Kunne løsningen på Cookie kontroversen findes dels i et teknisk fiks, dels i at uddelegere samtykke til troværdige tredjepart?
Danmark skal ligesom resten af EU senest den 25. maj 2011 implementere i national lovgivning, altså dansk lovgivning, en regel om, at man for eksempel som indehaver af en hjemmeside skal sikre sig samtykke fra de besøgende, før man placerer en såkaldt cookie på de besøgendes computere. Siden IT- og Telestyrelsen i marts sendte et udkast til en ny bekendtgørelse om implementering af denne nye samtykkeregel i høring, har der været voldsomme diskussioner i internetbranchen om, hvordan samtykkereglen skulle formuleres, og om en samtykkeregel overhovedet var praktisk gennemførlig.
En diskussion om cookies kan nemt fortabe sig i tekniske detaljer. Men noget forsimplet kan man sige, at en udbyder af en hjemmeside - ofte ligeså den besøgende på denne hjemmeside - har en interesse i, at hjemmesiden kan genkende den besøgende fra gang til gang. Ikke blot er det interessant at kunne genkende den besøgendes identitet. Det vil ofte også være til stor praktisk hjælp, hvis hjemmesiden - uden at kende den besøgendes identitet - kan sikre, at den besøgende ved det næste besøg på hjemmesiden bærer sin "historik" med sig, således at den besøgende slipper for at afgive alle de oplysninger, som var nødvendige ved første besøg.
Anvendelsen af cookies er således ofte rent praktisk til stor fordel både for hjemmesiden og den besøgende. Imidlertid indgår anvendelsen af cookies som en hel fundamental forudsætning for den økonomi, som i mange tilfælde er grundlaget for, at der overhovedet findes hjemmesider, som stilles til rådighed for besøgende. Cookies anvendes således til at identificere besøgende og løbende registrere deres adfærd - alt med henblik på at servere dem reklamer i forbindelse med besøget på hjemmesiden, der bedst muligt matcher reklamernes indhold og den besøgendes profil.
Anvendelsen af cookies kompliceres yderligere af, at cookies i forbindelse med et besøg på en hjemmeside ikke blot placeres af hjemmesidens udbyder og anvendes til profilering, men også af tredjemænd, avancerede online mediebureauer, som via store og sofistikerede netværk er i stand til i hvert fald - i et eller andet omfang - at matche de besøgendes profiler.
Cookies bruges således ikke alene til at registrere oplysninger og profilere besøgende på hjemmesider - uanset om disse kan personligt identificeres eller ej. Cookies involverer også rent teknisk, at den, som anvender en cookie, på den besøgendes egen pc placerer en mindre tekstfil, der tjener til at identificere den besøgende overfor enkelte eller mange hjemmesider, der efterfølgende klikkes ind på. Alt dette er temmelig ugennemskueligt for den besøgende, som oftest er en evigt sagesløs forbruger, der ikke har noget reelt overblik over, hvad der foregår.
Sidste år kørte Wall Street Journal en meget illustrativ artikelserie om, hvor udbredt brugen af cookies, i særdeleshed de såkaldte tredjepartscookies, var, og hvor stor og omfattende registrering af oplysninger, der ofte vil være personrelaterbare oplysninger, var. Blandt andet på denne baggrund skal EU's nye regler ses.
De nye regler fastslår noget simplificeret, at den, som ønsker at placere og efterfølgende tilgå en cookie på en brugers pc forinden skal sikre, at der er givet et samtykke hertil fra den pågældende bruger. Dette samtykke skal være reelt. IT- og Telestyrelsen taler om et "informeret samtykke", hvilket uden at gå i detaljer betyder, at den besøgende skal have et reelt og fuldt overblik over konsekvenserne af at acceptere en cookie.
Det er vist kun blandt de mest hardcore typer blandt fortalere for forbrugerbeskyttelse, at man hylder de nye regler som uproblematiske for såvel udbydere af hjemmesider som bruger. Blandt stort set hele sammenrendet af interessenter indenfor internetanvendelse fra forbrugersiden til de virksomheder, der organiserer e-handel og onlinereklamer, er der en forståelse for og en erkendelse af, at det som udgangspunkt vil være meget upraktisk og tidskrævende, hvis en bruger af en hjemmeside ved hver enkelt besøg skal sætte sig ind i vilkår for hver enkelt cookie, der placeres eller tilgås, for derefter at beslutte om, der skal gives et samtykke eller ej. Det vil simpelthen være for besværligt, hvis man skal "tvinges til" at læse komplicerede aftalevilkår og deklarationer igennem, når der ofte vil være et to-cifret antal cookies, der er relevante i forbindelse med besøg på blot en almindelig e-handelshjemmeside eller et website for en avis.
På den anden side giver det heller ikke mening, at udgangspunktet, "default-løsningen", blot er, at besøgende accepterer alle cookies og således kun vurderer rimeligheden af anvendelsen af en cookie, hvis man konkret af anden vej bliver opmærksom på dette. Dette har netop været udgangspunktet i den nuværende retsstilling på området, og det er denne asymmetri, som den nye EU-regel med rimelighed, men dog ubehjælpsomt, prøver at adressere.
Det er således i alles interesse, at der findes en praktisk løsning, der baserer sig på det klare udgangspunkt, at den besøgende skal give et informeret samtykke, men på den anden side erkendes det, at det er i ingens interesse - særligt ikke den besøgendes - hvis besværet med at foretage et sådant samtykke eller undlade dette bliver så stort, at man enten slet ikke ønsker at besøge visse websites, eller at man blot "lukker øjnene" og accepterer stort set alle cookies i blindhed.
Mit forslag er, at en pragmatisk og praktisk løsning baseres på to grundlæggende forhold. For det første skal man søge hjælp i de teknologiske muligheder, der findes ved at alle moderne browsere i dag giver mulighed for at forudindstille ens præferencer i relation til cookies på de hjemmesider, som man besøger via en browser og til løbende at revurdere og ændre på indstillinger, både generelt og specifikt. For det andet skal man anerkende, at man på cookieområdet ligesom på så mange andre områder indenfor forbrugerforhold må lade troværdige tredjemænd tage valget på komplekse områder, som forbrugeren så må støtte sig op mod. Vurderingen af, hvorvidt en cookie, herunder en tredjeparts cookie, bør accepteres, bør forbrugeren kunne "uddelegere" til en troværdig tredjemand.
De mest moderne browsere i dag, særligt Firefox 4 og Internet Explorer 9, indeholder avancerede muligheder for at kunne indstille browserens accept eller afvisning af cookies, herunder tredjeparts cookies på individuel vis. Disse optioner og indstillingsmuligheder er dog fortsat for svære at benytte for en almindelig bruger. Og for alle brugere vil det fortsat være for tidskrævende i alle konkrete tilfælde at skulle gå ind og forholde sig til en cookie, generelt eller specifikt, ved løbende at regulere indstillingerne i browseren.
Selvom cookiebekendtgørelsens regler om samtykke ikke kun vedrører besøg på hjem-mesider (reglerne er i høj grad også relevante i forbindelse med mobiltelefoner, SaaS-løsninger og lignende), så består den væsentligste udfordring i øjeblikket i at afklare forholdet om samtykke i forbindelse med besøg på hjemmesider. Her er det oplagt, at løsningen involverer, at den besøgende selv via den applikation, nemlig browseren, som man selv kontrollerer og anvender til besøg på hjemmesiderne, tager ansvar for sit valg.
Mit forslag er således, at internetbranchen i Danmark med deltagelse af alle relevante interessenter går sammen om at udvikle en form for plug-in eller add-on til de moderne browseres cookieindstilling, der kan hentes ned af danske brugere, og som kan anvendes som udgangspunkt i forbindelse med informerede samtykker ved placering og tilgang af cookies. Det er klart, at en sådan løsning skal være baseret på åbne standarder og open source, idet der skal være fri adgang for alle til at forbedre og videreudvikle på løsningerne. Internetbranchen skal i fællesskab specificere kravene til applikationens menuer, brugervalg, GUI osv.
En sådan fælles cookie-wizard kan imidlertid ikke stå alene. Det er nødvendigt, at der etableres standarder for, hvilke væsentlige valg de besøgende skal tage i forbindelse med vurderingen af, om en cookie bør tillades eller ej. Hvilke oplysninger indsamles, hvad anvendes de til, hvem anvender dem, hvor lang opbevares de osv.? Her bør it-branchen også gå sammen og etablere en form for mærkningsordning, hvorefter en bruger relativt enkelt kan skaffe sig et overblik over den enkelte cookies egenskaber. Her kan hentes stor inspiration i forbindelse med anvendelsen af piktogrammer fra Creative Commons licenserne, og i Danmark har vi allerede god erfaring med anvendelse af mærkningsordninger i forbindelse med e-handelsmærket.
