Cookielov presser dansk selskab, mens Microsoft, Google og Apple går fri

Et dansk selskabs metoder til dataindsamling undersøges af Erhvervsstyrelsen, men flere it-giganter har i årevis upåtalt gjort det samme. Grotesk forskels­behandling, mener professor.

»Juridisk set kan der ikke være nogen tvivl. Hvis Blip Systems’ trafikovervågning er underlagt direktivet, så vil det også gælde for de her virksomheder og deres korttjenester.«

Sådan lyder det fra Heidi Steen Jensen, der er it-advokat og partner i advokatfirmaet Horten, når hun bliver bedt om at vurdere den måde, hvorpå it-giganter som Google, Apple og Microsoft indsamler placeringsdata om millioner af private routere verden over – og hendes vurdering deles af flere andre jurister, Version2 har talt med.

Læs også: Nytolkning af cookie-direktiv er bombe under dansk succesforretning med trafikovervågning

Ikke desto mindre undgår de multinationale giganter myndig­hedernes søgelys, mens Erhvervsstyrelsen lige nu er ved at undersøge, hvorvidt Blip Systems udfører ulovlig dataindsamling.

En række danske kommuner anvender – eller har anvendt – Blip Systems’ teknologi til at overvåge trafikken på vejene. Det foregår ved, at systemet indsamler den unikke MAC-adresse fra bilisters smart­phones og derigennem kan kortlægge trafikstrømmen i en by.

Problemet er, at fremgangsmåden ifølge en foreløbig udmelding fra Erhvervsstyrelsen er omfattet af det såkaldte cookiedirektiv – og det betyder, at man skal have tilladelse fra den enkelte bilist, hvis dennes MAC-adresse skal bruges til andet end det, brugeren har bedt om.

Siden januar er den problematiske trafikovervågning blevet til en formel sag, som styrelsen ikke vil kommentere. Styrelsen vil heller ikke kommentere, at de tre it-giganter – blandt andre – bruger teknisk set den samme metode i deres globale kort-tjenester. Her har virksom­hederne i årevis indsamlet MAC-adresser og positioner på routere i hele verden, og bruger data til at fortælle telefoner, hvor de befinder sig.

Læs også: EU-kommission: Vi kender ikke til strid om MAC-adresser andre steder end Danmark

Sagen har allerede haft alvorlige konsekvenser for Blip Systems. Særligt i Danmark kan den juridiske usikkerhed mærkes, fortæller direktør Peter Knudsen.

»Lige nu står markedet stille. Kunder, som gerne ville købe, er gået i en venteposition. Og jo længere tid, der går, des større er risikoen for, at vi mister de kunder,« siger han.

Ifølge professor ved Aalborg Universitets institut for elektroniske systemer Knud Erik Skovby forsømmer embedsværket simpelthen at undersøge it-giganternes fremgangsmåde, fordi de store selskaber er indviklede og besværlige.

»Der er ingen tvivl om, at sagen om Blip Systems er taget op, fordi Version2 har skrevet om den. Det bliver det ikke bedre af, snarere mere grotesk,« siger forskeren og tilføjer, at de multinationale kæmper er notorisk besværlige at røre.

»Der kan komme langvarige retssager. Derfor har embedsværket ikke rejst sagerne. Det viser, at hele embedsværket ikke er indstillet på at følge med i den dynamiske udvikling, der sker i international kommunikation,« siger Knud Erik Skovby.

Christel Schaldemose, (S) der er medlem af EU-Parlamentet og i sin tid var med til at vedtage privacy­direktivet, kalder det uanstændigt, hvis der gøres forskel på store og små spillere. Det afgørende er, at der er lighed for loven, mener hun:

»Vi skal ikke tøve med at komme efter Google og de andre, hvis de overtræder reglerne. Når man kan gå efter et lille firma, så kan man også gå efter et stort firma,« fastslår Christel Schaldemose.

Ramt på forretningen

Indtil videre er Blip Systems forretning i øvrige europæiske lande uændret. Peter Knudsen understreger, at Blip Systems indsamler den samme slags data på samme måde, som for eksempel Google gør.

»Forskellen er, at Blips sensorer hænger på lygtepæle, mens Google bruger vores alle sammens smart­phones og gør det, uden at vi er klar over det. Det foregår i en helt anden skala, og det er ikke så gennemsigtigt, hvad de data, de indsamler, rent faktisk bliver brugt til,« mener Peter Knudsen.

Han ved, at Erhvervsstyrelsen er bevidst om it-kæmpernes dataindsamling, for han har selv leveret dokumentation om kort-tjenesterne i forbindelse med sagen om Blip Systems. Og ifølge direktøren illustrerer forløbet, at juraen har svært ved at følge med teknologien.

»Hele lovgivningen er blevet formuleret med hovedet under armen. Det er langt mere relevant at sætte rammer for, hvad man må med data, end at sætte regler for, hvornår de må opsamles,« siger han.

Vi har forsøgt at indhente en kommentar fra Google, men virksomheden har ikke svaret på vores henvendelse.

Da MAC-adressen blev en cookie

25. nov. 2014: Arbejdsgruppe i EU udsender en tolkning af cookie-direktivet, der specifikt nævner MAC-adresser i et eksempel.

