Informasjonskapsler

De fleste nettsteder benytter i dag cookies, også kalt informasjonskapsler. Dette er små filer som nettsteder lagrer på brukernes enheter. De kan blant annet brukes til å huske brukerspesifikk informasjon mellom to nettleserøkter. Ofte brukes dette til å forbedre brukeropplevelsen, mens andre ganger brukes cookies til formål som ikke nødvendigvis er i brukernes interesse, for eksempel sporing av brukerne på tvers av ulike nettsteder. 

Dette betyr at mens cookies i veldig mange tilfeller er uproblematiske for brukerne, kan de også brukes til formål som kan være problematiske når det gjelder personvern.

Uklarhet og usikkerhet

Derfor har cookies i svært mange år vært på dagsordenen til både politikere og fagfolk. Et resultat av dette er at bruken av cookies har kommet med i både EU-lover og nasjonal lovgivning, men ikke uten betydelige uklarheter. 

Dette har ført til at det er stor forskjell på hvordan nettsteder i dag informerer sine brukere om hvordan de bruker cookies. Noen nettsteder benytter et såkalt cookiebanner hvor det ikke bare informeres om cookiebruken, men hvor brukeren også bes om å samtykke til lagringen. I utgangspunktet skal dette gjøres før noen cookies settes.

Cookiebanner eller ikke?

Flyselskapet SAS er blant dem som benytter et slikt cookiebanner.

Andre, som for eksempel digi.no og Datatilsynet, nøyer seg med å ha en tydelig lenke til en personvernerklæring hvor det informeres om bruken av cookies. Utgangspunktet her er at Nkoms cookieveiledning, og også forarbeidene til Ekomloven, åpner for at samtykke til cookies gis gjennom nettleserinnstillingene for cookies. Ekomloven § 2-7b har også visse unntak fra samtykkekravet og informasjonsplikten. 

I mars i år behandlet det europeiske Personvernrådet (EDPB – European Data Protection Board) visse spørsmål fra det belgiske datatilsynet om blant annet cookie. Alle datatilsynene i EØS er medlemmer av rådet. Rådet har kommet med en uttalelse, men det viser seg at også denne uttalelsen kan tolkes på flere måter. I alle fall i Norge.

Digi.no har spurt både Datatilsynet og Nasjonal kommunikasjonsmyndighet (Nkom) om hva uttalelsen innebærer. Nkom er den kompetente fagmyndigheten for Ekomloven og cookies i Norge.

Vi har fått to ganske forskjellige svar. 

Datatilsynets syn

Kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet forteller at det etter at GDPR ble vedtatt, har oppstått usikkerhet og uenighet både i Norge og Europa om hvordan cookiereglene skal tolkes. Tilsynet har derfor avventet den nevnte uttalelsen fra Personvernrådet, som Stang Dahl kaller for en avklaring.

Det vil si at samtykke ikke lenger gis gjennom nettleser-innstillingene

Janne Stang Dahl, Datatilsynet

Ifølge Datatilsynet heter det i uttalelsen at samtykke til cookies må være et GDPR-gyldig samtykke.

– Det vil si at samtykke ikke lenger gis gjennom nettleserinnstillingene (slik vi har valgt å gjøre det frem til nå), skriver Stang Dahl i en epost til digi.no. 

– Det er snakk om ganske fersk juss og en ny standard for cookies for hele EØS, fortsetter hun. 

Nkoms syn

Hos Nkom har digi.no snakket med Stig Solberg, som er sjefingeniør i teknologiavdelingen. Han kaller Personvernrådets uttalelse for en «opinion».

– Det belgiske datatilsynet har bedt om en vurdering av noen konkrete spørsmål som de har stilt. Dokumentet (uttalelsen, journ. anm.) beskriver forholdet mellom GDPR og dagens ePrivacy-direktiv. Dette er tolkningen til European Data Protection Board, innleder Solberg. 

– I konklusjonen er dette i tråd med slik vi også har tolket det i Norge og det som er norsk rett. Det undergraver ikke at innstillingene i nettleseren er tilstrekkelig, fortsetter han. 

– Med mindre brukere velger noe annet i nettleseren, er bruk av cookies OK. Det er ingen endring på dette.

Det undergraver ikke at innstillingene i nettleseren er tilstrekkelig

Stig Solberg, Nkom

Hvordan cookieinnstillingene kan justeres i ulike nettlesere, kan du lese mer om på denne siden.

Personopplysninger

Fullt så enkelt er det likevel ikke alltid. For det er også et spørsmål om personopplysninger.

– Man kan i enkelte tilfeller se for seg at personvernrelaterte data innsamles. For eksempel har de fleste en Google-konto. Så lenge du er logget på med din Google-konto, er det mulig at denne kan knyttes sammen med andre opplysninger, sier Solberg. 

– Hvis man er i tvil om det er GDPR eller cookie-bestemmelsen som gjelder på den konkrete tekniske løsningen man benytter, bør man legge seg på det nivået som GDPR legger opp til. Da holder det ikke å informere om cookies. Det kreves et informert samtykke. Det kan også være tilfeller hvor både GDPR og ePrivacy gjelder. Men, det er ikke noe nytt her nå, understreker Solberg.

Også Stang Dahl hos Datatilsynet kommer nærmere inn på GDPR-kravene litt lenger ned i saken.

GDPR og ePrivacy

Om forholdet mellom GDPR og ePrivacy forklarer Solberg at mens GDPR er en forordning som skal implementeres direkte, er ePrivacy et direktiv, hvor gjennomføringen i nasjonal rett kan ha noe ulik form. Han forteller at GDPR favner bredere enn ePrivacy og ikke bare omfatter elektronisk informasjon.

