Sådan blev cookie-regler til en hovedpine for systemer til trafikovervågning

Der var forbløffelse at spore hos flere danske kommuner, da Version2 tidligere på ugen spurgte, om man var klar over, at deres system til at overvåge trafikken ifølge Erhvervsstyrelsen var ulovligt. Forbløffelsen kom særligt fordi det afgørende reglement har fået navnet cookie-direktiv, og derfor synes at skulle dreje sig om noget helt andet en overvågning af trafikanter – nærmer bestemt cookies og deres anvendelsesmuligheder på internettet.

Det var ikke lige det reglement, vi havde fokus på, som en projektleder formulerede det.

Og hvorfor skulle kommunerne også det. Det anvendte trafikovervågningssystem opsnapper den unikke MAC-adresse i bilisters telefoner gennem WiFi- eller Bluetooth-forbindelsen. Og i hele Erhvervsstyrelsens vejledning til cookiebekendtgørelse er ordet MAC-adresse ikke nævnt en eneste gang.

Men opfattelsen af, at tracking af telefoner bør være omfattet af EU-direktivet er langt fra ny. I et svar på et spørgsmål fra Europa Parlamentet til kommissionen, oplyses det, at artikel 5.3 – som cookie-direktivet mere formelt hedder – kræver brugerens samtykke for at »tracke brugere ved (…) at tilgå information gemt i deres terminaludstyr, inklusiv mobiltelefoner.«

Der har dog i flere omgange være uklart, hvordan direktivet nærmere skulle tolkes. I februar sidste år kunne Version2 fortælle, at det ikke var til at få en klar melding fra Erhvervsstyrelsen om, hvorvidt såkaldt device fingerprinting var omfattet af det famøse direktiv.

Dengang informerede kontorchef i styrelsen Brian Wessel om, at man ville konferere med de europæiske kollegaer.

»Vi taler med myndighederne i de øvrige EU-lande for at få en fælles forståelse for, hvordan vi tolker det her,« forklarede Brian Wessel, som dengang forventede at kunne komme med en nærmere udmelding i foråret 2014.

Der skulle imidlertid gå helt til december før arbejdsgruppen under EU kom med sin udmelding, som efterfølgende lod Erhvervsstyrelsen slå fast: Ja, device fingerprinting er underlagt cookie-bekendtgørelsen.

Arbejdsgruppen berørte dog også andre former for device fingerprinting herunder den unikke MAC-adresse, som telefonens producent lagrer på enheden. Tilsyneladende har næstformand i IT-politisk forening Jesper Lund, som en af de første lagt brikkerne sammen.

I et tweet fra december anbefaler Jesper Lund, at Københavns Kommune og Københavns Lufthavn, ser nærmere på reglementet. Både kommunen og lufthavne bruger MAC-adresseovervågning til at overvåge henholdsvis trafikanter og flyrejsende.

Selv har Københavns Lufthavns indtil videre blot følgende kommentar til Version2: Vi ser nærmere på sagen.

Formuleringen i vejledningen fra EU-arbejdsgruppen siger nærmere bestemt, at hvis et fingeraftryk er genereret via adgang til information gemt på brugerens terminalenhed, så gælder direktivet, og dermed kræver det brugerens samtykke.

Punktet 7.3, som Jesper Lund nævner i sit tweet beskriver en use-case, hvor netop en MAC-adresse bruges til tracking. Dette punkt – og resten af skrivelsen – leder til følgende tolkning fra Erhvervsstyrelsen.

»Du må indsamle MAC-adressen, hvis det er nødvendigt for at udføre den service, som brugeren beder om. Hvis du derudover bruger det til andre formål, så skal bede om kundens accept,« forklarer Brian Wessel.

Det principielle i den holdning står den danske styrelse ikke alene med. Norge har – til trods for ikke at være medlem af EU – adopteret unionens lovgivningen på cookieområdet. Og allerede i august 2014 tog det norske Datatilsyn stilling til brugerens rettigheder i forbindelse med overvågning af MAC-adresser.

»Det er også vigtigt, at man skal foretage et aktivt valg for at deltage i sådanne løsninger (OPT-INN) og ikke, at man automatisk er med og selv må melde sig ud, hvis man ikke vil være med (OPT-OUT),« skrev tilsynets tekniske direktør Atle Årnes ved den lejelighed.

I næste uge skal flere interesserede parter mødes med Erhvervsstyrelsen for at få klarhed omkring fremtiden for overvågning gennem brug af MAC-adresser.