Project

General

Profile

Bug #3594

GDPR og Persondataforordning: EU Cookie compliance - Webtrekk

Added by Rolf Madsen over 1 year ago. Updated 19 days ago.

Status:
Needs design decision
Priority:
Normal
Assignee:
Target version:
Estimated time:
URL med eksempel:
https://vanilla-fbs.ddbcms.dk/cookies
Kategorier:
Driftsvedligehold - Refaktorering (Opdatering af kodebasen)

Description

Problemstilling

I EU Cookie compliance modulet bliver der indsat en tekst om behandling af cookies i DDB CMS herunder statistikmodulet Webtrends. Se https://github.com/ding2/ding2/blob/master/ding2.profile#L787.

Webtrends er blevet erstattet af Webtrekk, men altså uden denne tekst er blevet ændret.

// Set cookie compliance variables
  variable_set('eu_cookie_compliance_da', $eu_cookie_compliance_da);
  variable_set('eu_cookie_compliance_cookie_lifetime', 365);

  $body = '<p><strong>Hvad er cookies?</strong></p>
          <p>En cookie er en lille tekstfil, som lægges på din computer, smartphone, ipad eller lignende med det formål at indhente data. Den gør det muligt for os at måle trafikken på vores site og opsamle viden om f.eks. antal besøg på vores hjemmeside, hvilken browser der bliver brugt, hvilke sider der bliver klikket på, og hvor lang tid der bruges på siden. Alt sammen for at vi kan forbedre brugeroplevelsen og udvikle nye services.</p>
          <p>Når du logger ind for at se lånerstatus, reservere m.m. sættes en såkaldt sessions-cookie. Denne cookie forsvinder, når du logger ud.</p>
          <p><strong>Afvis eller slet cookies</strong></p>
          <p>Du kan altid afvise cookies på din computer ved at ændre indstillingerne i din browser. Du skal dog være opmærksom på, at hvis du slår cookies fra, kan du ikke bruge de funktioner, som forudsætter, at hjemmesiden kan huske dine valg.<br>Alle browsere tillader, at du sletter cookies enkeltvis eller alle på en gang. Hvordan du gør det, afhænger af, hvilken browser du anvender.<br>På Erhvervsstyrelsens hjemmeside kan du finde vejledninger i at afvise og slette cookies i forskellige browsertyper. (<a class="external" href="http://erhvervsstyrelsen.dk/cookies">http://erhvervsstyrelsen.dk/cookies</a>)</p>
          <p><strong>Webtrends</strong></p>
          <p>Vi bruger Webtrends til at føre statistik over trafikken på hjemmesiden. Al indsamlet statistik er anonym.<br>- Webtrends - om brug af cookies på websider (<a class="external" href="http://webtrends.com/terms-policies/privacy/cookie-policy">http://webtrends.com/terms-policies/privacy/cookie-policy</a>)<br>- Hvis du vil fravælge cookies fra Webtrends kan du læse mere på <a class="external" href="http://kb.webtrends.com/articles/Information/Opting-out-of-Tracking-Cookies-1365447872915">http://kb.webtrends.com/articles/Information/Opting-out-of-Tracking-Cookies-1365447872915</a> (engelsk) eller trykke på linket <a class="external" href="https://ondemand.webtrends.com/support/optout.asp?action=out">https://ondemand.webtrends.com/support/optout.asp?action=out</a>. For at aktivere cookies igen kan du trykke på linket <a class="external" href="https://ondemand.webtrends.com/support/optout.asp?action=in">https://ondemand.webtrends.com/support/optout.asp?action=in</a></p>
          <p><strong>Hvorfor informerer Biblioteket om cookies?</strong></p><p>Ifølge "Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr" BEK nr 1148 af 09/12/2011 (<a class="external" href="https://www.retsinformation.dk/Forms/R0710.aspx?id=139279">https://www.retsinformation.dk/Forms/R0710.aspx?id=139279</a>) er alle danske hjemmesider forpligtet til at informere om, hvorvidt de anvender cookies. Det sker, så brugeren kan beslutte, om de fortsat ønsker at besøge hjemmesiden, eller om de evt. ønsker at blokere for cookies.</p>';

Mål

Skift tekstens ordlyd så der henvises til information om Webtrekk i stedet for Webtrends.

Løsningsbeskrivelse

Afventer svar fra KPI Indeks om links til tilsvarende ressourcer for Webtrekk.

