Når nye cookie-regler træder i kraft den 25. maj, så vil massevis af danske hjemmesider overtræde lovgivningen. Sådan lød budskabet ved onsdagens cookie-konference, som den ansvarlige myndighed, IT- og Telestyrelsen, havde arrangeret.
"Det er helt urealistisk at piktogrammer, samtykke og jeg ved ikke hvad er på plads klokken 00.01 den 25 maj. Det når vi simpelthen ikke," siger Morten Helveg Petersen, direktør for Foreningen af Danske Interaktive Medier (FDIM).
Samme melding lød fra Dansk Industris afdeling for it- og teknologivirksomheder.
"Jeg forventer heller ikke Dansk Industris medlemmer er klar den 25. maj. Vi kan måske være noget et stykke med noget vejledningsmateriale," sagde Henning Mortensen fra DI ITEK.
Henning Mortensen sagde skælmsk, at den europæiske datatilsynsførende Peter Hustinx tidligere under konferencen havde sagt, at hjemmeside-ejere, som ikke forstod de nye cookie-regler, blot skulle spørge deres brancheforening om hjælp.
"Selv for Dansk Industri kommer der til at gå et stykke tid, før vi kan give et svar på det her,” sagde Henning Mortensen.
Klage over lovsjusk
Bekendtgørelsen vil kræve, at hjemmesider, webapplikationer og andre programmer informerer om, hvordan de bruger cookies og andre sporingsteknologier til at overvåge brugerne. Samtidig skal de indhente et samtykke, men det er meget uklart, hvordan dette samtykke skal indhentes. Hverken EU-reglerne eller den danske bekendtgørelse - som den ser ud nu - fortæller, om det er okay at indhente et stiltiende samtykke, hvor brugerne ikke nødvendigvis behøver at klikke ja til overvågningen i et pop up-vindue, men eksempelvis kan gøre det gennem nogle specifikke browserindstillinger.
”Jeg har set meget sjusket lovgivning, og jeg tror, at denne omgang tager prisen,” sagde Morten Helveg Petersen, der er tidligere radikal folketingspolitiker, konsulent hos Dansk Industri og økonom i EU-Kommissionen.
Det er EU-systemet, han langer ud efter -ikke den danske styrelse, som nu implementerer reglerne. De danske embedsmænd er lydhøre og fleksible over for branchen, siger FDIM-direktøren. Hans kritik er rettet mod EU's medlemslande og EU-Parlamentet, der har vedtaget et krav, som er så strengt og samtidig bøjeligt, at det er svært for branchen at vide, hvad de præcis skal gennemføre. Undervejs i lovgivningsprocessen fik EU-Parlamentet fjernet kravet om, at det skal være et "forudgående" samtykke. Politikerne ønskede altså tilsyneladende en mildere og mere fleksibel form for samtykke, end vi ellers kender fra dansk forbrugerlovgivning. Men hvordan branchen kan indhente samtykket - og give brugerne mulighed for at tilbagetrække samtykket - er uklart.
Nedtonede bøde-udsigt
Hvis hjemmeside-ejere overtræder bekendtgørelsens regler, risikerer de ifølge lovens bogstav en bøde. Kontorchef Kresten Bay nedtonede dog udsigten til økonomiske lussinger.
"Det er ikke i nogens interesser, og det er slet ikke i forbrugernes interesser, at der bliver presset dårlige løsninger igennem," sagde Kresten Bay.
"Så signalet er, at hvis vi får en klage, så vil vi tage kontakt til den pågældende hjemmeside og så sige, at I ikke lever op til disse regler, og så tager vi den derfra," sagde Kresten Bay.
Samtidig advarer branchen mod at finde en ren dansk løsning på cookie-kravet. Specielt webhandlende ønsker fælles europæiske standarder, så de har lige vilkår, når de konkurrerer med eksempelvis tyske, franske og spanske webbutikker.
"Vi skal konkurrere på lige vilkår, da e-handel ikke følger fysiske grænser,” siger direktør Annette Falberg, FDIH, Foreningen for DIstance- og Internethandel.
Selv forbrugervagthunden Forbrugerrådet, der kæmper for at skaffe forbrugerne bedre privatliv på internettet, gav medhold i, at de nye cookie-regler er en hård småkage at tykke i.
”Jeg må være ærlig at sige, at det er en udfordring på nettet at indhente dette samtykke,” sagde Anette Høyrup fra Forbrugerrådet.
Hvem skader cookies?
En deltager sagde ved konference, at han manglede at se en forside på Ekstra Bladet, hvor en dansker var blevet misbrugt på grund af cookies. Det bedste eksempel, som Anette Høyrup kunne diske op med, var, at nogle franske og britiske webhandlende havde misbrugt cookies til at give en dyrere pris til kunder, der ikke forinden havde besøgt en prissammenligningstjeneste og altså kunne snydes til at betale en overpris i forhold til andre kunder. Hun kendte dog ikke til dansk misbrug af cookies. Hun understregede til gengæld, at Forbrugerrådet handler om at sikre god information om brugerne, så er nemt kan sætte sig ind i, hvordan de bliver overvåget. Hun luftede blandt andet muligheden for en mærkningsordning, hvor nogle hjemmesider havde et bestemt mærke, som signalerede at deres cookie-brug var i overensstemmelse med et bestemt kodeks.
Hun efterspurgte desuden - ligesom webbranchen - at der bliver lavet en god teknisk løsning, så forbrugerne bedre kan kontrollere, hvilke cookies, der lagres. Det skal eksempelvis være muligt afvise specifikke sider, 3. parts-cookies og cookies, der ikke automatisk efter en tid bliver slettet - de såkaldte evercookies, foreslog forbrugervagthunden.
En løsning, som flere af deltagerne luftede på konferencen, var, at brugere kunne tilmelde sig en whitelist eller blacklist fra en organisation, som har slået visse cookies fra eller til. Det kunne eksempelvis være Forbrugerrådet, som administrerer sådan en liste, lød et forslag.
It-virksomheder skal tage privacy alvorligt
Budskabet fra IT- og Telestyrelsens Kresten Bay var desuden, at it-virksomheder i langt højere grad end tidligere skal overveje, hvordan de overvåger brugerne og giver dem mulighed for at vælge overvågningen fra.
Selv om der ved onsdagens konference - hvor repræsentanter for webhandlende, annoncører, it-virksomheder og netmedier deltog - lød en del murren i krogene over, at de skal bruge kræfter på at udvikle nye løsninger og oplyse deres brugere, så beholdt Kresten Bay optimismen.
"Jo mere, jeg kommer ind i det her, jo mere optimistisk bliver jeg," rundede Kresten Bay konferencen af i skarp kontrast til følelsen hos flertallet af deltagerne.
Høringen over bekendtgørelsen slutter den 1. april, og bekendtgørelsen vil efter planen træde i kraft 25. maj.
