Informatik

Cookies & GDPR

Hvad er cookies?

Cookies blev opfundet i 1994 af programmøren Lou Montulli for at en hjemmeside kunne afgøre om en bruger tidligere havde besøgt hjemmesiden. 

Quick guide til websites

Et website befinder sig på en server, og man bruger sin webbrowser, som fx Firefox, Safari og Chrome, til at sende besked til serveren om, at man vil se et bestemt website. Dette sker, når man indtaster URL’en, fx example.com, i browserens adressebar eller klikker på et hyperlink. Det foregår via HTTP eller HTTPS (Hypertext Transfer Protocol Secure), som er en grundlæggende protokol for kommunikation på internettet. HTTP er “stateless”, hvilket vil sige, at det ikke har nogen hukommelse og kan altså ikke huske tidligere information sendt over internettet. Websites kan derfor ikke huske om en bruger har besøgt siden før. Til det bruger man cookies.

Cookies forklaret

Cookies er små filer, som gemmes på computeren, når brugeren besøger et website. Filerne bruges til at “huske”, hvad brugeren foretager sig på websitet. Når brugeren navigerer rundt på websitet, fx klikker på andre sider eller tilføjer varer til indkøbskurven, udveksles der cookies mellem browseren og websitet. Disse cookies gør fx at varerne bliver i kurven eller at brugerens indstillinger er de samme på alle websites sider.

Cookies er relevante for dig som forbruger på en hjemmeside. Uden cookies ville alle siderne på et website være isolerede fra hinanden og man ville fx ikke kunne handle varer. En cookies skal have en udløbsdato, så de efter et tidsrum bliver slettet på brugeren computer.

Typer af cookies

I Danmark skelner vi mellem 4 forskellige typer af cookies:

  • Tekniske cookies
  • Statistik cookies
  • Personaliserede cookies
  • Markedsføringscookies

Tekniske cookies

Tekniske cookies er nødvendige for at et website fungerer ordentligt. De registrerer ikke informationer om dig eller din adfærd på nettet. De sørger fx for at du bliver ved med at være logget ind på et website. Uden tekniske cookies ville en bruger skulle logge ind hver gang de gik til en anden side.

Mange af de de tekniske cookies har en relativ kort levetid på din computer, ofte kun mens en session er i gang. Det er også den eneste cookie, der ikke kræver samtykke fra brugeren og som websitet derfor ikke skal informere om, at de bruger.

Statistik cookies

Statistik cookies bruges af websites indehavere eller designteam til at se hvilke sider brugeren besøger på websitet og generelt til at holde øje med brugernes navigation på sitet. Typisk sker dette via en ekstern partner, som fx Google Analytics, der rapporterer til websitets designere. De bruges typisk til at forbedre design, ændre i siderne og det overordnede formål med statistik cookies er lidt ligesom brugerundersøgelser i supermarkeder: Hvordan kan man forbedre designet og funktionerne, så brugeren gør det, man vil. Der registrerer typisk ikke personoplysninger.

Statistik cookies kræver samtykke fra brugeren og websitet skal derfor informere om brugen af disse.

Personaliserede cookies

Personaliserede cookies tracker brugerens adfærd på websitet med det formål at tilpasse sitet til brugeren. Hvis man fx ser på kvindetøj på et website, vil websitet notere dette i en fil og fremadrettet tilpasse websitet, så man næste gang vises lignende indhold. Personaliserede cookies hjælper også med at huske brugernavn, så man ikke skal indtaste dette hver gang, man går på websitet igen.

Personaliserede cookies gemmes noget længere på brugeren computer, fx 1 år. De kræver samtykke fra brugeren og websitet skal derfor informere om brugen af disse.

Markedsføringscookies

Markedsføringscookies er tracking cookies ligesom personaliserede cookies. De adskiller sig fra disse ved at bruge informationerne til at markedsføre annoncer til brugeren mens man bruger websitet. Hvis du fx har været inde på boozt.com, kan der komme reklamer for dette website, når brugeren efterfølgende besøger Facebook eller bruger Google. Markedsføringscookies gør det muligt at følge brugernes færden på nettet og lave målrettet markedsføring eller videregive informationerne til andre aktører. Derfor kaldes de tracking cookies.

Markedsføringscookies kræver samtykke fra brugeren og websitet skal derfor informere om brugen af disse.

Øvelser til cookies

Øvelse 1

Gå ind på bilka.dk i Chrome og læg en vare i kurven.

Luk browservinduet, gå endnu engang ind på bilka.dk og tjek indkøbskurven.

