Vad gäller för cookies på en webbsajt?
Detta är en spännande och lite styvmoderligt behandlad fråga kan vi tycka. Det handlar om viktiga saker som att få en sajt att fungera smidigt för användaren och samtidigt om integritet och datalagring.
Vad är en cookie?
En cookie är en liten textfil som sparas av webbläsaren och lagras på användarens dator. En webbsajt eller applikation kan hämta cookies från webbläsare vid ett nytt besök så att de kan känna igen besökaren, komma ihåg hens inställningar och ge en bättre upplevelse. I allmänhet innehåller cookies inte någon information för att identifiera en enskild person, utan används för att känna igen en webbläsare på en enskild enhet (t ex en dator eller en mobil).
Vilka olika cookies finns det?
I huvudsak finns det två sorters cookies, tidsbestämda cookies och sessionscookies. De tidbestämda sparas under en längre tid och används bland annat för att kunna visa besökaren nytt innehåll vid nästa besök. Sessionscookies raderas när man lämnar en webbplats och stänger ner webbläsaren och används till exempel för att komma ihåg vilket språk som valts så att man slipper byta språk på varje sida.
Det finns också förstapartscookies och tredjepartscookies. Förstapartscookies är en cookie som kommer ifrån den webbplats (domän) man är inne på och är den säkraste typen av cookie. Tredjepartscookies sätts av en annan part än den webbplats som besöks. Om en webbsajt exempelvis använder en videomodul från Youtube så kan Youtube sätta en cookie som de kan läsa. Cookies för att mäta besöksstatistik via exempelvis Google Analytics är också tredjepartscookies. Den här typen av cookies kan dessutom användas av flera olika webbplatser som samarbetar, till exempel för remarketing (eller retargeting). Det betyder att besökare som besökt en webbplats kan exponeras för riktade annonser för den webbplatsen (eller det företagets produkter och tjänster) när de besöker en annan webbplats inom ett nätverk (till exempel) Google Display Network eller när de gör en sökning på Google.
Bonus: Nu kan den strukturerade och vetgiriga fråga sig om det också finns andrapartscookie. Det finns egentligen inte, utan man brukar prata om andrapartscookies när man delar förstapartscookies med ett annat företag/partner, dvs andrahandsdata.
Varför behövs cookies?
Cookies används för att ge besökare av webbplatser en bättre upplevelse och många bra funktioner fungerar tack vare cookies, exempelvis:
- Inloggningar (tänk att behöva logga in på nytt på varje ny sida under ett besök)
- Språkval (ganska jobbigt att hela tiden hamna på huvudspråket när man redan gjort ett val)
- Statistik (hur ska man veta vad besökarna besöker, vad de gör och var de kommer ifrån annars?)
- Varukorgar, beställningslistor och favoriter
- Omröstningar
- Personalisering och anpassning av utseende och funktioner
- Skräddarsydd annonsering (genom tredjepartscookies)
Kan man ta bort eller stänga av cookies?
Även om man vanligtvis säger att cookies inte är skadligt är det viktigt att tänka på att cookies faktiskt ger webbplatser möjlighet att under vissa förutsättningar kartlägga aktiviteter på nätet, vilket man ses som ett intrång i den personliga integriteten. Avlyssning och förfalskning av kakor kan också användas i brottsligt syfte till exempel för obehörig inloggning, obehörig modifiering av innehåll, felaktig statistik och obehörig röstning. (Här bör man skydda känslig kommunikation med kryptering och använda starka lösenord). En Flash-presentation (till exempel en Youtube-video) som ligger på en webbplats kan ha hämtats från en annan webbplats och ägaren till presentationen kan då registrera besök på alla sidor som lagt upp videon på sina webbplatser och koppla samman informationen (även om du som användare blockerat användningen av cookies i din egen webbläsare).
Man kan alltid välja att radera alla sparade cookies i webbläsaren via inställningarna för denna. Man kan också i de flesta webbläsare välja att blockera cookies - men då kanske inte allt fungerar på bästa sätt på alla sajter (t ex behövs cookies för många e-handlar för att spara produkter i varukorgen).
