Er adfærdskodeks vejen frem til beskyttelse af privatlivets fred ?

I den løbende debat om regelsættet for persondata- og privacybeskyttelsen er et af stridspunkterne, hvorvidt selvregulering i modsætning til offentlig regulering mere eller mindre kan træde i stedet for egentlig lovregulering.

Det essentielle ved selvregulering er, at den regulerende og de regulerede er en og samme organisation og at de regler der styrer organisationens adfærd er vedtaget frivilligt. Senest er spørgsmålet om detail-udmøntning ved selvregulering (eller udarbejdelse af adfærdskodeks) blevet aktuelt i forbindelse med cookie-direktivet og det danske udkast til bekendtgørelse, der træder i kraft 25. maj 2011. I sin kerne udvider bekendtgørelsen begrebet privatsfære udover hvad der følger af den gældende persondatalov. Af andre tiltag i IT-branchen i de senere år kan i øvrigt henvises til branchekodeks om håndtering af ulovlig adfærd på internettet, jfr. IT- og Telestyrelsens rapport fra september 2005 og branchekodeks fra IT-Brancheforeningen og Telekommunikationsindustrien i Danmark.

Selvregulering (sædvaner, kutymer, adfærdskodeks og uformel ret) eller decentral retsdannelse er et kendetegn for velfærdsstatens regulering i nyere tid og spiller en stor og tilsyneladende større og større rolle i forhold til Folketinget. Vi ser også denne udvikling afspejlet ved den øgede indflydelse som Menneskerettighedsdomstolen i Strasbourg og EF-domstolen i Luxemborg har opnået i de seneste årtier. Det påpeges fra flere sider, at nationalstatens rolle som ramme for og udsteder af reguleringen er under forandring og at det ikke længere kun er jurister, som vedtager hvad der skal være lov og ret i samfundet.

Man kan med rette stille det spørgsmål om brancheinitiativer til selvregulering blot er staffage for at tækkes offentligheden og undgå offentlig regulering eller om baren faktisk sættes tilstrækkelig højt og i realiteten opfylder lovgivers krav og samfundets forventninger ?

Svaret afhænger naturligvis af en konkret vurdering.

For så vidt angår “cookie-loven” er der ikke nogen tvivl om, at branchen har lobbyet EU-Kommissionen med det formål at undgå en omfattende offentlig regulering, men EU-Kommissionen har også klart og utvetydigt tilkendegivet, at såfremt branchen ikke ved selvregulering lever op til intentionerne i direktivet, så vil EU-Kommissionen ikke tøve med en efterfølgende yderligere regulering. Denne trussel vil uden tvivl medvirke til at fremme innovationer indenfor privatlivsfremmende teknologier og services.

For en selvregulering i alt fald i første omgang taler følgende:

• høj kvalitet og innovation i de teknologiske løsninger forudsætter en viden, som branchen og ikke myndighederne ligger inde med
• omkostninger til formidling og gennmførelse samt monitorering er mindre ved selvregulering
• usikkerhed ved en offentlig regulerings indvirkning især på et marked, der skifter hurtigt og som ikke tidligere har været reguleret
• Selvreguleringsarrangementer er mindre rigide og kan hurtigere tilpasses markedsændringer, ny teknologi og forbrugernes krav og ønsker

På minussiden for en selvregulering kan anføres:

• der synes at være en stor uoverensstemmelse mellem leverandørernes og forbrugernes interesser
• der er tale om en situation med asymmetrisk information mellem leverandør og forbruger med hensyn til de kvalitative og adækvate løsninger
• monitorering og retshåndhævelse er mindre effektiv
• risiko for konkurrenceforvridning

Disse negative aspekter af selvregulering kan imidlertid helt eller delvist elimineres ved, at

• selvreguleringen skal overholde det rammeværk, som fremgår af direktivet og eventuelt supplerende administrativt fastsatte bestemmelser
• informations- og gennemsigtighedsniveaet skal være meget højt
• forbrugeren sikres reel indflydelse på regelsættets udformning, herunder at der etableres et forbrugerankenævn
• de teknologiske løsninger skal understøtte regelsættets krav samt overholdelsen af disse krav (kontrol af compliance)
• en kodeks omfatter den overvejende del af branchens udbydere

Det første punkt synes at være eller undervejs til at blive opfyldt, mens de fire andre punkter endnu for tiden er uafklaret.

