Erhvervsstyrelsen slår fast: Cookie-lov gælder også device fingerprinting

Efter udmelding fra EU-råd er Erhvervsstyrelsen nu klar til at slå fast, at cookie-regler også omfatter andre sporingsteknologier.

Cookie-bekendtgørelsen kræver, at hjemmesider indhenter brugerens velsignelse, hvis der installeres en cookie på computeren. Men indtil videre har det ikke været helt klart, om samme regler gælder for alternative sporingsteknologier som for eksempel device fingerprinting. I sidste uge meldte en arbejdsgruppe under EU ud, at det ikke kun er cookies, der skal ligge under for cookiereglerne. Og det bakker Erhvervsstyrelsen op om.

»Direktivet er blevet kaldt cookie-bekendtgørelsen, men det er sådan set en lille smule misvisende. Den har hele tiden – efter vores opfattelse – været teknologineutral, og det har vi så nu fået slået fast sammen med de andre 27 EU-lande,« siger Brian Wessel, der er kontorchef i Erhvervsstyrelsen.

Læs også: EU-råd: Device fingerprinting er underlagt cookie-regler

Device fingerprinting fungerer ved at registrere oplysninger om fonte, browsertype, plug-ins i browsere, skærmopløsning og så bruge informationen til at skabe et unikt ‘fingeraftryk’ af brugerens udstyr. Lovgivningsmæssigt har vurderingen fra EU-rådet, det såkaldte Article 27 Working Party, ikke ændret noget, mener Brian Wessel.

»Men i og med at diskussionerne har fokuseret på cookies, så er det godt at få slået det her fast,« siger han.

Som Version2 før har beskrevet, har Erhvervsstyrelsen tidligere på året holdt lav profil med at melde ud, hvordan cookie-bekendtgørelsen skal tolkes. Det skyldes ifølge Brian Wessel den på det tidspunkt igangværende diskussion i EU.

Læs også: Erhvervsstyrelsen i total radiotavshed om fortolkning af cookie-lovgivning

»Vi har ikke ville slå det endnu mere fast, fordi vi har været i gang med en diskussion med de andre EU-lande. Vi synes ikke, det var rigtigt at melde noget ud, før alle er kommet med om bord,« siger kontorchefen.

Men selvom udmeldingen nu er blevet klar, vil Erhvervsstyrelsen ikke ud og lede efter syndere, der tracker uforvarende brugere med for eksempel device fingerprinting.

»Vi har lige nu gang i et cookie-sweep på tværs af ni lande, og det vi fokuserer på er de tilfælde, hvor brugere bliver tracket på tværs af sider, og hvor data videregives til en tredjepart. Det er det, vi har fokus på i vores håndhævelse, og det bliver vi ved med, uanset hvilken teknologi der bliver anvendt.«

I stedet vil Erhvervsstyrelsen undersøge om information på området kan blive bedre, så ingen længere kan være i tvivl om cookie-bekendtgørelsens omfang.

»Vi vil nu se på vores vejledninger, om der er grund til at udspecificere de her ting og gøre det endnu mere klart, at det er lige meget, hvilket instrument du bruger, hvis du lagrer og følger brugeres færden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Men selvom udmeldingen nu er blevet klar, vil Erhvervsstyrelsen ikke ud og lede efter syndere, der tracker uforvarende brugere med for eksempel device fingerprinting.

Det er en trist udmelding fra den regulatoriske myndighed.

En af synderne, som åbent erkender deres gerninger, er Københavns Lufthavn (tracking via device fingerprinting af smartphone MAC), og Københavns Kommune tror at det er lovligt fordi Københavns Lufthavn gør det..
http://politiken.dk/oekonomi/ECE2472875/koebenhavn-skal-forbindes-digita...

  • 6
  • 0
Tom Nielsen

Medmindre firmaer anmelder deres konkurrenter for ikke at overholde reglerne, ser jeg det ikke som realistisk, at EU/Erhvervstyrelsen/mv. finder frem til syndere, og kan slet ikke håndhæve loven bredt. Jeg kan forstille mig at det kræver en del teknisk og juridisk personale at afgøre, om cookie-loven er blevet overtrådt i hvert tilfælde.

Diverse problematikker i forbindelse med håndhævning:
- Kun klientsidekode kan reelt/praktisk tjekkes for overholdelse af regler.
- Tilrettet kode, som følge af en advarsel, skal efterfølgende tjekkes for overholdelse af reglerne.
- Det skal tjekkes om koden faktisk overholder at cookies er blevet valgt fra. (På mange websites sker dette kun delvist/eller slet ikke)
- Kontakt frem og tilbage fra håndhævende myndighed til firmaer, der ikke overholder reglerne samt evt. efterfølgende sanktioner, er ressourcekrævende.
- Hvordan skal håndhævningen foregå/websites udvælges? Er det kun websites der bliver anmeldt eller er kendt for overtrædelse af lovgivningen? Vil de kun gennemgå de højest profilerede websites eller gennemgå websites tilfældigt?

