ePrivacy: Nyeste udspil udvander regler om metadata og cookies

Illustration: tanaonte, BigStock
Det østrigske EU-formandskab foreslår at stryge regler om cookie-blokering i browsere, mens de vil give teleselskaber større mulighed for udnyttelse af kunders metadata.

Ja til cookie-mure, ingen krav om blokering af tracking i browseren, og mulighed for at teleselskaber og OTT-tjenester kan udnytte metadata til uspecificerede formål.

Sådan lyder et udkast til den forsinkede ePrivacy-forordning, som det nye østrigske formandskab for EU præsenterede i midten af juli.

Forslagene ligger både ekstremt langt fra Europa-Parlamentets standpunkt og ville også rulle privatlivsbeskyttelsen tilbage i forhold til Europa-Kommissionens oprindelige forslag til forordningen.

»Formandskabets forslag er fuldstændig uacceptabelt. Deres mål synes at være ikke at forholde sig til kommissionens forslag og at boykotte denne vigtige lov. Kort sagt så vil formandskabet sælge borgernes rettigheder og demokrati for profit,« udtalte parlamentets chefforhandler Birgitte Sippel i forbindelse med udkastet.

Læs også: ePrivacy: Industri fører ophedet lobbykrig mod massivt forsinket forordning

Dermed trækker det op til flere hårde forhandlinger om den massivt forsinkede ePrivacy-forordning, der blandt andet på cookie-området skal supplere og specificere den generelle Databeskyttelsesforordning, der trådte i kraft d. 25. maj i år.

Manglende vished om tracking-mure

Oprindeligt skulle ePrivacy-forordningen være trådt i kraft samme tid som GDPR, men den ser kun ud til at blive forsinket yderligere. I dette halvår bliver det ikke til mere end en fremskridtsrapport i december, har det nye østrigske formandskab allerede meldt ud.

Herefter tager det rumænske formandskab over, hvorefter valg til EU-Parlamentet næste forår formentlig udskyder processen yderligere.

Læs også: 'Cookie-problemet' er ikke løst med GDPR: Kampen fortsætter i EU

Med ePrivacy-forordningens forsinkelse hersker der endnu uvished om, hvor rammerne for virksomheders digitale færden i Europa under GDPR ender med at blive sat.

Blandt andet er lovligheden af såkaldte tracking-mure, hvor adgangen til hjemmesider betinges med accept af overvågningscookies, endnu ikke afgjort.

Siden GDPR trådte i kraft, er versioner af sådanne 'mure' blevet brugt hyppigt, fordi databeskyttelsesforordningen kræver samtykke til behandling af persondata.

Om murene er lovlige, er dog et spørgsmål om fortolkning, inden enten domstole eller ePrivacy-forordningen afklarer situationen.

I marts foreslog det bulgarske formandskab at afklare den ved at tillade dem som udgangspunkt. Det østrigske formandskab har siden tilføjet, at murene især er gyldige, hvis brugere også har mulighed for at betale med penge i stedet for persondata.

Det strider dog fuldstændig mod EU’s principper for beskyttelse af persondata, mener Jesper Lund, der er formand for IT-Politisk Forening.

Læs også: Der kan gå år inden GDPR stopper cookie-inferno

»Den usikkerhed, der er nu, over, hvorvidt man kan afpresse et samtykke til overvågningscookies, den vil formandskabet afklare ved at gøre personoplysninger til en vare, som man kan handle med. Det mener vi er kritisabelt,« siger han.

Østrigsk formandskab vil stryge helt afsnit om 'privacy by design'

Mest kontroversielt i det nye udkast er to andre forslag. Det ene går ud på helt at stryge den centrale 'artikel 10', som omhandler 'privacy by design'.

Artikel 10 har vakt meget modstand, da den kræver, at nyinstalleret software giver brugere mulighed for at nægte, at softwaren lader andre end slutbrugeren lægge eller læse data på enheden.

I dag bliver eksempelvis overvågningscookies hyppigt lagt og læst gennem browsere, så annoncer kan målrettes på hjemmesider. Bestemmelsen vil dermed kunne få enorme konsekvenser for de mange virksomheder, der lever af online-annoncering.

