Europeisk forvirring om nye cookie-regler

Bare noen få EU-land har overholdt tidsfristen.

Tidsfristen for å implementere EUs nye telekomreform i medlemsstatenes nasjonale lover, gikk ut i går, den 25. mai. Denne reformen inkluderer også det reviderte ePrivacy-direktivet.

ePrivacy-direktivet omhandler personvern på Internett og er ikke så rent lite omstridt. Årsaken til dette er endringen som har blitt gjort i kravene som stilles til bruken av informasjonskapsler (cookies) på nettsteder.

Informasjonskapler brukes først og fremst til å gjenkjenne brukere, ofte fra et tidligere besøk, men også når en bruker beveger seg fra én side på nettstedet til en annen. Kapslene er egentlig små tekstfiler som lagrer data lokalt på brukerens maskin. Hvor lenge de lagres, avhenger av flere faktorer.

Kategorier av informasjonskapsler

I lys av ePrivacy-direktivet er det først og fremst tre hovedkategorier av bruk av informasjonskapsler som er interessante, selv om de kan deles inn i enda flere. Den ene formen kalles for «session cookies». Dette er informasjonskapsler som knytter sammen en brukerøkt på et nettsted. Dette kan være nyttig dersom en bruker fyller ut et skjema som strekker seg over flere sider, for eksempel i en nettbutikk eller nettbank. Men denne typen informasjonskapsler kan ofte erstattes av at det inkluderes en «session id» i URL-en til websidene. Et eksempel på dette er bestillingsskjemaet til SAS.

En annen type bruk av informasjonskapsler er «persistent cookies» (varige informasjonskapsler). Disse benyttes av nettsteder for å gjenkjenne brukere som også tidligere har besøkt nettstedet. Slike kapsler kan være nyttige for både brukerne og nettstedet. De gjør det blant annet mulig for nettstedet å tilby brukertilpasset innhold, for eksempel ønsket språk, uten at brukeren må velge dette hver gang. For nettstedet kan slike kapsler brukes til å loggføre hvor ofte en gitt bruker besøker nettstedet.

Den tredje typen informasjonskapsler, «third-party cookies», benyttes i forbindelse med tredjepartsinnhold på nettsteder. Det er særlig denne typen kapsler som er omstridt. Mange nettsteder har innhold fra eksterne leverandør. Dette lastes fra webservere med andre domenenavn enn siden brukeren besøker. Dette kan være annonser, statistikksystemer, Facebook-innhold og mye annet. Kritikken mot denne typen informasjonen handler i stor grad om at tredjepartsleverandørene kan spore brukernes besøk på tvers av nettstedene de leverer innhold til.

I de fleste nettleserne er det mulig å skru av støtten for hver av disse typene av informasjonskapsler. Det er gjerne gjerne også mulig å godta kapsler fra noen nettsteder, mens andre blokkeres.

Samtykke og unntak

EU har til nå krevd at nettsteder som benytter informasjonskapsler, skal fortelle brukerne om hva nettstedet benytter kapslene til. Dette har i liten grad blitt etterfulgt. I det oppdaterte direktivet kreves det derfor at bruken av informasjonskapsler i tillegg bare skal skje når brukeren eksplisitt samtykker til dette. Som EU-kommisjonen skriver her, er det noen relativt klare unntak.

Det kreves ikke samtykke for å bruke informasjonskapsler som er direkte knyttet til tjenesten som brukeren eksplisitt har bedt om. Som eksempler på dette oppgis informasjonskapsler som husker språkinnstillinger eller innholdet i handlekurver i nettbutikker.

Men i de tilfelle hvor det lagres data som ikke er relatert til tjenesten brukeren for øyeblikket benytter, kreves det samtykke fra brukeren før dataene lagres eller aksesseres.

Per i går hadde bare to av de 27 medlemslandene opplyst til EU-kommisjonen at det reviderte direktivet var blitt implementert i deres respektive, nasjonale lover. Dette er Danmark og Estland.

Storbritannia, Frankrike, Slovenia og Luxembourg skal ha implementert deler av direktivet.

Motforestillinger

Hvordan direktivet tolkes og implementeres, varierer også fra land til land. Noe av spørsmålet handler om hvorvidt det er tilstrekkelig at man samtykker ved hjelp av en nettleserinnstilling, eller om nettsteder som benytter informasjonskapsler i verste fall vil måtte tilby et eget sprettopp-vindu for hver eneste informasjonskapsel som benyttes. Den norske bransjeorganisasjonen INMA har laget et eksempel på hvordan en slik side vil kunne oppleves.

Nå er det lite som tyder på EU-kommisjonen ønsker en slik popup-storm. Tvert imot sa Nellie Kroes, EU-kommisjonæren med ansvar for implementeringen av loven, at det er viktig at løsningene ikke har negativ effekt på brukeropplevelsen.

– Vi trenger en brukervennlig løsning. Det vil være klokt å unngå alternativer slik som gjentakende dialogbokser. På den annen side vil det ikke være tilstrekkelig å begrave den nødvendige informasjonen dypt nede i et nettsteds personvernbestemmelser. Vi er nødt til å finne en mellomting, sa Kroes under et møte med representanter for annonsebransjen i september.

Det er også et spørsmål om hvilke straffereaksjoner som skal kunne brukes mot nettsteder som ikke overholder reglene. I for eksempel Storbritannia er strafferammen satt til 500 000 pund. Men ifølge BBC News har nettstedene fått et år på seg til å ordne dette.

Internett og weben på ingen måte er begrenset av landegrensene. Det betyr at også nettsteder med base i ikke-europeiske land vil måtte forholde seg til de varierende tolkningene som gjøres i de ulike, europeiske landene. Også i USA foreslås det lignende regler, men etter alt å dømme bare når det gjelder tredjeparts informasjonskapsler.

Norge

Norge er ikke medlem av EU, men direktivpakken er innlemmet i EØS-avtalen. Det betyr at også Norge skal implementere blant annet det reviderte ePrivacy-direktivet i ekomloven, ekomforskriften og nummerforskriften. Det er Samferdselsdepartementet som har ansvaret for dette.

I forslaget til endring av ekomforskriften er det paragrafene 7-3 og 7-4 som er relevante i denne sammenheng.

§ 7-3 Behandling av informasjonskapsler mv.

Elektronisk kommunikasjonsnett kan ikke benyttes til lagring av opplysninger i brukers kommunikasjonsutstyr eller for å skaffe seg adgang til slike, uten at bruker er gitt informasjon av den behandlingsansvarlige i henhold til personopplysningsloven, herunder om behandlingsformålet og er gitt anledning til å motsette seg behandlingen. Dette er likevel ikke til hinder for teknisk lagring eller adgang til opplysninger:

1. utelukkende for det formål å overføre eller lette overføringen av kommunikasjon i et elektronisk kommunikasjonsnett

2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter

brukerens uttrykkelige forespørsel.

§ 7-4 Samtykke

Med samtykke etter § 7-1 og § 7-2 menes samtykke slik det er anvendt i personopplysningsloven. Ved innhenting av samtykke skal tilbyder informere bruker om hvilken type trafikk- eller lokaliseringsdata behandlingen gjelder, om behandlingens varighet, om formålet med behandlingen og om lokaliseringsdata er ment å kunne utleveres til tilbyder

av tjeneste etter § 7-2, annet ledd. Bruker skal ved hjelp av en enkel og vederlagsfri ordning til enhver tid kunne trekke samtykket tilbake.

Samtykke etter § 7-2 skal også kunne trekkes tilbake midlertidig for hver enkelt oppkobling til det elektroniske kommunikasjonsnett eller ved hver enkelt bruk av tjenesten.

En høringsrunde om dette ble avsluttet i fjor høst, bare få dager etter Kroes' tale tale i september. Noe endelig resultat av den norske behandlingen ventes ikke før til høsten.

    Les også:

– Fremmede makter angriper oss daglig

Hør professor Olav Lysne og direktør Bjørn Erik Thon i Datatilsynet diskutere personvern, rikets sikkerhet og det digitale grenseforsvaret i vår nye podkast «Dobbeltklikk».

Til toppen