Personvernbloggen

Den norske mediebransjen mobiliserer igjen for å stoppe innstramminger i regelverket for cookies og lignende sporingsteknologier. Denne gangen håper vi at regjeringen ikke lytter.

Bakgrunnen for det som utspiller seg i høringsrunden går nesten ti år tilbake i tid. Da skulle Norge forsøke å implementere et EU-direktiv som krevde at brukere måtte samtykke for at deres personopplysninger skulle bli samlet inn gjennom cookies og lignende teknologier som gir tilgang til informasjon som er lagret på mobil, datamaskin, nettbrett og lignende. Formålet var å gi internettbrukere i Norge bedre kontroll over sine personopplysninger, på samme måte som internettbrukere i resten av Europa.

Slik ble det ikke.

Etter sterk mobilisering fra mediebransjen og andre som driver innen digital markedsføring, valgte i stedet Samferdselsdepartementet i 2013 å åpne for at en forhåndsinnstilling i nettleser om at bruker aksepterer cookies kan anses som et samtykke.

Spor først, ikke spør etterpå

Hvis man ikke selv går inn og endrer de tekniske innstillingene i nettleseren eller mobilen, anses man altså for å ha samtykket til å kunne bli sporet på nett. Dette gjelder for eksempel hvilke sider man besøker, hvor lenge man er der og hva man gjør.

Hvordan dette kan kalles et samtykke i noen som helst form, er vanskelig å forstå. I stedet for å ta et aktivt valg om man ønsker å bli sporet eller ikke, blir man sporet fra første stund – spor først, ikke spør etterpå. Da forslaget kom, uttalte Datatilsynet at departementet hadde landet på den desidert dårligste løsningen. Norske brukeres personvern blir i realiteten avgjort av forhåndsinnstillinger som utformes av utenlandske teknologiselskaper slik som Google eller Apple.

Når det nå på nytt foreslås innstramminger i kravet til samtykke for bruk av cookies og lignende teknologier, har mediebransjen igjen mobilisert for å stoppe eller trenere endringene. Mediebedriftenes Landsforening (MBL) har levert en høringsuttalelse som støttes av bransjens store aktører. Her bes det om at de foreslåtte endringene ikke gjennomføres.

Begrunnelsen er ifølge MBL å opprettholde annonseinntektene for mediebransjen i møte med store teknologiselskaper som Facebook og Google, slik at de kan finansiere journalistikken som tjener en viktig samfunnsrolle i et demokrati. Dersom kravet til samtykke til cookies og andre identifikatorer strammes inn, mener MBL at dette vil kunne innebære en betydelig reduksjon i norske redaksjonelle mediers annonseinntekter.

Det er fritt vilt

Datatilsynet har selvfølgelig forståelse for hvor viktig de redaksjonelle medienes samfunnsrolle er. Reglene som nå foreslås innført i Norge er imidlertid regler som redaksjonelle medier i øvrige europeiske land har måtte forholde seg til i nesten 10 år.

At noe må gjøres med teknologigigantene, er vi heller ikke uenig med dem i. Men det er ikke det dette forslaget handler om. Dette forslaget handler om å verne om internettbrukeres grunnleggende menneskerett til personvern, og retten til å bestemme over egne personopplysninger.

Dagens særnorske og personvernfiendtlige cookie-regelverk gjelder ikke bare for norske medier. Dette regelverket gjelder på samme måte for Google, Facebook og alle andre som benytter cookies eller lignende sporingsteknologier på internettbrukere i Norge. Det er fritt vilt.

Det Datatilsynet og Forbrukertilsynet ber om, er at norske internettbrukere skal ha samme mulighet som andre i Europa til å velge om de vil gi sine personopplysninger til kompliserte annonsenettverk bak kulissene, og som vanlige brukere gjerne ikke har forutsetning for å forstå hvordan opererer.

Dersom endringer i cookie-regelverket skal gjennomføres, mener MBL at bruk av cookies som finansierer av redaksjonelle medier må falle inn under et eksisterende unntak fra samtykkekravet for cookies eller lignende teknologi som er «nødvendig» for å levere en nettjeneste som brukeren uttrykkelig har bedt om.

Datatilsynet er også forundret over timingen

Etter vårt syn er det ingen holdepunkter for en slik forståelse i dagens regelverk. Dette unntaket skal tolkes strengt, og unntaket gjelder for eksempel de tilfellene hvor nettsiden trenger å huske hva du har lagt i handlekurven i en nettbutikk. Spranget er stort fra en bruker som behøver at nettsiden husker varen i handlekurven til massiv innsamling av personopplysninger for å målrette markedsføring mot hver enkelt bruker.

At mediebedrifter skal gis en særlig tillatelse til å fortsette den nåværende praksisen på bekostning av norske brukeres rett til selvbestemmelse over egne personopplysninger, vil vi advare mot. Dersom argumentet mot at man må be om samtykke er at brukere ikke sier «ja», så mener vi man har misforstått poenget med å be om samtykke og hvorfor disse innstrammingene foreslås.

Samtykke er ingen perfekt løsning, men per i dag finnes det ingen gode alternativer. Samtykkebokser kan også designes på måter hvor man ivaretar personvernet, og gir brukerne et reelt valg. MBLs argument om at det må være anledning til å stenge ute brukere som sier «nei» til cookies fra en nettside, er stikk i strid med det felles standpunktet til datatilsynsmyndighetene i Europa. En slik praksis på redaksjonelle mediers nettsider vil også kunne gå ut over folks mulighet til å delta i samfunnsdebatten.

Et gjennomgående poeng i høringsuttalen til MBL er at det er uheldig å endre den norske regelen nå, mens det jobbes med en ny kommunikasjonsvernforordning for EU. Avslutningsvis i et intervju med Kampanje uttaler styreleder i MBL, Pål Nedregotten, at han er «forundret over timingen».

Datatilsynet er også forundret over timingen.

Vi er forundret over at disse endringene ikke kom i 2013 da kravet til samtykke til cookies ble strammet inn i resten EU og EØS. Arbeidet i EU med kommunikasjonsvernforordningen har tatt svært lang tid, og ennå vet ingen når denne kommer. Å gjennomføre innstramminger i cookie-regelverket er på overtid, og personvernet til norske internettbrukere kan ikke vente lenger.

Det regner vi med at regjeringen ser.

Denne kommentaren ble først publisert i Kampanje (10.11.21), og er skrevet av Kristian Bygnes og Anders S. Obrestad. Begge jobber som juridiske rådgivere i Datatilsynet.