Er adfærdskodeks vejen frem til beskyttelse af privatlivets fred ?


I den løbende debat om regelsættet for persondata- og privacybeskyttelsen er et af stridspunkterne, hvorvidt selvregulering i modsætning til offentlig regulering mere eller mindre kan træde i stedet for egentlig lovregulering.

Det essentielle ved selvregulering er, at den regulerende og de regulerede er en og samme organisation og at de regler der styrer organisationens adfærd er vedtaget frivilligt. Senest er spørgsmålet om detail-udmøntning ved selvregulering (eller udarbejdelse af adfærdskodeks) blevet aktuelt i forbindelse med cookie-direktivet og det danske udkast til bekendtgørelse, der træder i kraft 25. maj 2011. I sin kerne udvider bekendtgørelsen begrebet privatsfære udover hvad der følger af den gældende persondatalov. Af andre tiltag i IT-branchen i de senere år kan i øvrigt henvises til branchekodeks om håndtering af ulovlig adfærd på internettet, jfr. IT- og Telestyrelsens rapport fra september 2005 og branchekodeks fra IT-Brancheforeningen og Telekommunikationsindustrien i Danmark.

Selvregulering (sædvaner, kutymer, adfærdskodeks og uformel ret) eller decentral retsdannelse er et kendetegn for velfærdsstatens regulering i nyere tid og spiller en stor og tilsyneladende større og større rolle i forhold til Folketinget. Vi ser også denne udvikling afspejlet ved den øgede indflydelse som Menneskerettighedsdomstolen i Strasbourg og EF-domstolen i Luxemborg har opnået i de seneste årtier. Det påpeges fra flere sider, at nationalstatens rolle som ramme for og udsteder af reguleringen er under forandring og at det ikke længere kun er jurister, som vedtager hvad der skal være lov og ret i samfundet.

Man kan med rette stille det spørgsmål om brancheinitiativer til selvregulering blot er staffage for at tækkes offentligheden og undgå offentlig regulering eller om baren faktisk sættes tilstrækkelig højt og i realiteten opfylder lovgivers krav og samfundets forventninger ?

Svaret afhænger naturligvis af en konkret vurdering.

For så vidt angår “cookie-loven” er der ikke nogen tvivl om, at branchen har lobbyet EU-Kommissionen med det formål at undgå en omfattende offentlig regulering, men EU-Kommissionen har også klart og utvetydigt tilkendegivet, at såfremt branchen ikke ved selvregulering lever op til intentionerne i direktivet, så vil EU-Kommissionen ikke tøve med en efterfølgende yderligere regulering. Denne trussel vil uden tvivl medvirke til at fremme innovationer indenfor privatlivsfremmende teknologier og services.

For en selvregulering i alt fald i første omgang taler følgende:

  • høj kvalitet og innovation i de teknologiske løsninger forudsætter en viden, som branchen og ikke myndighederne ligger inde med
  • omkostninger til formidling og gennmførelse samt monitorering er mindre ved selvregulering
  • usikkerhed ved en offentlig regulerings indvirkning især på et marked, der skifter hurtigt og som ikke tidligere har været reguleret
  • Selvreguleringsarrangementer er mindre rigide og kan hurtigere tilpasses markedsændringer, ny teknologi og forbrugernes krav og ønsker

På minussiden for en selvregulering kan anføres:

  • der synes at være en stor uoverensstemmelse mellem leverandørernes og forbrugernes interesser
  • der er tale om en situation med asymmetrisk information mellem leverandør og forbruger med hensyn til de kvalitative og adækvate løsninger
  • monitorering og retshåndhævelse er mindre effektiv
  • risiko for konkurrenceforvridning

Disse negative aspekter af selvregulering kan imidlertid helt eller delvist elimineres ved, at

  • selvreguleringen skal overholde det rammeværk, som fremgår af direktivet og eventuelt supplerende administrativt fastsatte bestemmelser
  • informations- og gennemsigtighedsniveaet skal være meget højt
  • forbrugeren sikres reel indflydelse på regelsættets udformning, herunder at der etableres et forbrugerankenævn
  • de teknologiske løsninger skal understøtte regelsættets krav samt overholdelsen af disse krav (kontrol af compliance)
  • en kodeks omfatter den overvejende del af branchens udbydere

Det første punkt synes at være eller undervejs til at blive opfyldt, mens de fire andre punkter endnu for tiden er uafklaret.

Det siger sig selv at en adfærdskodeks bør baseres på de grundlæggende principper i persondataloven og virksomhedernes samfundsansvar (CSR) samt garantere et højt troværdighedsniveau og forbrugertillid. Selvreguleringens effektivitet og gennemslagskraft vil forudsætte at et af branchen nedsat permanent dialogforum og forbrugerankenævn har en bred repræsentation og at den selvregulerende mekanisme nøje tilgodeser brugernes behov samt er åben overfor alle relevante aktører.

Der findes ingen reel sikkerhed eller privatlivsbeskyttelse og dermed ingen mirakelkur. Det centrale vil altid være kontinuerligt at identificere, vurdere, begrænse og håndtere bestemte privacy-risici, jfr. definitionen af privacy-begrebet. Netop derfor vil – efter min personlige opfattelse – selve processen med inddragelse af relevante interessenter være et imperativ for “bæredygtige” løsninger, fordi den er lige så værdifuld som selve resultatet.

Der er ikke nogen grund til at skjule at der indholdsmæssigt er meget på spil for branchen i og med at de såkaldte cookies er en meget vigtig bestanddel af mediebranchens internetomsætning. Det vil nok ikke være forkert at hævde, at branchen ikke har ønsket nogen regulering overhovedet, for selve målet med en regulering er at få folk til at gøre noget andet, end de ellers ville have gjort. Efter at udkast til bekendtgørelse er offentliggjort har debatten herefter for det meste kredset omkring fortolkningen af “et informeret samtykke” og om en eller anden form for proaktiv handling fra brugerens side er nødvendig, se f.eks. Cookies og regler: Er et klik nødvendigt?. Man kan ikke betænke branchen i, at arbejde for, at status quo bevares så meget som muligt og at regelsættet bliver så lidt indgribende i branchens virke som muligt. Der er imidlertid nok ikke nogen tvivl om, at et forudgående udtrykkeligt samtykke af forbrugeren vil være en betingelse. Hvilken form dette samtykke skal have samt hvor mange gange dette samtykke skal gives og i hvor lang tid og i hvilken sammenhæng et samtykke er gældende er et andet spørgsmål, der i høj grad er betinget af tekniske og praktiske omstændigheder. Det står givetvis klart for alle, at balancegangen mellem hvad der er strengt nødvendigt for at opfylde bekendtgørelsens bestemmelser og hvad der kan lade sig gøre i praksis er “cookie-loven”s ganske særlige udfordring.

