Cookielov presser dansk selskab, mens Microsoft, Google og Apple går fri
»Juridisk set kan der ikke være nogen tvivl. Hvis Blip Systems’ trafikovervågning er underlagt direktivet, så vil det også gælde for de her virksomheder og deres korttjenester.«
Sådan lyder det fra Heidi Steen Jensen, der er it-advokat og partner i advokatfirmaet Horten, når hun bliver bedt om at vurdere den måde, hvorpå it-giganter som Google, Apple og Microsoft indsamler placeringsdata om millioner af private routere verden over – og hendes vurdering deles af flere andre jurister, Version2 har talt med.
Ikke desto mindre undgår de multinationale giganter myndighedernes søgelys, mens Erhvervsstyrelsen lige nu er ved at undersøge, hvorvidt Blip Systems udfører ulovlig dataindsamling.
En række danske kommuner anvender – eller har anvendt – Blip Systems’ teknologi til at overvåge trafikken på vejene. Det foregår ved, at systemet indsamler den unikke MAC-adresse fra bilisters smartphones og derigennem kan kortlægge trafikstrømmen i en by.
Problemet er, at fremgangsmåden ifølge en foreløbig udmelding fra Erhvervsstyrelsen er omfattet af det såkaldte cookiedirektiv – og det betyder, at man skal have tilladelse fra den enkelte bilist, hvis dennes MAC-adresse skal bruges til andet end det, brugeren har bedt om.
Siden januar er den problematiske trafikovervågning blevet til en formel sag, som styrelsen ikke vil kommentere. Styrelsen vil heller ikke kommentere, at de tre it-giganter – blandt andre – bruger teknisk set den samme metode i deres globale kort-tjenester. Her har virksomhederne i årevis indsamlet MAC-adresser og positioner på routere i hele verden, og bruger data til at fortælle telefoner, hvor de befinder sig.
Sagen har allerede haft alvorlige konsekvenser for Blip Systems. Særligt i Danmark kan den juridiske usikkerhed mærkes, fortæller direktør Peter Knudsen.
»Lige nu står markedet stille. Kunder, som gerne ville købe, er gået i en venteposition. Og jo længere tid, der går, des større er risikoen for, at vi mister de kunder,« siger han.
Ifølge professor ved Aalborg Universitets institut for elektroniske systemer Knud Erik Skovby forsømmer embedsværket simpelthen at undersøge it-giganternes fremgangsmåde, fordi de store selskaber er indviklede og besværlige.
»Der er ingen tvivl om, at sagen om Blip Systems er taget op, fordi Version2 har skrevet om den. Det bliver det ikke bedre af, snarere mere grotesk,« siger forskeren og tilføjer, at de multinationale kæmper er notorisk besværlige at røre.
»Der kan komme langvarige retssager. Derfor har embedsværket ikke rejst sagerne. Det viser, at hele embedsværket ikke er indstillet på at følge med i den dynamiske udvikling, der sker i international kommunikation,« siger Knud Erik Skovby.
Christel Schaldemose, (S) der er medlem af EU-Parlamentet og i sin tid var med til at vedtage privacydirektivet, kalder det uanstændigt, hvis der gøres forskel på store og små spillere. Det afgørende er, at der er lighed for loven, mener hun:
»Vi skal ikke tøve med at komme efter Google og de andre, hvis de overtræder reglerne. Når man kan gå efter et lille firma, så kan man også gå efter et stort firma,« fastslår Christel Schaldemose.
Ramt på forretningen
Indtil videre er Blip Systems forretning i øvrige europæiske lande uændret. Peter Knudsen understreger, at Blip Systems indsamler den samme slags data på samme måde, som for eksempel Google gør.
»Forskellen er, at Blips sensorer hænger på lygtepæle, mens Google bruger vores alle sammens smartphones og gør det, uden at vi er klar over det. Det foregår i en helt anden skala, og det er ikke så gennemsigtigt, hvad de data, de indsamler, rent faktisk bliver brugt til,« mener Peter Knudsen.
Han ved, at Erhvervsstyrelsen er bevidst om it-kæmpernes dataindsamling, for han har selv leveret dokumentation om kort-tjenesterne i forbindelse med sagen om Blip Systems. Og ifølge direktøren illustrerer forløbet, at juraen har svært ved at følge med teknologien.
»Hele lovgivningen er blevet formuleret med hovedet under armen. Det er langt mere relevant at sætte rammer for, hvad man må med data, end at sætte regler for, hvornår de må opsamles,« siger han.
Vi har forsøgt at indhente en kommentar fra Google, men virksomheden har ikke svaret på vores henvendelse.
Da MAC-adressen blev en cookie
25. nov. 2014: Arbejdsgruppe i EU udsender en tolkning af cookie-direktivet, der specifikt nævner MAC-adresser i et eksempel.
26. jan. 2015: Ingeniørens it-medie Version2 spørger Erhvervsstyrelsen, om det er et brud på direktivet at indsamle MAC-adresser fra bilisters smartphones – som virksomheden Blip Systems gør – og bruge data uden at få brugerens samtykke. Det bekræfter styrelsen.
3. februar: Københavns Kommune sætter sin brug af Blip Systems på pause, indtil det juridiske spørgsmål er afklaret.
15. februar: Der afholdes møde om sagen i Erhvervsstyrelsen med blandt andre Blip Systems. Selskabets direktør, Peter Knudsen, er positiv mht. udfaldet, men beretter, at styrelsen mener, der kan gå lang tid, før systemet får grønt lys.
16. februar: Aarhus Kommune oplyser, at man ikke investerer mere i systemet, før der kommer en melding fra Erhvervsstyrelsen.
Marts: Erhvervsstyrelsen skal efter planen komme med en endelig bedømmelse af, om Blip Systems’ trafik- system overholder gældende lov.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.