ikke er andre nye regler eller retspraksis, der modsiger samtykket, må vi derfor fastslå, at dette fortsat er gældende. Men går Erhvervsstyrelsen så direkte imod databeskyttende lovgivningen? Man kan overveje, om andre behandlingsgrundlag – her menes særligt dataansvarliges “legitime interesse” til at behandle personoplysninger – kan benyttes. Dette vil være en konkret interesseafvejning af de enkelte situationer, der efter personlig holdning ikke er klokkeklar. Men én ting er i hvert fald sikker: Erhvervsstyrelsens udmelding er ikke det samme som en direkte blåstempling af at sætte cookies uden samtykke.
En mere detaljeret vurdering kræver dog, at vi ved, hvad en “simpel” statisk cookie er.
Simple statistiske cookies?
Erhvervsstyrelsen benytter termen simple statistiske cookies, hvilket ikke umiddelbart er en terminologi, vi kender fra den gængse cookie klassifikation. Det er værd at overveje, om dette indikerer, at lovgiverne stadig vakler lidt med forståelsen af tech-landskabet, men sikkert er, at der er behov for en nærmere undersøgelse af begrebet. Erhvervsstyrelsen angiver selv, at dette er en cookie, hvor:
- Oplysningerne indsamles til hjemmesideejerens eget brug
- Der ikke bygges brugerprofiler af de besøgende og
- Oplysningerne ikke videregives til 3. part.
Men hvad betyder dette i praksis?
For at gøre det klart, hvorfor det kan være svært at arbejde med begrebet simple cookies, tager vi i dette eksempel udgangspunkt i det mest udbredte system til trafikmåling og optimering til hjemmesider, nemlig Google Analytics. Google Analytics kan nemt give svar på diverse spørgsmål omkring hvor mange, der benytter din hjemmeside, hvad de foretager sig, og det kan hjælpe med optimering af hjemmesiden. Derudover er det ganske “gratis”. For at få indsigter og identificere brugeren, benyttes GA cookien og et stykke javascript på hjemmesiden. Dette illustreres bedst på følgende måde:
GA cookien indeholder en lang talrække, eksempelvis GA1.3.1680369195.1630344804, der er bundet op til browseren og bruges til at identificere denne. Det er derfor også muligt, at slå op i Google Analytics hvad 1680369195.1630344804 har foretaget sig på hjemmesiden. Det er værd at bemærke, at du, ifølge gældende servicevilkår for Google Analytics, ikke må sende personhenførbare oplysninger til systemet. Dette gælder eksempelvis navn, efternavn, e-mail, telefonnummer mv. Umiddelbart skulle man derfor tro, at GA cookien kan klassificeres som noget, der minder om en simpel statistik cookie, fordi målingen er basert på browsere og ikke på konkrete individer, og fordi oplysningerne er til hjemmesideejernes eget brug. Det er ikke præcise brugerprofiler, der indsamles, og det er primært trends og aggregerede data samt tendenser, til brug for hjemmesideejerne, der er fokus på.
GA cookien har dog flere funktioner; den er blandt andet også en integreret del af Googles annonce maskine. Dette burde dog også kunne løses. Vi burde blot kunne komme omkring annonceringsdelen ved GA cookien ved at lave vores egen cookie og kalde den simpel_cookie, samt ved at tilskrive browsern et unikt id. Dette kan vi så bruge som identifier i stedet for GA cookien (dette lyder teknisk, men det er faktisk relativt let). Dermed har vi en “simpel” cookie, med de førnænvte kvalifikationer, og uden annonceringsdelen. Alternativt kan vi bruge et cookie id fra en nødvendig cookie, som vi godt må sætte uden samtykke, hvis hjemmesiden har sådan en.
Så skulle man umiddelbart tro, at vi var i mål, og har defineret en “simpel” cookie.
Det er dog ikke så enkelt, for cookien i denne kontekst er ligegyldig, da det ikke selve cookien, der fastslår relationen til Googles Annonce maskine, men derimod implementering og indstillinger af Google Analytics setuppet der fastslår, hvordan værktøjet agerer. Det vil derfor kræve adskillige tweaks til Google Analytics, såsom IP anonymisering samt deaktivering af Advertising features, for at kommer i nærheden af en “simpel” cookie.
Udover annoncering og statistik måling bruges GA cookien også til A/B testing, hvis man benytter sig af Google Optimize, da cookien benyttes til at huske og bestemme hvilken variant, browseren udsættes for.
Den ikke så simple statistiske cookie
Ovenstående er et forsøg på at komme tættere på, hvad en simpel cookie kan være. Som bevist er dette dog ikke lige til, og jeg tænker umiddelbart, at det er svært for den enkelte virksomhed at vurdere, hvad en simpel statistik cookie er, og om denne i så fald må benyttes frit.
Det er ofte selve scriptet, som indsættes på hjemmesiden, der faktisk dikterer, hvad der foregår samt beskriver den efterfølgende processering af dataen. Ofte har virksomheden ikke indsigt i den fulde process, da setuppet leveres af en tredjepart og er omfattet af ophavsret af værktøjet. Virksomheden skal derfor enten blot stole på sælgeren af værktøjet, eller ud fra nogle terms and conditions, samt en eventuel data processing agreement, fastslå om der er tale om en “simpel” cookie.
Vi kan håbe på en skarpere definition af begreberne i den nye e-privacy forordning, samt et mere nuanceret perspektiv som ikke kun omhandler cookies, men også generelle online identifiers og metoder til identificering og profilering af individer online. Du behøver faktisk slet ikke cookies, for at identificere browsereren, da der findes mange andre metoder. Dette er dog en helt anden samtale.
Så lad os for nu se hvad der sker, og slutte af med at fastslå at blot fordi politiet ikke prioriterer din anmeldelse, gør det ikke forseelsen til legal praksis for forbryderen. Du kan derfor ikke blot sætte cookies, som det passer dig, uden at løbe en risiko.
Det er aldrig rart at blive fanget med fingrene i cookie-dåsen.
Artiklen er skrevet i samarbejde med Sille Grostøl og repræsenterer private synspunkter, og først publiceret på Linkedin.