Men det er ikke nok, at brugeren kan træffe et informeret valg på grundlag af overskuelige piktogrammer, der på få, men yderst relevante områder beskriver de forskellige cookies egenskaber og omfang. Det vil stadigvæk være uhensigtsmæssigt, hvis brugeren i forbindelse med hver enkel cookie skal - godt nok på et overskueligt og velinformeret grundlag - tage stilling til, om man vil acceptere dette eller ej. Her foreslår jeg, at organisationer og virksomheder, der måtte finde en relevant rolle i den forbindelse, kan udarbejde lister enten med navne (IP-adresser eller anden form for relevant identifikation) på websites - eller måske helt ned på enkelt cookieniveau - der måtte ligge op til for eksempel indenfor fire kategorier forskellige egenskaber og omfang af cookies og kombinationer heraf, som brugeren måtte vælge generelt at ville acceptere. Brugere vil herefter ud fra et eget valg om, hvilke organisationer eller virksomheder, som man som bruger fandt særligt troværdige eller relevante i forhold til ens præferencer - alt fra for eksempel Forbrugerrådet, Forbrugerstyrelsen, FDIM, FDIH, Dansk IT, DI ITEK, E-handelsfonden osv. - kunne vælge at abonnere på denne organisations eller virksomheds "whitelist", hvor de således godkendte websites eller cookies var listet. Disse lister vil naturligvis skulle forelægge i elektronisk form og ville løbende kunne opdateres og hentes til cookie-wizard på brugerens browser via internettet, f.eks. ved abonnement på et RSS-feed.
Man kunne så forestille sig, at cookie-wizard havde indstillet browseren således, at denne som udgangspunkt ikke accepterede tredjeparts cookies eller måske cookies i det hele taget, idet brugeren så ved hver enkelt lagring eller tilgang af en cookie skulle give samtykke. Samtykket ville imidlertid ske løbende, uden at brugeren hver gang skulle in-volveres heri, ved at browseren i forbindelse med et besøg på en hjemmeside konsulterede de indlæste whitelists. Hvis et website eller en konkret cookie var at finde på en whitelist, ville der automatisk blive givet samtykke. Hvis ikke, ville brugeren blive besværet med helt konkret at skulle tage stilling til, hvorvidt der skulle gives samtykke eller ej.
Den foreslåede løsning ville således ikke være en "opt-out" løsning, men i realiteten en "opt-in" løsning, idet defaultindstillingen i browseren var "ikke-accept". Brugeren ville imidlertid have truffet en beslutning om indledningsvis at foretage "opt-in" - altså give samtykke - til de websites og konkrete cookies, som en troværdig tredjepart havde pla-ceret på en whitelist.
Den forslåede løsning forudsætter naturligvis, at en sådan cookie-wizard med en eller flere whitelists, der løbende opdateres, kan lade sig gøre teknisk. Det tror jeg, men det har jeg ikke undersøgt til bunds. Men som altid i forbindelse med it, plejer det jo at forholde sig således, at hvor der er en vilje, er der en vej.
Der er efter min opfattelse meget, der taler til fordel for den foreslåede løsning. For det første bygger den på det overordnede princip om, at brugeren skal give et informeret samtykke, før der gives lov til at placere og til at tilgå cookies på brugerens computer. Samtidig sikres det, at brugeren fortsat er i fuld kontrol med henblik på valget om at acceptere cookies, idet den omhandlede cookie-wizard ikke blot skal give mulighed for via de nævnte whitelists at give samtykke, når en cookie placeres eller bliver tilgået på computeren, men også efterfølgende, hvis brugeren får lyst til at skaffe sig et overblik over, hvilke cookies er placeret på computeren, og eventuelt i den forbindelse ønsker at slette disse. I disse situationer vil brugeren konkret kunne "overrule" en whitelist og/eller helt overordnet ændre sine indstillinger.
