Vejledning om brug af tredjeparts sporingsteknologier på statslige, obligatoriske digitale selvbetjeningsløsninger og nationale portaler
Denne vejledning beskriver, hvornår statslige myndigheder med obligatoriske selvbetjeningsløsninger og nationale portaler rettet mod borgere må bruge tredjepartstjenester på deres hjemmesider og apps.
Læs vejledningen her:
1. Kapitel: Baggrund
2. Kapitel: Anvendelsesområdet for vejledningen
3. Kapitel: Tredjepartscookies og lignende teknologier på digitale selvbetjeningsløsninger og nationale portaler
4. Kapitel: Opfølgning
Version 1.0
Seneste opdatering 10. februar 2022
1. Kapitel
Baggrund
Når en borger besøger en hjemmeside eller anvender en app, der benytter tredjepartscookies og lignende teknologier, kan deres færden på internettet blive sporet af virksomheder, som ikke ejer den pågældende hjemmeside eller app. Tredjepartscookies og lignende teknologier, kan anvendes til levering af fx et statistikprogram, en videotjeneste, en skrifttype etc. Borgernes færden kan blive sporet gennem app- eller hjemmesideejerens brug af tredjepartscookies og lignende teknologier, som placeres på borgerens udstyr1. Borgerne risikerer herigennem, at deres oplysninger videregives til tredjeparter. Det gælder også, når borgerne besøger offentlige hjemmesider, herunder offentlige hjemmesider med selvbetjeningsløsninger og nationale portaler. Dette kan svække borgernes tillid til den offentlige sektors ansvarlige håndtering af data.
Kommunikation mellem offentlige myndigheder og borgere sker i høj grad via statslige, obligatoriske digitale selvbetjeningsløsninger (herefter obligatoriske selvbetjeningsløsninger) samt via nationale portaler, der benyttes af borgerne til at indsende en ansøgning, anmeldelse, anmodning mv. Borgerne er som udgangspunkt nødt til at anvende disse løsninger for at gennemføre deres ærinder hos den pågældende myndighed.
Kravene til brug af cookies og lignende teknologier er fastsat i cookiebekendtgørelsen (BEK nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr). Som opfølgning på regeringens udspil om tech-giganter fra den 15. august 2021 fastsættes der i denne vejledning krav til anvendelsen af tredjepartscookies og lignende teknologier på obligatoriske selvbetjeningsløsninger og nationale portaler. Vejledningen skal derfor anses for at være et supplement til cookiebekendtgørelsen. Det bemærkes endvidere, at de generelle regler om databeskyttelse fortsat finder anvendelse og skal efterleves af myndighederne, når de behandler personoplysninger, der indsamles via cookies og lignende teknologier.
Offentlige myndigheder, som ikke opfylder kriterierne i denne vejlednings afsnit 2, vil alene skulle efterleve reglerne i cookiebekendtgørelsen. Formålet med vejledningen er at styrke tilliden fra borger til myndighed ved at sikre, at tredjeparter ikke indsamler oplysninger om borgere på obligatoriske selvbetjeningsløsninger og nationale portaler til egne formål.
Efterlevelsen af denne vejledning kræver, at offentlige myndigheder overholder de oplistede kriterier i afsnit 3.1.
1For at en hjemmeside kan vises, hentes der indhold ned, idet den besøgende klikker ind på hjemmesiden. Det er alt fra skrifttyper til billeder, videoindhold, funktioner mv. Det er hjemmesideejeren, der ved opbygningen af hjemmesiden bestemmer, hvilket indhold, der er integreret på hjemmesiden. Dette indhold kan både være førstepartsindhold og tredjepartsindhold, alt efter om det er hjemmesiden selv eller en tredjepart, der leverer dette indhold. Når indholdet hentes ned på den besøgendes computer, sker der en transaktion mellem hjemmesiden og tredjeparten, hvor hjemmesiden modtager det efterspurgte indhold, mens tredjeparten i samme anmodningen modtager information om den besøgende på hjemmesiden. |
2. Kapitel
Anvendelsesområdet for vejledningen
Vejledningen retter sig mod de myndigheder, der har statslige, obligatoriske digitale selvbetjeningsløsninger og nationale portaler. Vejledningen gælder uanset, om selvbetjeningsløsningen eller den nationale portal er på en hjemmeside eller i form af en app. Vejledningen finder alene anvendelse, hvor den obligatoriske selvbetjeningsløsning eller den nationale portal retter sig mod borgere. Det betyder, at obligatoriske selvbetjeningsløsninger eller den nationale portal, der retter sig mod virksomheder, falder uden for vejledningen. Afgrænsningen af, hvilke selvbetjeningsløsninger der omfattes af begrebet ”statslige, obligatoriske digitale selvbetjeningsløsninger” og ”nationale portaler”, vil blive beskrevet nedenfor.
Det skal bemærkes, at Digitaliseringsstyrelsen bistår med generel vejledning, og det vil være muligt, at kontakte styrelsen med spørgsmål relateret til om en given tjeneste er omfattet af vejledningen.
2.1. Statslige, obligatoriske digitale selvbetjeningsløsninger
Ved digital selvbetjeningsløsning forstås en løsning, hvor borgere i deres kommunikation med en myndighed skal benytte et it-system, som ligger på en hjemmeside eller i form af en app. Dette kan fx være, når borgerne skal:
- Kommunikere med myndigheden
- Indgive anmeldelser
- Indgive ansøgninger
- Anlægge sager
Der er tale om selvbetjeningsløsninger, hvor der sker en interaktion mellem myndigheden og borgeren. Der er således ikke tale om hjemmesider og apps, hvor der alene kan tilgås information om regler, oplysninger om den pågældende myndighed mv.