// Set cookie compliance variables
  variable_set('eu_cookie_compliance_da', $eu_cookie_compliance_da);
  variable_set('eu_cookie_compliance_cookie_lifetime', 365);

  $body = '<p><strong>Hvad er cookies?</strong></p>
          <p>En cookie er en lille tekstfil, som lægges på din computer, smartphone, ipad eller lignende med det formål at indhente data. Den gør det muligt for os at måle trafikken på vores site og opsamle viden om f.eks. antal besøg på vores hjemmeside, hvilken browser der bliver brugt, hvilke sider der bliver klikket på, og hvor lang tid der bruges på siden. Alt sammen for at vi kan forbedre brugeroplevelsen og udvikle nye services.</p>
          <p>Når du logger ind for at se lånerstatus, reservere m.m. sættes en såkaldt sessions-cookie. Denne cookie forsvinder, når du logger ud.</p>
          <p><strong>Afvis eller slet cookies</strong></p>
          <p>Du kan altid afvise cookies på din computer ved at ændre indstillingerne i din browser. Du skal dog være opmærksom på, at hvis du slår cookies fra, kan du ikke bruge de funktioner, som forudsætter, at hjemmesiden kan huske dine valg.<br>Alle browsere tillader, at du sletter cookies enkeltvis eller alle på en gang. Hvordan du gør det, afhænger af, hvilken browser du anvender.<br>På Erhvervsstyrelsens hjemmeside kan du finde vejledninger i at afvise og slette cookies i forskellige browsertyper. (<a class="external" href="http://erhvervsstyrelsen.dk/cookies">http://erhvervsstyrelsen.dk/cookies</a>)</p>
          <p><strong>Webtrekk</strong></p>
          <p>Vi bruger Webtrekk til at føre statistik over trafikken på hjemmesiden. Al indsamlet statistik er anonym.<br>- Webtrekk - om brug af cookies på websider og øvrige forhold omkring persondata (<a class="external" href="https://www.webtrekk.com/en/legal/opt-out-webtrekk/">https://www.webtrekk.com/en/legal/opt-out-webtrekk/</a>)<br>- Hvis du vil fravælge cookies fra Webtrekk trykke på linket <a class="external" href="http://optout.webtrekk.net/?r=https://www.webtrekk.com/en/index/opt-out-webtrekk/opt-out-registered/https://www.webtrekk.com/en/index/opt-out-webtrekk/">https://www.webtrekk.com/en/index/opt-out-webtrekk/</a> som sætter en opt-out (følg ikke) cookie i din browser. For at aktivere Webtrekk cookies igen kan du slette den pågældende webtrekkOptOut cookie eller alle cookies i din browseren.
          <p><strong>Hvorfor informerer Biblioteket om cookies?</strong></p><p>Ifølge "Bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr" BEK nr 1148 af 09/12/2011 (<a class="external" href="https://www.retsinformation.dk/Forms/R0710.aspx?id=139279">https://www.retsinformation.dk/Forms/R0710.aspx?id=139279</a>) er alle danske hjemmesider forpligtet til at informere om, hvorvidt de anvender cookies. Det sker, så brugeren kan beslutte, om de fortsat ønsker at besøge hjemmesiden, eller om de evt. ønsker at blokere for cookies.</p>';

Related issues

Related to DDB CMS - Bug #3532: SAMLESAG - GDPR og persondataforordning - GDPR analyse af DDB CMSNeeds analysis
Has duplicate DDB CMS - Enhancement #4566: Cookie sideClosed

History

#1 Updated by Rolf Madsen over 1 year ago

  • Priority changed from Normal to Urgent

#2 Updated by Rolf Madsen over 1 year ago

  • Description updated (diff)

#3 Updated by Rolf Madsen over 1 year ago

  • URL med eksempel set to https://vanilla-fbs.ddbcms.dk/cookies

Jeg mangler at få bekræftet fra KPI indeks hvordan opt-out der sætter en webtrekkOptOut cookie i brugerens browser kan implementeres.

I Webtrekks eksempel på https://www.webtrekk.com/en/index/opt-out-webtrekk/ vises det som:
http://optout.webtrekk.net/?r=https://www.webtrekk.com/en/index/opt-out-webtrekk/opt-out-registered/

Se efter:
To prevent further tracking of your activity on this website, please click here.

