I Sverige fick vi en ny lag den 1 juli som baseras på nya EU-direktiv. En lag som är en del i syftet att göra elektronisk kommunikation säkrare för besökaren. Helt enkelt skydda dess integritet. Just den här lagförändringen gäller hanteringen och informationen om kakor (så kallade cookies) på webbsajter eller andra metoder för att lagra personlig data för spårning.
Det har tidigare funnits krav att man måste informera om man använder kakor eller inte. Nu har dessa blivit betydligt strängare och man måste ge fullständig information om samtliga kakor. Detta gäller både vad det är för kaka och syftet med den. Stora skillnaden är att förut räckte det med möjlighet till "opt-out", nu krävs acceptans innan.
Kortfattat om kakor (cookies)
En kaka (cookie) är en liten textbaserad fil som webbplatser sparar på webbplatsbesökarens dator (i browsern). Syftet och användningsområdet för kakor är många. Bland de viktigaste är att möjliggöra viss typ av funktionalitet som förhöjer användarupplevelsen. Det handlar ofta om funktionalitet som kräver att man “känner igen” besökaren. Det här kan vara långsiktigt och kortsiktigt.
Utöver det är det självklart livsviktigt för sajter idag att kunna få statistik på besökarna av sajten, men även för att hantera inloggningar och autentisering. Det är bland annat här kakan kommer in i bilden.
Läs mer på Wikipedia om kakor.
Vad lagen om elektronisk kommunikation säger
För fullständig beskrivning av lagen och vilka implikationen den får läs mer på PTSs sajt. PTS är den myndighet som bevakar områdena elektronisk kommunikation och post, PTS står för Post och Tele Styrelsen.
Kortfattat så säger de:
Enligt lagen om elektronisk kommunikation ska alla som besöker en webbplats med kakor få tillgång till information om att webbplatsen innehåller kakor och ändamålet med användningen av kakor. Besökaren ska också samtycka till att kakor används. - PTS
Kärnan i nya lagen är att vi måste ge information till användaren om alla kakor som används på sajten. Det här inkluderar även tredjeparts produkter likväl som egna. Man måste i slutändan få ett samtycke från besökaren. Det betyder förenklat ett medvetet godkännande. Sedan exakt hur det här samtycket skall genomföras säger inte lagen och inte heller PTS. De säger helt enkelt:
PTS vill ge de som ansvarar för webbplatser tid och utrymme för att ta fram sådana lösningar.
Andra har sagt att det egentligen bara krävs en bra beskrivning för hur man faktiskt förbjuder lagring av kakor i sin egen webbläsare. Detta skulle således räknas som ett medvetet godkännande om man inte väljer att göra enligt beskrivningen. Däremot var den här beskrivningen måste ligga är inte heller helt klart.
Har ni några idéer kring hur vi bör hantera detta? Lämna gärna kommentarer i kommentarsfältet nedan.
Vad måste vi egentligen göra för att möte kraven i lagen
Så förutom att göra det möjligt att stänga av kakor i sin egen webbläsare, eller åtminstone ge information om hur man går till väga. Så ska man även beskriva vad som händer om man väljer att inte lagra kakor och vad det får för konsekvenser för sajtens funktionalitet.
Sedan har PTS föreslagit några frågor som man som webbplatsinnehavare bör kunna svara på, så varför inte föregå dem och redogöra för dem.
- Vilka kakor kan hamna i webbläsaren hos en besökare på webbplatsen?
- Används kakan för att på något sätt kartlägga besökaren, och i så fall hur?
- Är det en sessionskaka, eller hur länge består den i användarens dator?
För var och en av dessa kakor bör man dessutom kunna redogöra för :
- Vad den heter?
- Vilka syften kakan har
- Är det en tredjepartskaka? I så fall, varifrån kommer den?
- Är det en Flash-kaka eller en vanlig kaka?
- Vad blir konsekvensen av att en besökare väljer att inte acceptera kakor i sin webbläsare?
Exakt vad vi måste göra är lite oklart, så det är något vi måste bevaka. Det kommer förhoppningsvis inte kräva några större ingrepp på de sajter vi har idag, mer än ytterligare information. Däremot om man vill eller tvingas göra en sajt helt utan kakor så kommer det kräva ganska stora ingrepp.
Polisen.se är en sajt som visualiserar varningen väldigt explicit. Frågan är om det är nödvändigt. För EPiServer sajter så har EPiServer själva släppt en rekommendation och typiska kakor som systemet genererar.
Slutligen hur kan jag ta reda på vilka kakor som finns på min sajt idag?
Det finns en hel del verktyg för detta. Antingen kan man använda sig av PTS tjänst för att granska en sajt (hittakakor.pts.se). Den ger dig både möjlighet att identifiera kakorna, men även granska och definiera vad de gör.
Andra bra sätt är at använda sig av tillägg till din webbläsare. Som i Firefox är ett bra tillägg Firecookie, som hjälper dig att granska cookies.
Uppdatering - England först ut med faktiskt lagstiftning
Implementering av lagen har släpat ganska mycket, tack vare svårigheten att tolka och faktiskt finna lämplig lösning. England är det land i Europa som först faktiskt implementerar en lag baserat på EU-direktivet.
Det här är värt att se över då alla bolag, oavsett var du har servern, som arbetar på Englands marknad, måste anpassa sig efter deras lag.
Mer om vilka riktlinjer som skall tillämpas kan du läsa om på ICO's hemsida och deras (updated advice and guidance on changes to the EU cookie law) som är Englands PTS. Lagen trädde i kraft den 26 Maj 2012.
En annars väldigt bra och enkel beskrivning av lagen finns på bolagssajten Silktide.