Derudover vil adgangen til en selvbetjeningsløsning typisk forudsætte, at borgeren logger ind med MitID. Dog vil selvbetjeningsløsninger, hvor borgeren udfylder en formular, fx ved indsendelse af en meddelelse eller ansøgning, ligeledes kunne karakteriseres som en selvbetjeningsløsning.
De digitale selvbetjeningsløsninger anses som obligatoriske, når de skønnes at være borgernes primære kommunikationskanal til myndighederne. Oftest vil selvbetjeningsløsningen udspringe af et lovkrav om, at en myndighed skal stille en bestemt digital selvbetjeningsløsning til rådighed for borgerne.
En selvbetjeningsløsning vil ikke miste sin status som ”obligatorisk”, fordi visse borgere fx pga. særlige hensyn, såsom fysisk handicap eller funktionsnedsættelse, har mulighed for at benytte andre kommunikationskanaler, fx ved at rette henvendelse til den pågældende myndighed telefonisk, ved fysisk fremmøde eller post.
Der er tale om en statslig digital selvbetjeningsløsning i de tilfælde, hvor den pågældende selvbetjeningsløsning helt eller delvist stilles til rådighed af en statslig myndighed. Ved statslig myndighed forstås ministerier, styrelser, nævn, domstolene, politiet mv. Det betyder, at selvbetjeningsløsninger som er delvist statsligt ejet, fx sammen med regionerne og/ eller kommuner, samt løsninger hvor en statslig myndighed har udliciteret til private aktører, ligeledes er omfattet.
Obligatoriske selvbetjeningsløsninger, som kommunale og regionale myndigheder alene er ansvarlige for, er ikke omfattet af vejledningen.
2.2. Nationale portaler
En selvbetjeningsløsning kan tilgås fra bl.a. myndigheders hjemmesider og fra nationale portaler, hvor der via disse portaler er en genvej til myndighedens statslige, obligatoriske digitale selvbetjeningsløsning. Selvbetjeningsløsningen er derfor teknisk placeret hos den ansvarlig myndigheds hjemmeside, hvorimod nationale portaler blot præsenterer selvbetjeningsløsningen.
Når den besøgende tilgår en selvbetjeningsløsning via en portal, bliver den besøgende fra portalen dirigeret videre til myndighedernes hjemmeside, som indeholder selvbetjeningsløsningen.
3. Kapitel
Tredjepartscookies og lignende teknologier på digitale selvbetjeningsløsninger og nationale portaler
Hjemmesider og apps kan bruge funktionelle og visuelle elementer for at gøre disse nemmere for borgere at interagere med. Elementerne kan enten hentes fra hjemmesidens eller appens egen server eller database, såkaldt førstepartscookies eller lignende teknologier, eller det kan hentes fra en ekstern udbyder, såkaldt tredjepartscookies og lignende teknologier. Tredjepartscookies og lignende teknologier kan fx være statistikprogrammer, skrifttyper, billedmateriale, videotjenester mv.
Nedenstående afsnit indeholder en nærmere gennemgang af, hvad myndigheder skal være opmærksom på ved anvendelsen af tredjepartscookies og lignende teknologier på statslige, obligatoriske hjemmesider og apps, som indeholder en digital selvbetjeningsløsning samt på nationale portaler.
3.1. Kravene til anvendelse af tredjepartscookies og lignende teknologier
Der er følgende muligheder for myndigheder med selvbetjeningsløsninger og nationale portaler for at anvende tredjepartscookies og lignende teknologier:
- Myndigheder kan anvende tredjepartscookies og lignende teknologier, hvis tredjeparten, i forbindelse med opsætningen af tjenesten, i deres ”indstillinger” har en funktion, der giver hjemmesideejeren mulighed for at fravælge, at det indsamlede data bliver delt og anvendt til tredjepartens egne formål, og denne funktion aktiveres.
- Myndigheder kan endvidere anvende tredjepartscookies og lignende teknologier, hvis det sikres, at det indsamlede data ikke benyttes til tredjepartens egne formål. Dette kan ske via en aftale med tredjeparten. Der er ikke formkrav til aftalen, og vilkårene kan således være reguleret i en databehandleraftale eller i en almindelig aftale.
Såfremt det ovenstående ikke kan lade sig gøre, vil de pågældende tredjepartscookies og lignende teknologier ikke kunne benyttes i overensstemmelse med denne vejledning.
Derudover kan myndigheder fortsat benytte ”teknisk nødvendigt” tredjepartscookies og lignende teknologier på hjemmesider og apps med obligatoriske selvbetjeningsløsninger i overensstemmelse med cookiebekendtgørelsens § 4. Det kan fx være tredjepartscookies og lignende teknologier, som er en teknisk forudsætning for, at hjemmesiden kan fungere eller, som alene placeres af sikkerhedsmæssige grunde. Tredjepartscookies og lignende teknologier kan ikke kategoriseres som teknisk nødvendige, hvis tredjeparten kan anvende det indsamlede data til egne formål. Det indsamlede data kan således kun anvendes af tredjeparten i det omfang, som er nødvendigt for, at den pågældende cookie eller lignende teknologi kan fungere i overensstemmelse med dens formål.
4. Kapitel
Opfølgning
Digitaliseringsstyrelsen vil årligt evaluere de omfattede myndigheders efterlevelse af denne vejledning og vil herefter offentliggøre resultatet af undersøgelsen på styrelsens hjemmeside. Styrelsen vil endvidere vurdere behov for opfølgende tiltag, herunder fx dialog med myndigheder med obligatoriske selvbetjeningsløsninger, der ikke efterlever vejledningen.
Evalueringen vil tage udgangspunkt i de obligatoriske selvbetjeningsløsninger og nationale portaler, der på tidspunktet for evalueringen er omfattet af nærværende vejledning.