Det kan være meget svært at undgå cookies – selv på hjemmesider, som er betalt af det offentlige.
Accepterer du cookies? Når du møder det spørgsmål i et banner eller en boks på en hjemmeside, kan du ofte let trykke 'OK' eller 'ja' og så komme videre. Sværere kan det være, hvis du ikke vil have de digitale småkager, eller hvis du bare vil vide lidt mere om, hvad du egentlig siger 'ja' til.
Cookies er små stykker kodeReelt er den et lille stykke kode, som en hjemmeside kan installere i din browser. På den måde kan hjemmesiden genkende dig og for eksempel indsamle data om dig. De data kan så bruges til at forbedre din brugeroplevelse, men de kan også sælges videre til virksomheder, der for eksempel ønsker at målrette reklamer til dig.Og det er ikke lovligt. Det vurderer Ayo Næsborg-Andersen, der er lektor i it-ret og persondataret på Syddansk Universitet, SDU. - Det skal være lige så let at sige nej som ja til cookies. Og hvis du siger ja, skal det være en såkaldt aktiv handling. Altså noget, du gør bevidst.Vi har fået Ayo Næsborg-Andersen og to andre eksperter i persondataforordningen GDPR og cookies til at se på cookiebannere på en række hjemmesider, der på den ene eller anden måde er offentligt finansieret.Eksperterne var ikke enige i alt.DR har i forbindelse med artiklen talt med tre eksperter og gennemgået cookie-informationen på hjemmesiderne dr.dk, erhvervsstyrelsen.dk, datatilsynet.dk og ft.dk .Ayo Næsborg-Andersen, lektor i persondataret, Syddansk UniversitetMens Ayo Næsborg-Andersen og Midas Nouwens mener, at alle fire sider har større eller mindre problemer med at leve op til lovgivningen, vurderede Søren Sandfeld Jakobsen, at kun Datatilsynet og Folketinget havde problemer. Men mindst to eksperter vurderer, at cookiebannerne på alle fire sider er enten ulovlige eller på kant med lovgivningen på området. Ayo Næsborg-Andersen understreger dog, at de undersøgte hjemmesider slet ikke er de værste eksempler, hun har set på nettet.- Det er jo problematisk, at siderne gør det svært at sige nej til cookies. For det burde jo ikke være afgørende for din deltagelse i samfundet og demokratiet, at du accepterer overvågning fra cookies, vurderer Ayo Næsborg-Andersen.Af de undersøgte hjemmesider er det især Folketinget.dk, der bekymrer de tre forskere.'Hvis du fortsætter med at bruge sitet, accepterer du samtidig vores cookiepolitik.' Cookiebanner fra folketingets hjemmeside, ft.dk, er i strid med lovgivningen, vurderer tre eksperter.- Det skal være et aktivt valg at få cookies. Men hvis du bare fortsætter, har du ikke taget et aktivt valg, siger ph.d. Midas Nouwens fra Aarhus Universitet og fortsætter.DR Viden har forelagt kritikken for Folketinges it-udviklingschef, Liselotte Astrup. Hun skriver i et skriftligt svar: “Det er korrekt, at Folketingets hjemmesider p.t. ikke lever op til den gældende cookie-politik jævnfør EU-dom fra 1. oktober 2019, og det er vi selvfølgelig opmærksomme på og vil gøre noget ved hurtigst muligt. Årsagen er, at Folketinget er i gang med en større opgradering af alle hjemmesider og står foran en lancering i uge 7, hvor den nye cookie-politik vil blive opfyldt. I og med at Folketingets hjemmeside er et offentligt site, som kun benytter sig af såkaldte funktionelle cookies til brug for en bedre navigering på hjemmesiderne og ikke tredjeparts cookies, som kan kompromittere brugernes data, har vi vurderet at en opdatering af cookie-politikken godt kunne vente til lanceringen af det nye site.” - Og hvis du vil undgå cookies, hvad gør du så? Hvis du så vælger 'Læs mere om cookies', så kan du ikke vælge dem fra. Du får heller ikke at vide, hvilke cookies de specifikt har installeret.Det samme mener eksperterne, at Datatilsynet gør. For selv om der her er en let måde at sige nej til cookies på, får du automatisk indstillet cookies, hvis du ikke træffer et valg, første gang du besøger siden, skriver de., siger Søren Sandfeld Jakobsen, professor i it-lovgivning på CBS Law.Kommunikationskonsulent Anders Due fra Datatilsynet skriver efter DR's henvendelse: "Jeg har netop talt med vores leverandør, som bekræfter, at der sættes cookies, hvis brugeren ikke aktivt fravælger det. Det er meget begrænset, hvad vi bruger af cookies på vores hjemmeside i det hele taget, men det er stadig meget uheldigt. Vores leverandør oplyser også, at de allerede er i gang med at implementere nogle ændringer i lyset af netop Planet49-dommen. De forventer, at ændringen er rullet ud i løbet af denne uge." Den principielle dom handlede om en tysk hjemmeside, der havde hentet samtykke ved at præsentere brugeren for et forudafkrydset felt, der sagde, at de accepterede cookies. Men den gik ikke, vurderede EU-domstolen i oktober 2019. I domsafsigelsen blev det specificeret, at brugerens 'ja' til cookies skal indhentes ved en aktiv handling. Datatilsynet har, efter