Internettet er et stort sted med meget mange former for trackingkode. Jeg ser det som at forsøge at slukke en skovbrand med en vandpistol. Jeg tror kun at de helt store og profilerede webbaserede firmaer, offentlige myndigheder mv. vil reelt blive tjekket og evt. sanktioneret for manglende overholdelse.

  • 0
  • 0
Erik Jacobsen

Skal vi lige tage den een gang til: Man må gerne lægge cookies fra en hjemmeside uden at spørge om lov, så længe det er nødvendigt for den forventede funktionalitet for hjemmesiden.

Fra vejledningen er der et eksempel: "Brugen af elektroniske indkøbskurve i webshops, hvor det er nødvendigt at kunne genkende brugeren på tværs af sideskift (genindlæsninger af webshoppen), da indkøbskurven ellers vil være tom ved visning af en ny side. Lagring af fx en cookie eller lignende teknologi er dermed en teknisk forudsætning for at kunne levere den tjeneste (e-handel), som brugeren udtrykkeligt har anmodet om (tilgået webshoppen og lagt varer i indkøbskurven). Indkøbskurven fungerer desuden i overensstemmelse med det formål (at købe varer), med hvilket brugeren tilgår webshoppen."

Der er altså ingen direkte grund til at be' om lov til at lægge en cookie, bare fordi man har en indkøbskurv. Det må man godt.

Men selvfølgelig kan man have andre cookies, der "husker" på hvad brugeren har kigget på, osv - tracking. Men altså: det kunne man jo lade være med ;)

  • 5
  • 0
Erik Jacobsen

Såkaldt offentlige hjemmesider må da gerne lave tracking af deres brugere - det er der ikke rigtig noget ondt i. Det kunne endda give bedre offentlige hjemmesider, hvis resultaterne bliver brugt fornuftigt.

Men de skal naturligvis spørge om lov, for det siger loven. Og det gør de jo, vistnok.

Problemet, set fra min sorte kontorstol, er om man så ved en negativ tilkendegivelse kan benytte den offentlige hjemmeside - selvfølgelig uden at blive tracket. Jeg kan ikke lige komme på et eksempel :(

  • 1
  • 0
Jørgen A Thomsen

Såkaldt offentlige hjemmesider må da gerne lave tracking af deres brugere - det er der ikke rigtig noget ondt i.

Ikke det ?
Prøv at tage et blik på sundhed.dk.
Det har lagt et kald til www.googletagmanager.com ind i en iframe på alle sider, også de sider, der indeholder personlige følsomme data.

Dvs. at brugeren bag om ryggen kalder et link på en hjemmeside, som kan indeholde hvad som helst: malware, udspionering (nok mest sandsynligt på dette link) etc.
sundhed.dk har ikke en kinamands chance for at se, hvad der sker. De stoler blindt på, at de statistikker, som de får, er de eneste data, der opsamles, mens de giver et udenlandsk selskab adgang til de intetanende danske borgeres personfølsomme data.

Hvad siger sundhed.dk til det ved henvendelse ? Intet overhovedet. Intet svar på henvendelse om dette.

  • 5
  • 1
Daniel Udsen

Og så er det man undrer sig - hvorfor i alverden har styrelser og alle mulige andre offentlige websites (betalt af skatteyderne) behov for at lave tracking?

Fordi chefens bonus er afhængig af at kunne bevise at siden også fungere/bruges i praksis.

Problemet er ikke traditionel log baseret "webanalytics" men at man outsourcer opgaven til et firma der modtager data som betaling for at levere formaterede rapporter og grafer ang brug af siden. Og det er også her cookie direktivet gør ondt på de dele af den ikke reklame financierede del af webbranchen der ikke har deres egne analytics værktøjer men har vendet sig til at bruge "gratis" 3je parts værktøjer.

Det at outsourcing har dybere konsekvenser er noget man på ledelses nivou ikke helt er klar til at forholde sig til.

Reklame finansierede sider har et større problem fordi alle reklame-netværkne også sælger markedsanalyser baseret på deres data opsamling, så uden tracking vil betalingen til "host" sider værre mindre.

  • 0
  • 0
Per Erik Rønne

Ceterum censeo Carthaginem esse delendam

Eller snarere:

I øvrigt mener jeg at man bør kunne lave en opsætning, så man automatisk accepterer gemning af Cookies.

Det er simpelthen for besværligt hele tiden at skulle trykke på en knap, og man læser alligevel ikke advarslen.

  • 0
  • 0
Log ind eller Opret konto for at kommentere