Artikel top billede

Ny privacy-regulering på vej: Skal erstatte udskældt cookie-lov - og bøderne bliver kæmpestore

Interview: Danske virksomheder har netop nu rigtig travlt med at blive klar til den nye europæiske persondataforordning. Men en ny privacy-lovgivning er allerede på vej fra EU med samme kæmpebøder som GDPR.

“Det bliver en enorm udfordring. Der kommer til at ligge kæmpestore udviklingsomkostninger i at blive compliant, og det omfatter i princippet al kommunikation via internettet. Så det er ret bredt.”

Sådan beskriver Rasmus Theede omfanget af den kommende ePrivacy-forordning, der skal erstatte den såkaldte “cookie-lov” fra 2009.

Forordningen skal blandt andet ændre hele måden, brugere giver samtykke til sporings-cookies på, og ideen er, at man vil slippe af med klassiske “cookie-bannere”.

En undersøgelse fra Forbrugerrådet Tænk har tidligere vist, at danskerne sjældent læser, hvad de klikker “ok” til, når de accepterer cookies, og derfor er Rasmus Theede, der indtil for nylig var teknologidirektør i interesseorganisationen Digital Europe i Bruxelles, positiv over kravet om reelt samtykke.

“Det vigtige her er, at samtykke bliver det samme som i GDPR. Det vil sige, at der skal være tale om et klart og utvetydigt samtykke. Det er det ikke i dag, når de fleste mennesker ikke aner, hvad de klikker “ok” til,” siger han til Computerworld.

Cookies skal fravælges i browseren

Tanken med ePrivacy er, at brugere kun skal tage stilling til cookies en enkelt gang, når de for eksempel installerer deres internetbrowser. Her skal brugeren i privatlivsindstillingerne have mulighed for helt at fravælge eller tillade cookies.

“Ved at centralisere indhentningen af samtykke i softwaren, såsom internetbrowsere, og tilskynde brugerne til at vælge deres privatlivsindstillinger, og ved at udvide undtagelserne fra reglen om samtykke til cookies vil en betydelig del af virksomhederne kunne fjerne cookiebannere og meddelelser, hvilket kan medføre store besparelser og forenkling,” hedder det i forslagets konsekvensanalyse.

Læs også: Snart slut med evindelige cookie-beskeder på websites: EU vil ændre samtykke-reglerne

Rasmus Theede er dog yderst skeptisk overfor, om man med lovgivningen, som den ser ud nu, opnår det ønskede reelle samtykke.

“Man opnår præcis samme situation, som man har i dag. For det, der reelt kommer til at ske, er, at brugeren på rigtig mange hjemmesider bliver mødt med en besked om, at indholdet ikke kan ses uden cookies. Og så har du bare en ny version af cookie-boksen,” siger han.

Al kommunikation er omfattet

Det er dog ikke kun annoncører og browser-udbydere, er der skal forberede sig på ePrivacy. Den nye EU-regulering omhandler nemlig ikke kun cookies men alle former for elektronisk kommunikation.

Det betyder blandt andet, at tjenester som Whatsapp og Facebook Messenger, der leverer opkald og tekstbeskeder via internettet, bliver omfattet af de samme regler, som gælder for teleselskaber i dag.

Konkret er der lagt op til, at det bliver forbudt for alle kommunikationstjenester at bearbejde både data, metadata og lokationsdata uden eksplicit samtykke fra brugeren, ligesom tjenesterne generelt forpligtes til at garantere kommunikationens fortrolighed.

Det kan på mange måder være godt for forbrugeren, men det betyder ifølge Rasmus Theede, at stort set alle virksomheder, der opererer på internettet, skal til at forberede sig på at blive compliant.

“I dag kan man for eksempel chatte med kunde-support på rigtig mange hjemmesider, og pludselig er den kommunikation også omfattet af de samme regler. For hvordan kan man spores i den sammenhæng, og hvordan bliver data behandlet? Det skal brugeren også give samtykke til,” siger han.

Urealistisk deadline

Den nye ePrivacy-regulering kommer således til at ramme rigtig mange danske virksomheder.

Annoncører, hjemmesideejere, softwareleverandører og alle, der på nogen måde arbejder med elektronisk kommunikation skal tage stilling til de nye regler, og straffen for manglende compliance bliver hård.

Ligesom i GDPR kan virksomheder straffes med bøder på op til 20.000.000 Euro eller fire procent af den samlede globale omsætning. Og ifølge det nuværende forslag skal reguleringen træde i kraft allerede fra 25. maj næste år - samtidig med GDPR.

Samtidig er det svært for virksomheder for alvor at forberede sig, da ePrivacy ikke er endeligt vedtaget endnu, og af samme årsag findes der heller ikke vejledninger fra de danske myndigheder endnu, som de danske virksomheder kan læne sig op ad.

Derfor mener Rasmus Theede da også, at 25. Maj er en urealistisk deadline.

“Det tror jeg simpelthen ikke på, for man kan ikke nå blive Compliant. Der skal laves ny firmware til dit ur, til dit tv og til alle mulige andre ting. Det kommer simpelthen ikke til at ske.”

Lovforslaget blev i oktober måned stemt videre fra Europaparlamentet, og det skal blandt andet diskuteres blandt medlemsstaterne i Europarådet, før det kan komme til endelig afstemning.

Du kan finde en dansk udgave af lovforslaget her.

Læs også: Kendt dansk sikkerhedsmand advarer mod salgs-gas: "Jeg er meget bekymret over, at virksomheder kommer til at tro, de er compliant med GDPR, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke"




Premium
Sikkerhedsekspert: Derfor har Colonial været nødt til at betale hackere ransomware på 30 millioner kroner - vil sagtens kunne ske i Danmark
Interview: Hvorfor har mægtige Colonial Pipeline valgt at betale ransomware til hackere trods anbefalinger fra myndigheder og sikkerhedsmiljøet? "Det er ikke helt sort og hvidt," siger sikkerheds-ekspert Leif Jensen fra Eset.
Computerworld
Nye informationer om det største iPhone-hack nogensinde ser dagens lys: 128 millioner brugere blev ramt
Hidtil hemmeligholdte detaljer om verdens største iPhone-hack er kommet frem under retssagen mellem Apple og Epic Games. 128 millioner brugere blev ramt, og mere end 4.000 apps blev inficeret. Se detaljerne her.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Så ofte rammer din sikkerhedsleverandør plet – eller helt ved siden af
Denne uafhængige evaluering fra MITRE ATT&CK giver et billede af styrker og svagheder hos førende udbydere af cybersikkerhedsydelser. Rapporten vurderer bl.a. reaktion og træfsikkerhed på simulerede angreb og af, hvor hurtigt der slås alarm.