Mens et hav af hjemmesider siden 2012 som følge af EU-regler er blevet pålagt at indhente accept fra besøgende og fortælle dem om, hvordan og hvorledes cookies bliver anvendt, så lever andre teknologier, der også kan bruges til at spore brugeres færden på nettet, en anderledes stille tilværelse.
Siden begyndelsen af året har de europæiske myndigheder på området forsøgt at nå frem til en enighed om, i hvor høj grad sporingsteknologier, som ikke anvender cookies, er omfattet af EU-direktivet, der ligger bag, blandt andet de danske cookie-regler.
»Vi er ved at kigge på det. Vi håber at blive enige med de andre europæiske myndigheder inden sommerferien,« fortæller Brian Wessel, kontorchef i den danske myndighed på området, Erhvervsstyrelsen.
En af de teknologier, som Erhvervsstyrelsen, sammen med de øvrige europæiske myndigheder på området diskuterer, er såkaldt device fingerprinting. Begrebet dækker over, at det alene ved at se på de plugins, det styresystem, den browsertype og lignende, som en klientmaskine anvender, er muligt med rimelig stor sikkerhed, at identificere maskinen. Altså helt uden at sætte cookies.
Spørgsmålet, som de europæiske myndigheder forsøger at besvare, er, om den form for sporing af brugere kan omfattes af det nuværende e-databeskyttelsesdirektiv, som ligger grund for blandt andet de danske regler på området.
Sideløbende er de europæiske myndigheder på området ved at skyde et såkaldt cookie-sweep i gang, som er en tværnational stikprøvekontrol af hjemmesider, for at se, om de lever op til de nuværende regler. Specifikt i forhold til tracking cookies og 3. part-cookies. Altså henholdsvis cookies der bliver brugt til at følge brugere på tværs af sites, og cookies der bliver brugt af 3. parter til at opsamle informationer om brugerens færden på et site.
Men imens er det altså uvist om de cookie-løse alternativer overhovedet er reguleret.
Er det ikke paradoksalt, at I på den ene side bruger kræfter på at kontrollere, hvordan hjemmesider anvender cookies, mens en teknologi, som device fingerprinting, som brugeren i udgangspunktet slet ikke har mulighed for at opdage, om bliver anvendt, ikke bliver reguleret?
»Der er sket en udvikling henover årene, hvor der er kommet en forståelse af, at brugerne skal informeres, men vi er ikke i mål endnu. Der er stadig ting, vi skal have fokus på. Vi fokuserer på, hvor formålet med direktivet er mest i spil. Og hvis vi bliver enige med de øvrige EU-lande om, at device fingerprinting også er omfattet i et eller andet omfang, så skal vi selvfølgeligt også have fokus på det,« siger Brian Wessel.
Han fortæller, at det er Erhvervsstyrelsens opfattelse, at brugerne bør afgive et aktivt samtykke i forhold til at blive sporet sporet på tværs af hjemmesider, uanset om det foregår via cookies eller andet.
»Det er det, vi mener, er formålet med direktivet, og det er det, vi mener, er mest indgribende. Det kunne i princippet omfatte device fingerprinting, men vi vil sikre os, at vi ligger på linje med de andre lande i vores fortolkning, så vi hverken går blødere eller hårdere til værks i forhold til direktivet.«
Brian Wessel oplyser desuden, at Erhvervsstyrelsen endnu ikke har politianmeldt hjemmeside-indehavere for ikke at leve op til cookie-reglerne, med en eventuel bøde til følge, men han vil ikke afvise, at det kan komme på tale.
Tidligst i løbet af juni forventer Erhvervsstyrelsen der foreligger en afklaring af, om eksempelvis device fingerprinting skal reguleres i forhold til det nuværende EU-direktiv.
I Foreningen for Dansk Internet Handel, også kaldet FDIH, håber kommunikationschef Henrik Theil, at den løsning myndighederne måtte nå frem til, primært forholder sig til det overordnede formål med dataindsamlingen, mere end til de konkrete teknologier. For hvis lovgivningen bliver for teknologispecifik, så viser erfaringen, at den teknologiske udvikling løber fra paragrafferne, påpeger Henrik Theil.
Han mener generelt, der bør sondres mellem om eksempelvis cookies, device fingerprinting eller andet bliver anvendt til at lave generel statistik på en hjemmeside, eller til unikt at identificere den enkelte besøgende. Hvis det er det sidste, der er tale om, så bør brugeren aktivt acceptere dataindsamlingen, ellers ikke, mener Henrik Theil.
»Den almindelige generiske dataindsamling, som ikke er personhenførbar, og hvor vi får en fornemmelse af, hvad retning tingene bevæger sig, der mener jeg, den mener jeg, det er helt overdrevet at skulle indhente samtykke til,« siger Henrik Theil, som dog også understreger, at det stadig vil være rimeligt, at hjemmesiden informerer brugeren om, at en dataindsamling finder sted, selvom det er til eksempelvis statistik.
Leave a Reply