En cookie er en liten informasjonspakke som plasseres på datamaskinen vår når vi surfer på nettet. Enkelte cookies er svært praktiske, for eksempel de som legger igjen en kode som forteller at vi bruker norsk språk og neste gang vi besøker samme nettsted får vi opp siden på norsk. Andre kartlegger i detalj hvilke sider vi besøker, hvor lenge vi er der og hva vi gjør.

Departementets forslag er bygd på et EU-direktiv. Formålet med direktivet var at borgerne skulle få større mulighet til selv å bestemme om du vil godta at det ble plassert cookies på datamaskinen, eventuelt også hvilke. I tillegg skulle det gis bedre informasjon til de besøkende. Det ble gjort et skille for ulike typer cookies, og for de noe mer pågående ble det vedtatt at de bare kunne plasseres på datamaskinen dersom hun ga sitt samtykke. Dette er selve kjernen i personverntanken og i personopplysningsloven, nemlig at den enkelte skal gi et frivillig og informert samtykke før noe lagres om oss, eller noe plasseres på datamaskinen vår.

Samferdselsdepartementet foreslår at det skal gis informasjon på hjemmesiden om hvilke cookies som lagres, for hvilket formål osv. Men når det gjelder den enkeltes selvbestemmelse, selve kjernen i direktivet, er forslaget sørgelig lesning. Overraskende nok har departementet valgt å se bort fra dette, og sier direkte at ”det presiseres at innholdet i kravet til samtykke av praktiske hensyn ikke vil være sammenfallende med samtykkekravet i personopplysningsloven”. Hva innebærer så departementets krav til samtykke? Jo, den enkelte må selv gå inn i nettleseren sin ( Internet Exporer, Safari, Chrome osv) og stille den inn slik at den godtar cookies, ikke godtar cookies, godtar noe cookies osv. I forslaget understreker departementet at ”en forhåndsinnstilling i nettleser om at bruker aksepterer informasjonskapsler anses å utgjøre et samtykke”. Og til orientering: De aller fleste nettlesere kommer i dag med standardinnstilling om at brukeren godtar alle cookies.

Den praktiske situasjonen er altså denne: Jeg skal inn på et nettsted og er usikker på hvilke cookies som plasseres på datamaskinen min. Jeg må først lete meg fram til det sted i nettleseren min jeg kan bestemme over mine cookies. Her hjemme har jeg tre nettlesere, noe som er ganske vanlig. Å gjøre disse innstillingene er komplisert, selv for en som er brukbart teknisk kompetent, men for veldig mange er dette omtrent som å lese gresk. Og når jeg stiller inn på ”godta ingen cookies” og forsøker å gå inn på nettbanken min får jeg følgende beskjed: Nettleser støtter ikke informasjonskapsler – og jeg kan bare glemme å logge inn. Jeg forsøker på nytt, og tillater noen flere cookies denne gangen, men med samme resultat, og slik kunne jeg fortsatt. Men det er dette departementet legger opp til. Istedenfor en samtykkeløsning der nettstedet må tilrettelegge for at jeg skal kunne gjøre gode og enkle valg må jeg selv gjøre hele jobben. Dette er svært langt unna et frivillig samtykke, så det første spørsmål jeg stiller er om departementet har implementert direktivet feil. Sikkert er det i hvert fall at fortolkningen av samtykke ligger langt unna den tolkning Datatilsynet i Norge og en rekke andre land legger til grunn. Dersom loven blir vedtatt blir det spennende å se hva ESA sier om implementeringen.

Dernest er det grunn til å spørre hvorfor de velger den desidert dårligste måten å implementere direktivet på. I flere europeiske land er det innført interessante samtykkeløsninger. Sjekk for eksempel det britiske datatilsynets hjemmesider. Her får man opp en enkel og informativ tekst nederst der man kan velge å akseptere cookies eller ikke, og i tillegg få mer opplysning om hvilke cookies som plasseres og hvordan de håndterer disse. Det finnes en rekke tilsvarende løsninger som tilbys av private aktører, blant annet TRUSTe, som jeg selv fikk demonstrert for ikke lenge siden. Det er positivt at kommersielle aktører ønsker å spille på lag med personvernet, men alle slike initiativer vil selvsagt bli lagt bort med et forslag som dette.

Det forslaget som nå ligger på bordet er upraktisk, muligens i strid med direktivet, hemmende for utvikling av gode samtykkeløsninger og svært vanskelig for folk flest å håndtere. Jeg håper derfor Stortinget tar tak i dette under behandlingen og endrer forslaget.   

Vi fikk en meget grundig innføring i Microsofts personverntenkning, blant annet deres do not track – løsning i Internet Explorer 10. Dette var ikke minst interessant fordi do not track har vært et gjennomgangstema i flere av møtene våre her i USA. Geff Brown gikk deretter gjennom skytjenesten Microsoft 365. Vi kjente hovedpunktene fra før, men det var beroligende å høre fra sentralt Microsoft-hold at forbrukerdata som lagres i deres cloud-løsning ikke mingles med andre forbrukerdata. Vi fikk også en orientering om Microsoft Trust Center.

Et av formålene med denne turen har vært å fange opp trender, og i så måte har den vært en stor suksess. I diskusjonen om cloud-løsninger og sensitive data kom det fram at mange helseinstitusjoner i USA lagrer pasientdata i skyen. Vi skal ikke her felle en dom over det, men det er ingen tvil om at dette ville vært svært krevende i Norge – og det er trolig heller ikke på den politiske dagsorden. Microsoft påpekte for øvrig at det i USA var mange små helseforetak med dårlig informasjonssikkerhet som fikk økt sikkerheten ved å gå i skyen.

Microsoft ga oss også en presentasjon av dagens – og morgendagens – teknologiske muligheter, og her som de andre stedene vi har besøkt konkluderte vi med at framtida blir spennende – og krevende.