X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/4b284c8653a7f7a0ee71a5fcc6b61d4e2cccc5d8..8e40d1728544dd145f15c173f0e5a18a04b01b14:/blog/data/2016-12-09-nettaviser-tyster.txt

diff --git a/blog/data/2016-12-09-nettaviser-tyster.txt b/blog/data/2016-12-09-nettaviser-tyster.txt
index 0309d1911f..6d9f0af6ea 100644
--- a/blog/data/2016-12-09-nettaviser-tyster.txt
+++ b/blog/data/2016-12-09-nettaviser-tyster.txt
@@ -1,13 +1,16 @@
-Title: Er lover brutt når personvernpolicy ikke er stemmer med praksis?
-Tags: norsk
-Date: 2016-12-09 10:30
-Publish: 2016-12-10 10:30
-
-<p>Når jeg bruker Ghostery og andre verktøy for å holde styr på
-hvordan nettsteder sprer informasjon om hvilke nettsider jeg leser
-blir det veldig synlig hvilke nettsteder som er satt opp til å
-utveksle informasjon med utlandet og tredjeparter.  For en stund siden
-la jeg merke til at det virker å være avvik mellom personvernpolicy og
+Title: Er lover brutt når personvernpolicy ikke stemmer med praksis?
+Tags: norsk, personvern, surveillance
+Date: 2016-12-09 14:20
+
+<p>NÃ¥r jeg bruker <a href="https://www.ghostery.com/">Ghostery</a>,
+<a href="https://www.ublock.org/">uBlock</a>,
+<a href="https://github.com/gorhill/uMatrix">uMatrix</a>,
+<a href="https://github.com/andryou/scriptsafe">ScriptSafe</a> og andre
+nettleserverktøy (de passer på hverandre) for å holde styr på hvordan
+nettsteder sprer informasjon om hvilke nettsider jeg leser blir det
+veldig synlig hvilke nettsteder som er satt opp til å utveksle
+informasjon med utlandet og tredjeparter.  For en stund siden la jeg
+merke til at det virker å være avvik mellom personvernpolicy og
 praksis endel steder, og tok tak i et par konkrete eksempler og sendte
 spørsmål til Datatilsynets kontaktpunkt for veiledning:</p>
 
@@ -76,7 +79,8 @@ personopplysingsloven § 11, jf.
 8.&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11</a>&gt;»
 </blockquote>
 
-<!-- Her er full URL:
+<!-- Her er full URL som digi ba nettleserne bruke for å melde fra til
+Google Analytics:
 https://www.google-analytics.com/r/collect?v=1&_v=j47&a=666919305&t=pageview&_s=1&dl=http%3A%2F%2Fwww.digi.no%2F&ul=nb-no&de=UTF-8&dt=Digi.no%20-%20IT-bransjens%20nettavis&sd=32-bit&sr=1024x768&vp=400x300&je=0&_u=AEAAAMQAK~&jid=592247632&cid=1641512195.1480086725&tid=UA-54426-28&_r=1&z=328520576
 -->
 
@@ -136,13 +140,13 @@ henviser til § 8.</p>
 </blockquote>
 
 <p>Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt
-spørsål, så neste steg er antagelig å høre om Datatilsynet er
+spørsmål, så neste steg er antagelig å høre om Datatilsynet er
 interessert i å se på saken.</p>
 
 <p>Men Dagbladet er ikke det eneste nettstedet som forteller at de
-ikke deler personopplystninger med andre mens observerbar praksis
+ikke deler personopplysninger med andre mens observerbar praksis
 dokumenterer noe annet.  Jeg sendte derfor også et spørsmål til
-kontaktadressen til nettavisen digi.no, og der var responsen mye
+kontaktadressen til nettavisen Digi.no, og der var responsen mye
 bedre:</p>
 
 <blockquote>
@@ -243,15 +247,15 @@ noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»</p>
 
 </blockquote>
 
-<p>Det var nyttig å vite at de var enige om at formuleringen i
+<p>Det var nyttig å vite at vi er enige om at formuleringen i
 personvernpolicyen er misvisende.  Derimot var det nedslående at i
 stedet for å endre praksis for å følge det personvernpolicyen sier om
-å ikke dele personinformasjon med tredjeparter, så velger digi.no å
+å ikke dele personinformasjon med tredjeparter, så velger Digi.no å
 fortsette praksis og i stedet endre personvernpolicyen slik at den å
 dokumentere dagens praksis med spredning av personopplysninger.</p>
 
-<p>Med bakgrunn i at digi.no ikke har fulgt sin egen personvernpolicy
-spurte jeg hvordan de kom til å håndtere endringen:</p>
+<p>Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy
+spurte jeg hvordan Digi.no kom til å håndtere endringen:</p>
 
 <blockquote>
 
@@ -286,16 +290,21 @@ tredjeparts analyseverktøy og annonsetracking er helt på linje med det
 som er normalt for norske kommersielle nettsteder.</p>
 