Læs også: Trods GDPR: Dine data er stadig til salg

Især parlamentets forslag, hvor afvisningen af cookies skal være standardindstillingen i softwaren, kan få vidtgående betydning. De potentielle konsekvenser bekymrer, skriver det østrigske formandskab i deres udkast.

»Artikel 10 har vakt en del bekymring inklusiv med hensyn til byrden for browsere og apps, konkurrenceaspektet, forbindelsen til bøder for ikke-compliance, men også virkningen for brugerne og hvordan bestemmelsen evner at imødegå fx. samtykke-træthed, dermed er der tvivl om den tilføjede værdi.«

Jesper Lund mener, at argumentet om ‘samtykke-træthed’ er misvisende. Han tror nemlig, at forslagene kun vil skabe flere cookie-pop-ups og dermed irritation blandt europæiske borgere.

»Konsekvensen af de østrigske forslag vil være, at vi vil komme til at se endnu flere cookie-pop-ups, hvor vi ikke har andre muligheder, end at klikke, ‘acceptér’. Dermed vil borgerne i europa blive mere og mere irriterede over lovgivningen, da de kommer til at blive stillet over for valg, som ikke er reelle,« siger Jesper Lund.

Læs også: Privacy-vagthund: Ulovliggør at websider afviser brugere, som siger nej til cookies

Udnyttelse af metadata

Det mest vidtgående og radikale af de nye forslag vedrører dog ikke cookies, mener Jesper Lund. Det østrigske formandskab foreslår nemlig også en tilføjelse, der giver virksomheder mulighed for at indsamle og behandle metadata fra elektronisk kommunikation til uspecificerede formål uden samtykke fra kunderne.

En helt central anledning til den nye ePrivacy-lovgivning var, at de nye såkaldte OTT-tjenester (Facebook Messenger, Skype, WhatsApp) ligger uden for det regelsæt, der gælder for teleselskaber.

Dermed har OTT-tjenesterne modsat teleselskaberne i dag mulighed for at udnytte den metadata, der genereres ved brug af tjenesterne (for eksempel lokationsdata) til en lang række formål.

Læs også: Facebook har skrabet Android-telefoner for metadata om opkald og beskeder i årevis

Både kommissionens og parlamentets forslag til forordningen ville indskrænke OTT-tjenesternes muligheder gevaldigt. Ministerrådets seneste udkast vil derimod skabe lige konkurrence på komplet modsat vis, mener Jesper Lund.

»Det er virkelig at give teleselskaberne samme muligheder, som Facebook og Skype har i dag til at bruge de metadata, der bliver genereret, når man benytter tjenesten. Det er ekstremt vidtgående,« siger han.

De europæiske teleselskaber tager derimod positivt imod forslaget, som vil lovliggøre uspecificeret behandling af metadata, så længe en række betingelser overholdes, og hensyn tages.

»I et hurtigt udviklende digitalt marked er det umuligt at forudse, hvordan kundepræferencer, teknologi og forretningsmodeller vil udvikle sig i de kommende år. Af denne grund har vi konsekvent advaret mod en kortsigtet liste af undtagelser til et overordnet forbud mod behandling af metadata udelukkende baseret på nutidens sager og behov,« udtalte teleselskabernes europæiske forening, ETNO.

Seneste møde, hvor udkastet blev diskuteret, fandt sted den 17. juli, men da disse foregår bag lukkede døre, er det ikke let at sige, hvor de enkelte medlemsstater i Ministerrådet står i forhold til forslaget. Dog kunne den radikale karakter af formandskabets forslag tyde på, at næste version bliver mindre ekstrem.

Læs også: USA: Alle teleudbydere overvåger placering af kunder i real time, og de sælger den data videre

»Offentligheden får ikke andet end de løbende udkast, medmindre medlemslandene selv vælger at udtale sig. Så det er ikke til at sige, hvor resten af landene står. Det kan dog godt være, at det her udspil fra det østrigske formandskab er den radikale udgave, og at man så i næste version vil se en delvis tilbagetrækning,« siger Jesper Lund.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Nielsen

Det mest vidtgående og radikale af de nye forslag vedrører dog ikke cookies, mener Jesper Lund. Det østrigske formandskab foreslår nemlig også en tilføjelse, der giver virksomheder mulighed for at indsamle og behandle metadata fra elektronisk kommunikation til uspecificerede formål uden samtykke fra kunderne.

Hvis I giver mig min internetforbindelse gratis (eller en klækkelig rabat), kan vi tale om det. Men så længe jeg betaler fuld pris for min internetforbindelse, må I nøjes med at tjene penge på mig på dén måde!

@Yoel, hvis du læser med her (fordi Kviknet er min udbyder). Hvad er Kviknets holdning til formandskabets forslag omkring ISP'ers brug af metadata? Hvordan ville I forholde jer, hvis forslaget i en skør, skør verden skulle blive vedtaget uændret?

Jakob Skov

USA fjernede regulering af ISP'ers brug af bruger-data sidste år:
https://www.washingtonpost.com/news/the-switch/wp/2017/04/04/trump-has-s...

Der ligger derfor sandsynligvis også et "konkurrence-hensyn" til grund for denne tåbelighed om ISP-data. At det så gør det meget sværere at sikre gennemsigtighed for forbrugerens abonnements-vilkår, virksomhedens ansvarlighed og data-behandlingsmarkedets prisdannelse er ej heller en ideel langtidssikret og holdbar løsning for ISP-markedet...

Med hensyn til at sikre fremtidig håndtering af cookie-samtykker i browsere er det et svært emne at regulere idet browser-programmører og internet-virksomheder ikke nødvendigvis er helt enige om de tekniske snitflader, men uanset hvordan man går til problemet er det noget man vil skulle gøre noget ved på et tidspunkt: Om ikke andet skulle det meget gerne komme af sig selv!

Databehandling er og har altid været internettets vilde vesten og et godt marked for kriminelle, hvad enten de pralede på iRC i 90'erne eller senere over deres meget indbringende forretning med salg af hackede eller stjålne data. Spam-filtres udvikling og malware-fjernere har rykket forretningen et stykke fra dataindsamling mod databehandling. Problemet er bare at databehandlingen i modsætning til dataindsamling er umulig for brugere at agere imod idag, svær for annoncører at sikre er forsvarlig og umulig for annonce-bringende sider at kontrollere. Det at en professor giver lidt data til Cambridge Analytica er småting. En af stifterne af forretningen fortalte at de brugte data fra hundredevis af kilder. Mit gæt er at professorens data ikke er i nærheden af det mest problematisk fremskaffede kildemateriale i deres forretning. Det er den virkelighed Singularity-religionen bevidst ignorerer.

Niels-Arne Nørgaard Knudsen

når man tænker på at det faktisk giver ISP'er ret til at overvåge røven ud af bukserne på vores trafik og tjene penge på alt de kan trække ud af metadata (som f.eks. soruceIP og destIP og protokol) så behøver man ikke ligefrem være på Leibnitz's niveau for at regne ud at de, der bliver de største kunder, normalt betegnes med 3 eller 4 bogstaver og tal.

Jesper Lund

Løsningen hedder måske Firefox. Vi kan ikke basere vores privacy nu og i al fremtid på at politikerne udsteder regler.

Det er korrekt, at du i dag kan skabe relativt meget ePrivacy for dig selv med tekniske løsninger som selektivt valg af browser og (især) browser plugins [indsæt dit foretrukne].

Problemet er at når disse metoder bliver mainstream, vil overvågningsindustrien komme med modforholdsregler. Tidligere kunne du klikke 'OK' til misbrug-bare-alle-mine-data cookie banneret, og lade et passende browser plugin blokere for overvågningen. I dag kan du på visse sites blive mødt at et nyt popup banner, som ligefrem nægter dig adgang til websiden, hvis du ikke de-aktiverer din tracking blokering eller tillader tredjeparts cookies.

Noget af denne tracker-blocker-blocker kan sikkert blokeres, men det er et våbenkapløb hvor modparten har mange flere ressourcer til rådighed. Den almindelige forbruger vil tabe her og give op i frustration.

Det et ikke nok at skabe privatliv for den ene procent af teknisk kyndige. Hele befolkningen har ret til privatliv, også online.

Derfor er det helt afgørende, at vi får en stærk ePrivacy forordning, og at denne forordning blandt andet inkluderer et forbud mod tracking walls, som Europaparlamentet har stemt for. Kun på den måde kan vi sikre, at det samtykke til tracking som afgives via cookie banners, bliver reelt frivilligt (frit afgivet).