#4 Updated by Rolf Madsen over 1 year ago

  • Assignee changed from Rolf Madsen to Michael Ødum

#5 Updated by Michael Ødum over 1 year ago

Via Webtrekk artiklen ”Hvordan sætter man OptOut Cookien korrekt?” (på tysk) fremgår den kode, som I skal implementere i Webtrekk JavaScriptet på jeres hjemmesider.   
 

https://support.webtrekk.com/hc/de/articles/115001249285-Wie-setzt-man-den-OptOut-Cookie-korrekt

 

Vi vil lige benytte lejligheden til at gøre opmærksom på linket vedrørende opt-in, nedenfor:

 

(Webtrekk will continue not to require an opt-in of the end customer, even with GDPR in place).

GDPR: No need for an opt-in using Webtrekk Analytics

 

#6 Updated by Rolf Madsen over 1 year ago

  • Subject changed from EU Cookie compliance - Webtrekk to GDPR og Persondataforordning: EU Cookie compliance - Webtrekk

#9 Updated by Rolf Madsen over 1 year ago

  • Assignee changed from Michael Ødum to Rolf Madsen

#10 Updated by Simon Holt over 1 year ago

PR: https://github.com/ding2/ding2/pull/1125

Jeg har implementeret Webtrekk opt-out i teksten:

 

Jeg sender også en optout event til Webtrekk, så der er mulighed for at tracke, når brugere fravælger.

#11 Updated by Simon Holt over 1 year ago

  • Status changed from Need more info to Needs code review
  • Assignee changed from Rolf Madsen to Gitte Barlach

#12 Updated by Gitte Barlach over 1 year ago

  • Assignee changed from Gitte Barlach to Jesper Kristensen

#13 Updated by Jesper Kristensen over 1 year ago

  • Status changed from Needs code review to Reviewed - Needs info/rework
  • Assignee changed from Jesper Kristensen to Simon Holt

Kig lige scrutinizer fejlbeskederen igennem også tror jeg ikke der er "okay" at track at man ikke vil trackes?

Hvis man skal track at man ikke vil trackes så vil jeg gerne have et okay fra DDB's jurist på det.

#14 Updated by Simon Holt over 1 year ago

Ok, men det er jo lavet efter webtrekk's egen vejledning. Virker som om de har rimelig godt styr på GDPR. Men fint hvis vi lige kan få en jurist til tage et kig på det :)

#15 Updated by Simon Holt over 1 year ago

  • Assignee changed from Simon Holt to Jesper Kristensen

PR er opdateret med Scrutinizer fixes. Jeg har lige et par kommentarer til det, som jeg har skrevet på Github.

#16 Updated by Simon Holt over 1 year ago

@Jesper ved nærmere eftertanke tror jeg ikke det er noget problem. Det er jo en cookie der sættes lokalt i brugernes egen browser og vi informere tydeligt på siden om, at det er det der sker og hvordan man kan fjerne den igen. Ift. offentlige PC'er har cookien ikke nogen relation til den bruger der eventuelt var logget ind på siden. Desuden vil de fleste offentlige PC'er jo bare fjerne cookien igen ved genstart.

#19 Updated by Gitte Barlach about 1 year ago

  • Status changed from Reviewed - Needs info/rework to Needs code review

#20 Updated by Kasper Garnæs about 1 year ago

  • Status changed from Needs code review to Reviewed - Needs info/rework
  • Assignee changed from Jesper Kristensen to Simon Holt

Reviewed. Jeg har et par kommentarer og buildet fejler.

Derudover er jeg enig med Jesper ift. om der må trackes per default (hvilket er tilfældet her) eller ej. Det kan dog være at situationen er anderledes ift. fx. Google Analytics, hvis man har en databehandleraftale med Webtrekk og Webtrekk derudover ikke deler data med tredjepart.

#21 Updated by Simon Holt about 1 year ago

Ok, jeg kigger på det :)

Derudover er jeg enig med Jesper ift. om der må trackes per default (hvilket er tilfældet her) eller ej. Det kan dog være at situationen er anderledes ift. fx. Google Analytics, hvis man har en databehandleraftale med Webtrekk og Webtrekk derudover ikke deler data med tredjepart.

Hmm.. jeg tror ikke I taler helt om det samme her? Som jeg læser det, mener Jesper om det er OK at tracke at man ikke vil trackes, hvilket vel ikke helt er det samme som om man trackes default eller ej?

#22 Updated by Simon Holt about 1 year ago

PR er opdateret: https://github.com/ding2/ding2/pull/1125

Når vi opdaterer teksten på cookie-siden, risikerer vi at overskrive eventuelle ændringer. Der bliver derfor oprettet en kopi af cookie-siden før opdateringen. der gemmes med titlen "Cookies på hjemmesiden (BACKUP)".