Er varen der stadig? Hvilken cookie skyldes det?

Dagen efter går du ind på bilka.dk igen. På forsiden er der nu et godt tilbud på et skopudsemiddel i samme farve som skoene, du købte i går. Hvilken cookie har sørget for det?

Skriv svaret i jeres logbog.

Øvelse 2

Der er snart ferie. Du har været inde på et par rejseselskaber og bl.a. søgt efter ”billige rejser til Spanien”. Dagen efter dukker der annoncer op i højre side af Facebook med en reklame for en billig lejlighed i Torremolinos.

Skyldes det en personaliseret cookie eller en markedsføringscookie? Og hvorfor det? 

Skriv svaret i din logbog.

Øvelse 3

Diskuter fordele og ulemper ved cookies for dig som forbruger.

Diskuter fordele og ulemper for virksomhederne ved cookies. Kan alle virksomheder tillade sig at bruge alle disse typer af cookies? Er der nogle organisationer, som ikke kan tillade sig at bruge fx personaliserede og markedsføringscookies?

Besvarelsen indskrives i din logbog.

1., 2. og 3. partscookies

Man skelner desuden mellem 1., 2. og 3. partscookies.

Nogle websites tillader, at en andenpart og tredjepart får adgang til at placere cookies på din computer, tablet eller smartphone til forskellige formål. Det vil sige, at andre end websitets ejer får adgang til at sætte cookies.

Vi skelner derfor imellem hvilken part, som står bag de forskellige cookies:

  • 1. part cookies er fra websitet selv og bruges typisk til logon, indkøbskurv og lignende, fx teknikcookies. 
  • 2. part cookies bliver leveret af en anden part til afdækning af søgning, statistik og lignende, fx statistikcookies. Dog er disse altid på vegne af websitets ejer.  
  • 3. part cookies tjener en tredje eksterne part og bruges til reklamer, statistik, tracking og lignende, fx markedsføringscookies. De placeres efter aftale med websitets ejer, som også tjener penge på disse.  

3. partscookies er sandsynligvis snart et overstået kapitel. Mens 1. partscookies er uundværlige for et websites funktionalitet og 2. partscookies bruges til at forbedre sitets funktionalitet, tjener 3. partscookies ikke noget formål for brugeren eller websitet andet end tracking af brugerens adfærd. Det er derfor også problematiske cookies af hensyn til privacy, da brugernes adfærd og oplysninger deles og sælges. Google har meddelt at de vil begynde at udfase understøttelsen af 3. partscookies i deres browser Chrome i 2024. Det forventes at andre browsere vil følge trop de kommende år, hvorfor markedsføringscookies over de næste par år vil forsvinde.

Øvelser til cookies

Øvelse 4: Tjek cookies med browseren

I kan selv tjekke, hvilke cookies et website efterlader på jeres computer, ved at følge denne vejledning:

1. Dobbeltklik eller højreklik på siden og vælg “Undersøg”.

2. Tryk på “>>” og vælg “Application”.

3. Under “Cookies” kan I se hvilke cookies websitet efterlader på jeres computer. I eksemplet nedenfor, kan vi se, at dr.dk kun efterlader 2 cookies på vores computer· Hvilke typer af cookies er det?

4. Hvis vi laver samme undersøgelse af eb.dk, er det et lidt andet billede af cookies, som kommer frem. Hvilke typer af cookies efterlader eb.dk på jeres computer og hvorfor?

Cookiebekendtgørelsen

Cookiebekendtgørelsen er en lov om reglerne for brug af cookies på websites og er grunden til at vi skal acceptere eller afvise brugen af cookies, når vi besøger websites. På Retsinformation lyder VEJ nr 10189 af 10/12/2019, også kaldet Vejledningen til Cookiebekendtgørelsen:

Cookiereglerne stiller krav om, at du indhenter et informeret samtykke fra dem, der besøger hjemmesiden, inden du og andre anvender cookies og lignende teknologier til fx statistik eller markedsføringsformål.

Hvis du derimod kun bruger eller tillader, at der bruges cookies til tekniske nødvendige formål på din hjemmeside, behøver du ikke informere brugerne eller få deres samtykke hertil. Hvis du ikke lever op til cookiereglerne, kan det straffes med bøde.

Databeskyttelsesloven: Hvad er GDPR?

Når du bruger en webshop, netbank og bruger sociale medier, deler du dine private oplysninger med anden part. Det kan være svært at gennemskue, hvad og med hvem du har delt dine oplysninger.

