Cookie-spøgelset

25. maj 2011

Til Folketingets IT-Politiske Ordførere

IT-Politisk Forening har udarbejdet vedhæftede notat om cookies og e-databeskyttelsesdirektivet. Notatet viser:

  1. Idet der ikke er kommet nye krav om pligt til oplysninger om cookies i e-databeskyttelsesdirektivet, er det tvivlsomt at alle hjemmesider skal deklarere enhver brug af cookies.
  2. Det vil være yderst uhensigtsmæssigt at kræve - og dyrt at administrere - deklarering af de utallige cookies der bruges i overensstemmelse med eksisterende regler for sikring af privatlivet.
  3. Det problematiske er de mange tjenester der indsamler personlige oplysninger, blandt andet vha. cookies.
  4. Google Analytics er et eksempel på tjenester som indsamler personlige oplysninger og det kan og bør borgerne kunne undgå. F.eks. bruger IT- og Telestyrelsen samt Forbrugerrådet Google Analytics, og de burde anvise hvordan forbrugerne kan undgå netop den slags indsamling af personlige oplysninger.
  5. Det er også en skinløsning at skelne mellem forskellige typer cookies. Det giver end ikke mening for den enkelte borger at skelne mellem om cookies bliver brugt til det ene eller det andet. For borgere bør det være muligt at forhindre cookies fra sider der er villige til at krænke borgerens privatliv. Cookies fra sider der faktisk ønsker, i strid med gældende regler, at krænke borgerens privatliv, bør kunne blokeres uanset om de formelt kan karakteriseres som trafikcookies eller kan deklareres som uskadelige cookies.
  6. Der er behov for at borgerne gennem en oplysningskampagne får hjælp til at tilpasse deres browser så de ikke afgiver personlige oplysninger uønsket.

Venlig hilsen

IT-Politisk Forening

Niels Elgaard Larsen
Formand
tlf. 2620 0402

Flemming Bjerke
Næstformand
tlf. 2212 0366

 

IT- og Telestyrelsens fejltagelser om cookies

IT-Politisk Forening - itpol.dk

IT- og Telestyrelsen hævder:
Alle danske netsteder er forpligtet til at informere om, hvilke cookies der afsættes på brugerens udstyr.
(IT- og Telestyrelsen om brug af cookies)

IT-politisk er meget enige med IT- og Telestyrelsen - og Forbrugerrådet - i at det er vigtigt at hjælpe forbrugerne til at få bedre kontrol med den information der samles om dem. Imidlertid risikerer generel mærkning af cookies og krav om forbrugersamtykke at skade mere end det gavner. Hvis et meget stort antal cookies skal deklareres og samtykkes til, vil forbrugerne "lokkes" til at samtykke i at afgive rettigheder som de har i følge persondataloven. IT-Politisk forening skal derfor påpege at der allerede nu findes langt bedre løsninger i form af browserudvidelser.

I sig selv er cookies uinteressante. Det er måden cookies bruges på der kan være et problem. Langt de fleste cookies er nyttige og fuldkommen uskadelige, og der er ingen som helst grund til at prøve at rette forbrugernes bekymring mod disse. Hvis man besøger IT-Politisk Forenings hjemmeside, sættes der to cookies: En som identificerer selve besøget (sessionen), og en der noterer om brugerens browser tillader javascripts. Dermed behøver itpol.dk kun een gang pr. besøg undersøge om browseren kan forstå java. Hvis man ikke tillader cookies (sessionscookies), kan brugeren heller ikke vælge bogstavstørrelse for hele sitet. Der er intet personidentificerende i nævnte cookies så det er meningsløst at forlange disse cookies deklareret, og det tvivlsomt at e-databeskyttelsesdirektivet kræver det (se nedenfor).

