Manden bag EU’s cookie-regel åbnede sin bærbare computer lørdag. I browseren lå en konfigurationsfil fra en amerikansk AI-leverandør, han aldrig havde godkendt.
Hvem opdagede det
Den britiske privatlivsadvokat, der opdagede filen, er ikke hvem som helst. Hans kampagne mod et adtech-firma i 2008 tvang EU til at indføre cookie-samtykkereglen i ePrivacy-direktivet. Det er reglen, der skabte alle cookie-bannere, vi ser hver dag. Det er også reglen, han nu dokumenterer bliver brudt.
Hvad han fandt
Den 18. april 2026 fandt han en fil fra AI-leverandøren i sin browser. Han havde aldrig installeret den. En gennemgang af en sekundær maskine fandt filen i mapper for syv forskellige browsere. Fire af browserne var slet ikke installeret. AI-applikationen havde oprettet mapperne selv, klar til brug hvis brugeren senere installerede dem.
Applikationen skriver et adgangsdokument ind i hver browser. Dokumentet giver tre bestemte programmer lov til at styre browseren uden at spørge brugeren. Programmerne behøver ikke være installeret endnu. Når de kommer, har de adgangen klar.
Fjerner brugeren dokumentet, skriver applikationen det ind igen ved næste opstart.
Bekræftet af leverandøren selv
Adfærden er bekræftet i leverandørens egne offentlige fejlrapporter. Leverandørens egen dokumentation siger, at browser-integrationen ikke understøttes i flere af de berørte browsere. Installationen sker alligevel.
Hvorfor det er ulovligt
EU’s ePrivacy-direktiv kræver samtykke, før en leverandør må lagre information på brugerens udstyr. Undtagelsen er, hvis lagringen er strengt nødvendig for den tjeneste, brugeren har bedt om.
At forberede browseradgang i browsere, brugeren ikke har installeret, kan ikke være strengt nødvendigt. Det er umuligt at argumentere for.
Suverænitet i praksis
Diskussionen om digital suverænitet handler ofte om jurisdiktion i abstrakt forstand. Her er jurisdiktionen i praksis: En amerikansk AI-leverandør godkender adgang for egne programmer på tusindvis af europæiske maskiner. Uden samtykke.
Ingen EU-myndighed har kommenteret sagen per 20. april 2026.
Tre ting at gøre nu
Spørg jeres IT-ansvarlige. Kører AI-applikationer med desktopklienter på virksomhedens enheder? Hvor mange installationer, og hvilke browsere er berørt?
Tag AI-leverandørpolitik op på næste ledermøde. Ingen AI-leverandør må installere browser-integrationer uden dokumenteret, specifikt brugersamtykke.
Involvér jeres databeskyttelsesansvarlige. Bed om en vurdering mod jeres risikoregister, og afklar om en konsekvensanalyse er påkrævet.
En uafhængig cybersikkerhedsaudit kan afdække præcis hvilke filer jeres leverandører skriver på medarbejdernes enheder, og om det sker med eller uden samtykke.
Hvornår fik I sidst dokumenteret, hvilke tredjepartsprogrammer der har skriveadgang til jeres medarbejderes browsere?
Har du brug for en gennemgang af jeres endpoint-sikkerhed og leverandøradfærd?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