Det skal blive spændende at se, hvorledes branchen formår at leve op til sit sociale og etiske ansvar og evner at vise at den godt kan selv og ikke mindst er i stand til at sikre disciplin og selvjustits blandt de tilsluttede virksomheder til gavn for forbrugerne. Et første skridt på europæisk plan er taget med IAB Europe´s udgivelse af retningslinjer for en mærkningsordning for online-annoncører, der bl.a. bakkes op af FDIM.

Reklamer

OECD´s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger fylder 30 år i år


23. september 1980 blev OECD’s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) vedtaget. I den forbindelse er der 10. marts 2010, som en første af tre arrangementer til festligholdelse af jubilæet, afholdt en konference i Paris med titlen “30 år efter: konsekvenserne af OECD`s privacy retningslinjer”.

Allerede tilbage i begyndelsen af 1970´erne var man i OECD klar over, at en større og større forskel i nationale love udgjorde en risiko for den frie udveksling af oplysninger mellem landene (trans border data flow i det følgende benævnt TBDF). I 1978 gik man i gang med at udarbejde fælles retningslinjer i tæt samarbejde med Europarådet, som var ved at forberede konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. Ved at sikre visse minimumsstandarder for beskyttelse af privacy og de individuelle frihedsrettigheder med hensyn til personlige data, var det håbet at mindske behovet for regulering af eksport af persondata samt minimere problemer i forbindelse med lovkonflikter.

En række internationale eksperter har givet deres bud de historiske udfordringer og de spørgsmål, der motiverede udviklingen af retningslinjerne. Af særlig interesse kan fremhæves en keynote af The Hon. Michael Kirby AC CMG, der i din tid var formand for OECD Expert Group on Transborder Data Barriers and Privacy Protection. Michael Kirby fratrådte som højesteretsdømmer i Australien i 2009, men er stadig en meget aktiv fortaler for menneskerettigheder og privacy. Han modtog tidligere i år Electronic Privacy Information Centers Privacy Champion Award som anerkendelse for sine meritter.

Michael Kirby fremhæver indledningsvis, at det var interessen for den fri udveksling af data som drivkraft for  økonomisk effektivitet og dermed for demokrati og god regeringsførelse og den fri markedsøkonomi, der i første omgang tiltrak OECD´s opmærksomhed.  OECD´s analyse var, at europæiske regeringers og institutioners bekymring for privacy ville indebære en retslig og økonomisk hindring for en fri grænseoverskridende informationsudveksling, som i høj grad blev promoveret af USA. I Europa var brud på privacy ikke blot en teoretisk fare med erfaringer under 2. verdensskrig om misbrug af persondata fra myndighedernes side stadig i 1978 i stærk erindring. På den anden side anså mange ikke-europæiske lande, at traktatvejen til beskyttelse af privacy var bureaukratisk, dyr at gennemføre, hæmmende for TBDF samt muligvis udtryk for protektionisme. Løsningen på dette dilemma blev, at man i stedet for at udarbejde en traktat, ville opstille generelle principper, som basis for national lovgivning med det håb, at disse principper vil bidrage til en reduktion af  hindringer for gennemførelsen af OECD´s formål.    

Kirby gør det klart, at det ikke har været ekspertudvalgets opgave at “opfinde den dybe tallerken igen”, men at bygge videre på tidligere bidrag af Nordisk Råd, Europarådet, EU samt akademia  og indarbejde de fra denne kontekst nye principper i en interkontinental applikation, der omfatter andre af OECD´s medlemslande, som f.eks. USA, Canada, Storbritannien, Japan, Australian og New Zealand.

Resultaterne af OECD´s retningslinjer falder ifølge Michael Kirby i 4 kategorier:

  • de bygger oven på tidligere arbejde
  • merværdi tilført af OECD, f.eks. teknologineutralitet og klar ansvarstildeling
  • fleksibel implementering
  • deres overlevelse   

Til sidst stiller Michael Kirby spørgsmålet: “hvad med fremtiden?” Skal retningslinjerne fortsat have relevans og betydning, så lægger Kirby vægt på, at man skal være realistisk. Samtidig med at man bør anerkende den objektive værdi af TBDF, skal man være bevidst om, at ” fordelene ved informationsteknologien selvfølgelig kan nå et omfang som forringer det enkelte menneskes mulighed for at kontrollere sin  egen penumbra [læs: sfære] af information.” Et spørgsmål man i relation til OECD bl.a. kan stille er: “Vil den marginale nytteværdi af at forsøge at hindre TBDF, med henblik på at beskytte privacy, opveje de marginale omkostninger ved en sådan indblanding i driften af  TBDF ?”. Det er nødvendigt at forholde sig oprigtigt til dette dilemma og diskutere det åbent, så beslutninger kan træffes i fuld åbenhed. Selvom det må erkendes, at der er visse begrænsninger i den personlige kontrol over data og privacy, så er det vigtigt ikke at opgive beskyttelsen af privacy, “som er en værdi, der dybt rodfæstet i mennesket og som påvirker dets værdighed og integritet”. Betydningen af empiri fremhæves også, fordi retningslinjerne og øvrig lovgivning og rutiner kun kan være effektive, såfremt de    baseres på en præcis og grundig forståelse af den relevante teknologis operation. Derudover er der  spørgsmål om rekonceptualisering. Hermed menes, at OECD påtager sig en rolle med at sikre, at den løbende tilgang til specielle problemer som spam, cybercrime, malware osv. er i harmoni med hinanden og være på vagt overfor en fragmenteret tilgang til hvad der dybest set er integrerede sociale og etiske problemer.  Endelig peges der på nye udfordringer i forhold til masseovervågning, biometri, RFID tags, krop scannere osv. og at privacy-fortalere hele tiden bør være på udkig efter PET-løsninger (privacy enhancing technologies). Som de sidste 3 punkter omtales værdien af det grænseoverskridende samarbejde,  nødvendigheden af slutbruger læring og uddannelse for at opretholde samfundets bevidsthed om værdien af privacy samt spørgsmålet om hvad OECD bør gøre for at inkludere repræsentative holdninger om privacy  fra verdens udviklingslande ?

Afslutningsvis roser Michael Kirby NGO`ere, offentlige institutioner, forskere og enkeltpersoner der arbejder med privacy og informationssikkerhed, fordi graden af  kontrol over den enkeltes personoplysninger i fremtiden vil afhænge af deres indsats.

Download hele talen her.

Jeg er meget enig i Michael Kirby´s synspunkter og fremtidsvurderinger både i forhold til OECD´s position og i forhold til beskyttelse af privacy i almindelighed. OECD er et magtfuldt organ og den måde man har håndteret privacy på er prisværdigt og visionært. Det er uomtvisteligt, at retningslinjerne, der med start i 2011 vil blive gået efter i sømmene i henhold til den såkaldte Seoul Declaration fra 2008, har haft og vil få stor central betydning for privacy og persondatabeskyttelse i fremtiden, forudsat at man betræder erfaringens sti og ikke mister sine  pejlemærker.  

Privacy er et brandaktiv, fastslår amerikansk undersøgelse


Ponemon Institute, der gennemfører uafhængig forskning i privacy, databeskyttelse og informationssikkerhed, har for nylig offentliggjort en undersøgelse om de tyve virksomheder, der har den mest troværdige privacy.

Ponemon Instituttet slår fast, at i et år der betegnes som et turbulent privacy-år, med offentliggørelse af mange fejl og fejltrin, bevarer American Express støt og roligt sin førsteplads på listen over brands,som de amerikanske forbrugere har mest tillid til.  

Det er femte år i træk, at American Express topper listen. IBM, Johnson & Johnson, Hewlett Packard, og E-Bay besætter de fire følgende pladser.
 
Placeringerne er baseret på svar fra 6.627 amerikanere og undersøgelsen har omfattet omkring 38.000 virksomheder af hvilke 229 er blevet rangeret mindst 20 gange. Blandt de brands, der ikke tidligere har været med i top 20 er Google, Weight Watchers, Walmart og AT & T. Derimod er Facebook, AOL, og eLoan ikke med på listen.

Ingen små og mellemstore virksomheder kom med på top 20 og spørgsmålet der kan stilles er, om det skyldes at 56 procent af de små og mellemstore  virksomheder end ikke har en privatlivspolitik offentliggjort på deres hjemmesider? Undersøgelsen viser imidlertid klart, at selvom Facebook har en privacy politik, så kom de ikke med i toppen, hvilket helt sikkert skyldes at 2009 afslørede alvorlige brud på privacy og sikkerheden hos Facebook, der gav anledning til stor offentlig debat om deres privay-settings, siger Larry Ponemon fra institutet. Han udtaler endvidere i rapporten: “Facebook tiltrak sig stor opmærksomhed, da de valgte at forny deres privacy-politik på en meget synlig måde. Mens de blev belønnet for deres indsats sidste år, havde forbrugerne mindre tillid til Facebook i år, hvilket blot viser, hvor vigtigt beskyttelse af privatlivets fred er som et brand-aktiv.”

Mike Spinney, senior analytiker hos Ponemon, mener, at Facebook kan vende tilbage til top 20 listen, ved at have en åben tilgang til privacy. “Det vil tjene virksomheden godt i det lange løb, at reagere på kommentarer fra offentligheden”

Undersøgelsen viser også, at forbrugernes oplevelse af at have kontrol over deres personlige oplysninger er faldet støt: 41 procent i 2010, et fald fra 45 procent i 2009, hvilket var et fald fra 56 procent i 2006, det første år undersøgelsen er blevet gennemført.

Blandt undersøgelsens markante resultater kan fremhæves følgende.

Identitetstyveri er et vigtigt anliggende for de adspurgte. Næsten 60 procent af de adspurgte vurderer, at emnet er væsentlig faktor for hvor meget de har tillid til et brand, og 50 procent udtalte, at notifikation af databrud er en faktor af betydning. Andre trusler mod tilliden til et brand er misbrug af borgerlige frihedsrettigheder og irriterende “baggrundschat” på offentlige sites. Læs: drop unødvendige Twitter og Facebook opdateringer.

Privacy “features” bidrager til at skabe brandtillid. Stor securitybeskyttelse blev identificeret som tillidsskabende af 60 procent af forbrugerne, mens 53 procent siger, at  præcis dataindsamling og brug er vigtig for tilliden. Andre væsentlige positive faktorer er dataminimering samt online-anonymitet. 

Ponemon fremhæver i rapporten, at dataindsamling også omfatter markedsføring og advarer, at virksomhederne skal være forsigtige med brugen af kundeoplysninger.

“Hver gang kunder er udsat for markedsføring, som er irrelevant eller irriterende, er det et spørgsmål om privatlivets fred for dem,” udtaler Ponemon.

 Top-tyve virksomhederne for beskyttelse af privacy i 2010 er:
 
1 American Express (1)
2 IBM (3)
3 Johnson & Johnson (5)
4 Hewlett Packard (6)
5 E-bay (2)
6 U. S. Postal Service (6)
7 Procter & Gamble (7) 
8 Amazon (4) 
8 Nationwide (9)
9 USAA (11) 
10 WebMD (13)
11 Intuit (12)
12 Apple (8)
12 Disney (16)
13 Google (ikke i top 20 sidste år)
14 Verizon (17)
15 US Bank (19)
15 Charles Schwab (10)
16 Weight Watchers (ikke i top 20 sidste år)
17 Yahoo! (14)
18 FedEx (18)
19 Walmart (ikke i top 20 sidate år)
20 AT & T (ikke i top 20 sidste år)
20 Dell (20)

Undersøgelsen har nogle pointer, som efter min opfattelse også vil være relevante i forhold til danske virksomheder og for den sags skyld også offentlige myndigheder. Det er åbenlyst, at privacybranding bør inkorporeres med henblik på at skabe en langsigtet corporate brandværdi. En gennemtænkt holistisk privacypolitik, der er synlig for enhver, kan anbefales.   