Eftersom tredjepartscookies gör att man kan skapa mer heltäckande kartläggningar av en användares vanor betraktas de som känsligare ur ett integritetsperspektiv. Därför kan man i de flesta webbläsare ställa in så att tredjepartscookies inte accepteras, medan andra typer av cookies är tillåtna.
Här finns en bra beskrivning av hur man kan tömma eller stänga av cookies i olika webbläsare.
Vad gäller för hantering av cookies på en webbsajt?
Alla som besöker en webbplats med cookies ska få information om att webbplatsen innehåller cookies, vem eller vilka som information utbyts med och syftet med användningen av cookies innan man börjar använda sajten eller tjänsten. Användaren ska också ge sitt samtycke till att det används cookies innan de lagras eller hämtas.
Användandet av cookies regleras genom cookielagen i Sverige som kom 2011 och som i princip säger att uppgifter endast får lagras om användarna informeras om ändamålet för datainsamling och ger sitt uttryckliga samtycke till det. I maj 2018 kom dataskyddsförordningen GDPR som direkt slog igenom som lag i samtliga EU-länder. Men här säger man bara att cookies kan innehålla personuppgifter och därmed ska behandlas enligt förordningens föreskrifter. Mer information om dataskyddsförordningen finns på Datainspektionens webbplats.
Lagom luddigt och kanske öppet för tolkningar alltså. I maj 2020 kom därför Europeiska dataskyddsstyrelsen, EDPB, med nya riktlinjer kring hur lagstiftningen ska tolkas i praktiken. Enligt Webbriktlinjer ska samtycket vara individuellt, frivilligt och särskilt. Kravet på att samtycket ska vara särskilt innebär att ett generellt samtycke till behandling av uppgifter inte kan godtas. Samtycket ska gälla behandling för ett eller flera preciserade ändamål.
Goda exempel
Vår tolkning är att man tydligt bör redovisa vilka cookie man använder, varför och till vad och få aktivt samtycke från sina besökare (till skillnad från passivt som var godtagbart tidigare), dvs:
- Aktiv och specifikt samtycke, endast vitala cookies får vara pre-checked och aktiverade innan samtycke är givet
- Livstid per cookie måste deklareras
- Information om cookien kan tillgås av tredjepart eller inte
Det betyder att tjänsten vi använder oss av aktivt måste blocka alla cookies som finns på en webbsajt, inklusive tredjeparts. De enda som får vara föraktiverade är cookies som behövs för att man ska kunna använda sajten över huvud taget (om det finns sådana).
Europeiska Unionens Domstol har en cookielösning som imponerar. Du kan välja vilka cookies du vill acceptera, och om du stöter på något innehåll på en sida som behöver en cookie du inte accepterat får du möjlighet att ändra dig precis där den behövs.
Frågor och svar om cookies
Vill du veta vilka cookies din webbsajt har? Fråga oss om det är vi som utvecklat den, eller kolla sajten i olika verktyg som Myndigheten för Digital Förvaltning har samlat ihop.
Vill du veta ännu mer? Läs gärna mer hos till exempel Post och Telestyrelsen här.
© 040 2024
Relaterade artiklar:
Vad innebär det att stöd för tredjeparts cookies tas bort?
Ni kanske har hört att Google gått ut med att de ska sluta stödja tredjeparts cookies 2022 och fått lite panik? Vad innebär det? Kan man inte samla in besöksstatistik från sin sajt längre? Kan man inte rikta marknadsföring mot sina besökare?
Vad gäller för tillgänglighets-anpassning?
Tillgänglighetsanpassning? WCAG AA v 2.1? Senast september 2020? Vad är detta och vad gäller?
Vad ska man tänka på vad gäller GDPR för sin webbsajt?
Om din sajt inte samlar in några personuppgifter behöver du inte tänka på något alls, men de fallen är sällsynta. Minsta lilla formulärsfält, registrering till nyhetsmail eller mätning av besöksstatistik så måste du utgå från GDPR och hantera det i din GDPR policy.
Är CHIPS lösningen för tredjepartscookies?
Att ta bort tredjepartscookies från webben har varit på gång länge. Men nu när det börjar rullas ut dyker problemen upp, bland annat för iframes.