EU-ekspert: Det kan tage flere år at gøre trafikovervågning lovligt

Erhvervsstyrelsen undersøger mulighederne for at tillade udbredt trafikovervågningssystem, der bryder med EU-direktiv. Men en lovændring kan være flere år undervejs, påpeger ekspert i EU-ret.

Et udbredt system til at overvåge trafikken er i strid med den gældende lovgivning i EU. Sådan lød det i sidste måned fra Erhvervsstyrelsen. Systemet opsnapper den unikke MAC-adresse i bilisters telefoner for at lave statistik om antallet af bilister på vejene. Men ifølge EU’s e-Privacy-direktiv, kræver den metode et samtykke fra brugeren. Privacy-ekspert mener ikke, at loven bør ændres, og selv hvis den skal, kan det blive en langstrakt proces.

Læs også: Udbredt system til trafikovervågning er ulovligt

Torsdag aften mødtes Erhvervsstyrelsen med Blip Systems, der står bag det problematiske overvågningssystem, og selskabets administrerende direktør, Peter Knudsen, er fortrøstningsfuld, når det kommer til at finde en løsning. Uanset styrelsens holdning kan en ændring i reglerne dog være lang tid undervejs. Det mener lektor ved Aalborg Universitet Charlotte Bagger Tranberg, der er ekspert i EU-ret og persondataspecialist hos advokatvirksomheden Bech-Bruun.

At få ændret det eksisterende direktiv er nemlig ikke en simpel proces, forklarer hun.

»En ændring af reglerne ville jo kræve, at man først og fremmest fik overbevist EU-Kommissionen om, at de skal fremsætte et nyt forslag til lovgivningen. Når de har gjort det, skal forslaget forbi både parlamentet og ministerrådet. Og hvis de så ikke er enige i, hvordan lovteksten skal se ud, skal alle tre institutioner gennemgå og tilrette teksten igen. Hvis de stadig ikke er enige, så har de et forligsudvalg, som loven kan behandles i,« fortæller Charlotte Bagger Tranberg.

Læs også: København sætter ‘ulovlig’ trafikovervågning på pause

Ifølge lektoren er der en god del af lovgivningen, der bliver vedtaget i første omgang. Men med et emne som digital privacy er det sandsynligvis ikke tilfældet.

»Det er nok ikke urealistisk, at det kan komme til at tage to til tre år. Det tog også lang tid at lave den ændring af e-Privacy-direktivet, der kom i 2009,« forklarer Charlotte Bagger Tranberg.

Lektoren ser ikke mulighed for at fortolke reglerne anderledes inden for lovens ramme og på den måde åbne for tracking ved hjælp af MAC-adresser.

»Der er jo kun to undtagelsesmuligheder. Enten er det en del af en teknisk proces, og det kan man dårligt sige, når folk bare kører rundt på vejene. Eller også er det en ydelse, folk har bedt om. Det, at man tager en MAC-adresse fra en telefon, er jo stadig at indsamle en oplysning om det her device, som brugeren anvender til at forbinde sig til internettet. Og jeg har svært ved at se, hvordan det kan være anderledes,« vurderer Charlotte Bagger Tranberg.

Blip Systems: Styrelse virkede positiv over for at finde en løsning

Blip Systems har leveret intelligent trafikovervågning til en række danske kommuner samt internationale byer og lufthavne. Administrerende direktør Peter Knudsen er oven på mødet med Erhvervsstyrelsen positiv over for udsigterne.

Ifølge Peter Knudsen var styrelsen og selskabet enige om, at loven i dette tilfælde ikke ramte, hvor man havde sigtet. På mødet diskuterede parterne flere muligheder for, hvordan reglerne kunne ændres for at tillade trafiksystemet, lyder det fra direktøren.

En af mulighederne er, at man definerer klart, hvilke privacy by design-krav der måtte være til en løsning, og derefter sidestiller privacy by design med et brugersamtykke, forklarer Peter Knudsen. Blip Systems' sensorer hasher og re-hasher med det samme de indsamlede MAC-adresser. Fordi re-hash-værdien ændres jævnligt, er der ikke mulighed for at finde frem til en enkelt bilist i systemet.

»En anden mulighed er at se på de såkaldte first party statistic-cookie, som man har overvejet at undtage fra direktivet. I så fald kunne man måske sidestille dette system med first party statistic-cookie – altså, at parten, der samler oplysningerne, må bruge dem, men ikke sammensætte dem med andre oplysninger eller dele dem med tredjeparter,« siger Blip Systems-direktøren.

Læs også: Nytolkning af cookie-direktiv er bombe under dansk succesforretning med trafikovervågning

Selvom Peter Knudsen opfattede Erhvervsstyrelsen som samarbejdsvillige, så understregede styrelsen også, at der er buler på vejen til en løsning.

»De var realistiske i forhold til, at det her kan tage tid, fordi det er et EU-system. For dem er det meget principielt, for man skal passe på ikke at slå et hul, der åbner for alt muligt andet, som man gerne ville begrænse. Man kan jo godt forestille sig, at man med samme teknologi kan bruge tracking-data til alt muligt andet, end det vi bruger det til,« siger Peter Knudsen.

Privacy-ekspert: Direktiv er noget af det bedste EU-lovgivning, vi har

Af samme årsag ser privacy-ekspert og it-konsulent Stephan Engberg et klart problem i at udhule reglerne. I hans øjne har direktivet netop det formål at tvinge dem, der designer teknologien, til at lægge beslutningen om at dele data i brugerens hænder. Ved at lave undtagelser vil man underminere det formål, lyder det fra Stephan Engberg.

»Hvis man laver teknologi, som mobiltelefoner og computere, så du ikke kan interagere uden at lægge identifiers - så fratager du forbrugeren kontrollen over processen. Så vil processen altid involvere, at en eller anden i infrastrukturen tager ejerskab over data,« forklarer Stephan Engberg og fortsætter:

»Alternativet er at sikre, at man designer teknologi, så man aldrig afgiver andet end for eksempel en dynamisk IP-adresse. Men det kræver en meget bevidst tilgang til teknologidesign. Og ePrivacy er juristernes måde at lægge pres på teknologidesignerne, så kontrollen kommer tilbage til forbrugeren.«

Læs også: Sådan blev cookie-regler til en hovedpine for systemer til trafikovervågning

Netop af den grund er e-Privacy-direktivet vigtigt, påpeger Stephan Engberg, som kalder direktivet for noget af det bedste EU-lovgivning, vi har.

»Formålet er at ændre teknologidesignet. Og det skal teknologer forstå og tage ansvar for,« fastslår han.

På linje med Charlotte Bagger Tranberg ser Stephan Engberg ikke meget råderum til at give dispensationer eller lignende uden en reel lovændring.

»Den her lov giver ikke plads til proportionalitetsbetragtninger. Det indgår simpelthen ikke i e-privacy-lovgivningen,« siger han.

Ifølge Stephan Engberg ligger det ikke inden for loven at lave skøn over, hvor grove overtrædelser der er tale om. Loven om digital privacy er på den måde simpel, og det er der en grund til, mener konsulenten.

»Hvis vi skal have den digitale verden til at fungere, så er du nødt til at få skilt transaktioner ad. Det er det, e-privacy drejer sig om. Det afgørende er, at dem der laver tjenesterne, ikke laver dem på en måde, der fratager borgeren valget,« siger Stephan Engberg.

Erhvervsstyrelsen vil ikke udtale sig om interne drøftelser i den konkrete sag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Jensen

Hvorfor undtage nogle cookies fra bekendtgørelsen? Det er jo den sædvanlige salami-taktik til at fjerne borgernes rettigheder.

Jeg forstår ikke hvorfor folk klager over cookie-accept/reject-advarsler, når det netop er for at beskytte privatlivet. Det er jo det alle rationelle mennesker ønsker.