Uden at der er tale om en videnskabelig undersøgelse, så viser en stikprøvevis gennemgang af diverse danske hjemmesider, at mange virksomheder og organisationer har en egentlig privacy policy, selvom indholdet varierer meget. Det kan afgjort tages som udtryk for at privacy beskyttelse tages alvorligt og at man er opmærksom på, at den udøver indflydelse på brandingen og markedsføringen af virksomheden og organisationen. Men der er helt klart behov for relevant forskning på området, herunder en lignende dansk undersøgelse af forbrugerforventninger som Ponemon Instituttet har gennemført. 

I 1999 udtalte Scott McNealy, Sun Microsystems chief executive, “You have zero privacy anyway. Get over it.” Og i januar 2010 blev Facebook´s grundlægger Mark Zuckerberg citeret for: “Privacy is dead – get over it”. Man skal selvfølgelig være varsom med generaliseringer og de nævnte smarte “heiku digte” er alt for unuancerede endsige retvisende. Jeg medgiver at privacy er kompliceret og begrebet undergår uomtvisteligt store forandringer i disse år, men i nærværende sammenhæng kan det i alt fald med rette fremføres, at amerikanske forbrugere lægger vægt på privacy og at det kan betale sig for virksomheder og organisationer at have et sæt privacy retningslinjer. Om de så er let forståelige og faktisk sikrer den enkelte forbrugers privacy er et andet spørgsmål. En væsentlig pointe er, at virksomheder og organisationer, har en åben og gennemsigtig politik, der oplyser om det konkrete formål for en dataindsamling og hvorledes persondata vil blive opbevaret og behandlet, herunder hvilke teknikker der er anvendt for at sikre dette. Et reelt brugervalg der sikrer brugerkontrol er at foretrække. At nå dertil er der endnu et stort stykke vej. Information og uddannelse er nøgleord.

Hertil kommer at offentlige myndigheders privacy policy altid bør inkludere det bredest mulige publikum, herunder også borgere, der er skeptiske  overfor den offentlige administration og som har mistillid til den teknologiske udvikling.

EU: forbrugeren skal sige ja til cookies


cookies

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata). Det er altså ikke nok som  hidtil blot at informere om brugen af cookies herunder at et fravalg er muligt.

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

Mange vil måske mene, at en regulering af brugen af cookies er unødvendig og hæmmende for den digitale økonomiske og samfundsmæssige udvikling. Jeg er ikke enig.  De grundlæggende principper for privacy bør fastholdes. Det må være i alles interesse, at der sikres et reelt forbrugervalg og at der er åbenhed om virksomhedernes forretningsmodeller, for mindre gennemsigtighed øger risikoen for kontrol og det kan ikke accepteres i et demokrat. Økonomisk vækst, der befordrer, at forbrugere fristes over evne eller af forlokkende tilbud er ikke at foretrække. Men der er faktisk mere på spil. Efter min opfattelse vil en uhæmmet brug af cookies og andre digitale mekanismer være med til faktisk at hæmme den økonomiske udvikling, fordi der er risko for en indsnævring af den fri konkurrence gennem dannelse af digitale  monopoler og andre markedsbekrænsende arrangementer.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg og -kontrol synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det vanskeligere at bruge hjemmesider i fremtiden og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

Privacy skal ikke hæmme men fremme internetbaserede sociale netværk


netvc3a6rk

Sociale netværk er in globalt og Danmark er sammen med Canada, de to lande i verden med forholdsvist flest Facebook-profiler. 33 procent af befolkningen eller 1.779.380 i Danmark er aktive brugere af netværket (ifølge Politiken, januar 2009).

Der er ingen tvivl om, at internetbaserede netværk vil blive en integreret del af vor hverdag og det uanset om det er i forbindelse med arbejdet eller i fritiden. Og vi har kun set begyndelsen til en udvikling hvor det vi i dag oplever som real life vil blive sammensmeltet med den virtuelle verden. Vi vil opdage, at den måde vi indtil nu har opført os overfor hinanden på vil udvikle sig på en ny måde, hvor vi vil erkende, at vi ikke uden videre kan adoptere gammeldags omgangsformer til internettet. Definition af privacy vil ikke alene være et spørgsmål om at fastslå hvad der er personlige data, men også hvorledes f.eks.  “det offentlige rum” og “den personlige integritet” fastlægges i forhold til arbejdsgiver, kollega, ven, barn, forældre og organisation.      

Det betyder så også, at vore traditionelle normer og værdier må tilpasses den måde vi interagerer socialt og det vil så også påvirke hele vor livsførelse i fremtiden. Det er mit udgangspunkt, at internettets potentiale er den største demokratiske nyskabelse nogensinde. Retten til internetadgang skal derfor fastholdes for det enkelte menneske. Men internettet stiller samtidig nye udfordringer til sikkerhed og beskyttelse af privacy. Disse udfordringer er i første omgang komplicerede fordi de forudsætter nytænkning. Nytænkning som afbalancerer netværkets sammenhængskraft, engagement og innovation og beskyttelsen af den enkeltes privacy og frihedsrettigheder baseret på fuld brugerkontrol.

Man kan tilgå problemet ud fra 3 niveauer.

etisk
lovgivningsmæssigt og
teknologisk

Lovgivning er sikkert nødvendig og både persondataloven så vel som markedsføringsloven regulerer allerede i dag i vidt omgang de sociale netværk for så vidt angår Danmark, men lovens jurisdiktion og retshåndhævelse kan være usikker. Derfor vil en gennemgribende og ikke mindst effektiv lovgivning kræve et internationalt regelsæt. Men lovgivningen vil altid halse bagefter den informationsteknologiske udvikling og kan i sagens natur kun regulere de mest grelle scenaria.  Om de juridiske aspekter i relation til FaceBook henvises til et tidligere blogindlæg af Martin Jørgensen, cand. jur. ,Senior Consultant, Deloitte/ Security & Privacy. Teknologiske løsninger som f.eks. “opt in”- mekanismer eller PET (Privacy Enhancing Technologies) kan anbefales, men en optimal udnyttelse forudsætter global tilslutning. Sidst men ikke mindst vil udvikling af såkaldte etiske adfærdskodeks være en, efter min opfattelse, udmærket metode til at sikre en effektiv forbrugerbeskyttelse, der samtidig synes at være tilstrækkelig fleksibel til at kunne tilpasse sig den pulserende udvikling af internettet. Adfærdskodeks har så også den fordel at de ikke alene vil være baseret på eksisterende national lovgivning, men vil også kunne gå et skridt videre og samtidig kunne fastsætte teknologiske kriterier for privacy.

Adfærdskodeks (code of conduct) er desuden en god ide, fordi alle, som tilslutter sig, har en interesse i leve op til retningslinjerne. Om der derudover skal indføres en eller anden form for kontrolmekanisme kan imidlertid ikke udelukkes.

Arbejdsgivere følger med i medarbejdernes sociale netværk, og det er kommet frem, at ansatte er blevet fyret på grund af deres online aktiviteter.  De tider er forbi. hvor du vil kunne slippe af sted med at lyve, hvor du opholder dig, hvem du er sammen med eller hvad du foretager dig, såfremt der bare er én tilstede, som har en kameramobil og en Facebook profil. Og når dine arbejdskollegaer tilføjer dig som ven på dit sociale netværk, er det ikke sådan lige til, at chatte om alle de tossede ting du foretog dig lørdag aften. Sådan oplever mange det i dag. Men behøver det at være sådan ?

Læg hertil, at det vil være naturligt at antage, at de fleste arbejdsgivere frygter en overdreven brug af online sociale netværk, som yderligere vil medvirke til en øget overvågning og/eller begrænsning af adgangen til internettet. Således viser en survey fra marts 2008 af det engelske advokatfirma Charles Russell i samarbejde med nyheds-sitet Personnel Today med deltagelse af 220 engelske HR direktører, at 69% af virksomhederne ønsker mere kontrol med brugen af Internettet. Arbejdsgiverne er bekymret for, at personalet spilder deres tid på hjemmesider i løbet af dagen, hvilket kan svække produktiviteten og betyde en øget sikkerhedsrisiko, fordi data deles eksternt.

I undersøgelsen advarer nogle HR direktører imod et totalt forbud mod brug af sociale netværk, fordi det vil skade medarbejderens engagement. Således udtales det, at “ved at behandle vores medarbejdere som voksne giver det os mulighed for at have åbne diskussioner om, hvordan balancen mellem arbejdsliv og det at være social i arbejdstiden skal være”

Hvordan vil arbejdsgiverne reagere ifølge undersøgelsen ?

50% vil begrænse personlig brug af internettet til frokostpausen
33% vil overveje et totalforbud
70% vil overveje disciplinære foranstaltninger, hvis de opdager upassende fotos på online sociale netværk, som  identificerer arbejdsgiveren
25% vil søge efter online sociale netværk som et ansættelses-værktøj
90% vil ikke søge efter upassende kommentarer på online sociale netværk

At problematikken også er yderst relevant i Danmark viser en aktuel sag hos Nordjyllands Politi, hvor 12 betjente har været medlemmer af Facebookgruppen ‘Ryd 1000fryd’, jfr. artikel i Politiken Chefen må blande sig i din Facebook.

Der har især været fokus og debat om børns sociale netværk og det har været fremme at indføre forskellige teknologiske løsninger til beskyttelse af børn, når de er online, f. eks. ved at indføre en “privacy lås”.

Selv for ansvarsbevidste forældre, er grænsen mellem det at være social, at snage og bryde privatlivets fred som oftest en gråzone.

Lad mig indledningsvis pege på en engelsk undersøgelse offentliggjort af  Timesonline i april 2008 og foretaget af Ofcom, en uafhængig engelsk tilsynsmyndighed for kommunikation. Her viser undersøgelsen, at 2 1/2 million børn mellem 8 og 17 har oprettet en profil på et socialt netværk. Undersøgelsen fremhæver, at forældre ikke er opmærksomme på, at dårlig sikkerhed betyder, at omkring fire ud af ti personlige sider er åbne for alle.

Undersøgelsen fastslår, at selv om de tre vigtigste sociale netværk, Bebo, Facebook og MySpace, påstår at have en minimums aldersgrænse på 13 eller 14, så siger 1/4 af alle børn med internetadgang i alderen mellem 8 og 11, at de har en side på et social netværk. Undersøgelsen viser også, at 33% af forældrene gik med til ikke at opstille regler for deres børns brug af online sociale netværk, mens 43% af børnene har sagt, at deres forældre havde undladt at angive nogen regler for deres brug af online sociale netværk. Noget kunne hermed tyde på, i alt fald efter den engelske undersøgelse, at alt for mange forældre ignorerer de risici der er forbundet med disse websteder.

Frygt for børns sikkerhed fremhæves som en voksende bekymring, herunder tilfælde af opmuntring til selvmord, mobning og pædofili.

For at imødegå problemet har det engelske indenrigsministerium i 2008 offentliggjort en frivillig adfærdskodeks for sociale netværk. Bebo, MySpace og Facebook er enige om, at når børn under 18 opretter en profil vil være omfattet af en høj standard indtilling for privacy beskyttelse.

I et sammendrag fra konferencen Privatliv på profilen om borgernes adfærd på online sociale netværkstjenester d. 11 november 2008 arrangeret af It-sikkerhedskomitéen, blev der bl.a. efterlyst klarhed over den retstilstand, der gælder for udbydere og brugere. Der blev også stillet spørgsmål om forbrugerlovgivningen er på niveau med moderne krav til it-sikkerhed, og om der er behov for en bedre beskyttelse af borgernes privatliv. Desuden blev der udtrykt ønske om at få en afklaring af, i hvilket omfang dansk lovgivning kan håndhæves overfor online sociale netværkstjenester, der retter sig mod et dansk marked og danske brugere.