Der er derimod god grund til informere forbrugerne om den omfattende indsamling af data om dem som foregår på nettet så forbrugerne selv kan tage stilling til om de vil unddrage sig dette. Det er da også netop den slags brug af cookies som IT- og Telestyrelsen advarer mod i deres tre videoer om cookies, og derfor er det da også alene den slags brug af cookies som IT- og Telestyrelsen burde advare mod. (I video nr. 3 siges der godt nok at man skal slå service cookies fra, men det oplyses ikke hvad service cookies er?) 

IT- og Telestyrelsen illustrerer udmærket faren for "forbrugerlokkeri" idet styrelsen sammenblander beskrivelsen af helt uskadelige cookies med deres egen brug af Google Analytics:

De oplysninger, som cookien indsamler om din brug (trafikdata,  herunder din IP-adresse), sendes til og gemmes på Googles servere i  USA. Google bruger oplysningerne til at evaluere din brug af
 webstedet, udarbejde rapporter om aktiviteten på webstedet og yde andre tjenester i tilknytning til aktiviteten på webstedet og brugen  af internettet.
http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies

Styrelsen mener øjensynligt at det der tilstrækkeligt at oplyse om at de lader Google foretage en centraliseret indsamling personlige oplysninger. Styrelsen synes også at mene at dette er i overensstemmelse med persondatalovens §6 (hvilket IT-Politisk Forening finder betænkeligt!). Styrelsen angiver dernæst links til hvordan man kan slette cookies i forskellige browsere. Dette er imidlertid lidet interessant da dette ikke hjælper forbrugerne til at skelne mellem cookies der bruges til at indsamle personlig information, og cookies der ikke gør. Desuden slettes hverken flash cookies (LSO) eller Microsoft cookies (Silverlight) der begge rummer langt større muligheder for misbrug af personlig information.

Med andre ord, den omfattende indsamling af personlige data der rent faktisk foregår (bl.a. via IT- og Telestyrelsens egen hjemmeside), får den type cookie-deklaration som IT- og Telestyrelsen vil have indført, ingen som helst betydning for, snarere tværtimod: IT- og Telestyrelsen lægger op til at forbrugerne skal acceptere Google Analytics gigantiske indsamling af personlig information.

Om Google Analytics skriver Maurer & Kulathuramaiyer:

... Google Analytics ... is a piece of statistical software that is free, can be installed on any server, and gives detailed information by whom and how the server is used. ... It has one “small” catch attached to it: it channels information gained also to Google, unless users take extra precautions. A test of the 300.000 most popular web site showed that over 80% had installed Google analytics. Thus, even users that never use any Google services will deliver a very complete personal profile to Google, since 4 of 5 servers will pass information on all user actions to Google. It has been noted numerous times that companies installing Google analytics may well violate local data protection laws, but those warnings have had little overall effect.

http://www.iicm.edu:8000/iicm_papers/IADIS_Knowledge_gathering

Det er n&aeaelig;rmest at gøre grin med forbrugerne at fortælle dem om hvordan man slipper for alle mulige cookies der er uden betydning for persondata, men giver ringere funktionalitet af hjemmeside. Men styrelsen fortæller ikke forbrugerne hvordan de specifikt slipper for at blive registreret af Google Analytics og de mange andre persondataindsamlende tjenester. Der findes formentlig over 500 internettjenester der indsamler personlig information.

Forbrugerrådet anvender også Google Analytics. Heller ikke Forbrugerrådet fortæller forbrugerne hvordan man undgår Google Analytics' og lignende tjenesters dataindsamling. Derimod påstår de at "Forbrugerrådet indgår ikke samarbejde med tredjeparter om at kortlægge den enkelte netbrugers adfærd på tværs af forskellige hjemmesider." Er Google ikke en tredjepart?
http://taenk.dk/shop/privatlivspolitik-k%C3%B8bs-og-medlemsbetingelser

Forbrugerrådet mener at løsningen på dataindsamlingsproblemerne er "Privacy by design" idet forbrugerne skal sikres vha. relevante tekniske løsninger. Men det er helt uforståeligt hvorfor Forbrugerrådet foreslår at bestemte privatlivsvogtende hjemmesider skal bruges til at sikre forbrugerne. Det vil kræve at forbrugerne accepterer tredjepart cookies fra disse hjemmesider og overdrager ansvaret for persondatabeskyttelse til disse hjemmesider.

I stedet for disse ejendommelige privatlivsvogtende hjemmesider, skal IT-Politisk Forening påpege at der findes browserløsninger som ganske udmærket beskytter forbrugernes personlige information. Der er især behov for fire ting:

  1. Sletning af alle cookies, incl. flash og Microsoft cookies, ved lukning af browseren.
  2. At forbrugeren har mulighed for at vælge hvilke cookies der ikke skal slettes ved lukning af browseren.
  3. Blokering for samtlige informationsindsamlende tjenester.
  4. At forbrugeren har mulighed for vælge hvilke tjenester der godt må indsamle information.

IT-Politisk Forening vil gerne påpege at der findes et plugin, Ghostery, til Firefox, Chrome, Safari og Internet Explorer som er god dette. (Hvis nogen skulle tvivle på troværdigheden af browser og plugins, kan man vælge en open source browser som firefox og kontrollere kildekoden - det samme gælder Ghostery-pluginet.)

Ghostery og andre plugins kan sættes op på forskellig vis. Så hvis Forbrugerrådet og IT- og Telestyrelsen virkelig ønskede forbrugerne bedst mulig beskyttelse af personlig information, hjalp de forbrugerne til at få tilpasset deres browser så forbrugerne bliver i stand undgå indsamlingen af personlig information.

Derimod er Forbrugerrådets ide om at certificere hjemmesider bureaukratisk, dyr og formynderisk. Det er langt mere effektivt og demokratisk at hjælpe forbrugerne til selv gennem browseren styre hvordan informationer om dem selv skal indsamles via nettet. Certificerede danske hjemmesider hjælper heller forbrugerne mod udenlandske hjemmesiders indsamling af personlig information.

Skal alle danske netsteder informere om, hvilke cookies der afsættes på besøgendes PC?

IT- og Telestyrelsen hævder som nævnt: "Alle danske netsteder er forpligtet til at informere om, hvilke cookies der afsættes på brugerens udstyr." Men her overser IT- og Telestyrelsen at direktivteksten undtager den udbredte og helt uproblematiske brug af cookies. Disse uproblematiske cookies er dermed heller ikke omfattet af bekendtgørelsen der ikke afviger væsentligt fra direktivet.

IT- og Telestyrelsen begrunder at EU's telekompakke stiller krav om at alle danske netsteder skal informere om brugen af cookies på følgende måde:

Det nye krav om informeret samtykke til lagring af og adgang til oplysninger på en brugers udstyr fremgår af artikel 5, stk. 3 i e-databeskyttelsesdirektivet (direktiv 2002/58/EF), som er blevet ændret i direktiv 2009/136/EF. Se artikel 5, stk. 3 og betragtning 66.

Det er korrekt at ændringen fra 2009 har et nyt krav om samtykke til adgang, men der er intet nyt krav om oplysninger (jf. uddrag af direktivteksten nedenfor). Præcis de samme krav om oplysninger gjalt i 2002 versionen som i 2009 versionen (dog ligger der i betragtning 66 en præcisering tredjeparters omkring adgang til cookies). Der skal altså stadig ikke oplyses om brug af cookies sker nemlig alene "med det formål at overføre kommunikation via et elektronisk kommunikationsnet" eller "for at sætte udbyderen af en informationssamfundstjeneste, abonnenten eller brugeren udtrykkelig ønsker, i stand til at levere denne tjeneste" som der står i direktivtekstens afgrænsning.