 <p>Angående spørsmålet ditt: 
-<br>Du vil fortsatt vise i våre interne systemer om du blir Ekstra-bruker,
+<br>Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker,
 vi skrur bare av tredjeparts tracking.»</p>
 </blockquote>
 
-Det høres jo uhyggelig ut at det er normalt å utlevere lesernes
-personopplysninger til utlandet, det er jo ikke en praksis jeg tror er
-i tråd med kravene i personopplysningsloven, og heller ikke en praksis
-jeg som leser synes er greit.  Men jeg hadde fortsatt ikke fått svar
-på om de kom til å varsle om avviket mellom praksis og policy, så jeg
-forsøkte meg på nytt:
+<p>Det høres jo ikke bra ut at det er normalt for norske kommersielle
+nettsteder å utlevere lesernes personopplysninger til utlandet.  Men
+som en kan lese fra <a href="https://www.nrk.no/norge/kommunen-deler-informasjon-om-deg-med-facebook-og-google-1.13248945">gårdagens oppslag fra NRK</a> gjelder
+det også norske kommuner og andre offentlige aktører, og
+<a href="http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html">jeg
+skrev om omfanget av problemet i fjor</a>.  Det er uansett ikke en
+praksis jeg tror er i tråd med kravene i personopplysningsloven, og
+heller ikke en praksis jeg som leser synes er greit.  Jeg manglet dog
+fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om
+avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost
+i går kveld:</p>
 
 <blockquote>
 
@@ -305,16 +314,59 @@ tråd med personvernpolicy?»</p>
        
 </blockquote>
 
-<p>Det spørsmålet vet jeg så langt ikke svaret på.  Antagelig kan
-Datatilsynet svare på om det er påkrevd å varsle dem og leserne om
+<p>Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan
+Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om
 dette.  Jeg planlegger å oppdatere denne bloggposten med svaret når
 det kommer.</p>
 
-<p>Apropos bruken av Google Analytics kan jeg jo nevne at
+<p>Jeg synes jo det er spesielt ille når barn får sine
+personopplysninger spredt til utlandet, noe jeg
+<a href="https://www.mimesbronn.no/request/opplysninger_samlet_inn_av_mobil">tok
+opp med NRK i fjor</a>.  De to eksemplene jeg nevner er som dere
+forstår ikke unike, men jeg har ikke full oversikt over hvor mange
+nettsteder dette gjelder.  Jeg har ikke kapasitet til eller glede av å
+lese alle personvernpolicyer i landet.  Kanskje mine lesere kan sende
+meg tips på epost om andre nettsteder med avvik mellom policy og
+praksis?  Hvis vi alle går sammen og kontakter de ansvarlige, kanskje
+noen til slutt endrer praksis og slutter å dele lesernes
+personopplysninger med tredjeparter?</p>
+
+<p>Apropos bruken av Google Analytics kan jeg forresten nevne at
 Universitetet i Oslo også har tatt i bruk Google Analytics, men der
-fjernes deler av IP-adressen lokalt på Universitetet via en
-mellomtjener/proxy før øvrig informasjon sendes over til Google
-Analytics.  Dermed er det mulig for ansvarlige for nettstedet å
-<em>vite</em> at Google ikke har tilgang til fullstendig IP-adresse.
-Bakgrunnen er at juristene ved universitetet har konkludert med at det
-er eneste måten en kan bruke Google Analytics uten å bryte loven.</p>
+lagres programkoden som overføres til nettleserne lokalt og deler av
+IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy
+(<a href="https://github.com/unioslo/ipproxy">tilgjengelig via
+github</a>) før informasjon sendes over til Google Analytics.  Dermed
+er det mulig for ansvarlige for nettstedet å <em>vite</em> at Google
+ikke har tilgang til komplett IP-adresse.  Årsaken til at denne
+metoden brukes er at juristene ved universitetet har konkludert med at
+det er eneste måten en kunne vurdere å bruke Google Analytics uten å
+bryte loven.  Risikoen for gjenidentifisering og
+<a href="https://panopticlick.eff.org/">identifisering ved hjelp av
+nettleserinformasjon</a> er fortsatt tilstede, så det er ingen optimal
+løsning, men det er bedre enn å håpe at f.eks. Google og alle som
+lytter på veien skal prioritere norsk lov over sin lokale
+lovgivning.</p>
+
+<p>Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt
+spørsmål litt etter at jeg hadde publisert denne artikkelen:</p>
+
+<blockquote>
+
+<p>Vi kommer til å annonsere en oppdatert policy, og skal undersøke om
+vi er pliktig å varsle Datatilsynet.</p>
+
+<p>Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy
+sammen med utviklerne og advokat, så vi er sikre på at vi går frem
+riktig og at det ikke er flere tvetydigheter som skjuler seg i
+teksten.</p>
+
+<p>Har du andre idéer eller konkrete innspill til hva som kan gjøre
+policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker
+å være ryddige på.</p>
+	
+</blockquote>
+
+<p>Vi får se om de liker mine innspill, som i grunnen er å ikke pusse
+på personvernpolicyen men i stedet slutte å spre lesernes
+personopplysninger til eksterne aktører.</p>