26. jan. 2015: Ingeniørens it-medie Version2 spørger Erhvervsstyrelsen, om det er et brud på direktivet at indsamle MAC-adresser fra bilisters smartphones – som virksomheden Blip Systems gør – og bruge data uden at få brugerens samtykke. Det bekræfter styrelsen.

3. februar: Københavns Kommune sætter sin brug af Blip Systems på pause, indtil det juridiske spørgsmål er afklaret.

15. februar: Der afholdes møde om sagen i Erhvervsstyrelsen med blandt andre Blip Systems. Selskabets direktør, Peter Knudsen, er positiv mht. udfaldet, men beretter, at styrelsen mener, der kan gå lang tid, før systemet får grønt lys.

16. februar: Aarhus Kommune oplyser, at man ikke investerer mere i systemet, før der kommer en melding fra Erhvervsstyrelsen.

Marts: Erhvervsstyrelsen skal efter planen komme med en endelig bedømmelse af, om Blip Systems’ trafik- system overholder gældende lov.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Røssell

Det er helt normalt praksis at bruge cookies. Stort set alle gør det, og mange sider kan du overhovedet ikke benytte uden cookies.
Det jeg ikke forstår er hvordan EU kan være så ufattelig dumme ikke blot at vedtage en lov som generer 200 millioner internetbrugere, men også flere år efter loven har bevist sin fuldstændige ubrugelighed stadig eksisterer.
Det jeg ikke forstår er at man skal godkende at "webstedet får adgang til dit personnummer" hver gang man logger på e-boks.
Det jeg ikke forstår er hvorfor højtuddannede og højtbetalte DJØF-ere kan præstere så tåbelige love.
Det eneste embedsværket beviser med denne sag er at de er gode til at ødelægge dansk initiativ og erhverv for at promovere sig selv.

  • 4
  • 4
Simon Mikkelsen

Google, Apple, mfl.: Vi indsamler MAC-adresser, gemmer dem og sender dem til USA og hvem der gider købe dem. Staten: Intet at sige.
Lille dansk virksomhed: Vi indsamler macadresser, hasher dem, gemmer dem kun kortvarigt og skaber arbejdspladser i landet: Staten: Næ, næ, næ, næ, næ, det må vi ikke! Fy fy skamme skamme...

I denne sag virker staten som et immunforsvar der er gået amok og angriber kroppen selv. Men det er jo altid nemmest at tryne de små.

  • 8
  • 1
Peter Lind

Det jeg ikke forstår er hvorfor næsten alle hjemmesider sætter masser af cookies på computeren INDEN man overhovedet vælger om man vil acceptere dem? Det må da være en ulovligt praksis?

Der er intet ulovligt i at bruge cookies. Brugeren skal kun gives et valg der hvor brugen af cookies ikke er nødvendig for at siden fungerer.

Implementering af tjek på om brug af cookies er ok kan ikke gøres uden identifikation af brugeren enten via cookies eller værre. Så det er nok at gøre brugeren opmærksom på at cookies bliver brugt til dette - der behøver ikke være noget valg. Og dermed kan du også uden videre sætte cookies med det samme.

  • 2
  • 1
Jimmy Christiansen

Den grundlæggende årsag til at man lavede loven, var netop frygten for hvad Google kan indsamle omkring os. Derfor er det absurd, at netop Google konsekvent går fri.


Går fri er så meget sagt, men bøden burde have været størrelsesordner større så den havde haft mere effekt på deres praksis.
http://www.b.dk/tech/google-faar-millionboede-for-streetview-bommert
Jeg ved ikke om Google efterfølgende har rettet ind og helt stoppet den pågældende praksis. I modsat fald er det "bare" at lave en ny sag, med den tidligere sag i tyskland som skærpende omstændighed ( da reglerne er de samme jævnfør det er EU-lovgivning ).

Sagen om bøden var dog en lang og sej kamp, her er en artikkel fra før ovennævnte bøde blev udstedt: http://www.version2.dk/artikel/tyskland-google-broed-ikke-loven-med-stre...

  • 0
  • 0
Jimmy Christiansen
  • 2
  • 0
Bjarne Nielsen

Der er vist nogen i Aalborg, der har brug for tudekiks:

  1. Det har helt andre implikationer for mit privatliv, at man misbruger mit personlige udstyr til detaljeret at kortlægge mit daglige bevægelsesmønster (og det hjælper i den forbindelse ikke, at man vifter med armene og mumler 'anonymisering'), og så det at kortlægge statisk udstyrs placering.
  2. Det er ikke sandt, at "de store går fri": Google fik i den grad ørerne i maskinen dengang, ikke bare i Danmark.
  3. Der findes langt mindre indgribende metoder til at indsamle trafikdata, og der findes metoder, hvor man kan få tilsvarende oplysninger, bare man spørger pænt først, så der er ingen grund til at pive over, at man ikke må tage selv. Målet helliger ikke midlet.

PS: jeg er heller ikke imponeret over, hvordan man har valgt at ignorere cookie lovgivningens vink med en vognstang om, at vores privacy skal respekteres, ved at lave 'ulven kommer'-popups på alle sider - men det er vist en anden diskussion.

  • 6
  • 0
Log ind eller Opret konto for at kommentere