DR Videns henvendelse, rettet op på fejlen, så siden nu lever op til lovgivningen på området.I forhold til de to andre hjemmesider, dr.dk og erhvervsstyrelsen.dk, var forskerne ikke helt enige. Her mener Søren Sandfeld Jakobsen fra CBS, at reglerne umiddelbart er overholdt. Men hans kollegaer fra Aarhus Universitet og SDU mener, at siderne lider af mindst 'skønhedsfejl'. - På dr.dk kræver det en del klik at sige nej til alle cookies. Det er langt lettere at sige ja. Og så undrer jeg mig over, at der er hele 43 cookies, som er nødvendige for at sitet fungerer, siger Ayo Næsborg-Andersen fra SDU. Nødvendige eller tekniske cookies er den type, der er nødvendige for at hjemmesiden kan fungere. Det kan for eksempel være en cookie, der husker dit brugernavn. Det er den eneste type cookies, som hjemmesider ikke behøver din tilladelse til at anvende. Hos vores egen hjemmeside, dr.dk, kan det være svært at finde ud af, hvordan man siger 'nej' til cookies, vurderer eksperter. Derudover påpeger Midas Nouwens, at det er imod reglerne, at boksene er afkrydset på forhånd, når man kommer til området, hvor man kan vælge forskellige kategorier af cookies fra.DR Viden har forelagt kritikken til DR's digitale chef, Michael Arreboe. Han har svaret skriftligt: ”Vi har høje standarder, når det handler om registrering og beskyttelse af brugernes data. Vi bruger cookies til at levere en bedre brugeroplevelse, og vi ønsker selvfølgelig at gøre det så transparent og enkelt for brugerne som overhovedet muligt. Vi følger Erhvervsstyrelsens retningslinjer, og vi er opmærksomme på, at der netop er kommet nye retningslinjer. Dem er vi ved at tolke på og implementere på den mest hensigtsmæssige måde – herunder hvordan brugerne fremover skal kunne fravælge cookies uden, at det går ud over brugeroplevelsen.”bliver det beskrevet: Den type bokse, som er afkrydset i forvejen, er ikke en tilladt måde at få brugerens accept af cookies på, siger han. Eksperterne roser dog DR's side for at have en liste med information om alle cookies, ligesom det er muligt at til- og fravælge kategorier af cookies.Her mener Ayo Næsborg-Andersen, at cookiebanneret er opsat, så der umiddelbart skubbes til at acceptere cookies, mens man skal være noget mere vågen for at se, at man også kan afslå. Hos Erhvervsstyrelsen nudges der til at sige 'ja', vurderer to af de tre eksperter. Det gøres for eksempel via opsætning at fremhæve 'OK' frem for et nej til cookies. For eksempel er der en stor, gul 'OK'-knap, mens 'nej til cookies' blot er skjult i et hyperlink i samme farve som boksen.DR Viden har forelagt kritikken for Erhversstyrelsen. Styrelsen har svaret skriftligt:Der er ikke krav om, at selve cookie-banneret skal indeholde en specifik liste over de cookies, som installeres i brugerens browser. I cookievejledningen har vi beskrevet, hvordan informationen fx kan gives til brugeren gennem et cookie-banner, hvor brugeren præsenteres for de væsentligste informationer i selve banneret, og hvor der er indsat et link til mere detaljerede informationer. På Erhvervsstyrelsens hjemmeside skal brugeren trykke på ”OK” før der gemmes en statistik-cookie på brugerens pc eller telefon. Det er klart og tydeligt angivet i banneret, hvordan man kan afslå cookies. Samtidig er der i den uddybende tekst oplysninger om at cookies anvendes til statistikformål, herunder brugerundersøgelser. I øvrigt kan Erhvervsstyrelsen oplyse, at styrelsen er i gang med at skifte statistiksystem og vi vil i denne forbindelse fremover også oplyse om varigheden for vores statistik-cookies."Midas Nouwen fra Aarhus Universitet er enig. Han henviser til de officielle vejledninger i andre europæiske lande. - I vejledningerne fra britiske, franske, og nederlandske datatilsyn fastslås det, at mekanismer, der favoriserer 'ja' til cookies over 'nej' er ulovlige, fordi hjemmesiden på den måde påvirker brugerne til at give samtykke. Også hvis det gøres med opsætning og skriftstørrelse, forklarer han.Eksperterne understreger, at eksemplerne, som vi har kigget på i denne artikel, langt fra er enestående.af de 10.000 mest populære sider i Storbritannien konkluderede Midas Nouwen sammen med kollegaer fra Massachusetts Institute of Technology og University College London, at kun 11,8 procent af siderne overholdt centrale punkter i GDPR.Den tyske virksomhed Planet49 havde indhentet samtykke via et forhåndsafkrydset felt, som brugerne aktivt skulle klikke på for at undgå cookies. EU-Domstolen fastslog i afgørelsen i oktober 2019, at samtykke ikke er gyldigt, hvis det alene følger af et forudafkrydset felt. Det begrundede domstolen blandt andet med, at et samtykke alene er udtryk for en egentlig viljetilkendegivelse, når det afgives ved en aktiv handling. Samtykkekravet gælder, uanset om brug af de pågældende cookies indebærer behandling af personoplysninger.