Igår fattade riksdagen ett tämligen obegripligt beslut. Huvudanledningen till att man kände sig tvungen att göra detta tycks vara att EU redan tidigare bestämt att alla medlemsstater måste agera lika idiotiskt, och besluta i enlighet med hur EU bestämt.
Det handlar om Proposition 2010/11:115, Bättre regler för elektroniska kommunikationer – eller lagen om sÃ¥ kallade kakor (cookies), cookielagen. I sommar blir det förbjudet för webbsajter att använda sig av cookies utan att besökaren först godkänner detta. Det är fullständigt orimligt och ett feltänk frÃ¥n början till slut.
Vad är cookies?
En kaka är en liten textfil som sparas på din dator. Det är din webbläsare som håller reda på var kakor sparas. Många kakor raderas automatiskt när du lämnat sajten som skapat den, andra kan behållas längre.
Till vad används cookies?
Cookies används till en hel del olika saker. Det är till exempel oftast cookies som håller reda på vilka varor du har lagt i varukorgen på en e-handelssajt. Och om du har loggat in på en sajt du besöker är det oftast cookies som håller reda på att du är inloggad, så att du inte måste logga in på nytt varje gång du tittar på en ny sida på sajten du besöker. Och om du gör en sökning på en sajt och till exempel väljer att du vill se 100 sökresultat per sida i stället för sajtens standardantal 10 så är det vanligen cookies som håller reda på det också, eller hur du vill att sökresultatet ska sorteras. Det finns mängder med användningsområden, listan kan göras nästan hur lång som helst.
Varför förbud?
I förslaget står först:
Uppgifter fÃ¥r lagras i eller hämtas frÃ¥n en abonnents eller användares terminalutrustning endast om abonnenten eller användaren fÃ¥r tillgÃ¥ng till information om ändamÃ¥let med behandlingen och samtycker till den. (…) Ett exempel pÃ¥ en sÃ¥dan företeelse som avses är användning av s.k. cookies.
Senare står detta att läsa:
Ett annat exempel är s.k. spionprogram. Dessa kan utan användarens vetskap installeras i terminalutrustningen och kan utan att det märks vidareförmedla information från terminalutrustningen till en tredje part.
Som om nÃ¥gon som faktiskt är ute efter att installera spionprogram i användarens dator skulle be om tillÃ¥telse först… Jag har väldigt svÃ¥rt att se att det skulle kunna finnas nÃ¥gon som helst rimlig anledning till varför kakor kräver aktivt godkännande. Det har även remissvaren pÃ¥pekat.
Kakor är inte farliga – de är goda…
Problemet: hur ska det gå till?
Om den webbsajt du besöker har en windowsserver i botten med webbservern IIS, eller t ex en PHP-server som Apache på Linux (med dessa två har jag nog täckt in en mycket stor del av alla webbsajter som finns), så skapas en cookie så fort du ankommer webbsajten. Cookien innehåller inte särskilt mycket, mest ett så kallat sessions-id som håller reda på att du är du. Eftersom det händer ögoblickligen när du kommer in på sajten, så kommer det att hända redan innan det finns en chans att be besökaren att acceptera att cookies används. Hur har EU tänkt lösa det? Är det ens möjligt som sajtägare att följa lagen om man har en sådan server? Lösningen: Microsoft bygger om servern eller det blir förbjudet att använda sådan server? Två sannolikt lika orimliga lösningar.
Om vi bortser från ovanstående komplikation så kan jag bara komma på ett, eller möjligen två, sätt att hantera detta på.
1) Som besökare ankommer du en webbplats, men innan du kan använda den/se innehållet på den får du upp en informationsruta där du måste godkänna cookies. Om du inte godkänner kan du inte använda sajten. Om du godkänner sparas den informationen i en cookie så att du slipper få frågan igen. Men vad händer då för de användare som redan gjort en inställning i sin webbläsare att cookies inte ska accepteras? Då får användaren förmodligen samma fråga om och om igen och kan i praktiken inte besöka sidan ändå.
2) Sajtägaren måste se till att ha total kontroll över alla cookies som sajten eventuellt behöver skapa, och kan se till att ställa frågan om cookieacceptans endast just innan en cookie ska skrivas. Men detta är sannolikt ett orealistiskt tillvägagångssätt.
Jag törs nog säga att ALLA större sajter, och mängder av små, använder cookies. Alla sajter som använder Google Analytics för att få besöksstatistik använder cookies. Alla sajter som har annonser använder cookies.
Beslutet
Riksdagen beslöt, efter en debatt som kan läsas här, att anta utskottets proposition med regeringens förslag som när det gäller ”lagring och hämtning av information, cookies m.m. ” i sin helhet lyder:
Uppgifter får lagras i eller hämtas från en abonnents eller användares terminalutrustning endast om abonnenten eller användaren får tillgång till information om ändamålet med behandlingen och samtycker till den. Detta hindrar inte sådan lagring eller åtkomst som behövs för att överföra ett elektroniskt meddelande via ett elektroniskt kommunikationsnät eller som är nödvändig för att tillhandahållaen tjänst som användaren eller abonnenten uttryckligen begärt.
I debatten framfördes bland annat argument som detta av Désirée Liljevall (S):
Enligt vÃ¥rt sätt att se pÃ¥ det kan integritetsskyddet vid nedladdning av cookies hanteras pÃ¥ ett väsentligt mer rationellt sätt än vad som förslÃ¥s i propositionen, till exempel genom att medgivande görs samlat via webbläsarens inställningar. (…) Men den svenska regeringen väljer att gÃ¥ längre än vad direktivet kräver.
Undantag trots allt?
I propositionens beskrivning av reglerna om cookies finner jag ändå detta på sidan 135:
Sättet att lämna information och ge rätt att vägra att lämna information bör vara sÃ¥ användarvänligt som möjligt. (…) Om det är tekniskt möjligt och effektivt i enlighet med direktiv 95/46/EG kan användarens samtycke till behandlingen uttryckas med hjälp av lämpliga webbläsarinställningar eller en annan anordning.
Det tycker jag ändå kan tolkas som att man skulle kunna fortsätta att bara informera om cookies och att det är upp till användaren att stänga av dem i webbläsaren. Men inte enligt en artikel i pappers-DN idag, och inte enligt citatet från Liljevall ovan.
Så hur ska man nu göra som sajtägare? Hjälp!
This new law is a worry – the IAB (trade association for digitial marketing) in Sweden is creating a response to this, including a best practice guide. I blogged about it recently at: http://universityusability.wordpress.com/2011/05/24/the-cookie-law-in-sweden-self-regulation-committee-started-by-the-iab/
Session cookies är OK. Lagen syftar på kakor som används för att följa användare.
Cookies som är tekniskt nödvändiga för att en funktion ska fungera på sidan är undantagna i lagen och kräver därför inget aktivt samtycke.
”Om den webbsajt du besöker har en windowsserver i botten med webbservern IIS, eller t ex en PHP-server som Apache pÃ¥ Linux (med dessa tvÃ¥ har jag nog täckt in en mycket stor del av alla webbsajter som finns), sÃ¥ skapas en cookie sÃ¥ fort du ankommer webbsajten. Cookien innehÃ¥ller inte särskilt mycket, mest ett sÃ¥ kallat sessions-id som hÃ¥ller reda pÃ¥ att du är du. Eftersom det händer ögoblickligen när du kommer in pÃ¥ sajten, sÃ¥ kommer det att hända redan innan det finns en chans att be besökaren att acceptera att cookies används. ”
Detta stämmer iaf inte när det gäller PHP då du kan kolla om det finns en session cookie på användarens dator innan du inleder session metod på servern vilket betyder att så länge inte cookien är satt behövs inga sessions, alltså helt onödigt att inleda denna metod i den hämtningen av sidan.
Där med kan en förfrÃ¥gning om cookies bli ställd vid inloggnings formulär eller dylikt. Har svÃ¥rt att tänka mig att det inte gÃ¥r att göra nÃ¥got liknade i asp, men som ”David” säger i sin kommentar, sÃ¥ är det nog inte sÃ¥ mycket att oroa sig över ner det gäller sessions.