– ePrivacy er «lex spesialis»-regulering av datasikkerhet og konfidensialitet innen elektronisk kommunikasjon knyttet til de elementene den omfatter, inkludert cookies, forklarer Solberg. 

Han legger til at det er et arbeid på gang i forbindelse med oppdatering av ePrivacy-direktivet.

– Diskusjonene pågår fortsatt i EU. Det er ingen endelig konklusjon ennå, forteller Solberg. 

Datatilsynets egen bruk av cookies

Før digi.no kontaktet Datatilsynet, tok digi.no en titt på hvordan tilsynet selv informerer brukerne om cookies på tilsynets nettsted. Digi.no kjenner til at mange tar utgangspunkt i blant annet personvernerklæringen som Datatilsynet har publisert, når de selv lager en slik erklæring. 

Personvernerklæringen til Datatilsynet er både er omfattende og detaljert. Men detaljene om nettopp cookies og bruken av disse, framstår som noe ufullstendige. Spesielt gjelder dette tredjepartscookies, som ikke er nevnt i det hele tatt.

Nøyaktig hvorfor disse opplysningene mangler, har vi ikke fått noe klart svar på. Men det er ikke utenkelig at Datatilsynet, som så mange andre, har et etterslep når det gjelder dokumentering av tekniske løsninger.

Nytt nettsted

Det som derimot er klart, er at dette snart vil bli rettet, ved at Datatilsynet snart skal lansere en helt ny utgave av nettstedet sitt. Da blir det betydelige endringer.

Vi vurderer dessuten å skille ut en egen cookie-erklæring fra personvern-erklæringen vår

Janne Stang Dahl, Datatilsynet

– Ved lansering av et revidert Datatilsynet.no om noen uker, kommer vi trolig til å innføre et cookiebanner. Jurister og teknologer hos oss arbeider med en revidering av personvernerklæringen vår og lager ny tekst til nettsidene, og vi foretar en risikovurdering av cookiebannerløsning. Vi vurderer dessuten å skille ut en egen cookieerklæring fra personvernerklæringen vår, slik at det blir enda tydeligere for brukerne. Uttalelsen fra personvernrådet i mars har bidratt til å gi denne jobben økt prioritet, skriver Stang Dahl.

Forbilde

Hun mener at det er viktig for Datatilsynet å være et godt forbilde når det gjelder forholdet til personopplysningsloven.  

– Derfor har vi et bevisst forhold til hvilke cookies vi har, og vi vurderer også dette fortløpende, skriver hun.

– Personopplysningsloven, som vi er tilsynsmyndighet for, regulerer behandling av personopplysninger. Personopplysninger kan blant annet samles inn gjennom cookies. I så fall må man ha et behandlingsgrunnlag og gi informasjon om behandling av personopplysninger. Dette er krav som kommer i tillegg til samtykke og informasjon etter Ekomloven, så det er viktig å skille mellom de to tingene. Det er også viktig å huske at ikke all informasjon fra cookies er personopplysninger, forklarer Stang Dahl.

Ikke personopplysninger

Om Datatilsynets egne cookies, opplyser hun at mange av cookiene på Datatilsynet.no ikke samler inn personopplysninger og er anonyme.

– I tråd med prinsippet for dataminimalitet, samt innebygget personvern, har vi nemlig valgt de mest personvernvennlige innstillingene for våre formål, så cookiene er nok snillere enn det kan se ut som. Vi har også full kontroll over dataene selv (i den grad vi samler inn noe), selv om vi bruker løsninger fra tredjeparter. Når vi nå legger om nettsidene våre, vil vi også gjøre endringer i informasjonen om cookies for å opptre i tråd med uttalelsen fra personvernrådet og for å være mer gjennomsiktige og tydeligere, skriver Stang Dahl. 

Det er i stor grad analyseverktøyet Siteimprove som bruker cookiene på Datatilsynet.no. Dette verktøyet ble tatt i bruk rundt årsskiftet. 

Vi legger vekt på anonymitet i innhenting av statistikk.

Janne Stang Dahl

– Vi har risikovurdert Siteimprove først. Dette analyseverktøyet brukes blant annet til å hente ut lesertall og vise hvilke temaer folk leser hyppigst – men også til å finne brutte lenker på våre sider og i vedlegg, eller til å indikere når saker trenger redaksjonell oppdatering. Vi legger vekt på anonymitet i innhenting av statistikk, og skal forklare dette nøye i vår oppdaterte cookie-erklæring, forklarer Stang Dahl. 

Ikke i mål

– Vi er, som mange andre, ikke helt i mål med hvordan dette vil lande. Det vi er helt enige i, er at cookies er det neste store området innen transparent nettbruk, der vi, i likhet med alle andre aktører – både kommersielle og ikke-kommersielle – trenger klarere og mer ensrettet regelverk fra EU-hold (for det er altså ikke slik at Datatilsynet håndhever eller lager regler for Norge som omhandler cookies, men vi bør være blant de første til å implementere en slik regel i praksis), fortsetter hun.

Tidligere hadde Datatilsynet en egen artikkel om cookies. Denne ble fjernet etter at GDPR ble vedtatt. Tilsynet planlegger å komme med informasjon på det reviderte nettstedet som ifølge Stang Dahl vil være i tråd med uttalelsen fra Personvernrådet medio mars. Hun legger til at datatilsynene i mange andre EU- og EØS-land for tiden med å få på plass slik informasjon.

Leste du denne? Lei av alle cookie-varslene? Nå kan Opera fjerne dem