Skal også lige have afklaring på et par ting:

1. Der er stillet spørgsmål omkring om det er i orden vi tracker/tracker som default?

2. I kode-eksemplet som jeg har arbejdet ud fra indstilles opt-out til 5 år. Det er måske lige i overkanten. Er lidt i tvivl om hvad vil være en mere passende tid? kunne også være en konfiguraiton.

#23 Updated by Simon Holt about 1 year ago

  • Status changed from Reviewed - Needs info/rework to Needs code review
  • Assignee changed from Simon Holt to Kasper Garnæs

#24 Updated by Kasper Garnæs about 1 year ago

  • Status changed from Needs code review to Needs design decision
  • Assignee changed from Kasper Garnæs to Gitte Barlach

#25 Updated by Rolf Madsen about 1 year ago

  • Assignee changed from Gitte Barlach to Rolf Madsen

Jeg har vendt problemstillingen med vores jurisk, men afventer et mere formelt svar.

#26 Updated by Rolf Madsen about 1 year ago

Er det ikke problematisk at "fjerne" opt-out hvis brugeren har sat den?

Jeg antager at det ikke ville være noget brugeren blev gjort opmærksom på var sket, også bliver hun pludselig tracket selv om hun har valgt tracking fra.

#27 Updated by Simon Holt about 1 year ago

Jo, så skulle man i hvert fald tydeligt gøre opmærksom på, at den bliver fjernet efter et vist tidsrum, når brugeren fravælger tracking.

#28 Updated by Rolf Madsen about 1 year ago

  • Target version changed from Release 29-2 - Bugfixes (Inlead) to Release 30 - Bugfixes

#29 Updated by Rolf Madsen 12 months ago

  • Target version changed from Release 30 - Bugfixes to Release 31 - Adgangsplatform og LUG

#30 Updated by Rolf Madsen 7 months ago

NB. Google Analytics fjernes fra DDB CMS i # 4043

#31 Updated by Christel Krabbenhøft 6 months ago

  • Priority changed from Urgent to Normal
  • Target version changed from Release 31 - Adgangsplatform og LUG to Release 32 - Bugfixes

#32 Updated by Simon Holt 6 months ago

@Rolf hvad skal der ske med denne her? Har vi helt droppet at Webtrekk opt-out?

#33 Updated by Rolf Madsen 6 months ago

  • Related to Bug #3532: SAMLESAG - GDPR og persondataforordning - GDPR analyse af DDB CMS added

#34 Updated by Rolf Madsen 6 months ago

Hej Simon

Nej, den er ikke glemt, og den er skubbet længere med tidsplanen end jeg gerne så.

Der er lavet en samlesag under https://platform.dandigbib.org/issues/3532 hvor vi har et overblik over alle GDPR relaterede sager, og det er min hensigt at de prioriteres og løses senest i Release 32.

#35 Updated by Simon Holt 21 days ago

PR er rebased så det virker med seneste kode og inkluderingen af Paragraphs modulet (Layout uden grænser): https://github.com/ding2/ding2/pull/1125

Lige for at genopfriske hvad det gør:

1. Tager backup af nuværende cookie-infoside. Den gemmes med " (BACKUP)" tilføjet til enden af titlen.

2. "Nulstiller" cookie informationsside uden Webtrends specifik info.

3. Tilføjer hardcoded Webtrekk info med opt-out knap til cookie-infosiden. Information kan dermed ikke redigeres/fjernes ligesom standard teksten, men det er vigtigt, at opt-out knappen ikke kan fjernes.

Punkt 3. er en alternativ løsning til den jeg har eksperiemteret med i #3585, hvor Webtrekk opt-out integreres ind i EU cookie compliance pop-up'en. I denne her løsning, hvor man skal ind på cookie-infoside for at kunne opt-out, er det noget sværere for brugeren at komme til at fravælge Webtrekk. Dette kan måske være at foretrække ift. den meget tilgængelige opt-out i cookie pop-up banner.

Så der skal tages en beslutning om hvilken opt-out løsning vi vi bruge. Vælger vi opt-out i cookie pop-up banner skal punkt 3. fjernes fra PR i denne sag.

**Tilføjelse: Eller det er måske også muligt at bruge begge løsninger på samme tid.

 

 

 

#36 Updated by Rolf Madsen 20 days ago

#37 Updated by Rolf Madsen 19 days ago

Jura teamet har brug for tid til at ajourføre sig i forhold til en længe ventet EU-afgørelse om cookies og cookie-samtykke der faldt den 1. oktober.

Vi forventer dette arbejde færdiggjort medio oktober.

Also available in: Atom PDF