Databeskyttelsesloven, også kaldet GDPR (General Data Protection Regulation) er en EU-lov lavet for at give brugerne bedre kontrol over deres egne oplysninger og for at sikre at virksomheder har stram kontrol med hvordan de behandler og opbevarer brugernes oplysninger.

Loven omfatter alle oplysninger, som kan identificere en bruger, som fx:

  • Navn, alder og køn
  • CPR-nummer
  • Din computer eller telefons IP-adresse
  • Hvor du befinder dig (lokation)
  • Helbredsoplysninger
  • Økonomiske oplysninger

3 typer personoplysninger

Loven skelner mellem tre typer af personoplysninger, som der er særskilte regler for:

  • Personoplysninger (ikke-følsomme oplysninger)
  • Særlige kategorier af personoplysninger (følsomme oplysninger) 
  • Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger

Ikke-følsomme oplysning er alle oplysninger, som ikke hører under følsomme oplysninger og de må som udgangspunkt gemmes og bruges, så længe virksomhederne opfylder GDPR-reglerne for opbevaring.

Særlige kategorier af personoplysninger (følsomme oplysninger) er:

  • Helbredsoplysninger
  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske dataBiometriske data med henblik på entydig identifikation, f.eks. fingeraftryk eller ansigtsgenkendelse
  • Seksuelle forhold eller seksuel orientering

For dem gælder der særlige strikse regler for hvornår og hvordan de må bruges. Fx må en webshop ikke registrere nogen af disse.

Overordnet dikterer GDPR at virksomheder og organisationer kun må gemme informationer, som de har brug for at at kunne servicere brugeren. Fx har en webshop ikke brug for en brugers CPR-nummer, men en virksomhed har brug for en medarbejders CPR-nummer for at kunne udbetale løn og må derfor godt opbevare denne oplysning.

GDPR betyder at en person har

Retten til samtykke

Virksomheder må ikke behandle de personlige data om en enkeltperson, medmindre personen frivilligt har givet specifikt, informeret og entydigt samtykke herom enten i en erklæring eller ved en klart bekræftende handling.

Retten til adgang

Dette betyder, at personer har ret til at få adgang til deres personlige data og efterfølgende til at få at vide, hvordan virksomheden bruger deres data. Virksomheden skal udlevere en kopi af de personlige data, gratis og i elektronisk form, hvis en person beder om det.

Retten til at blive glemt

Hvis en person ikke længere er kunde, eller hvis han/hun tilbagetrækker sit samtykke til, at virksomheden må bruge de personlige data, har personen ret til at få sine data slettet.

Retten til dataoverførsel

En person har ret til at få overført sine data fra en serviceudbyder til en anden. Og det skal ske i et almindeligt brugt og maskinlæsbart format.

Retten til at blive informeret

Dette gælder enhver form for indsamling af data, som foretages af virksomheder, og personerne skal informeres, før indsamling af data sker. Personerne skal aktivt tilvælge (opt-in), at deres data må indsamles, og samtykke skal gives frivilligt og må ikke være underforstået.

Retten til at få oplysninger rettet

Dette sikrer, at personer kan få deres data opdateret, hvis den er forældet, utilstrækkelig eller forkert.

Retten til at begrænse behandling

Personer kan frabede sig, at deres data anvendes til databehandling. Data må fortsat gerne opbevares, men ikke anvendes.

Retten til at gøre indsigelser

Dette inkluderer retten til at få stoppet brugen af data til markedsføringsformål. Der er ingen undtagelser til denne regel, og al brug af personens data skal stoppe, så snart en indsigelse modtages. Der skal informeres tydeligt om denne rettighed, når kommunikationen med en person indledes.

Retten til at blive underrettet

Hvis der er sket et brud på datasikkerheden, som kan kompromittere en persons personlige data, har personen ret til at blive underrettet indenfor 72 timer efter, at bruddet er blevet opdaget.

Øvelse 6

I skal nu skrive en tekst til en webshop, som forklarer reglerne for GDPR for kunderne, så I er sikre på, at I opfylder kravet om tydelig og klar kommunikation. Udover gennemgangen her på siden kan I også læse mere om GDPR på Tænk.

I skal omformulere reglerne til en kort og forståelig tekst til jeres kunder. Teksten indskrives til sidst i jeres logbog.

Myter om GDPR

Hvis du vil læse mere om, hvad GDPR ikke betyder for dig og hvordan det ikke har indflydelse på om du må gemme dine venners kontaktoplysninger på din telefon, så læs mere på Datatilsynet website om Myter om GDRP.