Om tre måneder skal alle danske hjemmesider - og webapplikationer - indhente samtykke fra deres brugere, når de vil overvåge dem med cookies og andre sporingsteknologier. Brugerne skal desuden kunne "afslå samtykke" eller "tilbagekalde samtykke", når de nye regler træder i kraft.
Hvis hjemmeside-ejerne bryder reglerne, risikerer de en bøde.
Dét fremgår af et udkast til en cookie-bekendtgørelse, som netop er sendt i høring. Reglerne skal efter planen træde i kraft den 25. maj og rammer primært online medier og webannoncører , der ønsker at vide, hvem deres kunder er. De kommende regler betyder, at et utal af danske hjemmeside-administratorer i de næste måneder skal nærlæse cookie-reglerne for at finde ud af, hvordan de undgår bødestraf.
Kringlet cookie-krav
Definitionen på et samtykke er en smule kringlet:
"Ved samtykke, jf. stk. 1, forstås enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved slutbrugeren indvilliger i, at der lagres oplysninger eller opnås adgang til allerede lagrede oplysninger i slutbrugerens terminaludstyr."
Definitionen ovenfor betyder, at hjemmeside-ejerne skal indhente "viljestilkendegivelse". Det behøver dog ikke være i form af, at man sætter et hak i en boks, hvor man siger ja til overvågningen. En viljestilkendegivelse kan også være, at man surfer videre på siden, efter at man er blevet opmærksom på reglerne. Det forklarer kontorchef, Kresten Bay fra IT- og Telestyrelsen.
"Vi fastlægger nogle grundprincipper i bekendtgørelsen, og så må branchen finde ud af, hvordan de præcis vil leve op til dem. Det er vigtigt, at branchen selv kommer på banen med løsninger, og vi står selvfølgelig til rådighed i den forbindelse og er allerede i dialog med branchen," siger Kresten Bay.
"Om det er via browser-løsning eller en indbygget funktion i hjemmesiden - der synes jeg, at vi skal vente og se, hvilke gode løsninger branchen finder på," siger kontorchefen.
Flere software-firmaer har efter politisk pres - specielt fra Tyskland - lanceret deres egne løsninger til, hvordan net-surfere kan blokere for overvågning. Google har tilbudt en browser-plugin til blokering af Google Analytics. Mozilla har foreslået et koncept, hvor Firefox-browseren fortæller til hjemmesiden, at den pågældende bruger ikke vil overvåges. Google har siden lanceret en lignende løsning til deres Chrome-browser.
Hjemmeside-ejere har travlt
Bekendtgørelsen er blot et udkast. IT- og Telestyrelsen er villig til at justere reglerne, inden de træder i kraft.
"Det er er et nyt og meget komplekst område at regulere. Så det er klart, at vi formentlig ikke har kunnet rumme alle nuancer i udkastet. Derfor afventer vi branchens og alle øvrige interessenters svar på høringen, og så vil vi naturligvis finpudse reglerne, hvis det bliver nødvendigt," siger Kresten Bay.
De nye regler træder i kraft om tre måneder. Forventer I, at alle danske hjemmesider kan nå at have en løsning klar til den tid?
"Nej, det gør vi ikke. Vi ved godt, at det er et paradigme, der skal ændres. Det er ikke blot en dims, der skal være på en hjemmeside. Hvis dette skal være effektivt og brugervenligt og give en reel privatlivsbeskyttelse for borgerne, så skal det være gennemtænkt. Det må meget gerne være en løsning på fælleseuropæisk plan. Vi vil måske se samme løsning implementeret i hele branchen. Og det tager tid at udvikle," siger Kresten Bay.
"Der er mange gode bud på, hvordan dette kan gøres, når man kigger på hjemmesider i hele verden," siger Kresten Bay.
Kan du give nogle eksempler?
"Nej, det vil jeg helst ikke. For jeg vil ikke begynde at udstikke eksempler, som nogle måske vil tro er blåstempling af nogle specifikke løsninger," siger Kresten Bay.
Uklart hvem der kan få bøder
Det er i realiteten jer, der skal håndhæve regler og eventuelt give hjemmesider en bøde. Hvordan vil I gøre det?
"Vi vil tage afsæt i grundkravene i bekendtgørelsen, og så vil vi foretage en konkret vurdering. Men jeg kan ikke sige på stående fod præcist, hvordan vi vil gøre det," svarer Kresten Bay.
De nye regler dækker meget bredt. Udover hjemmesider skal også web-applikationer leve op til reglerne. Det er hjemmesider og tjenester, som er målrettet det danske marked, der er omfattet af bekendtgørelsen.
Udenlandske firmaer med hjemmesider målrettet det danske marked skal også leve op til reglerne. Det kan være parametre som sprog og valuta på siden, der afgør om hjemmesiden er rettet mod danske brugere.
Den danske cookie-bekendtgørelse er implementeringen af Artikel 5, stk. 3 i et nyt EU-direktiv (2009/136/EF).
