Har du koll på dina kakor?

Då kakor eller ”cookies” ofta är ett ämne som dyker upp när man diskuterar integritet, har vi nedan gjort en sammanställning av hur man hanterar kakor utifrån ett informationssäkerhetsperspektiv.

Vad är då en kaka?

Cookies är vanligtvis små textfiler med angivna ID-taggar som lagras i din dators webbläsarkatalog eller programdatalaggar. Men kakor kan ge en hel del insikt i din verksamhet och preferenser, och kan användas för att identifiera dig utan ditt uttryckliga samtycke.

Kakorna kommer ofta inte ens från webbplatsen du besöker, men från tredje part som spårar dig för marknadsföringsändamål. Kakor för analys, annonsering och funktionstjänster, såsom undersöknings- och chattverktyg, är alla exempel på cookies som kan identifiera användare.

”Kaklagen” gäller mer än bara kakor

Paragraf 18 – den så kallade kaklagen – i sjätte kapitlet i lagen om elektronisk kommunikation (2003:389) gäller, förutom traditionella webbkakor som sätts med http-headers eller javascript, även liknande tekniska lösningar där information lagras och hämtas från användarens terminal. Det gäller både standardbaserade lösningar som Web Storage och IndexedDB och andra lösningar (till exempel Flash cookies), även om de inte visas och kontrolleras på samma sätt som traditionella kakor.

Andra lagar kan också vara relevanta

Denna text har fokus på ”kaklagen”, men när kakor och liknande lösningar används är det vanligt att även personuppgifter hanteras. I sådana fall berörs även annan reglering. Framförallt dataskyddsförordningen (GDPR).

Det gäller till exempel när IP-nummer eller ”annonsör-ID” ersätter kakor för att hålla reda på en användare mellan sidbyten och besök. Den här typen av identifiering berörs inte nödvändigtvis av kak-reglerna, men kan medföra mer långtgående integritetsrisker än kakor, vilket kan innebära större krav på information och samtycke (eller annan laglig grund för behandling) än vad som framgår nedan.

För- och nackdelar med några vanliga förhållningssätt till kakor

Olika webbplatser förhåller sig på lite olika sätt till kravet på samtycke för användning av kakor. Vi har kunnat urskilja följande huvudsakliga kategorier, och kommenterar kortfattat några för- och nackdelar med var och en:

 

Förhållningssätt

Fördelar

Nackdelar

Samtycke krävs vid första besöket. Besökaren måste godkänna kakorna för att komma vidare Alla som fortsätter använda sajten ingår i besöksstatistiken. När besökaren godkänt kakorna kan kakinformationen döljas. Räckvidden kan försämras: ”Kakväggen” kan göra så att många användare vänder innan de ens kommit in på sajten.
Erbjud besökare att inte få sina besök loggade. Information om kakor visas omedelbart när besöket inleds. Besökaren kan gå vidare även utan att acceptera kakor, och då används inte kakor. Tillvägagångssättet ger användaren valfrihet En ganska stor andel av besökarna kommer troligen att försvinna från besöksstatistiken, som därmed inte blir lika användbar
Betrakta fortsatt användning som samtycke Användaren blir informerad men kan fortsätta använda sajten utan att utsättas för den relativt stora kognitiva belastning som ett aktivt beslut medför. Det är osäkert om detta är ett juridiskt godtagbart samtycke, så länge ingen domstol prövat frågan.
Avstå från webbanalys Då slipper,användaren ägna uppmärksamhet åt informationen om kakor och kan fokusera på innehållet. Svårt att följa upp användningen

Utöver dessa förhållningssätt, går det att använda analysverktyg som inte använder kakor eller jämförbar teknik.

Det finns till exempel verktyg som utgår från loggar över http-anrop. Detta kan ske på några olika sätt:

  • Utan sessions-id.
  • Med trunkerade (delvis anonymiserade) IP-nummer som identifierare.
  • Med IP-nummer som identifierare.
  • Med sessions-id som inte hämtas från kakor utan från sidans adress.

Vi har valt att inte diskutera för- eller nackdelar gällande dessa metoder, utan hänvisar till ytterligare information nedan.

För mer information om hur du skall förhålla dig till Cookies/Kakor, kan du klicka dig vidare på nedan länkar.

https://webbriktlinjer.se/lagkrav/kaklagen-i-praktiken/

http://cookielagen.se

 

Vill du veta mer?

Om ni har funderingar kring hur ni skall tolka regler och riktlinjer, kan vi på Cygate stötta er gällande dessa frågeställningar.

Kontaktuppgifter:

Fredrik Börjesson
fredrik.borjesson@cygate.se
0725098631