Loading…
Tilbage

Profilbillede

Informeret samtykke i en digital verden

Kresten Bay

I går, den 16. marts, deltog jeg som oplægsholder på et seminar arrangeret af FDIM (Foreningen for Danske Interaktive Medier) om cookies og den nye danske bekendtgørelse på området, som vi er ved at lave i IT- og Telestyrelsen. Ud over mig selv deltog Senior EU Policy Director Thomas Myrup fra Microsoft, analysechef Poul Melbye fra Politiken samt advokat Heidi Steen Jensen fra Horten som oplægsholdere.

Seminaret var meget velbesøgt – og det med god grund! De nye EU-regler, som vi skal implementere i bekendtgørelsen, vil få stor betydning for FDIMs medlemmer og de forretningsmodeller som online branchen generelt har udviklet over de seneste 10-15 år.

Især kravet om, at man som udbyder af fx en hjemmeside fremover skal indhente et informeret samtykke fra en bruger, hvis man ønsker at lægge en cookie på hans eller hendes computer, har givet begyndende grå hår hos webmastere i hele EU. De fleste kommercielle hjemmesider lægger gerne 15-20 cookies på din computer – nogle mange flere end det. Hensigten med de nye regler er da også, at brugerne skal være vidende om, hvad der lagt af ting og sager på deres it-udstyr, hvad det bliver brugt til og desuden have mulighed for at vælge det fra.

I forbindelse med It-sikkerhedskomiteens konference om samme emne den 2. marts havde komiteen produceret tre små tegnefilm, der viste forskellige scenarier for brugeren med de nye regler – to ekstremer og et bud på en middelvej. Prøv at se dem – de er både illustrative og morsomme!

Hverken den danske bekendtgørelse eller det bagvedliggende EU-direktiv siger dog noget om formen på det nye krav om samtykke ud over at det skal være frivilligt, specifikt og informeret. Der er derfor lagt op til, at online branchen selv kan komme med et bud på brugervenlige og effektive løsninger.

Den bold havde FDIM grebet og advokat Heidi Steen Jensen fra Horten gav et meget spændende bud på, hvordan man kan se på samtykkekravet i de nye regler. Heidi trak blandt andet fra det højtprofilerede juridiske felt ”parkeringsret”, hvor højesteret har afgjort, at det at parkere sin bil på en parkeringsplads med afgift i sig selv udgør et samtykke til parkeringsbetingelserne, forudsat at skiltningen med betingelserne (I kender de gule EuroPark-skilte) har været TYDELIG.

Et andet eksempel som Heidi nævnte, var en afgørelse fra Datarådet om FDBs og COOPs brug af medlemskort til deres forretninger. Her havde Datarådet afgjort at ibrugtagning af medlemskortet i sig selv udgjorde et udtrykkeligt samtykke til betingelserne for brugen af kortet (der var vedlagt kortet, da det blev sendt til kunden).

Nu er det selvfølgelig ikke altid lige til at slutte fra det ene eksempel til det andet, men Heidis oplæg og de ovenstående eksempler får mig i hvert fald til at tænke på to ting: Det første er, at et informeret samtykke må forstås, udformes og fortolkes i den konkrete kontekst, det indgår i. Det andet er mere et spørgsmål: Kan det at tage en hjemmeside i brug – en aktiv handling – i sig selv kan udgøre en viljestilkendegivelse og et samtykke forudsat, at der gives fyldestgørende information?

Især det første, altså samtykkets afhængighed af kontekst, er væsentlig. Den digitale verden er meget forskellig fra den analoge verden og vi bevæger os helt anderledes rundt på internettet end på gader og stræder i øvrigt – eller parkeringspladser for den sags skyld. Derfor er det heller ikke sikkert, at de kendte samtykkeformer vil være de bedste i alle situationer til at håndtere for eksempel brugen af cookies på nettet – det viser It-sikkerhedskomiteens små tegnefilm kun alt for godt. Måske skal der findes en middelvej eller måske en helt fjerde vej? Heidis oplæg gav i hvert fald en række spændende fortolkningsbidrag til de nye regler.

Men husk: Hensigten med de nye regler er, at give en bedre beskyttelse af brugernes privatliv. Brugerne skal have ordentlig information og muligheden for at sige ”nej tak”, hvis han eller hun ikke ønsker cookies på sin computer. Det skal en løsning også kunne rumme.

Så hermed oplæg til debat: Hvordan kan det nye krav om et informeret samtykke håndteres i praksis og på en måde, så vi både varetager hensynet til brugernes privatliv og hensynet til, at online branchens forretningsmodeller forsat kan trives?

Den danske bekendtgørelse er i høring indtil 1. april, så du kan stadig nå at give dit besyv med. Fortsæt debatten herunder og kom gerne med andre gode eksempler eller forslag. Du kan også gå ind på Høringsportalen og afgive et formelt høringssvar.

God debat!

Kresten Bay
IT- og Telestyrelsen



også postet på computerworld.dk d. 18 marts

Hvis man fortolker reglerne som "1 gang opt-in, altid opt-in" kan man slippe for en "popuphelvede" hver gang man logger ind...på samme site, altså.
Hvis jeg f.eks. oprette en konto hos Amazon.com eller ebay.com og 1 gang giver min samtykke til at jeg oprettes som kunde, skal jeg ikke gøre det hver gang...indtil jeg ikke gider mere, og opsige aftalen med webshoppen..er min data så slettede?

Hvis man fortolker reglerne som "1 gang opt-in, altid opt-in" kan man slippe for en "popuphelvede" hver gang man logger ind...på samme site, altså. Hvis jeg f.eks. opretter en konto hos Amazon.com eller ebay.com og 1 gang giver min samtykke til at jeg oprettes som kunde, skal jeg ikke gøre det hver gang...indtil jeg ikke gider mere, og opsige aftalen med webshoppen..er min data så slettede?