Det kom også frem, at der hvor der mangler regler, vil der opstå erfaringsbaseret kodeks for god etik og moral. Det ser man også i forhold til brugerne på online sociale netværkstjenester, ikke mindst blandt børn og unge. På netværkstjenesterne holder brugerne øje med hinanden og informerer tjenesteadministrator, som det fremgår af It- og Telestyrelsens kommentar.

Forbrugerrådet har taget et godt initiativ og offentliggjort Gode råd til facebookbrugere.  Forbrugerrådet har imidlertid i snart et halvt år peget på, at FaceBook overtræder den danske persondatalov, men medgiver at et EU indgreb er nødvendigt. En nylig undersøgelse af Forbrugerrådet viser, at  Brugerne er utilfredse med beskyttelsen på Facebook.

Lad mig først slå fast, at erfaring fra udlandet viser, at det vil være både praktisk og juridisk umuligt helt at afskære medarbejderes brug af sociale netværk.  Det vil efter min opfattelse også være tåbeligt. Selvfølgelig bør man ikke bruge unødig tid på sit arbejde på internetbaerede sociale netværk, men de kan selv for en virksomhed tjene en legitim forretningsmæssig generering og netværkssamarbejde udover at udvikle medarbejderens trivsel og engagement.

Det er min opfattelse, at det vil være en fordel for både arbejdsgiver og medarbejder, at en offentliggjort adfærdskodeks fastsætter retningslinjer for brug af sociale netværk. En adfærdskodeks demonstrerer et etisk ansvar ved at tage stilling til klart definerede problemstillinger.

Også i forhold til forældre og børn giver det god mening at anbefale en adfærdskodeks og man kan udmærket  tage udgangspunkt i den engelske adfærdskodeks som viser afprøvede og fornuftige metoder til at holde sig sikker online og som kan udfylde et muligt gab mellem lovgivning og konkret praksis. En adfærdskodeks vil under alle omstændigheder være et fornuftigt første skridt, fordi det uden tvivl vil være kompliceret at lovgive om online sociale netværk, al den stund det ville være meget vanskeligt at skelne dem fra andre websteder.

Så vidt så godt. Imidlertid består der en opgave, som antydet indledningsvis, i klart at definere privacy beskyttelsen på online sociale netværk. Det vil i den forbindelse være nærliggende at antage, at internettet ikke bør opfattes som et unikt separat rum, men som en udvidelse af det virkelige liv. En netop offentliggjort artikel i Berlingske Tidende Nej tak til forældre på Facebook påpeger dette på glimrende vis med nogle interessante betragtninger af professor  Niels Ole Finneman.

EU-lovgivning om online-annoncering på vej


forbrugerprofilering

Dansk Privacy Netværk omtalte i februar måned en rapport fra Den amerikanske Federal Trade Commission om brug af online sporing og forbrugeradfærdsdata i reklameøjemed og anbefalede på den baggrund, at man i Danmark undersøgte behovet for at indføre en adfærdskodeks.

Nu har Meglena Kuneva, EU-kommissær for forbrugeranliggender, i en tale for erhvervsfolk og analytikere i Bruxelles d. 31. 3. signaleret nye regler for at bekæmpe profilering af internetbrugere og krænkelse af privacy i forbindelse med markedsføring. Meglena Kuneva anfører, at persondata er blevet ” internettets olie og den nye valuta i den digitale verden”. Hun advarer, at internetbrugeres privatlivs-rettigheder bliver misbrugt, når personlige oplysninger  indsamles og leveres til annoncører, der målretter reklamer til personer uden at de er klar over det. ” Baseret på kommerciel kommunikation  tegner world wide web til at blive the world wild west. Det kan blive meget skadeligt. Forbrugernes rettigheder skal tilpasses teknologien, ikke knuses af den. Den nuværende situation med hensyn til privatlivets fred, profilering, og målretning er ikke tilfredsstillende.” Kommissæren skitserede den europæiske lovgivning om beskyttelse af privacy, om kommercielle kontrakter og om modvirkning af  diskrimination, og oplyste, at reglerne ikke holder trit med med tempoet i udviklingen af internettet.

Hun opfordrer online reklamebranchen til at  komme med en frivillig adfærdskodeks for at beskytte forbrugernes privacy, men gør det samtidig klart, at EU sandsynligvis vil blive nødt til at lovgive på området for at modvirke misbrug. Mængden af personlige data, der indsamles på internettet, vokser eksponentielt, og bliver i stigende grad brugt til kommercielle formål ved at spore brugeres internetvaner ved hjælp af cookies, og ved at gøre oplysningerne tilgængelige for individuel profilering og målretning af forbrugerne, som hun udtrykker det.

Eftersom den personlige annoncering er tilpasset den enkeltes interesser og online shopping vaner, ” bør der nu udvikles værktøjer, som afvejer erhvervslivets og forbrugernes interesser”, siger Kuneva.

Den bulgarske kommissær tilføjer, at hun har bestilt forskning i brugen af internettet, som viser, at personer under 25 år og som er dem, der er mest vant til at bruge internettet, også er dem, som er mest mistænksomme og sammenlignede deres brug af internettet, som når man drikker, man ved er en smule forgiftet. “Vi vil ikke tillade en sådan markedssituation eksisterer for vand, kosmetik eller legetøj” siger hun.

Omkring 80% af unge internetbrugere tror, at deres personoplysninger bliver delt med tredjeparter og brugt uden deres viden. “De har ret,” siger Kuneva. “Den nye virkelighed er, at forbrugerne betaler for tjenester med deres personlige data og deres eksponering for annoncer.” Hun lægger op til den samme fairness og gennemsigtighed, som gælder for kommercielle kontrakter. “Børn og unge er særligt sårbare over for de markedsføringsstrategier for markedsføring, der anvendes af online-annoncører, som også vil være i stand til at udnytte de privilegerede oplysninger om enkeltpersoner med henblik på forskelsbehandling. ” Den nuværende lovgivning forbyder annoncer, der opfordrer børn til at bestorme deres forældre, men vi siger ikke noget til annoncer, der beder dem om, at bestorme deres venner”,  sagde Kuneva.