Det siger sig selv at en adfærdskodeks bør baseres på de grundlæggende principper i persondataloven og virksomhedernes samfundsansvar (CSR) samt garantere et højt troværdighedsniveau og forbrugertillid. Selvreguleringens effektivitet og gennemslagskraft vil forudsætte at et af branchen nedsat permanent dialogforum og forbrugerankenævn har en bred repræsentation og at den selvregulerende mekanisme nøje tilgodeser brugernes behov samt er åben overfor alle relevante aktører.

Der findes ingen reel sikkerhed eller privatlivsbeskyttelse og dermed ingen mirakelkur. Det centrale vil altid være kontinuerligt at identificere, vurdere, begrænse og håndtere bestemte privacy-risici, jfr. definitionen af privacy-begrebet. Netop derfor vil – efter min personlige opfattelse – selve processen med inddragelse af relevante interessenter være et imperativ for “bæredygtige” løsninger, fordi den er lige så værdifuld som selve resultatet.

Der er ikke nogen grund til at skjule at der indholdsmæssigt er meget på spil for branchen i og med at de såkaldte cookies er en meget vigtig bestanddel af mediebranchens internetomsætning. Det vil nok ikke være forkert at hævde, at branchen ikke har ønsket nogen regulering overhovedet, for selve målet med en regulering er at få folk til at gøre noget andet, end de ellers ville have gjort. Efter at udkast til bekendtgørelse er offentliggjort har debatten herefter for det meste kredset omkring fortolkningen af “et informeret samtykke” og om en eller anden form for proaktiv handling fra brugerens side er nødvendig, se f.eks. Cookies og regler: Er et klik nødvendigt?. Man kan ikke betænke branchen i, at arbejde for, at status quo bevares så meget som muligt og at regelsættet bliver så lidt indgribende i branchens virke som muligt. Der er imidlertid nok ikke nogen tvivl om, at et forudgående udtrykkeligt samtykke af forbrugeren vil være en betingelse. Hvilken form dette samtykke skal have samt hvor mange gange dette samtykke skal gives og i hvor lang tid og i hvilken sammenhæng et samtykke er gældende er et andet spørgsmål, der i høj grad er betinget af tekniske og praktiske omstændigheder. Det står givetvis klart for alle, at balancegangen mellem hvad der er strengt nødvendigt for at opfylde bekendtgørelsens bestemmelser og hvad der kan lade sig gøre i praksis er “cookie-loven”s ganske særlige udfordring.

Det skal blive spændende at se, hvorledes branchen formår at leve op til sit sociale og etiske ansvar og evner at vise at den godt kan selv og ikke mindst er i stand til at sikre disciplin og selvjustits blandt de tilsluttede virksomheder til gavn for forbrugerne. Et første skridt på europæisk plan er taget med IAB Europe´s udgivelse af retningslinjer for en mærkningsordning for online-annoncører, der bl.a. bakkes op af FDIM.

EU: forbrugeren skal sige ja til cookies

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata). Det er altså ikke nok som  hidtil blot at informere om brugen af cookies herunder at et fravalg er muligt.