Endnu værre er det at IT- og Telestyrelsen bagateliserer at Google Analytics er en tredjepart der får "adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr", idet dette ikke er strengt nødvendigt for at sætte styrelsen i stand til at levere en ønsket tjeneste. Dermed forsøger IT- og Telestyrelsen at lokke forbrugerne til at godtage en persondataindsamlende tjeneste under dække af at der er tale om en cookie på niveau med fuldkommen uskadelige cookies. Idet IT- og Telestyrelsens omtale af Google Analytics nærmest bortforklarer Google's centraliserede indsamling af personlige data, synes styrelsens brug af Google Analytics at være på kant med direktivets betragtning 66 der omhandler tredjeparters adgang til informationer lagret på forbrugerens pc. (Jf. betragtning 66: "Det er derfor af allerstørste betydning, at brugere får klare og fyldestgørende oplysninger ... ")

På itst.dk bruger vi Google Analytics for at analysere, hvordan brugerne anvender hjemmesiden. De oplysninger, som cookien indsamler om din brug (trafikdata, herunder din IP-adresse), sendes til og gemmes på Googles servere i USA. Google bruger oplysningerne til at evaluere din brug af webstedet, udarbejde rapporter om aktiviteten på webstedet og yde andre tjenester i tilknytning til aktiviteten på webstedet og brugen af internettet. Google kan også videregive oplysningerne til tredjemand, hvis loven kræver det, eller hvis tredjemand behandler oplysningerne på Googles vegne.
http://www.itst.dk/om-styrelsen/om-itst.dk-1/brug-af-cookies


Uddrag af e-databeskyttelsesdirektivet

Betragtning 66 tilføjet i 2009:

(66) Det kan forekomme, at tredjeparter ønsker at lagre oplysninger på en brugers udstyr eller at få adgang til allerede lagrede oplysninger til en række formål lige fra legitime formål (såsom visse typer cookies) til formål, der indebærer uberettiget krænkelse af privatsfæren (såsom spyware eller virus). Det er derfor af allerstørste betydning, at brugere får klare og fyldestgørende oplysninger, når de foretager sig noget, der kunne medføre en sådan lagring eller adgang fra tredjeparts side. Midlerne til at give oplysninger og give ret til at nægte lagring eller adgang bør gøres så brugervenlige som muligt. En undtagelse fra forpligtelsen til at give oplysninger og give ret til at nægte lagring eller adgang bør begrænses til de situationer, hvor den tekniske lagring eller adgang er strengt nødvendig til det legitime formål, der består i at gøre det muligt at benytte en specifik tjeneste, som abonnenten eller brugeren udtrykkeligt har anmodet om. Hvor det er teknisk muligt og effektivt, i overensstemmelse med de relevante bestemmelser i direktiv 95/46/EF, kan brugerens samtykke til databehandling udtrykkes gennem anvendelse af passende browserindstillinger eller andre applikationer. Håndhævelsen af disse krav bør gøres mere effektiv ved at give de relevante nationale myndigheder øgede beføjelser.

Artikel 5.3 fra 2009 (fed betyder tilføjet i 2009):

Medlemsstaterne sikrer, at lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at sætte udbyderen af en informationssamfundstjeneste, som abonnenten eller brugeren udtrykkelig har anmodet om, i stand til at levere denne tjeneste.
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:01:DA:HTML

Artiklen fra 2002 (understregning betyder fjernet i 2009):

Medlemsstaterne sikrer, at anvendelse af elektroniske kommunikationsnet med henblik på lagring af oplysninger eller med henblik på at opnå adgang til oplysninger, der er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren får klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen i overensstemmelse med direktiv 95/46/EF og ret til at nægte den registeransvarlige en sådan behandling. Dette er ikke til hinder for teknisk lagring eller adgang til oplysninger, hvis det alene sker med det formål at overføre eller lette overføring af kommunikation via et elektronisk kommunikationsnet eller er absolut påkrævet for at levere en informationssamfundstjeneste, abonnenten eller brugeren udtrykkelig ønsker.