ePrivacy: Nyeste udspil udvander regler om metadata og cookies

7. august 2018 kl. 05:1113
ePrivacy: Nyeste udspil udvander regler om metadata og cookies
Illustration: tanaonte, BigStock.
Det østrigske EU-formandskab foreslår at stryge regler om cookie-blokering i browsere, mens de vil give teleselskaber større mulighed for udnyttelse af kunders metadata.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Ja til cookie-mure, ingen krav om blokering af tracking i browseren, og mulighed for at teleselskaber og OTT-tjenester kan udnytte metadata til uspecificerede formål.

Sådan lyder et udkast til den forsinkede ePrivacy-forordning, som det nye østrigske formandskab for EU præsenterede i midten af juli.

Forslagene ligger både ekstremt langt fra Europa-Parlamentets standpunkt og ville også rulle privatlivsbeskyttelsen tilbage i forhold til Europa-Kommissionens oprindelige forslag til forordningen.

»Formandskabets forslag er fuldstændig uacceptabelt. Deres mål synes at være ikke at forholde sig til kommissionens forslag og at boykotte denne vigtige lov. Kort sagt så vil formandskabet sælge borgernes rettigheder og demokrati for profit,« udtalte parlamentets chefforhandler Birgitte Sippel i forbindelse med udkastet.

Artiklen fortsætter efter annoncen

Dermed trækker det op til flere hårde forhandlinger om den massivt forsinkede ePrivacy-forordning, der blandt andet på cookie-området skal supplere og specificere den generelle Databeskyttelsesforordning, der trådte i kraft d. 25. maj i år.

Manglende vished om tracking-mure

Oprindeligt skulle ePrivacy-forordningen være trådt i kraft samme tid som GDPR, men den ser kun ud til at blive forsinket yderligere. I dette halvår bliver det ikke til mere end en fremskridtsrapport i december, har det nye østrigske formandskab allerede meldt ud.

Herefter tager det rumænske formandskab over, hvorefter valg til EU-Parlamentet næste forår formentlig udskyder processen yderligere.

Forordningsforvirring

E-privacyforordningen – eller E-databeskyttelsesforordningen – skal ikke forveksles med EU’s generelle databeskyttelsesforordning – GDPR – der trådte i kraft tilbage i maj.

Den lange titel er: Forordning vedrørende respekt for privatlivets fred og beskyttelse af persondata ved elektronisk kommunikation.

E-privacyforordningen skulle egentlig have været klar til implementering samtidig med GDPR. Det bliver dog alligevel ikke tilfældet, og det er nu uklart, hvornår forordningen træder i kraft.

E-privacyforordningen erstatter det eksisterende direktiv af samme navn, og dermed også det udskældte cookie-direktiv.

I forslaget til forordningen er der desuden lagt op til, at tilsynsansvaret med loven flyttes fra blandt andet Erhvervsstyrelsen til Datatilsynet.

Som noget nyt kræver E-privacyforordningen, at såkaldte Over-The-Top-tjenester – som Messenger, Skype og WhatsApp – lever op til samme krav til fortrolighed og behandling af data, som teleselskaber gør i dag.

De områder, som ikke er nærmere beskrevet i e-privacyforordningen, vil reglerne fra GDPR dække.

Med ePrivacy-forordningens forsinkelse hersker der endnu uvished om, hvor rammerne for virksomheders digitale færden i Europa under GDPR ender med at blive sat.

Blandt andet er lovligheden af såkaldte tracking-mure, hvor adgangen til hjemmesider betinges med accept af overvågningscookies, endnu ikke afgjort.

Siden GDPR trådte i kraft, er versioner af sådanne 'mure' blevet brugt hyppigt, fordi databeskyttelsesforordningen kræver samtykke til behandling af persondata.

Om murene er lovlige, er dog et spørgsmål om fortolkning, inden enten domstole eller ePrivacy-forordningen afklarer situationen.

I marts foreslog det bulgarske formandskab at afklare den ved at tillade dem som udgangspunkt. Det østrigske formandskab har siden tilføjet, at murene især er gyldige, hvis brugere også har mulighed for at betale med penge i stedet for persondata.

Det strider dog fuldstændig mod EU’s principper for beskyttelse af persondata, mener Jesper Lund, der er formand for IT-Politisk Forening.

»Den usikkerhed, der er nu, over, hvorvidt man kan afpresse et samtykke til overvågningscookies, den vil formandskabet afklare ved at gøre personoplysninger til en vare, som man kan handle med. Det mener vi er kritisabelt,« siger han.

Østrigsk formandskab vil stryge helt afsnit om 'privacy by design'

Mest kontroversielt i det nye udkast er to andre forslag. Det ene går ud på helt at stryge den centrale 'artikel 10', som omhandler 'privacy by design'.

