Stadig uvist om alternative sporingsteknologier er omfattet af cookie-regler

Tidligst i løbet af sommeren står det klart, om tracking-teknologier som device fingerprinting er omfattet af regler på samme måde som cookies.

Mens et hav af hjemmesider siden 2012 som følge af EU-regler er blevet pålagt at indhente accept fra besøgende og fortælle dem om, hvordan og hvorledes cookies bliver anvendt, så lever andre teknologier, der også kan bruges til at spore brugeres færden på nettet, en anderledes stille tilværelse.

Siden begyndelsen af året har de europæiske myndigheder på området forsøgt at nå frem til en enighed om, i hvor høj grad sporingsteknologier, som ikke anvender cookies, er omfattet af EU-direktivet, der ligger bag, blandt andet de danske cookie-regler.

»Vi er ved at kigge på det. Vi håber at blive enige med de andre europæiske myndigheder inden sommerferien,« fortæller Brian Wessel, kontorchef i den danske myndighed på området, Erhvervsstyrelsen.

En af de teknologier, som Erhvervsstyrelsen, sammen med de øvrige europæiske myndigheder på området diskuterer, er såkaldt device fingerprinting. Begrebet dækker over, at det alene ved at se på de plugins, det styresystem, den browsertype og lignende, som en klientmaskine anvender, er muligt med rimelig stor sikkerhed, at identificere maskinen. Altså helt uden at sætte cookies.

Spørgsmålet, som de europæiske myndigheder forsøger at besvare, er, om den form for sporing af brugere kan omfattes af det nuværende e-databeskyttelsesdirektiv, som ligger grund for blandt andet de danske regler på området.

Læs også: Lusket sporingsteknologi kan styre uden om EU's cookiekaos

Sideløbende er de europæiske myndigheder på området ved at skyde et såkaldt cookie-sweep i gang, som er en tværnational stikprøvekontrol af hjemmesider, for at se, om de lever op til de nuværende regler. Specifikt i forhold til tracking cookies og 3. part-cookies. Altså henholdsvis cookies der bliver brugt til at følge brugere på tværs af sites, og cookies der bliver brugt af 3. parter til at opsamle informationer om brugerens færden på et site.

Men imens er det altså uvist om de cookie-løse alternativer overhovedet er reguleret.

Er det ikke paradoksalt, at I på den ene side bruger kræfter på at kontrollere, hvordan hjemmesider anvender cookies, mens en teknologi, som device fingerprinting, som brugeren i udgangspunktet slet ikke har mulighed for at opdage, om bliver anvendt, ikke bliver reguleret?

»Der er sket en udvikling henover årene, hvor der er kommet en forståelse af, at brugerne skal informeres, men vi er ikke i mål endnu. Der er stadig ting, vi skal have fokus på. Vi fokuserer på, hvor formålet med direktivet er mest i spil. Og hvis vi bliver enige med de øvrige EU-lande om, at device fingerprinting også er omfattet i et eller andet omfang, så skal vi selvfølgeligt også have fokus på det,« siger Brian Wessel.

Han fortæller, at det er Erhvervsstyrelsens opfattelse, at brugerne bør afgive et aktivt samtykke i forhold til at blive sporet sporet på tværs af hjemmesider, uanset om det foregår via cookies eller andet.

»Det er det, vi mener, er formålet med direktivet, og det er det, vi mener, er mest indgribende. Det kunne i princippet omfatte device fingerprinting, men vi vil sikre os, at vi ligger på linje med de andre lande i vores fortolkning, så vi hverken går blødere eller hårdere til værks i forhold til direktivet.«

Læs også: Danske Medier om cookie-regler: Fokuser på data - ikke teknologi

Brian Wessel oplyser desuden, at Erhvervsstyrelsen endnu ikke har politianmeldt hjemmeside-indehavere for ikke at leve op til cookie-reglerne, med en eventuel bøde til følge, men han vil ikke afvise, at det kan komme på tale.

Tidligst i løbet af juni forventer Erhvervsstyrelsen der foreligger en afklaring af, om eksempelvis device fingerprinting skal reguleres i forhold til det nuværende EU-direktiv.

I Foreningen for Dansk Internet Handel, også kaldet FDIH, håber kommunikationschef Henrik Theil, at den løsning myndighederne måtte nå frem til, primært forholder sig til det overordnede formål med dataindsamlingen, mere end til de konkrete teknologier. For hvis lovgivningen bliver for teknologispecifik, så viser erfaringen, at den teknologiske udvikling løber fra paragrafferne, påpeger Henrik Theil.

Han mener generelt, der bør sondres mellem om eksempelvis cookies, device fingerprinting eller andet bliver anvendt til at lave generel statistik på en hjemmeside, eller til unikt at identificere den enkelte besøgende. Hvis det er det sidste, der er tale om, så bør brugeren aktivt acceptere dataindsamlingen, ellers ikke, mener Henrik Theil.

»Den almindelige generiske dataindsamling, som ikke er personhenførbar, og hvor vi får en fornemmelse af, hvad retning tingene bevæger sig, der mener jeg, den mener jeg, det er helt overdrevet at skulle indhente samtykke til,« siger Henrik Theil, som dog også understreger, at det stadig vil være rimeligt, at hjemmesiden informerer brugeren om, at en dataindsamling finder sted, selvom det er til eksempelvis statistik.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Kevin Johansen

Jeg kan ikke se hvorfor devise fingerprinting ikke skulle være personhenførbart. Det er vel at sammenligne med en guide, som hvis hægtet på Web-opslag eller lokationer sammen med tidsstemplet vil være personhenførbart om ikke andet så ved inference angreb bliver personhenførbare. IP-adresser er også personhenførbare idet man med opslag i teleselskabernes data kan bestemme identiteten.

  • 1
  • 0
Bjarke Walling

Se f.eks. http://lucb1e.com/rp/cookielesscookies/ ... hvis det minder for meget om cookies, hvad med tracking via HTML5 AppCache manifest. Alle caching-mekanismer i browseren, som har interface til HTTP kan bruges til tracking på den ene eller anden måde. I stedet for at lovgive på området, så bør vi rådgive folk om tekniske løsninger, f.eks. at browsere sletter cookies oftere/automatisk osv.

  • 0
  • 0
Bjarke Walling

Hvorfor vil du slette cookies automatisk?

Ok, min pointe var ikke at cookies altid skal slettes automatisk, men at give brugeren et valg om dette. F.eks. bruger jeg ofte Private Browsing / Incognito, hvis der lige er noget, hvor jeg gerne vil være sikker på at gamle cookies ikke sendes med. Jeg tror på at vi kan skabe bedre UX i browseren mht. privacy, så folk kan træffe deres eget valg.

Lige nu kigger Erhvervsstyrelsen på device fingerprinting i henhold til cookie-lovgivningen. Hvis de skal gennemgå alle teknologier, som kan bruges til at tracke browsere, så kommer det til at tage et par år og vi ender ikke op med at det beskytter brugerne bedre. Derfor synes jeg, at det er vigtigere at kigge på tekniske løsninger, som vil hjælpe hurtigere og bedre.

  • 0
  • 0
Jakob Møllerhøj Blogger

Faktisk bliver der jo her skrevet data til og læst data fra klienten med det formål at identificere brugeren igen. Så umiddelbart til jeg tro, at ETag vil være lige så omfattet af det nuværende direktiv, som cookie'r er det.

Direktivet er som sådan teknologineutralt.

Fra den danske cookievejledning:
"Ændringen af e-Databeskyttelsesdirektivet er implementeret i dansk ret med Bekendtgørelse nr. 1148 af 9. december 2011 om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr (Cookiebekendtgørelsen), som er udstedt i medfør af § 9 og § 81, stk. 2, i lov nr. 169 af 3. marts 2011 om elektroniske kommunikationsnet og -tjenester."

  • 0
  • 0
Henning Hansen

Jeg forstår ikke rigtigt problemet - fremmede servere og hjemmesider kan da ikke lægge data på min computer. Det er noget min browser gør. Min egen browser...

Min browser er MIT værktøj. Det er mig selv, der har anskaffet og installeret en browser, og dens opgave er naturligvis at give mig adgang til information på nettet, og præsentere det for mig, sådan som jeg selv ønsker at se det. Hvis jeg får pop-up vinduer på min skærm, hvis videoer begynder at spille automatisk, hvis der gemmes cookies, hvis der vises reklamer, hvis tekster vises med en bestemt skrifttype og størrelse - så er det alt sammen noget, som jeg selv har valgt at gøre, ved at installere og konfigurere en browser, som benytter disse features.

Problemet er, at de browsere, de fleste af os benytter, ikke er udviklet med vores behov i tankerne. De er i meget høj grad udviklet, så de opfylder de ønsker, andre har om at kontrollere, hvad vi bliver præsenteret for på vores egen computer, og hvordan. Og browseren er ikke på vores side, den er ikke vores værktøj - browseren bliver vores modstander, som vi selv har givet adgang til vores computer.

Det vi mangler, er en browser, som er under vores egen kontrol. En browser, hvis funktion er af hente information på nettet, som vi beder den om, og at præsentere det efter vores egne ønsker - og som fortæller os og giver os kontrol over hvilken information, som den videregiver til nettet.

Når man køber en moderne computer med al dens præinstallerede software, køber man i virkeligheden et produkt, som er udviklet til at opfylde andres kommercielle (eller måske kriminelle) interesser - ikke et værktøj, som tilhører og kontrolleres af os selv.

Så hvad kan vi egentlig forvente...?

NB: Jeg ved godt, at browseren ikke er den eneste skurk.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
Jobfinder Logo
Job fra Jobfinder

Call to action

Mens et hav af hjemmesider siden 2012 som følge af EU-regler er blevet pålagt at indhente accept fra besøgende og fortælle dem om, hvordan og hvorledes cookies bliver anvendt, så lever andre teknologier, der også kan bruges til at spore brugeres færden på nettet, en anderledes stille tilværelse. Siden
begyndelsen af året har de europæiske myndigheder på området forsøgt at nå frem til en enighed om, i hvor høj grad sporingsteknologier, som ikke anvender cookies, er omfattet af EU-direktivet, der ligger bag, blandt andet de danske cookie-regler. »Vi er ved at kigge på det. Vi håber at blive enige med de andre europæiske myndigheder inden sommerferien,« fortæller Brian Wessel, kontorchef i...