En løsning synes således at balancere hensynet til på den ene side at give brugeren fuld kontrol i relation til cookies og på den anden side at gøre besøg på hjemmesider fortsat praktisk ubesværede.
For det andet så mener jeg, at den foreslåede løsning vil være til stor fordel for særligt danske virksomheder, der enten primært berøres af cookiebestemmelserne ved selv at drive et website, eller lever af at sælge og placere annoncer på andres websites på grundlag af cookieteknologien. Det er ubestridt, at den manglende gennemsigtighed og derved usikkerhed i forbindelse med anvendelse af cookies i dag, gør brugere nervøse. Besøg på hjemmesider og den generelle accept af cookies er således i dag præget blandt brugerne af en vis modvilje mod cookieteknologien. Hvis ikke denne usikkerhed adresse-res, må det forventes, at usikkerheden og utilfredsheden stiger, og at dette vil få en ne-gativ virkning for effekten af og muligheden for at benytte cookies i forbindelse med placering af reklamer. Den foreslåede løsning vil således generelt bringe mere tillid og overskuelighed ind i systemet, hvilket alle parter må være interesseret i.
Hvad der imidlertid må være endnu mere interessant for de nævnte virksomheder, som heldigvis for langt den største dels vedkommende er seriøse og professionelle, vil være, at den forslåede løsning kan blive et effektivt middel til at forhindre useriøse eller måske ligefrem bedrageriske aktører på markedet i at ødelægge det for den førnævnte seriøse og lovlydige del. Hvis de seriøse og lovlydige aktører går sammen om at opstille kriterier for anvendelse af cookies og oplysning herom sammen med andre relevante interessenter og således etablere en form for mærkningsordning a la e-handelsmærket, så vil en sådan ordning kunne medføre, at netop disse seriøse og lovlydige aktører får deres websites og cookies placeret på relevante whitelists. Herefter vil kunne forventes, at for alle de brugere, som benytter løsningen, at defaultindstillingen om ikke at ville acceptere cookies, f.eks. tredjepartscookies, hvis ikke disse er med på en whitelist, vil medføre, at netop alle de useriøse og måske ulovlige aktører effektivt filtreres væk. Den useriøse del af reklamemarkedet vil få trange vilkår, og den seriøse del vil væsentligt kunne forbedre sin markedsandel.
En udfordring i forbindelse med den foreslåede løsning vil være behandlingen af uden-landske websites, der er seriøse, uden dog at overholde de europæiske regler om sam-tykke i forbindelse med cookies, og som således ikke vil være at finde på den omhandlede whitelist. For eksempel vil størstedelen eller måske alle udenlandske nyhedssites blive fanget af browserens defaultindstilling om ikke at acceptere cookies, med mindre at websitet er med på whitelisten. Dette vil være til gene for danske brugere og vil måske ligefrem føre til, at mange brugere går tilbage til en browserindstilling, hvor man default vælger at acceptere alle cookies, også tredjeparts cookies. En sådan situation vil undergrave den foreslåede løsning. En måde at klare denne udfordring på ville være enten indledningsvis i forbindelse med besøg på disse nyhedssites at klikke accepter til alle de cookies, som måtte blive præsenteret, når defaultindstillingen på browseren var ikke-accept af cookies. Her ville de pågældende nyhedssites blive tilføjet brugerens egen per-sonlige whitelist. En sådan løsning vil dog ofte være besværlig, da alle nye sites på den måde skal "klikkes igennem".
En anden løsning kunne være at andre troværdige tredjeparter, f.eks. venner imellem hinanden, rettede whitelists, som kunne udveksles. Men det er klart, at i det omfang disse whitelists med websites, der ikke overholder EU's cookielovgivning, blev for udbredte, vil hele ideen med den danske mærkningsordning få mindre værdi.
Det er selvfølgelig klart, at ovennævnte forslag til en løsning kun indeholder skitser hertil. Der er selvfølgelig mange ting, som henstår uafklaret, for eksempel om løsningen kan implementeres rent teknisk. Men jeg vil stærkt opfordre til, at en løsning på imple-mentering af cookiedirektivets krav om et informeret samtykke sker på grundlag af prin-cipper dels om teknologiske løsninger på browserniveau, dels at et informeret samtykke godt kan ske, hvis samtykket uddelegeres til en troværdig tredjepart.