Artikel 10 har vakt meget modstand, da den kræver, at nyinstalleret software giver brugere mulighed for at nægte, at softwaren lader andre end slutbrugeren lægge eller læse data på enheden.

I dag bliver eksempelvis overvågningscookies hyppigt lagt og læst gennem browsere, så annoncer kan målrettes på hjemmesider. Bestemmelsen vil dermed kunne få enorme konsekvenser for de mange virksomheder, der lever af online-annoncering.

Især parlamentets forslag, hvor afvisningen af cookies skal være standardindstillingen i softwaren, kan få vidtgående betydning. De potentielle konsekvenser bekymrer, skriver det østrigske formandskab i deres udkast.

»Artikel 10 har vakt en del bekymring inklusiv med hensyn til byrden for browsere og apps, konkurrenceaspektet, forbindelsen til bøder for ikke-compliance, men også virkningen for brugerne og hvordan bestemmelsen evner at imødegå fx. samtykke-træthed, dermed er der tvivl om den tilføjede værdi.«

Jesper Lund mener, at argumentet om ‘samtykke-træthed’ er misvisende. Han tror nemlig, at forslagene kun vil skabe flere cookie-pop-ups og dermed irritation blandt europæiske borgere.

»Konsekvensen af de østrigske forslag vil være, at vi vil komme til at se endnu flere cookie-pop-ups, hvor vi ikke har andre muligheder, end at klikke, ‘acceptér’. Dermed vil borgerne i europa blive mere og mere irriterede over lovgivningen, da de kommer til at blive stillet over for valg, som ikke er reelle,« siger Jesper Lund.

Udnyttelse af metadata

Det mest vidtgående og radikale af de nye forslag vedrører dog ikke cookies, mener Jesper Lund. Det østrigske formandskab foreslår nemlig også en tilføjelse, der giver virksomheder mulighed for at indsamle og behandle metadata fra elektronisk kommunikation til uspecificerede formål uden samtykke fra kunderne.

En helt central anledning til den nye ePrivacy-lovgivning var, at de nye såkaldte OTT-tjenester (Facebook Messenger, Skype, WhatsApp) ligger uden for det regelsæt, der gælder for teleselskaber.

Dermed har OTT-tjenesterne modsat teleselskaberne i dag mulighed for at udnytte den metadata, der genereres ved brug af tjenesterne (for eksempel lokationsdata) til en lang række formål.

Både kommissionens og parlamentets forslag til forordningen ville indskrænke OTT-tjenesternes muligheder gevaldigt. Ministerrådets seneste udkast vil derimod skabe lige konkurrence på komplet modsat vis, mener Jesper Lund.

»Det er virkelig at give teleselskaberne samme muligheder, som Facebook og Skype har i dag til at bruge de metadata, der bliver genereret, når man benytter tjenesten. Det er ekstremt vidtgående,« siger han.

De europæiske teleselskaber tager derimod positivt imod forslaget, som vil lovliggøre uspecificeret behandling af metadata, så længe en række betingelser overholdes, og hensyn tages.

»I et hurtigt udviklende digitalt marked er det umuligt at forudse, hvordan kundepræferencer, teknologi og forretningsmodeller vil udvikle sig i de kommende år. Af denne grund har vi konsekvent advaret mod en kortsigtet liste af undtagelser til et overordnet forbud mod behandling af metadata udelukkende baseret på nutidens sager og behov,« udtalte teleselskabernes europæiske forening, ETNO.

Seneste møde, hvor udkastet blev diskuteret, fandt sted den 17. juli, men da disse foregår bag lukkede døre, er det ikke let at sige, hvor de enkelte medlemsstater i Ministerrådet står i forhold til forslaget. Dog kunne den radikale karakter af formandskabets forslag tyde på, at næste version bliver mindre ekstrem.

»Offentligheden får ikke andet end de løbende udkast, medmindre medlemslandene selv vælger at udtale sig. Så det er ikke til at sige, hvor resten af landene står. Det kan dog godt være, at det her udspil fra det østrigske formandskab er den radikale udgave, og at man så i næste version vil se en delvis tilbagetrækning,« siger Jesper Lund.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
8. august 2018 kl. 09:39

Men måske kun 'VPN', og hvorfor dog ikke sammen med Firefox!

VPN er fint til mange ting, men jeg har endnu til gode at finde en VPN-udbyder, hos hvem jeg kan udnytte i det mindste 75-80 % af min fulde internethastighed (ca. 70 Mbps).

Pt. bruger jeg PIA, og de klarer sig godt — men ikke godt nok til, at jeg ville være glad for at være forbundet til dem permanent.

12
8. august 2018 kl. 08:22

... vælge en VPN-udbyder ...

OK, jeg spillede i nogen grad selv bolden op, men jeg kan ikke lade være, at sidde her i varmen, og tænke over det spild, som det betyder. Både i ekstra CPU-cykler og CO2 udledning, men også i tabte muligheder.