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

Mange vil måske mene, at en regulering af brugen af cookies er unødvendig og hæmmende for den digitale økonomiske og samfundsmæssige udvikling. Jeg er ikke enig.  De grundlæggende principper for privacy bør fastholdes. Det må være i alles interesse, at der sikres et reelt forbrugervalg og at der er åbenhed om virksomhedernes forretningsmodeller, for mindre gennemsigtighed øger risikoen for kontrol og det kan ikke accepteres i et demokrat. Økonomisk vækst, der befordrer, at forbrugere fristes over evne eller af forlokkende tilbud er ikke at foretrække. Men der er faktisk mere på spil. Efter min opfattelse vil en uhæmmet brug af cookies og andre digitale mekanismer være med til faktisk at hæmme den økonomiske udvikling, fordi der er risko for en indsnævring af den fri konkurrence gennem dannelse af digitale  monopoler og andre markedsbekrænsende arrangementer.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg og -kontrol synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det vanskeligere at bruge hjemmesider i fremtiden og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

Federal Trade Commission reviderer online reklame principper

Den amerikanske Federal Trade Commission (kan sammenlignes med forbrugerombudsmands-institutionen) har for nylig udsendt en rapport om brug af online sporing og forbrugeradfærdsdata i reklameøjemed ( consumer behavioral targeting) og angiver reviderede principper for frivillig brancheregulering på dette område. Det centrale spørgsmål er, hvordan online-annoncører bedst kan beskytte forbrugernes privacy, når de indsamler oplysninger om deres online aktiviteter.

Behovet for at styre anvendelsen af reklamer baseret på forbrugerens adfærdsdata afspejler samfundets had/kærligheds forhold til markedsføring, der skræddersys til en forbrugers online aktiviteter. Forskning viser, at forbrugerne i almindelighed foretrækker at se meddelelser om brands, som de er vant til. Samtidig er mange forbrugere mistænksomme overfor værktøjer, der efter deres opfattelse kan hjælpe marketingfirmaer med at snage i deres personlige liv.

 Over det sidste årti, har FTC regelmæssigt undersøgt forbrugernes privatliv i forbindelse med online reklame baseret på adfærdsdata, som i korthed går ud på at spore individuelle online aktiviteter med henblik på at levere reklamer, der er skræddersyet til forbrugerens interesser. FTC har senest undersøgt denne praksis i november 2007. Som svar på en offentlig debat om behovet for at adressere privacy bekymringer, har FTC sendt et sæt af principper i offentlig høring for at opmuntre og vejlede branchen med henblik på selvregulering. Rapporten med titlen “Self-Regulatory Principles for Online Behavioral Advertising,” opsummerer og besvarer de vigtigste spørgsmål som fremgår af mere end 60 modtagne kommentarer.

Rapporten indeholder desuden reviderede principper. Rapporten diskuterer de potentielle fordele ved reklamer baseret på forbrugerens adfærdsdata, herunder gratis online-indhold, som reklamer generelt støtter samt personaliseret kommunikation som mange forbrugere tilsyneladende synes om. Desuden diskuteres de privacy bekymringer, som denne praksis rejser, herunder den for forbrugeren usynlige dataindsamling og risikoen for, at de indsamlede oplysninger, der i blandt følsomme oplysninger om sundhed, økonomi, eller børn, vil kunne falde i de forkerte hænder eller blive anvendt til uforudsete formål.

I overensstemmelse med FTC’s overordnede tilgang til forbrugernes privatliv, søger rapporten at afveje de potentielle fordele ved reklame baseret på adfærdsdata mod de privacy risici den rejser, og tilskynder at beskytte personlige oplysninger samtidig med at opretholde et konkurrencepræget marked. Rapporten påpeger, at de fleste af de offentlige kommentarer, som FTC har modtaget vedrører omfanget af de foreslåede principper. F.eks. diskuteres, hvorvidt det er nødvendigt at yde beskyttelse af personlige oplysninger for data, der er ikke personligt identificerbare. Som svar fastslår rapporten, at beskyttelse af personlige oplysninger bør dække alle data, der med rimelighed kan være forbundet med en særlig forbruger eller computer eller anden enhed.

