“Det bliver en enorm udfordring. Der kommer til at ligge kæmpestore udviklingsomkostninger i at blive compliant, og det omfatter i princippet al kommunikation via internettet. Så det er ret bredt.”
Sådan beskriver Rasmus Theede omfanget af den kommende ePrivacy-forordning, der skal erstatte den såkaldte “cookie-lov” fra 2009.
Forordningen skal blandt andet ændre hele måden, brugere giver samtykke til sporings-cookies på, og ideen er, at man vil slippe af med klassiske “cookie-bannere”.
En undersøgelse fra Forbrugerrådet Tænk har tidligere vist, at danskerne sjældent læser, hvad de klikker “ok” til, når de accepterer cookies, og derfor er Rasmus Theede, der indtil for nylig var teknologidirektør i interesseorganisationen Digital Europe i Bruxelles, positiv over kravet om reelt samtykke.
“Det vigtige her er, at samtykke bliver det samme som i GDPR. Det vil sige, at der skal være tale om et klart og utvetydigt samtykke. Det er det ikke i dag, når de fleste mennesker ikke aner, hvad de klikker “ok” til,” siger han til Computerworld.
Cookies skal fravælges i browseren
Tanken med ePrivacy er, at brugere kun skal tage stilling til cookies en enkelt gang, når de for eksempel installerer deres internetbrowser. Her skal brugeren i privatlivsindstillingerne have mulighed for helt at fravælge eller tillade cookies.
“Ved at centralisere indhentningen af samtykke i softwaren, såsom internetbrowsere, og tilskynde brugerne til at vælge deres privatlivsindstillinger, og ved at udvide undtagelserne fra reglen om samtykke til cookies vil en betydelig del af virksomhederne kunne fjerne cookiebannere og meddelelser, hvilket kan medføre store besparelser og forenkling,” hedder det i forslagets konsekvensanalyse.
Læs også: Snart slut med evindelige cookie-beskeder på websites: EU vil ændre samtykke-reglerne
Rasmus Theede er dog yderst skeptisk overfor, om man med lovgivningen, som den ser ud nu, opnår det ønskede reelle samtykke.
“Man opnår præcis samme situation, som man har i dag. For det, der reelt kommer til at ske, er, at brugeren på rigtig mange hjemmesider bliver mødt med en besked om, at indholdet ikke kan ses uden cookies. Og så har du bare en ny version af cookie-boksen,” siger han.
Al kommunikation er omfattet
Det er dog ikke kun annoncører og browser-udbydere, er der skal forberede sig på ePrivacy. Den nye EU-regulering omhandler nemlig ikke kun cookies men alle former for elektronisk kommunikation.
Det betyder blandt andet, at tjenester som Whatsapp og Facebook Messenger, der leverer opkald og tekstbeskeder via internettet, bliver omfattet af de samme regler, som gælder for teleselskaber i dag.
Konkret er der lagt op til, at det bliver forbudt for alle kommunikationstjenester at bearbejde både data, metadata og lokationsdata uden eksplicit samtykke fra brugeren, ligesom tjenesterne generelt forpligtes til at garantere kommunikationens fortrolighed.
Det kan på mange måder være godt for forbrugeren, men det betyder ifølge Rasmus Theede, at stort set alle virksomheder, der opererer på internettet, skal til at forberede sig på at blive compliant.
“I dag kan man for eksempel chatte med kunde-support på rigtig mange hjemmesider, og pludselig er den kommunikation også omfattet af de samme regler. For hvordan kan man spores i den sammenhæng, og hvordan bliver data behandlet? Det skal brugeren også give samtykke til,” siger han.
Urealistisk deadline
Den nye ePrivacy-regulering kommer således til at ramme rigtig mange danske virksomheder.
Annoncører, hjemmesideejere, softwareleverandører og alle, der på nogen måde arbejder med elektronisk kommunikation skal tage stilling til de nye regler, og straffen for manglende compliance bliver hård.
Ligesom i GDPR kan virksomheder straffes med bøder på op til 20.000.000 Euro eller fire procent af den samlede globale omsætning. Og ifølge det nuværende forslag skal reguleringen træde i kraft allerede fra 25. maj næste år - samtidig med GDPR.
Samtidig er det svært for virksomheder for alvor at forberede sig, da ePrivacy ikke er endeligt vedtaget endnu, og af samme årsag findes der heller ikke vejledninger fra de danske myndigheder endnu, som de danske virksomheder kan læne sig op ad.
Derfor mener Rasmus Theede da også, at 25. Maj er en urealistisk deadline.
“Det tror jeg simpelthen ikke på, for man kan ikke nå blive Compliant. Der skal laves ny firmware til dit ur, til dit tv og til alle mulige andre ting. Det kommer simpelthen ikke til at ske.”
Lovforslaget blev i oktober måned stemt videre fra Europaparlamentet, og det skal blandt andet diskuteres blandt medlemsstaterne i Europarådet, før det kan komme til endelig afstemning.
Du kan finde en dansk udgave af lovforslaget her.