I en undersøgelse foretaget af Erhvervsstyrelsen og IDA i 2015 var det kun 3% af respondenterne som ønskede videregivelse af deres browseradfærd til tredjeparter.

Det er på tide at EU-regeringerne i Rådet begynder at lytte til borgerne i stedet for overvågningsindustriens lobbyister.

Jesper Lund
Formand, IT-Politisk Forening

Bjarne Nielsen

Måske de største enkeltstående kunder. Det virker meget til, at man frygtelig gerne vil have sessionslogning lovliggjort, og hvis man kunne finde en måde, hvorpå oplysninger "er der alligevel" pga. kommercielle interesser, så er den i vinkel.

Men jeg tænker nok, at der bliver rigeligt med andre kunder. Se f.eks.: https://www.version2.dk/artikel/myndigheder-blaastempler-tdcs-salg-lokat...

Men så må vi jo til at bruge VPN - så bestemmer vi i højere grad selv, hvem vi vil overvåges af :-).

Jesper Lund

Måske de største enkeltstående kunder. Det virker meget til, at man frygtelig gerne vil have sessionslogning lovliggjort, og hvis man kunne finde en måde, hvorpå oplysninger "er der alligevel" pga. kommercielle interesser, så er den i vinkel.

Nu skal vi ikke give nogle gode idéer, men lagring af internetpakke-oplysninger (svarende fx til sessionslogningen 2007-2014) til mere eller mindre ubestemte analyseformål kunne meget vel være omfattet af det seneste forslag fra det østrigske rådsformandskab.

Og når oplysningerne nu ligger i store databaser hos internetudbyderne, kan politiet selvfølgelig også få adgang til dem. Pseudonymisering hjælper ikke mod dette. Voila, fuld sessionslogning ad bagdøren.

Kjeld Flarup Christensen

Noget af denne tracker-blocker-blocker kan sikkert blokeres, men det er et våbenkapløb hvor modparten har mange flere ressourcer til rådighed. Den almindelige forbruger vil tabe her og give op i frustration.

Det et ikke nok at skabe privatliv for den ene procent af teknisk kyndige. Hele befolkningen har ret til privatliv, også online.

Derfor er det helt afgørende, at vi får en stærk ePrivacy forordning


For det første køber jeg ikke præmissen om, at privatliv kun bliver for de teknisk kyndige. Selvfølgelig kan der laves værktøjer som er sikre og lette at bruge.

For det andet, så ser jeg det som et stort problem, hvis staten garanterer vores privatliv, så tager man pusten ud af våbenkapløbet - på brugernes side. Det er måske derfor at der allerede i dag ikke er ordentlige værktøjer.

For det tredje vil dette betyde, at borgerne vil komme til at stå svagere overfor en stat, som også gerne vil overvåge.

Jan Gundtofte-Bruun

Løsningen hedder måske Firefox.


Jeg er glad for dit 'måske', for løsningen er bestemt ikke kun Firefox. Men måske kun 'VPN', og hvorfor dog ikke sammen med Firefox!

Jeg har i månedsvis villet tage mig sammen til at vælge en VPN-udbyder, og selv om jeg fik spurgt Kramse og PHK om de vil blogge om deres valg, så er jeg ikke kommet en afgørelse nærmere. Men det er efterhånden soleklart, at det er pengene værd (~5-10 €/md) at beskytte sig mod disse data leaks, og helst på LAN-niveau så hele familien (plus wifi gæster) dækkes ind -- "privacy by design" i sidste led.

Edit: Jeg startede her: That One Privacy Site | Detailed VPN Comparison Chart

Bjarne Nielsen

... vælge en VPN-udbyder ...

OK, jeg spillede i nogen grad selv bolden op, men jeg kan ikke lade være, at sidde her i varmen, og tænke over det spild, som det betyder. Både i ekstra CPU-cykler og CO2 udledning, men også i tabte muligheder.

Måske ville det være billigere og bedre for alle, at stille fælles krav til trafikken og bilerne, i stedet for at lade anarkiet råde og lade det være op til den enkelte at sikre sig godt nok, til at turde vove sig ud.

Det virker som en tekno-plaster, som kun vil hjælpe de få og lade de fleste i stikken.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder