en-kaka-till

Får det lov att vara en kaka till?

Den 1 juli 2011 trädde en skärpning av lagen om elektronisk kommunikation i kraft. Inför lagändringen fördes det en intensiv diskussion eftersom de flesta som jobbar med exempelvis webbutveckling ansåg att det var en meningslös lag som i bästa fall skulle krångla till det för dem den ska skydda, medan lagstiftaren anser att det skapar ett nödvändigt skydd.

Bakgrunden till den nya lagen är ett EU-direktiv som syftar till att öka den personliga integriteten för enskilda internetanvändare. Du kan läsa lagtexten här.

Lagstiftaren har alltså i något sammanhang blivit orolig över hanteringen av kakor, och skärpt lagen om elektronisk kommunikation där användningen av kakor regleras. Innebörden är att kakor får användas endast om användaren får tillgång till information om för vilket ändamål de används och även samtycker till den användningen. Många trodde att det inte skulle hända något alls. Precis som när personuppgiftslagen var ny så ventilerades en stor oro innan men inte heller den hade någon större påverkan på hur webben används.

Vad är en kaka?

En kaka (cookie) är en liten textfil som webbplatser du besöker ber att få spara på din dator. Kakorna används för att ge dig som besökare tillgång till olika funktioner med syftet att förhöja värdet på ditt surfande. Informationen i kakan går också att använda för att följa ditt surfande och hålla reda på dina elektroniska spår.

Kakorna känner igen sig nästa gång du besöker samma sajt för då hämtas kakan från din dator, mobiltelefon, padda eller motsvarande och där finns information som gör vissa inställningar för hur en webbplats visas (upplösning, språk), att slå på kryptering av överföring av känslig information, att samla data om hur du som användare beter dig på webbplatsen som underlag för vidareutveckling, men det mest kontroversiella är att de samlar information om hur du som användare exponeras för reklam som underlag för beräkning av ersättning till annonsörer och samlar information om ditt beteende för att anpassa och begränsa innehållet och reklamen på besökta webbplatser anpassat till dessa beteenden.

Enkelt uttryckt måste den som har en webbplats fråga varje besökare om lov för att placera en cookie/kaka på dennes klient. I förarbetena till lagändringen uttalades att lagstiftningen så långt det är möjligt bör överlåta till marknadens aktörer och användare att utveckla normer för användningen av kakor som är anpassade till de praktiska förutsättningarna. Sanningen är att det verkar vara många som de facto struntar i vad lagen säger, eftersom det gjorde världen ganska komplicerad för både utvecklare och användare.

Inte sju sorters kakor men flera olika!

Det finns flera olika sorters kakor. Den permanenta kakan sparar en fil under en längre tid på din dator och ges ett bäst före-datum. Den används till exempel vid funktioner som talar om vad som är nytt sedan du senast besökte den aktuella webbplatsen. När datumet passerats raderas kakan automatiskt när du återkommer till den webbplats som skapade den. Den ersätts dock av en ny.

Sessionskakor är tillfälliga kakor som saknar utgångsdatum. Under tiden du är inne och besöker en sida lagras kakan temporärt i din dators minne för att till exempel hålla reda på vilket språk du har valt. Sessionskakor lagras inte någon längre tid på din dator utan försvinner alltid när du stänger webbläsaren.

Kakorna kan också vara bakade av någon annan, så kallade tredjepartskakor. Dessa används bland annat för att samla information för annonsering och skräddarsytt innehåll samt för webbstatistik. Dessa kommer alltså från någon annan än den som är ansvarig för webbplatsen till exempel en annonsör via en så kallad bannerannons. En tredjepart kan placera ut annonser eller statistiktjänster som kartlägger surfvanor hos användarna på många olika webbplatser. Besökarens surfvanor kan därför potentiellt kartläggas på alla webbplatser som använder sig av samma annons eller statistiktjänst. Eftersom tredjepartskakor gör det möjligt att skapa mer heltäckande kartläggningar av användarens surfvanor anses de mer känsliga ur ett integritetsperspektiv, därför finns det i de flesta webbläsare möjlighet att ställa in så att tredjepartskakor inte accepteras.

Sedan finns det Flash-kakor som också liknar kakor som kommer till användning när man ska visa Flash-presentationer. Ett känt exempel är videospelaren på YouTube. Precis som andra kakor kan en Flash-kaka spara dina användarpreferenser som till exempel volym på ljudet. Skillnaden mellan vanliga kakor och Flash-kakor är att du inte kan konfigurera dem i din webbläsare, den är större än de andra kakorna och den saknar bäst före-datum. De finns kvar tills någon kastar dem.

Vad är problemet?

Om du frågar en webbutvecklare så säger de att den beteendebaserade anpassning som görs är mycket betydelsefull för användarupplevelsen av webbtjänster genom att informationen som kakorna ger gör att webbtjänsten kan välja vilken reklam du ska exponeras mot så att den typiskt sett blir mer relevant för dig. I slutändan betyder det att möjligheten att anpassa reklam efter beteende och användare bidrar till att attraktiva tjänster kan finansieras med reklam i stället för avgifter, men baksidan är att den information du får är filtrerad i någon mening och att en tjänsteleverantör vet mer om dig än du kanske tror, eller ens önskar.

Även om kakorna i sig är harmlösa jämfört med skadlig kod som förstör information eller gör din dator till en zombie finns det en del risker. Kakor ger webbplatser möjlighet att under vissa förutsättningar kartlägga dina aktiviteter på nätet. Detta kan uppfattas som intrång i den personliga integriteten. Avlyssning och förfalskning av kakor kan under vissa förutsättningar användas som verktyg av någon med ont uppsåt för exempelvis obehörig inloggning, modifiering av innehållet i en varukorg, förvanskning av statistik och så vidare. Det är viktigt att försöka skydda sig mot dessa risker framför allt med kryptering och starka lösenord.

Branschnormer för självsanering

Tanken var alltså att marknaden skulle utveckla sina egna normer. Och det finns sådana. Enligt ”Rekommendationen om användande av cookies” för den svenska onlinemarknaden ska det tydligt framgå på alla sidor att om webbplatsen använder cookies. Det ska också finnas information om hur man går till väga för att välja att inte acceptera cookies från webbplatsen. Det kan webbplatsen göra genom att länka till minacookies.se eller göra en egen informationsida med motsvarande information.

Hur vet jag att hur kakor används?

Det är inte alltid enkelt och självklart att själv veta vilka kakor som finns på en webbplats. Det finns verktyg som hjälper till att inventera hur cookies används på den webbplats du själv utvecklat eller på webbplatsen du besöker. Bland annat kan du använda PTS verktyg som hjälper dig att hitta kakorna på din eller andras webbplatser.

Avstå från kakor

Som användare kan du enkelt ta del av, blockera och avlägsna lagrade cookies om du vill. Du kan ställa in din webbläsare och bestämma om du vill ha kakor eller inte. Du kan också välja att webbläsaren ska fråga dig om du vill ha en kaka varje gång en sådan är på väg att lagras på din dator. Med tanke på hur många kakor som sätts på vissa webbplatser kan det lätt bli ganska opraktiskt. Vissa gånger har kakor en mycket praktisk användning till exempel vid inloggning på webbplatser. När du som användare loggar in på en webbplats placeras en kaka på din dator. Vid varje sidbläddring skickar din dator kakan till den webbplats du besöker och med hjälp av kakan kan webbplatsen konstatera att du redan är inloggad och du slipper därmed att ange användarnamn och lösen för varje ny sida.

Total eller delvis avstängning av kakor är enkelt att genomföra men det kan alltså få en del konsekvenser. Till exempel kan de webbplatser som kräver inloggning bli omöjliga att använda och det kan i vissa fall bli omöjligt att beställa varor.

Effekter av skärpningen av lagstiftningen

Det råder en ganska enad mening om att lagen inte efterlevs, av praktiska och andra skäl. För att bringa klarhet i detta har regeringen gett PTS i uppdrag att utreda effekterna av de nya reglerna om kakor. I uppdraget ingår att särskilt undersöka hur kakor används på svenska webbplatser på internet och hur användningen har förändrats sedan lagen tillkom. Skälet är att en krångligare eller på annat sätt försämrad användning av internet kan vara till men för både tillväxten av och tilliten till internet. Det låter i mina öron som om någon fått kalla fötter. Resultatet ska hur som helst redovisas den 31 december i år, sedan får vi se. Ett EU-direktiv är ju ändå ett EU-direktiv och som goda medborgare förväntas vi följa det som de säger.

Etiketter: , , , , , , , , , Foto: Welcome Home Cookies av Snugg LePup (CC-BY-NC)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

  • Joakim Jardenberg 2 maj 2012, kl 14.12

    Ghostery [http://www.ghostery.com/] är en fin plugin för webbläsaren som tydligt visar hur kakad du är. Rekommenderas.

    (för övrigt är jag en stor kak-vän)

    Svara
    • Anne-Marie Eklund Löwinder 2 maj 2012, kl 14.15

      Tack för tipset Joakim! Den hade jag tänkt ta med i texten men glömde det i hastigheten… :)

      Svara
  • Pär Lannerö 2 maj 2012, kl 14.41

    I England har myndigheterna satt ett konkret datum – den 26 maj i år – när alla webbplatser måste åtminstone ha påbörjat en anpassning till den nya lagen. Annars riskerar de böter. Därför har det dykt upp en del olika tekniska lösningar i England, för den som vill bli garanterat laglydig. Se t.ex. http://www.cookielaw.org/optanon.aspx

    Vill vi ha den typen av lösningar i Sverige, eller räcker det att Regeringskansliet, Polisen och några till har stora skyltar på sina webbplatser som förhoppningsvis ökar medborgarnas medvetenhet om att deras rörelser på nätet kan kartläggas?

    Finns det något helt annat sätt att öka allmänhetens kunskap om olika integritetsrisker på nätet?

    Svara