Kommentatorer har desuden sat spørgsmålstegn ved behovet for at anvende principperne i tilfælde, hvor (1) “den direkte part” anvender reklame baseret på adfærdsdata, hvor webstedet indsamler forbrugeroplysninger til at levere målrettet annoncering på selve site, men uden at dele nogen af disse oplysninger med tredjeparter, og (2) indholdsbestemt annoncering, som er rettet mod reklamer baseret på den webside, som en forbruger har klikket ind på eller en søgning forbrugeren har foretaget, og ikke involverer datalagring overhovedet eller kun i ringe omfang. Rapporten konkluderer, at der kan være færre privacy bekymringer forbundet med “den direkte part” og “indholdsbestemt ” reklame end med anden annoncering baseret på forbrugerens adfærdsdata, og konkluderer derfor , at det ikke er nødvendigt at medtage sådanne reklamer som omfattet af principperne.

Rapporten konstaterer imidlertid, at uanset princippernes rækkevidde, så skal virksomheder stadig overholde gældende lovgivning om privatlivets fred, som i øvrigt kan opstille krav, der indgår i de opstillede principper.

De fire principper er:

1. Gennemsigtighed og forbrugerkontrol 
2. Rimelig security og begrænset brug af forbrugernes data
3. Udtrykkelig bekræftelse af forbrugeren ved indholdsmæssig ændring af eksisterende privacy tilsagn
4. Udtrykkelig bekræftelse af forbrugeren ved brug (eller ikke brug) af følsomme data til brug for reklame baseret på adfærdsdata.

Rapporten giver også yderligere vejledning om hver af de fire principper. Det første princip, gennemsigtighed og forbrugerkontrol , er uændret i forhold til de foreslåede princip. Det forventes derfor, at websteder fremover klart og tydeligt oplyser, dels om reklame baseret på forbrugerens adfærdsdata, dels om en let tilgængelig måde hvorpå forbrugeren kan vælge, om han ønsker at få sine oplysninger indsamlet til disse formål. Med opmærksomhed på, at privacy retningslinjer på virksomhedernes websteder ofte er lange og vanskelige at forstå, tilskynder rapporten virksomhederne til at designe kreative og effektive disclosure mekanismer, der er adskilt fra deres privacy policies.

Rapporten fastslår også, at virksomheder, der indsamler oplysninger uden for en almindelig webside sammenhæng, for eksempel via en mobiltelefon eller en internetudbyder, bør udvikle disclosure mekanismer, der er forståelige og effektive i disse sammenhænge. Hertil kommer, at rapporten fortsat tilskynder virksomhederne til at tilvejebringe en rimelig sikkerhed for alle oplysninger, de indsamler med relation til reklame baseret på forbrugerens adfærdsdata, og til kun at opbevare data kun så længe det er nødvendigt for at opfylde et legitimt forretningsmæssigt eller retligt behov. Med hensyn til princippet om indholdsmæssige ændringer, præciserer rapporten, at dets fokus er på ændringer med tilbagevirkende kraft, eksempelvis indholdsmæssige ændringer med hensyn til en privacy policy, som har indvirkning på informationer, en virksomhed har indsamlet forud for ændringerne. Som følge heraf, er dette princip blevet revideret for at afspejle denne præcisering.

Rapporten erkender, at fremtidige ændringer kræver en mere fleksibel tilgang, og at alt efter omstændighederne, en eller anden form for fremhævet advarsel samt opt-out-valg kan være tilstrækkelig. På grund af den forøgede bekymring for privacy i forbindelse med indsamling og anvendelse af forbrugernes følsomme oplysninger, tilskynder rapporten forsat branchen til at indhente udtrykkelig bekræftelse fra forbrugeren før indsamling af disse data til brug for reklamer baseret på forbrugerens adfærdsdata. I rapporten hedder det, at FTC traditionelt anser følsomme oplysninger som finansielle oplysninger, oplysninger om børn og sundhed Rapporten konstaterer, at der fortsat er behov for en betydelig indsats på dette område, og at FTC vil fortsætte den offentlige dialog om privacy.

