Device fingerprinting kan være ulovlig

På baggrund af en fælles europæisk drøftelse, har Erhvervsstyrelsen udtalt, at såkaldt "device fingerprinting" er omfattet af cookie-direktivet. Hermed bliver brugen af device fingerprinting – sommetider kaldt super-cookies – langt mere restriktiv end tidligere.

Det fælleseuropæiske organ bestående af de europæiske datatilsyn udtalte tidligere i 2014, at de anså device fingerprinting for at være omfattet af cookie-direktivet. Dette blev bekræftet ved Erhvervsstyrelsens udtalelse i december. Erhvervsstyrelsens udtalelse forventes at få væsentlig betydning for brugen af device fingerprinting.

HVAD ER DEVICE FINGERPRINTING?
Begrebet device fingerprinting dækker over indsamling og kombinering af information om en enhed (eksempelvis en mobiltelefon) på en måde, så man efterfølgende kan identificere enheden eller brugeren. Informationen vil enheden typisk automatisk afgive, f.eks. når en mobiltelefon afgiver besked om, at den er en mobiltelefon til en hjemmeside for at få vist siden i mobilvenlig udgave.

En enhed kan ligeledes give den nødvendige information, når en internetbrowser oplyser en hjemmeside om, hvilken internetbrowser den er, i hvilken version og hvilke tilføjelser, der er installeret, eller når en mobiltelefon afgiver sin MAC-adresse til et åbent WIFI-hotspot eller bluetooth-station

En kombination af flere af disse informationer kan tilsammen danne et "fingeraftryk" af enheden eller brugeren, heraf navnet. Dette kan efterfølgende bruges til at identificere enheden eller brugeren.

SUPER-COOKIES BEGRÆNSES
Den danske implementering af cookie-reglerne er meget restriktiv. Udgangspunkt er derfor, at hvis man danner "fingeraftryk" ved indsamling eller lagring af information, så skal man have samtykke fra brugeren. De eneste undtagelser til samtykke er, når man foretager en lagring eller opnår adgang til information om enheden med enten et teknisk formål, for at overføre eller lette overførsel af kommunikation, eller fordi det er påkrævet for at levere en ydelse, som brugeren udtrykkeligt ønsker.

For hjemmesideindehavere har device fingerprinting hidtil kunne bruges som en form for "super-cookie", hvor man har identificeret og sporet brugere uden faktisk at bruge en cookie, som omfattet af cookie-direktivet. Nu slår Erhvervsstyrelsen altså fast, at de to ting skal behandles ens, hvilket dermed begrænser brugen af super-cookies uden brugerens samtykke.

---