Måske ville det være billigere og bedre for alle, at stille fælles krav til trafikken og bilerne, i stedet for at lade anarkiet råde og lade det være op til den enkelte at sikre sig godt nok, til at turde vove sig ud.

Det virker som en tekno-plaster, som kun vil hjælpe de få og lade de fleste i stikken.

11
8. august 2018 kl. 07:26

Løsningen hedder måske Firefox.

Jeg er glad for dit 'måske', for løsningen er bestemt ikke kun Firefox. Men måske kun 'VPN', og hvorfor dog ikke sammen med Firefox!

Jeg har i månedsvis villet tage mig sammen til at vælge en VPN-udbyder, og selv om jeg fik spurgt Kramse og PHK om de vil blogge om deres valg, så er jeg ikke kommet en afgørelse nærmere. Men det er efterhånden soleklart, at det er pengene værd (~5-10 €/md) at beskytte sig mod disse data leaks, og helst på LAN-niveau så hele familien (plus wifi gæster) dækkes ind -- "privacy by design" i sidste led.

Edit: Jeg startede her: That One Privacy Site | Detailed VPN Comparison Chart

10
8. august 2018 kl. 00:25

Noget af denne tracker-blocker-blocker kan sikkert blokeres, men det er et våbenkapløb hvor modparten har mange flere ressourcer til rådighed. Den almindelige forbruger vil tabe her og give op i frustration.</p>
<p>Det et ikke nok at skabe privatliv for den ene procent af teknisk kyndige. Hele befolkningen har ret til privatliv, også online.</p>
<p>Derfor er det helt afgørende, at vi får en stærk ePrivacy forordning

For det første køber jeg ikke præmissen om, at privatliv kun bliver for de teknisk kyndige. Selvfølgelig kan der laves værktøjer som er sikre og lette at bruge.

For det andet, så ser jeg det som et stort problem, hvis staten garanterer vores privatliv, så tager man pusten ud af våbenkapløbet - på brugernes side. Det er måske derfor at der allerede i dag ikke er ordentlige værktøjer.

For det tredje vil dette betyde, at borgerne vil komme til at stå svagere overfor en stat, som også gerne vil overvåge.

9
7. august 2018 kl. 15:41

Måske de største enkeltstående kunder. Det virker meget til, at man frygtelig gerne vil have sessionslogning lovliggjort, og hvis man kunne finde en måde, hvorpå oplysninger "er der alligevel" pga. kommercielle interesser, så er den i vinkel.

Nu skal vi ikke give nogle gode idéer, men lagring af internetpakke-oplysninger (svarende fx til sessionslogningen 2007-2014) til mere eller mindre ubestemte analyseformål kunne meget vel være omfattet af det seneste forslag fra det østrigske rådsformandskab.

Og når oplysningerne nu ligger i store databaser hos internetudbyderne, kan politiet selvfølgelig også få adgang til dem. Pseudonymisering hjælper ikke mod dette. Voila, fuld sessionslogning ad bagdøren.

8
7. august 2018 kl. 15:30

Måske de største enkeltstående kunder. Det virker meget til, at man frygtelig gerne vil have sessionslogning lovliggjort, og hvis man kunne finde en måde, hvorpå oplysninger "er der alligevel" pga. kommercielle interesser, så er den i vinkel.

Men jeg tænker nok, at der bliver rigeligt med andre kunder. Se f.eks.: https://www.version2.dk/artikel/myndigheder-blaastempler-tdcs-salg-lokationsdata-turisters-faerden-1085078

Men så må vi jo til at bruge VPN - så bestemmer vi i højere grad selv, hvem vi vil overvåges af :-).

7
7. august 2018 kl. 15:26

Løsningen hedder måske Firefox. Vi kan ikke basere vores privacy nu og i al fremtid på at politikerne udsteder regler.

Det er korrekt, at du i dag kan skabe relativt meget ePrivacy for dig selv med tekniske løsninger som selektivt valg af browser og (især) browser plugins [indsæt dit foretrukne].

Problemet er at når disse metoder bliver mainstream, vil overvågningsindustrien komme med modforholdsregler. Tidligere kunne du klikke 'OK' til misbrug-bare-alle-mine-data cookie banneret, og lade et passende browser plugin blokere for overvågningen. I dag kan du på visse sites blive mødt at et nyt popup banner, som ligefrem nægter dig adgang til websiden, hvis du ikke de-aktiverer din tracking blokering eller tillader tredjeparts cookies.

Noget af denne tracker-blocker-blocker kan sikkert blokeres, men det er et våbenkapløb hvor modparten har mange flere ressourcer til rådighed. Den almindelige forbruger vil tabe her og give op i frustration.

Det et ikke nok at skabe privatliv for den ene procent af teknisk kyndige. Hele befolkningen har ret til privatliv, også online.

Derfor er det helt afgørende, at vi får en stærk ePrivacy forordning, og at denne forordning blandt andet inkluderer et forbud mod tracking walls, som Europaparlamentet har stemt for. Kun på den måde kan vi sikre, at det samtykke til tracking som afgives via cookie banners, bliver reelt frivilligt (frit afgivet).

I en undersøgelse foretaget af Erhvervsstyrelsen og IDA i 2015 var det kun 3% af respondenterne som ønskede videregivelse af deres browseradfærd til tredjeparter.

Det er på tide at EU-regeringerne i Rådet begynder at lytte til borgerne i stedet for overvågningsindustriens lobbyister.

Jesper Lund Formand, IT-Politisk Forening

6
7. august 2018 kl. 14:20

når man tænker på at det faktisk giver ISP'er ret til at overvåge røven ud af bukserne på vores trafik og tjene penge på alt de kan trække ud af metadata (som f.eks. soruceIP og destIP og protokol) så behøver man ikke ligefrem være på Leibnitz's niveau for at regne ud at de, der bliver de største kunder, normalt betegnes med 3 eller 4 bogstaver og tal.

5
7. august 2018 kl. 13:21

USA fjernede regulering af ISP'ers brug af bruger-data sidste år:https://www.washingtonpost.com/news/the-switch/wp/2017/04/04/trump-has-signed-repeal-of-the-fcc-privacy-rules-heres-what-happens-next/?utm_term=.dce1af052b87

Der ligger derfor sandsynligvis også et "konkurrence-hensyn" til grund for denne tåbelighed om ISP-data. At det så gør det meget sværere at sikre gennemsigtighed for forbrugerens abonnements-vilkår, virksomhedens ansvarlighed og data-behandlingsmarkedets prisdannelse er ej heller en ideel langtidssikret og holdbar løsning for ISP-markedet...

Med hensyn til at sikre fremtidig håndtering af cookie-samtykker i browsere er det et svært emne at regulere idet browser-programmører og internet-virksomheder ikke nødvendigvis er helt enige om de tekniske snitflader, men uanset hvordan man går til problemet er det noget man vil skulle gøre noget ved på et tidspunkt: Om ikke andet skulle det meget gerne komme af sig selv!

Databehandling er og har altid været internettets vilde vesten og et godt marked for kriminelle, hvad enten de pralede på iRC i 90'erne eller senere over deres meget indbringende forretning med salg af hackede eller stjålne data. Spam-filtres udvikling og malware-fjernere har rykket forretningen et stykke fra dataindsamling mod databehandling. Problemet er bare at databehandlingen i modsætning til dataindsamling er umulig for brugere at agere imod idag, svær for annoncører at sikre er forsvarlig og umulig for annonce-bringende sider at kontrollere. Det at en professor giver lidt data til Cambridge Analytica er småting. En af stifterne af forretningen fortalte at de brugte data fra hundredevis af kilder. Mit gæt er at professorens data ikke er i nærheden af det mest problematisk fremskaffede kildemateriale i deres forretning. Det er den virkelighed Singularity-religionen bevidst ignorerer.

4
7. august 2018 kl. 11:39

Løsningen hedder måske Firefox. Vi kan ikke basere vores privacy nu og i al fremtid på at politikerne udsteder regler.

3
7. august 2018 kl. 08:32

Det mest vidtgående og radikale af de nye forslag vedrører dog ikke cookies, mener Jesper Lund. Det østrigske formandskab foreslår nemlig også en tilføjelse, der giver virksomheder mulighed for at indsamle og behandle metadata fra elektronisk kommunikation til uspecificerede formål uden samtykke fra kunderne.

Hvis I giver mig min internetforbindelse gratis (eller en klækkelig rabat), kan vi tale om det. Men så længe jeg betaler fuld pris for min internetforbindelse, må I nøjes med at tjene penge på mig på dén måde!

@Yoel, hvis du læser med her (fordi Kviknet er min udbyder). Hvad er Kviknets holdning til formandskabets forslag omkring ISP'ers brug af metadata? Hvordan ville I forholde jer, hvis forslaget i en skør, skør verden skulle blive vedtaget uændret?

2
7. august 2018 kl. 08:25

Det er ikke kortsigtet at begrænse brugen af metadata. Det er en forudsætning for at anvendelsen er etisk forsvarlig, når udviklingen går så hurtigt som den gør.

Vi skal også blokere cookies by default, og kræve at cookie-popups gør det meget lettere at vælge cookies fra.

1
7. august 2018 kl. 05:41

fanme nej om teleselskaberne skal have lov til at udnytte mine metadata kommercielt. jeg betaler sgu dyre penge for min internet forbindelse. de skal ikke til også at tjene penge på at sælge ud af hvad de nu kan hive ud om mig via deres services.