I stedet burde folk klage til de websites der vælger at kræve anvendelsen af cookies bare for at overvåge brugeren.

99% af alle hjemmesider behøver ikke cookies for at kunne fungere, med mindre der skal logges ind på en eller anden måde. Jeg har selv i mange år haft cookies disablet per default, og kun tilladt dem for visse sites som kræver login, hvor det er bydende nødvendigt. Det fungerer helt fint.

Oven på dette bruger jeg også Self-Destructing Cookies til at slette de tilladte og gemte cookies så snart hjemmesiden forlades.

Javascript har jeg også disablet som standard - og så slipper jeg endda for at se cookie-advarslerne, da de oftest startes af javascripts.

  • 5
  • 3
Jens Pedersen

... er at myndighederne/politikerne bruger meget energi vise hvor meget de beskytter borgerne imod kommercielle interesser (eller som i ovenstående system) imod almene interesser, hvor der i systemet netop er indbygget en beskyttelse mod sporing - og hvor der er fuld åbenhed om hvordan systemet virker og faktisk beskytter dem som bliver sporet(hvilket de færreste har interesseret sig for).

SAMTIDIGT indføres der flere og flere muligheder for selv samme myndigheder at overvåge selvsamme borgerne ned til mindste detalje, uden dommerkendelse og uden mulighed for indsigt for dem som bliver overvåget.

  • 4
  • 0
Christian Nobel

Javascript har jeg også disablet som standard - og så slipper jeg endda for at se cookie-advarslerne, da de oftest startes af javascripts.

Javascript er da en stor det af funktionaliteten for at gøre browsing brugbart - eksempelvis inputvalidering, kalender dropdown, data via ajax og meget andet, som kun har med funktionalitet at gøre, men som intet har med overvågning eller logning at gøre.

Jeg har svært ved at se hvordan man kan tilbyde en god browseroplevelse helt uden javascript (jeg prøver i videst muligt omfang at undgå det, men helt kan være svært).

  • 3
  • 1
Peter Jensen

Javascript er da en stor det af funktionaliteten for at gøre browsing brugbart - eksempelvis inputvalidering, kalender dropdown, data via ajax og meget andet, som kun har med funktionalitet at gøre, men som intet har med overvågning eller logning at gøre.

Jeg har svært ved at se hvordan man kan tilbyde en god browseroplevelse helt uden javascript (jeg prøver i videst muligt omfang at undgå det, men helt kan være svært).

Jeg har ikke skrevet at javascript har noget med overvågning og logning at gøre. Det er en kobling du selv laver.

Min kommentar om js var bare en sidebemærkning om at jeg kunne slippe for at se de fleste cookie-advarsler.

Men bort set fra det, så føler jeg for mit eget vedkommende, at jeg får en bedre browseroplevelse (og helt sikkert en bedre sikkerhed) ved at have js deaktiveret som standard via NoScript, men det er en helt anden debat...

  • 1
  • 0
Christian Nobel

Jeg har ikke skrevet at javascript har noget med overvågning og logning at gøre. Det er en kobling du selv laver.

Du misforstår - jeg skyder dig ikke noget i skoene, men pointerer bare, at rigtig funktionalitet er bundet op til javascript, uden der overhovedet er noget sikkerhedsmæssigt problem i det.

Problem opstår når javascript bruges til at "gøre grimme ting", så man som modreaktion disabler javascript totalt.

På den måde lykkes det jo for "overvågningsbranchen" at ødelægge en masse anden funktionalitet.

  • 1
  • 0
Morten Grøftehauge

Altså hvis de gik over til dynamisk at styre trafikken i stedet for at indsamle data, behandle data, styre trafik, ville det så være i overensstemmelse med direktivet? Jeg mener at der var en studerende der lavede speciale om simulering af dataforbundne lyskurver som fandt at man ikke behøvede at sende data mere end 1 eller 2 lyskryds længere væk for at få trafikken til at flyde.

  • 2
  • 0
Jesper Lund
  • 2
  • 0
Log ind eller Opret konto for at kommentere