Denne udmelding fra EU kommissær  Meglena Kuneva, som indeholder mange gode pointer, bør nu få branchen til at reagere før det er for sent. Det vil alt andet lige være bedst om branchen selv kan blive enige om en adfærdskodeks, i stedet for en lovgivning, som ofte vil blive rigoristisk og bureaukratisk.

I øvrigt henvises til en nylig rapport In Defense of Data: Information and the Costs of Privacy, som er udgivet af The Technology Policy Institute, der er en kommerciel tænketank. I rapporten anføres det,  at der ikke foreligger detaileret information om fordelene ved mere privacy og at privacy-fortalere ignorerer de omkostninger og trade-offs (mindre information), som er forbundet med øget privacy. Rapportens fokus på fordelene ved brug af forbrugerbestemte adfærdsdata, er relevant og argumenterne bør indgå i overvejelserne om hvordan en hensigtsmæssig regulering, enten som adfærdskodeks eller lovgivning, bør være. Rapporten synes imidlertid at overse den væsentlige pointe, at forbrugertillid er en essentiel driver for væksten i det digitale marked og at tilliden i høj grad forudsætter gennemsigtighed og valgfrihed, jfr. således f. eks. rapporten Digital Confidence – Securing the Next Wave of Digital Growth.

Federal Trade Commission reviderer online reklame principper


onlineshopping

Den amerikanske Federal Trade Commission (kan sammenlignes med forbrugerombudsmands-institutionen) har for nylig udsendt en rapport om brug af online sporing og forbrugeradfærdsdata i reklameøjemed ( consumer behavioral targeting) og angiver reviderede principper for frivillig brancheregulering på dette område. Det centrale spørgsmål er, hvordan online-annoncører bedst kan beskytte forbrugernes privacy, når de indsamler oplysninger om deres online aktiviteter.

Behovet for at styre anvendelsen af reklamer baseret på forbrugerens adfærdsdata afspejler samfundets had/kærligheds forhold til markedsføring, der skræddersys til en forbrugers online aktiviteter. Forskning viser, at forbrugerne i almindelighed foretrækker at se meddelelser om brands, som de er vant til. Samtidig er mange forbrugere mistænksomme overfor værktøjer, der efter deres opfattelse kan hjælpe marketingfirmaer med at snage i deres personlige liv.

 Over det sidste årti, har FTC regelmæssigt undersøgt forbrugernes privatliv i forbindelse med online reklame baseret på adfærdsdata, som i korthed går ud på at spore individuelle online aktiviteter med henblik på at levere reklamer, der er skræddersyet til forbrugerens interesser. FTC har senest undersøgt denne praksis i november 2007. Som svar på en offentlig debat om behovet for at adressere privacy bekymringer, har FTC sendt et sæt af principper i offentlig høring for at opmuntre og vejlede branchen med henblik på selvregulering. Rapporten med titlen “Self-Regulatory Principles for Online Behavioral Advertising,” opsummerer og besvarer de vigtigste spørgsmål som fremgår af mere end 60 modtagne kommentarer.

Rapporten indeholder desuden reviderede principper. Rapporten diskuterer de potentielle fordele ved reklamer baseret på forbrugerens adfærdsdata, herunder gratis online-indhold, som reklamer generelt støtter samt personaliseret kommunikation som mange forbrugere tilsyneladende synes om. Desuden diskuteres de privacy bekymringer, som denne praksis rejser, herunder den for forbrugeren usynlige dataindsamling og risikoen for, at de indsamlede oplysninger, der i blandt følsomme oplysninger om sundhed, økonomi, eller børn, vil kunne falde i de forkerte hænder eller blive anvendt til uforudsete formål.

I overensstemmelse med FTC’s overordnede tilgang til forbrugernes privatliv, søger rapporten at afveje de potentielle fordele ved reklame baseret på adfærdsdata mod de privacy risici den rejser, og tilskynder at beskytte personlige oplysninger samtidig med at opretholde et konkurrencepræget marked. Rapporten påpeger, at de fleste af de offentlige kommentarer, som FTC har modtaget vedrører omfanget af de foreslåede principper. F.eks. diskuteres, hvorvidt det er nødvendigt at yde beskyttelse af personlige oplysninger for data, der er ikke personligt identificerbare. Som svar fastslår rapporten, at beskyttelse af personlige oplysninger bør dække alle data, der med rimelighed kan være forbundet med en særlig forbruger eller computer eller anden enhed.

Kommentatorer har desuden sat spørgsmålstegn ved behovet for at anvende principperne i tilfælde, hvor (1) “den direkte part” anvender reklame baseret på adfærdsdata, hvor webstedet indsamler forbrugeroplysninger til at levere målrettet annoncering på selve site, men uden at dele nogen af disse oplysninger med tredjeparter, og (2) indholdsbestemt annoncering, som er rettet mod reklamer baseret på den webside, som en forbruger har klikket ind på eller en søgning forbrugeren har foretaget, og ikke involverer datalagring overhovedet eller kun i ringe omfang. Rapporten konkluderer, at der kan være færre privacy bekymringer forbundet med “den direkte part” og “indholdsbestemt ” reklame end med anden annoncering baseret på forbrugerens adfærdsdata, og konkluderer derfor , at det ikke er nødvendigt at medtage sådanne reklamer som omfattet af principperne.

Rapporten konstaterer imidlertid, at uanset princippernes rækkevidde, så skal virksomheder stadig overholde gældende lovgivning om privatlivets fred, som i øvrigt kan opstille krav, der indgår i de opstillede principper.

De fire principper er:

1. Gennemsigtighed og forbrugerkontrol 
2. Rimelig security og begrænset brug af forbrugernes data
3. Udtrykkelig bekræftelse af forbrugeren ved indholdsmæssig ændring af eksisterende privacy tilsagn
4. Udtrykkelig bekræftelse af forbrugeren ved brug (eller ikke brug) af følsomme data til brug for reklame baseret på adfærdsdata.

