-Title: Er lover brutt når personvernpolicy ikke er stemmer med praksis?
-Tags: norsk
-Date: 2016-12-09 10:30
-Publish: 2016-12-10 10:30
-
-<p>Når jeg bruker Ghostery og andre verktøy for å holde styr på
-hvordan nettsteder sprer informasjon om hvilke nettsider jeg leser
-blir det veldig synlig hvilke nettsteder som er satt opp til å
-utveksle informasjon med utlandet og tredjeparter. For en stund siden
-la jeg merke til at det virker å være avvik mellom personvernpolicy og
+Title: Er lover brutt når personvernpolicy ikke stemmer med praksis?
+Tags: norsk, personvern, surveillance
+Date: 2016-12-09 14:20
+
+<p>Når jeg bruker <a href="https://www.ghostery.com/">Ghostery</a>,
+<a href="https://www.ublock.org/">uBlock</a>,
+<a href="https://github.com/gorhill/uMatrix">uMatrix</a>,
+<a href="https://github.com/andryou/scriptsafe">ScriptSafe</a> og andre
+nettleserverktøy (de passer på hverandre) for å holde styr på hvordan
+nettsteder sprer informasjon om hvilke nettsider jeg leser blir det
+veldig synlig hvilke nettsteder som er satt opp til å utveksle
+informasjon med utlandet og tredjeparter. For en stund siden la jeg
+merke til at det virker å være avvik mellom personvernpolicy og
praksis endel steder, og tok tak i et par konkrete eksempler og sendte
spørsmål til Datatilsynets kontaktpunkt for veiledning:</p>
8.<<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11</a>>»
</blockquote>
-<!-- Her er full URL:
+<!-- Her er full URL som digi ba nettleserne bruke for å melde fra til
+Google Analytics:
https://www.google-analytics.com/r/collect?v=1&_v=j47&a=666919305&t=pageview&_s=1&dl=http%3A%2F%2Fwww.digi.no%2F&ul=nb-no&de=UTF-8&dt=Digi.no%20-%20IT-bransjens%20nettavis&sd=32-bit&sr=1024x768&vp=400x300&je=0&_u=AEAAAMQAK~&jid=592247632&cid=1641512195.1480086725&tid=UA-54426-28&_r=1&z=328520576
-->
</blockquote>
<p>Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt
-spørsål, så neste steg er antagelig å høre om Datatilsynet er
+spørsmål, så neste steg er antagelig å høre om Datatilsynet er
interessert i å se på saken.</p>
<p>Men Dagbladet er ikke det eneste nettstedet som forteller at de
-ikke deler personopplystninger med andre mens observerbar praksis
+ikke deler personopplysninger med andre mens observerbar praksis
dokumenterer noe annet. Jeg sendte derfor også et spørsmål til
-kontaktadressen til nettavisen digi.no, og der var responsen mye
+kontaktadressen til nettavisen Digi.no, og der var responsen mye
bedre:</p>
<blockquote>
</blockquote>
-<p>Det var nyttig å vite at de var enige om at formuleringen i
+<p>Det var nyttig å vite at vi er enige om at formuleringen i
personvernpolicyen er misvisende. Derimot var det nedslående at i
stedet for å endre praksis for å følge det personvernpolicyen sier om
-å ikke dele personinformasjon med tredjeparter, så velger digi.no å
+å ikke dele personinformasjon med tredjeparter, så velger Digi.no å
fortsette praksis og i stedet endre personvernpolicyen slik at den å
dokumentere dagens praksis med spredning av personopplysninger.</p>
-<p>Med bakgrunn i at digi.no ikke har fulgt sin egen personvernpolicy
-spurte jeg hvordan de kom til å håndtere endringen:</p>
+<p>Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy
+spurte jeg hvordan Digi.no kom til å håndtere endringen:</p>
<blockquote>
som er normalt for norske kommersielle nettsteder.</p>
<p>Angående spørsmålet ditt:
-<br>Du vil fortsatt vise i våre interne systemer om du blir Ekstra-bruker,
+<br>Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker,
vi skrur bare av tredjeparts tracking.»</p>
</blockquote>
-Det høres jo uhyggelig ut at det er normalt å utlevere lesernes
-personopplysninger til utlandet, det er jo ikke en praksis jeg tror er
-i tråd med kravene i personopplysningsloven, og heller ikke en praksis
-jeg som leser synes er greit. Men jeg hadde fortsatt ikke fått svar
-på om de kom til å varsle om avviket mellom praksis og policy, så jeg
-forsøkte meg på nytt:
+<p>Det høres jo ikke bra ut at det er normalt for norske kommersielle
+nettsteder å utlevere lesernes personopplysninger til utlandet. Men
+som en kan lese fra <a href="https://www.nrk.no/norge/kommunen-deler-informasjon-om-deg-med-facebook-og-google-1.13248945">gårdagens oppslag fra NRK</a> gjelder
+det også norske kommuner og andre offentlige aktører, og
+<a href="http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html">jeg
+skrev om omfanget av problemet i fjor</a>. Det er uansett ikke en
+praksis jeg tror er i tråd med kravene i personopplysningsloven, og
+heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog
+fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om
+avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost
+i går kveld:</p>
<blockquote>
</blockquote>
-<p>Det spørsmålet vet jeg så langt ikke svaret på. Antagelig kan
-Datatilsynet svare på om det er påkrevd å varsle dem og leserne om
+<p>Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan
+Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om
dette. Jeg planlegger å oppdatere denne bloggposten med svaret når
det kommer.</p>
-<p>Apropos bruken av Google Analytics kan jeg jo nevne at
+<p>Jeg synes jo det er spesielt ille når barn får sine
+personopplysninger spredt til utlandet, noe jeg
+<a href="https://www.mimesbronn.no/request/opplysninger_samlet_inn_av_mobil">tok
+opp med NRK i fjor</a>. De to eksemplene jeg nevner er som dere
+forstår ikke unike, men jeg har ikke full oversikt over hvor mange
+nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å
+lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende
+meg tips på epost om andre nettsteder med avvik mellom policy og
+praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje
+noen til slutt endrer praksis og slutter å dele lesernes
+personopplysninger med tredjeparter?</p>
+
+<p>Apropos bruken av Google Analytics kan jeg forresten nevne at
Universitetet i Oslo også har tatt i bruk Google Analytics, men der
-fjernes deler av IP-adressen lokalt på Universitetet via en
-mellomtjener/proxy før øvrig informasjon sendes over til Google
-Analytics. Dermed er det mulig for ansvarlige for nettstedet å
-<em>vite</em> at Google ikke har tilgang til fullstendig IP-adresse.
-Bakgrunnen er at juristene ved universitetet har konkludert med at det
-er eneste måten en kan bruke Google Analytics uten å bryte loven.</p>
+lagres programkoden som overføres til nettleserne lokalt og deler av
+IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy
+(<a href="https://github.com/unioslo/ipproxy">tilgjengelig via
+github</a>) før informasjon sendes over til Google Analytics. Dermed
+er det mulig for ansvarlige for nettstedet å <em>vite</em> at Google
+ikke har tilgang til komplett IP-adresse. Årsaken til at denne
+metoden brukes er at juristene ved universitetet har konkludert med at
+det er eneste måten en kunne vurdere å bruke Google Analytics uten å
+bryte loven. Risikoen for gjenidentifisering og
+<a href="https://panopticlick.eff.org/">identifisering ved hjelp av
+nettleserinformasjon</a> er fortsatt tilstede, så det er ingen optimal
+løsning, men det er bedre enn å håpe at f.eks. Google og alle som
+lytter på veien skal prioritere norsk lov over sin lokale
+lovgivning.</p>
+
+<p>Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt
+spørsmål litt etter at jeg hadde publisert denne artikkelen:</p>
+
+<blockquote>
+
+<p>Vi kommer til å annonsere en oppdatert policy, og skal undersøke om
+vi er pliktig å varsle Datatilsynet.</p>
+
+<p>Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy
+sammen med utviklerne og advokat, så vi er sikre på at vi går frem
+riktig og at det ikke er flere tvetydigheter som skjuler seg i
+teksten.</p>
+
+<p>Har du andre idéer eller konkrete innspill til hva som kan gjøre
+policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker
+å være ryddige på.</p>
+
+</blockquote>
+
+<p>Vi får se om de liker mine innspill, som i grunnen er å ikke pusse
+på personvernpolicyen men i stedet slutte å spre lesernes
+personopplysninger til eksterne aktører.</p>
projects / homepage.git / blobdiff