I forbindelse med rapportens offentliggørelse har 2 kommissionærer afgivet hver deres supplerende udtalelse. “Om end rapporten er anbefalelsesværdig, så har den et for snævert fokus” udtaler kommisær Pamela Jones Harbour i forbindelse med offentliggørelsen . “Trusler mod forbrugernes privacy bugner, både online og offline, og reklamer baseret på forbrugerens adfærdsdata, udgør blot ét aspekt af den mangesidige privacy gåde om dataindsamling og -brug. Jeg vil foretrække, at Kommissionen har en mere overordnet tilgang til privatlivets fred og evaluerer reklamen baseret på forbrugerens adfærdsdata i denne bredere sammenhæng.”

“Industrien bør gøre et bedre stykke arbejde på meningsfuld og streng selvkontrol, ellers vil kongressen helt sikkert føle sig foranlediget til at indføre en rigoristisk lovgivning, siger ligeledes kommissær Jon Leibowitz. “Kort sagt, det kan være den sidste oplagte chance for at vise, at selvregulering kan og vil være en effektiv beskyttelse af forbrugernes privacy i et dynamisk online-marked”.

Forbrugergrupper har allerede været ude og sige, at FTC´s foreslåede retningslinjer ikke er vidtgående nok til at beskytte oplysninger om forbrugernes indsamlede web surfing vaner. Retningslinjer kan være et skridt i den rigtige retning for at beskytte privacy, men forbrugerorganisationer siger, at regeringen er nødt til at vedtage en følgelovgivning der regulerer brug af reklamer baseret på forbrugerens adfærdsdata. Især påpeges, at definitionen af følsomme oplysninger, herunder sundhedsdata ikke er tilstrækkelig.

I øvrigt har adskillige websites allerede eksperimenteret med nogle af de anbefalinger, som FTC er kommet med. For eksempel er eBay begyndt med at knytte et “Om” til alle annoncer på deres website. Linket åbner et vindue, der forklarer, hvilke annoncenetværk som har placeret annoncen, hvilken type information som netværket gør brug af samt en tjekboks, som giver brugeren mulighed for at fravælge målrettede annoncer. Scott Shipman, eBay’s globale privacy officer siger, at selskabet begyndte at udvikle funktionen tidligt i 2007 som reaktion på en stigende bekymring for privacy. Yahoo har forkortet perioden fra 6 til 3 måneder i hvilken de ligger inde med data indsamlet fra internet-søgninger. Hos Bluekai kan brugerne se hvilke former for data der er indsamlet om dem på de forskellige online butikker de besøger.

Flere organisationer bl.a. Association of National Advertisers og Direct Marketing Association er på vej med branchestandarder som en direkte foranledning af FTC´s opfordring.

Reklamer baseret på forbrugerens adfærdsdata er et emne som ikke har været meget berørt i Danmark i forhold til privacy. Men der kan givetvis nu være god anledning til at beskæftige sig med emnet, herunder vurdere om det vil være en god idé for branchen at lave en kodeks a la den adfærdskodeks som ISP Sikkerhedsforum udarbejdede i 2005 om nedbringelse af spam.

Spørgsmålet har været behandlet af Forbrugerombudsmanden tilbage i 2000 med et forslag til vejledning om handel og privatliv, men branchen var dengang ikke indstillet på en selvregulering på området.

Download rapporten her.

A pro pos emnet i almindelighed kan i øvrigt henvises til en artikel 15.2 2009 i The New York Times As Data Collecting Grows, Privacy Erodes.

Endvidere kan henvises til 2008 Study: Consumer Attitudes about Behavioral Targeting,  en nylig survey undersøgelse om sporing af internetvaner foretaget af organisationen eTrust