Rapporten giver også yderligere vejledning om hver af de fire principper. Det første princip, gennemsigtighed og forbrugerkontrol , er uændret i forhold til de foreslåede princip. Det forventes derfor, at websteder fremover klart og tydeligt oplyser, dels om reklame baseret på forbrugerens adfærdsdata, dels om en let tilgængelig måde hvorpå forbrugeren kan vælge, om han ønsker at få sine oplysninger indsamlet til disse formål. Med opmærksomhed på, at privacy retningslinjer på virksomhedernes websteder ofte er lange og vanskelige at forstå, tilskynder rapporten virksomhederne til at designe kreative og effektive disclosure mekanismer, der er adskilt fra deres privacy policies.

Rapporten fastslår også, at virksomheder, der indsamler oplysninger uden for en almindelig webside sammenhæng, for eksempel via en mobiltelefon eller en internetudbyder, bør udvikle disclosure mekanismer, der er forståelige og effektive i disse sammenhænge. Hertil kommer, at rapporten fortsat tilskynder virksomhederne til at tilvejebringe en rimelig sikkerhed for alle oplysninger, de indsamler med relation til reklame baseret på forbrugerens adfærdsdata, og til kun at opbevare data kun så længe det er nødvendigt for at opfylde et legitimt forretningsmæssigt eller retligt behov. Med hensyn til princippet om indholdsmæssige ændringer, præciserer rapporten, at dets fokus er på ændringer med tilbagevirkende kraft, eksempelvis indholdsmæssige ændringer med hensyn til en privacy policy, som har indvirkning på informationer, en virksomhed har indsamlet forud for ændringerne. Som følge heraf, er dette princip blevet revideret for at afspejle denne præcisering.

Rapporten erkender, at fremtidige ændringer kræver en mere fleksibel tilgang, og at alt efter omstændighederne, en eller anden form for fremhævet advarsel samt opt-out-valg kan være tilstrækkelig. På grund af den forøgede bekymring for privacy i forbindelse med indsamling og anvendelse af forbrugernes følsomme oplysninger, tilskynder rapporten forsat branchen til at indhente udtrykkelig bekræftelse fra forbrugeren før indsamling af disse data til brug for reklamer baseret på forbrugerens adfærdsdata. I rapporten hedder det, at FTC traditionelt anser følsomme oplysninger som finansielle oplysninger, oplysninger om børn og sundhed Rapporten konstaterer, at der fortsat er behov for en betydelig indsats på dette område, og at FTC vil fortsætte den offentlige dialog om privacy.

I forbindelse med rapportens offentliggørelse har 2 kommissionærer afgivet hver deres supplerende udtalelse. “Om end rapporten er anbefalelsesværdig, så har den et for snævert fokus” udtaler kommisær Pamela Jones Harbour i forbindelse med offentliggørelsen . “Trusler mod forbrugernes privacy bugner, både online og offline, og reklamer baseret på forbrugerens adfærdsdata, udgør blot ét aspekt af den mangesidige privacy gåde om dataindsamling og -brug. Jeg vil foretrække, at Kommissionen har en mere overordnet tilgang til privatlivets fred og evaluerer reklamen baseret på forbrugerens adfærdsdata i denne bredere sammenhæng.”

“Industrien bør gøre et bedre stykke arbejde på meningsfuld og streng selvkontrol, ellers vil kongressen helt sikkert føle sig foranlediget til at indføre en rigoristisk lovgivning, siger ligeledes kommissær Jon Leibowitz. “Kort sagt, det kan være den sidste oplagte chance for at vise, at selvregulering kan og vil være en effektiv beskyttelse af forbrugernes privacy i et dynamisk online-marked”.

Forbrugergrupper har allerede været ude og sige, at FTC´s foreslåede retningslinjer ikke er vidtgående nok til at beskytte oplysninger om forbrugernes indsamlede web surfing vaner. Retningslinjer kan være et skridt i den rigtige retning for at beskytte privacy, men forbrugerorganisationer siger, at regeringen er nødt til at vedtage en følgelovgivning der regulerer brug af reklamer baseret på forbrugerens adfærdsdata. Især påpeges, at definitionen af følsomme oplysninger, herunder sundhedsdata ikke er tilstrækkelig.

I øvrigt har adskillige websites allerede eksperimenteret med nogle af de anbefalinger, som FTC er kommet med. For eksempel er eBay begyndt med at knytte et “Om” til alle annoncer på deres website. Linket åbner et vindue, der forklarer, hvilke annoncenetværk som har placeret annoncen, hvilken type information som netværket gør brug af samt en tjekboks, som giver brugeren mulighed for at fravælge målrettede annoncer. Scott Shipman, eBay’s globale privacy officer siger, at selskabet begyndte at udvikle funktionen tidligt i 2007 som reaktion på en stigende bekymring for privacy. Yahoo har forkortet perioden fra 6 til 3 måneder i hvilken de ligger inde med data indsamlet fra internet-søgninger. Hos Bluekai kan brugerne se hvilke former for data der er indsamlet om dem på de forskellige online butikker de besøger.

Flere organisationer bl.a. Association of National Advertisers og Direct Marketing Association er på vej med branchestandarder som en direkte foranledning af FTC´s opfordring.

Reklamer baseret på forbrugerens adfærdsdata er et emne som ikke har været meget berørt i Danmark i forhold til privacy. Men der kan givetvis nu være god anledning til at beskæftige sig med emnet, herunder vurdere om det vil være en god idé for branchen at lave en kodeks a la den adfærdskodeks som ISP Sikkerhedsforum udarbejdede i 2005 om nedbringelse af spam.

Spørgsmålet har været behandlet af Forbrugerombudsmanden tilbage i 2000 med et forslag til vejledning om handel og privatliv, men branchen var dengang ikke indstillet på en selvregulering på området.

Download rapporten her.

A pro pos emnet i almindelighed kan i øvrigt henvises til en artikel 15.2 2009 i The New York Times As Data Collecting Grows, Privacy Erodes.

Endvidere kan henvises til 2008 Study: Consumer Attitudes about Behavioral Targeting,  en nylig survey undersøgelse om sporing af internetvaner foretaget af organisationen eTrust