Sådan blev cookie-regler til en hovedpine for systemer til trafikovervågning

Erhvervsstyrelsen er gået i tænkeboks og kommuner holder vejret, mens fremtiden for trafikstyring gennem overvågning af MAC-adresser er usikker. EU har sat spørgsmålstegn ved systemets lovlighed.

Der var forbløffelse at spore hos flere danske kommuner, da Version2 tidligere på ugen spurgte, om man var klar over, at deres system til at overvåge trafikken ifølge Erhvervsstyrelsen var ulovligt. Forbløffelsen kom særligt fordi det afgørende reglement har fået navnet cookie-direktiv, og derfor synes at skulle dreje sig om noget helt andet en overvågning af trafikanter – nærmer bestemt cookies og deres anvendelsesmuligheder på internettet.

Læs også: Udbredt system til trafikovervågning er ulovligt

Læs også: Nytolkning af cookie-direktiv er bombe under dansk succesforretning med trafikovervågning

Det var ikke lige det reglement, vi havde fokus på, som en projektleder formulerede det.

Og hvorfor skulle kommunerne også det. Det anvendte trafikovervågningssystem opsnapper den unikke MAC-adresse i bilisters telefoner gennem WiFi- eller Bluetooth-forbindelsen. Og i hele Erhvervsstyrelsens vejledning til cookiebekendtgørelse er ordet MAC-adresse ikke nævnt en eneste gang.

Men opfattelsen af, at tracking af telefoner bør være omfattet af EU-direktivet er langt fra ny. I et svar på et spørgsmål fra Europa Parlamentet til kommissionen, oplyses det, at artikel 5.3 – som cookie-direktivet mere formelt hedder – kræver brugerens samtykke for at »tracke brugere ved (…) at tilgå information gemt i deres terminaludstyr, inklusiv mobiltelefoner.«

Der har dog i flere omgange være uklart, hvordan direktivet nærmere skulle tolkes. I februar sidste år kunne Version2 fortælle, at det ikke var til at få en klar melding fra Erhvervsstyrelsen om, hvorvidt såkaldt device fingerprinting var omfattet af det famøse direktiv.

Dengang informerede kontorchef i styrelsen Brian Wessel om, at man ville konferere med de europæiske kollegaer.

»Vi taler med myndighederne i de øvrige EU-lande for at få en fælles forståelse for, hvordan vi tolker det her,« forklarede Brian Wessel, som dengang forventede at kunne komme med en nærmere udmelding i foråret 2014.

Læs også: Lusket sporingsteknologi kan styre uden om EU's cookiekaos

Læs også: Erhvervsstyrelsen i total radiotavshed om fortolkning af cookie-lovgivning

Der skulle imidlertid gå helt til december før arbejdsgruppen under EU kom med sin udmelding, som efterfølgende lod Erhvervsstyrelsen slå fast: Ja, device fingerprinting er underlagt cookie-bekendtgørelsen.

Læs også: Erhvervsstyrelsen slår fast: Cookie-lov gælder også device fingerprinting

Arbejdsgruppen berørte dog også andre former for device fingerprinting herunder den unikke MAC-adresse, som telefonens producent lagrer på enheden. Tilsyneladende har næstformand i IT-politisk forening Jesper Lund, som en af de første lagt brikkerne sammen.

I et tweet fra december anbefaler Jesper Lund, at Københavns Kommune og Københavns Lufthavn, ser nærmere på reglementet. Både kommunen og lufthavne bruger MAC-adresseovervågning til at overvåge henholdsvis trafikanter og flyrejsende.

Selv har Københavns Lufthavns indtil videre blot følgende kommentar til Version2: Vi ser nærmere på sagen.

Formuleringen i vejledningen fra EU-arbejdsgruppen siger nærmere bestemt, at hvis et fingeraftryk er genereret via adgang til information gemt på brugerens terminalenhed, så gælder direktivet, og dermed kræver det brugerens samtykke.

Punktet 7.3, som Jesper Lund nævner i sit tweet beskriver en use-case, hvor netop en MAC-adresse bruges til tracking. Dette punkt – og resten af skrivelsen – leder til følgende tolkning fra Erhvervsstyrelsen.

»Du må indsamle MAC-adressen, hvis det er nødvendigt for at udføre den service, som brugeren beder om. Hvis du derudover bruger det til andre formål, så skal bede om kundens accept,« forklarer Brian Wessel.

Det principielle i den holdning står den danske styrelse ikke alene med. Norge har – til trods for ikke at være medlem af EU – adopteret unionens lovgivningen på cookieområdet. Og allerede i august 2014 tog det norske Datatilsyn stilling til brugerens rettigheder i forbindelse med overvågning af MAC-adresser.

»Det er også vigtigt, at man skal foretage et aktivt valg for at deltage i sådanne løsninger (OPT-INN) og ikke, at man automatisk er med og selv må melde sig ud, hvis man ikke vil være med (OPT-OUT),« skrev tilsynets tekniske direktør Atle Årnes ved den lejelighed.

I næste uge skal flere interesserede parter mødes med Erhvervsstyrelsen for at få klarhed omkring fremtiden for overvågning gennem brug af MAC-adresser.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian P. Broe Petersen

Hvis den gemmes uden at kunne reverses, og der også skiftes salt dagligt, så kan man vel ikke rigtig bruge informationerne til noget skidt, selv hvis nogen kunne have lyst til det?

Altså her er der tale om positiv brug af noget, uden at brugerne kan trackes. Samtidig indsamler NSA, PET og politiet enorme mængder data som de kan og VIL bruge, og det skal vi jo bare være glade for i længden.

Cookie direktivet viser i mine øjne lige præcis hvor lidt lovgiverne har forstået af det der IT noget.

Michael Thomsen

Ja, det er helt tosset. Her har udviklerne for en gangs skyld forsøgt at anonymisere data så hurtigt som muligt i forløbet, og så skulle det være ulovligt. De kan jo netop ikke bruge data til det, som cookies normalt bruges til: Langtidstracking og profilering af brugere.

Det er i mine øjne meget værre når virksomheder og offentlige myndigheder sjusker med personlig data, som senest Frederiksberg, som sendte emailadresser ud til højre og venstre: http://www.lokalavisen-frb.dk/index.php/14-politik/965-mere-parkeringsbovl

Henrik Bøgh

Hvis den gemmes uden at kunne reverses


Det er vist også et pænt stort 'hvis', er det ikke?

Og hvad sker der, inden den krypteres (el. hashes - håber jeg)?
Og er der overhovedet noget salt?

Fuldstændigt tænkt eksempel:
Hvis nu der anvendes en svag algoritme og noget råddent salt, hvad forhindrer så $RAND tekniker (som vi naturligvis ikke stoler på og som naturligvis har svigagtige hensigter), i at lade sin egen smartphones MAC-adresse blive hashet, fiske dagens salt frem, generere hash-værdien af ekskærestens smartphone og følge denne rundt i København?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder