En cookie er en liten informasjonspakke som plasseres på datamaskinen vår når vi surfer på nettet. Enkelte cookies er svært praktiske, for eksempel de som legger igjen en kode som forteller at vi bruker norsk språk og neste gang vi besøker samme nettsted får vi opp siden på norsk. Andre kartlegger i detalj hvilke sider vi besøker, hvor lenge vi er der og hva vi gjør.

Departementets forslag er bygd på et EU-direktiv. Formålet med direktivet var at borgerne skulle få større mulighet til selv å bestemme om du vil godta at det ble plassert cookies på datamaskinen, eventuelt også hvilke. I tillegg skulle det gis bedre informasjon til de besøkende. Det ble gjort et skille for ulike typer cookies, og for de noe mer pågående ble det vedtatt at de bare kunne plasseres på datamaskinen dersom hun ga sitt samtykke. Dette er selve kjernen i personverntanken og i personopplysningsloven, nemlig at den enkelte skal gi et frivillig og informert samtykke før noe lagres om oss, eller noe plasseres på datamaskinen vår.

Samferdselsdepartementet foreslår at det skal gis informasjon på hjemmesiden om hvilke cookies som lagres, for hvilket formål osv. Men når det gjelder den enkeltes selvbestemmelse, selve kjernen i direktivet, er forslaget sørgelig lesning. Overraskende nok har departementet valgt å se bort fra dette, og sier direkte at ”det presiseres at innholdet i kravet til samtykke av praktiske hensyn ikke vil være sammenfallende med samtykkekravet i personopplysningsloven”. Hva innebærer så departementets krav til samtykke? Jo, den enkelte må selv gå inn i nettleseren sin ( Internet Exporer, Safari, Chrome osv) og stille den inn slik at den godtar cookies, ikke godtar cookies, godtar noe cookies osv. I forslaget understreker departementet at ”en forhåndsinnstilling i nettleser om at bruker aksepterer informasjonskapsler anses å utgjøre et samtykke”. Og til orientering: De aller fleste nettlesere kommer i dag med standardinnstilling om at brukeren godtar alle cookies.

Den praktiske situasjonen er altså denne: Jeg skal inn på et nettsted og er usikker på hvilke cookies som plasseres på datamaskinen min. Jeg må først lete meg fram til det sted i nettleseren min jeg kan bestemme over mine cookies. Her hjemme har jeg tre nettlesere, noe som er ganske vanlig. Å gjøre disse innstillingene er komplisert, selv for en som er brukbart teknisk kompetent, men for veldig mange er dette omtrent som å lese gresk. Og når jeg stiller inn på ”godta ingen cookies” og forsøker å gå inn på nettbanken min får jeg følgende beskjed: Nettleser støtter ikke informasjonskapsler – og jeg kan bare glemme å logge inn. Jeg forsøker på nytt, og tillater noen flere cookies denne gangen, men med samme resultat, og slik kunne jeg fortsatt. Men det er dette departementet legger opp til. Istedenfor en samtykkeløsning der nettstedet må tilrettelegge for at jeg skal kunne gjøre gode og enkle valg må jeg selv gjøre hele jobben. Dette er svært langt unna et frivillig samtykke, så det første spørsmål jeg stiller er om departementet har implementert direktivet feil. Sikkert er det i hvert fall at fortolkningen av samtykke ligger langt unna den tolkning Datatilsynet i Norge og en rekke andre land legger til grunn. Dersom loven blir vedtatt blir det spennende å se hva ESA sier om implementeringen.

Dernest er det grunn til å spørre hvorfor de velger den desidert dårligste måten å implementere direktivet på. I flere europeiske land er det innført interessante samtykkeløsninger. Sjekk for eksempel det britiske datatilsynets hjemmesider. Her får man opp en enkel og informativ tekst nederst der man kan velge å akseptere cookies eller ikke, og i tillegg få mer opplysning om hvilke cookies som plasseres og hvordan de håndterer disse. Det finnes en rekke tilsvarende løsninger som tilbys av private aktører, blant annet TRUSTe, som jeg selv fikk demonstrert for ikke lenge siden. Det er positivt at kommersielle aktører ønsker å spille på lag med personvernet, men alle slike initiativer vil selvsagt bli lagt bort med et forslag som dette.

Det forslaget som nå ligger på bordet er upraktisk, muligens i strid med direktivet, hemmende for utvikling av gode samtykkeløsninger og svært vanskelig for folk flest å håndtere. Jeg håper derfor Stortinget tar tak i dette under behandlingen og endrer forslaget.   

Prosessen for få tildelt TrustE-merket er enkel i all sin kompleksitet. Først gjennomføres en analyse av nettstedet basert på et kriteriesett for såkalt best practice der bl.a. bruk av cookies og personvernerklæringen gjennomgås. Deretter skrives en Gap-rapport (som vel kan oversettes til  avviksrapport) om hva som må forbedres, og kun en liten prosentdel kommer unna uten merknader. Deretter følger et «veikart til merket», altså tiltak som må på plass før merket tildeles. Når merket plasseres på nettstedet anses det som en del av selskapets personvernpolitikk, og dersom selskapet bryter denne politikken kan de i verste fall miste merket. Det er også et brudd på god forretningspraksis og kan føre til at de får Federal Trade Commission på nakken.

Når merket er tildelt følger TrustE opp med kontroller. De understreket at de i første rekke forsøker å bistå bedrifter som får merknader til å bli bedre, ikke nødvendigvis ta fra dem merket.

Interessant er også klageordningen. TrustE mottar klager fra forbrukere på selskaper som bryter kriteriene for tildeling. Hvert år mottar de ca 8 000 klager. Det er stor variasjon i klagene, men en typisk klage gjelder reklame som sendes fra nettstedet i strid med selskapets praksis om ikke å sende slik reklame.

Å få næringsdrivende til å følge lover og regler er en krevende øvelse. Det positive med merkeordninger er at selskaper som ønsker å bli merket viser en interesse for å jobbe aktivt og planmessig for å følge regelverket. Slik sett kan merkeordninger bidra til økt etterlevelse av loven.