Privacyekspert: Overvågnings-afgørelse saboterer formål med cookielov

Erhvervsstyrelsens afgørelse om trafikovervågning modvirker cookiereglernes formål. Det mener privacyekspert, der advarer mod at lade teknologien skrive loven.

Det er ikke imod cookiedirektivet at udføre den trafikovervågning, som det danske selskab Blip Systems har leveret til en række danske kommuner. Det afgjorde Erhvervsstyrelsen i går.

Systemet opsnapper den unikke MAC-adresse fra bilisters smartphone gennem Wifi- eller Bluetooth-signalet. Den øvelse er i udgangspunkt omfattet af direktivet og vil normalt kræve brugerens samtykke. Men fordi MAC-adressen krypteres med en algoritme, der skiftes hvert døgn, mener styrelsen ikke, at reglerne gør sig gældende, lyder begrundelsen.

Læs også: Erhvervsstyrelsen: System til trafikovervågning ikke omfattet af cookie-reglerne

Afgørelse huer ikke it-konsulent og privacyekspert Stephan Engberg:

»Det her er en forkert afgørelse, som saboterer loven,« siger han til Version2.

Hvad systemet gør efter de har opsamlet MAC-adresser er ligegyldigt, mener Stephan Engberg, fordi direktivet i hans øjne udelukkende beskæftiger sig med dataindsamling.

»Vi kan ikke vide, hvad der sker, når data er indsamlet, og det er netop derfor, at e-privacy-direktivet ikke tillader, at man indsamler data i første omgang,« siger it-konsulenten.

E-Privacy virker – hvis vi holder fast

Det vigtige ved e-privacy-direktivet er ifølge Stephan Engberg, at man tilskynder dem, der laver teknologien, til at designe på en måde, så brugeren kan være sikker.

»Afgørelsen vil modvirke lovens formål. I stedet for at man ligger pres på teknologidesignet og fx får MAC-adresser anonymiseret under brugerens kontrol, så åbner man for misbrug,« siger Stephan Engberg, der kalder privacy-direktivet for noget af det bedste lovgivning, vi har.

Læs også: Erhvervsstyrelsen: Ingen overholder cookiereglerne

Han fremhæver, at det er vanskeligt at afgøre om data behandles på en sikker og anonym måde, når først den er indsamlet. Derfor kan privacy kun sikres, hvis brugeren får kontrol over den data, der deles. Udviklingen kan både ses hos Apple, der har lavet dynamiske MAC-adresser og i den sidste revision af Bluetooth. Og det er netop den udvikling privacy-direktivet skal understøtte, lyder det fra Stephan Engberg.

»Hvis lovgivningen ikke gennemtvinger designprincipper i teknologien, så er det teknologidesignet, der skriver loven.«

IT-Politisk Forening: Afgørelse kan åbne for kortlivede tracking-cookies

Næstformand i IT-Politisk Forening, Jesper Lund, ser ikke noget stort privacyproblem i, at trafikovervågningen kan fortsætte som hidtil, om end han dog til dels giver Stephan Engberg ret: Hvis teknologien var designet ordentligt, så var overvågningen slet ikke mulig.

Alligevel er Jesper Lund bekymret over perspektiverne i Erhvervsstyrelsens afgørelse, fordi den kan åbne for tracking-cookies med begrænset levetid.

Erhvervstyrelsen fremhæver i sin begrundelse, at man med den hashede MAC-adresse ikke kan finde frem til en specifik enhed – og dermed bilist. Men den typiske tredjepartscookie på nettet tildeler brugeren et tilfældigt nummer, som heller ikke kan identificere personen.

»Og det er heller ikke meningen – meningen er at genkende dig. Og det er også det som Blip Systems gør,« forklarer Jesper Lund.

Læs også: København sætter ‘ulovlig’ trafikovervågning på pause

Forskellen er, at trafikovervågningen skifter sin hashing-algoritme hver 24. time. På den måde kan systemet højst genkende den enkelte billist i et døgn, hvilket Erhvervsstyrelsen også ligger vægt på i sin afgørelse

»Men med den tilgang kunne man også have cookies med en levetid på 24 timer,« mener Jesper Lund og tilføjer:

»Min bekymring er, om man med denne afgørelse har givet los for tracking-cookies, der har en begrænset levetid.«

Version2 arbejder i øjeblikket på at få et interview med Erhvervsstyrelsen om afgørelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Henrik Jakobsen

Erhvervstyrelsen fremhæver i sin begrundelse, at man med den hashede MAC-adresse ikke kan finde frem til en specifik enhed – og dermed bilist. Men den typiske tredjepartscookie på nettet tildeler brugeren et tilfældigt nummer, som heller ikke kan identificere personen.

Det er jo lige præsis det modsatte som sker med tredjepart cookies.

De bliver samlet til et mønster som gør at du er let genkendelig og derfor kan identificeres meget præcist.

Når det kommer til tracking så findes der ingen søde og rare der passer pænt på ikke at overtræde moralske eller lovmæssige regler.

Argumentet er jo altid at det er til forbrugeres bedste, at trackeren ved lige hvad vi kan lide.

Vi ser igen og igen hvordan vores meget private data bliver misbrugt igen og igen af trackerne.

De kan overhovedet ikke styre det og finder på mere og mere snedige måder, at trække data ud af os som de så sælger til hvem som helst.

Der er igen undskyldning. For kan data misbruges så bliver det misbrugt.

Selv Browser udviklerne er helt med på den hest. Så vidt jeg ved findes der ikke en eneste browser som ikke levere alt på et sølvfad til blodsugerne.

Stop overvågning nu!

Rune Jensen

Hvorfor man har fokuseret på én metode til tracking og så navngivet loven efter det, er mig en gåde. Hvorfor ikke kalde det sporingsdirektivet. Så dækker man sporing generelt, uanset metode. Cookies, som i HTTP cookies bruges ikke længere til sporing, højst til at sætte flags. Der bruges bla. HTML5 og javascript, fingerprinting af HTTP headers og fonte, ETAG cashe, browserplugins og javascript metoder. Samt Flash, som går fuldstændigt udenom HTTP cookies.

Og så sjovt nok også DNT headeren.

At navngive det "Cookie-lovgivning" er tegn på, man ikke har forstået emnet. Og så svært er det altså heller ikke.

Jesper Lund

At navngive det "Cookie-lovgivning" er tegn på, man ikke har forstået emnet. Og så svært er det altså heller ikke.

Cookieloven er kun populærnavnet. Loven omhandler enhver lagring og adgang til lagrede oplysninger i dit terminaludstyr.

Det omfatter cookies (alle typer: HTTP, LSO, HTML5 local storage, etc), device fingerprinting, aflæsning af MAC adresser, etc etc.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder