Nye cookie-regler 25. maj. Syv ting du skal vide for at undgå bødestraf.

(Først bragt som analyse på mediawatch.dk)

I tirsdags barslede IT og Telestyrelsen med deres udkast til nye cookie-regler, som jeg skrev om her (med link til radio-interview) og her (med reglerne i fuldtekst på engelsk). Reglerne træder i kraft den 25. maj, men den næste måned er der åbent for kommentarer. Det kommer til at holde lobbyisterne hos ITB, FDIH, FDIM, DRRB og Danske Mediers Forum mfl. travlt beskæftiget. Og de får noget at se til: For JP/Politiken, Berlingske, DR og TV2, Google, Facebook, Twitter, Danske Bank og Nordea, Den Blå Avis, Hennes & Mauritz, Videnskabsministeriet selv og praktisk taget alle andre hjemmesider der i dag benyttes af danskerne står til bødestraf pr. 26. maj 2011, hvis regelteksten skal tages for gode varer.

Mens Videnskabsminiser Charlotte Sahl og det fremtrædende EU-parlamentsmedlem Alvaro i onsdags stod på scenen i Eigtved pakhus på en konference om reglerne, blev regelteksten – der lyder det lidet mundrette navn “bekendtgørelse om krav til information og samtykke ved lagring af og adgang til oplysninger i slutbrugeres terminaludstyr” – studeret indgående. Her er hovedpunkterne:

1. EU bestemmer
De nye regler er EU-regler, og kommer efter langvarige skænderier i Bruxelles og omegn. Særligt tyskerne, med deres regelrette syn på data-sikkerhed, har presset på. Men også Phorm-sagen, hvor det engelske svar på TDC, British Telekom, blev taget med fingrene nede i en automatisk overvågning af alle der surfede gennem deres kabler, satte blus på diskussionen.

Der er derfor ikke meget at komme efter: brugerne skal vide hvad der bliver gemt af oplysninger om dem når de surfer og hvad de bruges til. De skal give deres samtykke til det. Og de skal kunne vælge at sige stop, hvis de ikke vil spille med.

2. “Cookies ja tak”-helvede undgås
Spørgsmålet om samtykke har været et af de helt store stridsspørgsmål lige siden direktivets undfangelse. Skal brugeren aktivt klikke “ja tak” på alle sider der vil sætte cookies på hans computer (hvilket ville resultere i et popup-helvede så stort, at cookie-teknologien i praksis ville blive lagt i graven)? Eller er det nok at brugeren i avancerede indstillinger i sin browser generelt har givet carte blanche til cookies (en udlægning som mediebranchens talsrør har forsøgt at spinne, men som i praksis vil være så bøvlet, at det ikke reelt ville medføre nogen som helst forbedring af privatlivs-beskyttelsen)?

Den bagvedliggende direktiv-tekst er åben for begge tolkninger. IT- og telestyrelsen har – smart! – valgt en tredje og langt mere pragmatisk vej. De køber ikke de avancerede indstillinger-argumentet. Men de kræver heller ikke at du eksplicit skal sige “ja tak” hele tiden. Det at bruge en hjemmeside kan i sig selv være en accept, lyder IT- og Telestyrelsens logik. Hvis, altså, brugeren er med på hvilke spor han sætter sig og hvordan de bruges.

3. Tal dansk!
De nye regler kræver “klart, præcist og letforståeligt sprog”. Det skal tages bogstaveligt. Ikke flere uforståelige vilkårs-tekster med juridisk lirum larum. Sådan a la: “Vi husker dit besøg, så vi kan fortælle vores annoncører hvor mange der har set deres reklamer. Vi står selv for lagringen – og sletter den igen efter seks måneder. Når du bruger vores site accepterer du automatisk denne registrering. Du kan stoppe registreringen ved at klikke her” Og forklaringen må ikke gemmes væk. Den skal være tilgængelig ligemeget hvor på sitet du er. Så brugeren rent faktisk ved hvad han går med til, når han surfer.

Her skal branchen tale sammen, så alle siger tingene på samme måde. Alt andet vil forvirre unødigt. Men det kan være svært, for verden er desværre ofte for kompleks til at kunne stå på tre linier.

4. Ryd op
Der svines i dag med cookies på nettet. De bruges til alle mulige formål. En enkelt forside kan sætte op til 50 forskellige cookies. Der er cookies der gemmer din adgangskode for dig når du sætter hak i “husk password”-boksen. Cookies der husker de banner-reklamer du har set, så du ikke bombarderes med de samme reklamer dag efter dag. Cookies der får indkøbskurve og anbefalinger til at fungere. Det er alt for meget, hvis du skal forklare det hele til brugeren. Web-viceværterne skal derfor igang med den store forårs-rengøring.

5. Banner-netværk og Behavioral Targetting er i skudlinien
Langt de fleste sites sætter også løbende cookies på vegne af andre. Stort set ingen ved rigtigt hvad disse cookies laver. Ikke særligt betryggende. Også dette vil de nye regler have klarhed over. Nu skal du fortælle dine brugere alt. Hvem du lader sætte hvilke cookies og hvad de bruger dem til.

Denne del af kommunikationen bliver særligt pinefuld. Selv i den uskyldige ende vil det skurre fælt i ørene: “Kære bruger – det er ikke kun os selv (som du formentligt godt kan lide) men også vores, ahem, samarbejdspartnere, som gemmer oplysninger om dit besøg mens du er her på sitet. De oplysninger bruger vores partnere til at tegne din profil, så de kan give dig de mest relevante annoncer. Du kender dem sikkert ikke, de hedder TradeDoubler og Specific Media. PS. Vores partnere holder også øje med dig når du surfer på andre sites. På den måde får de et meget bedre billede af dig.” I en tid hvor du i plain tekst skal forklare brugeren alt om dine cookies giver sådanne krumspring problemer.

Men det bliver værre. For ofte sælger den samarbejdspartner du har som kunde reklamepladsen videre til et anden annonce-leverandør, der kan sælge videre til en tredje. For hvert led, bliver der føjet et nyt lag cookies til. Dette gør det selvsagt endnu sværere at forklare. Som dårlige historier tit er det.

De nye regler sætter en klemme på bannernetværks- og behavioural targetting-folkene. I mens græder de medier der er store nok til at have deres egne annonce-afdelinger tørre tårer. For svage netværk fjerner en af kilderne til pris-presset fra bunden.

6. Det går nok endda
Der er store følelser i klemme i den ellers knas-tørre cookie-diskusion. Det skyldes, at cookien for mange er selve essensen af alt det smarte nettet kan give os. Cookien der gør nettet til et levende, plastisk medie, der tilpasser sig den enkelte bruger og hans præferencer. Derfor har du også kunnet høre et kor af bekymring: cookie-regler skader nettet.

Og sandt er det, at de nye regler vil gøre nettet mindre smart. Det bliver sværere at målrette og segmentere. Sitets egne annoncepriser vil blive presset ned. Men samtidig vil der blive brug for flere indrykninger for at nå samme effekt. Så det går nok endda.

7. Google og Facebook griner
Som altid er det danske virksomheder, der rammes hårdest af danske regler. Og selvom reglerne også gælder for Facebook og Google, er det en speget affære at skulle drage dem til ansvar hen over landegrænserne. Mange husker stadig den mystiske sag om Facebooks privacy-regler, som datatilsynet i praksis opgav at komme efter. Men det punkt er de nye regler helt tavse omkring.