X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/blobdiff_plain/c0de645c17fdd6b7e7a328324fd4598e0c5a7916..8e40d1728544dd145f15c173f0e5a18a04b01b14:/blog/data/2016-12-09-nettaviser-tyster.txt?ds=inline diff --git a/blog/data/2016-12-09-nettaviser-tyster.txt b/blog/data/2016-12-09-nettaviser-tyster.txt index f41d2efb84..6d9f0af6ea 100644 --- a/blog/data/2016-12-09-nettaviser-tyster.txt +++ b/blog/data/2016-12-09-nettaviser-tyster.txt @@ -1,7 +1,6 @@ -Title: Er lover brutt når personvernpolicy ikke er stemmer med praksis? -Tags: norsk -Date: 2016-12-09 10:30 -Publish: 2016-12-10 10:30 +Title: Er lover brutt når personvernpolicy ikke stemmer med praksis? +Tags: norsk, personvern, surveillance +Date: 2016-12-09 14:20

Når jeg bruker Ghostery, uBlock, @@ -248,7 +247,7 @@ noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»

-

Det var nyttig å vite at de er enige om at formuleringen i +

Det var nyttig å vite at vi er enige om at formuleringen i personvernpolicyen er misvisende. Derimot var det nedslående at i stedet for å endre praksis for å følge det personvernpolicyen sier om å ikke dele personinformasjon med tredjeparter, så velger Digi.no å @@ -291,7 +290,7 @@ tredjeparts analyseverktøy og annonsetracking er helt på linje med det som er normalt for norske kommersielle nettsteder.

Angående spørsmålet ditt: -
Du vil fortsatt vise i våre interne systemer om du blir Ekstra-bruker, +
Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker, vi skrur bare av tredjeparts tracking.»

@@ -300,11 +299,12 @@ nettsteder å utlevere lesernes personopplysninger til utlandet. Men som en kan lese fra gårdagens oppslag fra NRK gjelder det også norske kommuner og andre offentlige aktører, og jeg -skrev om problemet i fjor. Det er uansett ikke en praksis jeg -tror er i tråd med kravene i personopplysningsloven, og heller ikke en -praksis jeg som leser synes er greit. Jeg manglet dog fortsatt svar -på om de kom til å varsle lesere og Datatilsynet om avviket mellom -praksis og policy, så jeg forsøkte meg med en ny epost i går kveld:

+skrev om omfanget av problemet i fjor. Det er uansett ikke en +praksis jeg tror er i tråd med kravene i personopplysningsloven, og +heller ikke en praksis jeg som leser synes er greit. Jeg manglet dog +fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om +avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost +i går kveld:

@@ -314,26 +314,59 @@ tråd med personvernpolicy?»

-

Det spørsmålet vet jeg så langt ikke svaret på, men . Antagelig -kan Datatilsynet svare på om det er påkrevd å varsle dem og leserne om +

Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan +Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om dette. Jeg planlegger å oppdatere denne bloggposten med svaret når det kommer.

-

De to eksemplene jeg nevner er som dere forstår ikke unike, men jeg -har ikke full oversikt over hvor mange det gjelder. Jeg har ikke -kapasitet til eller glede av å lese alle personvernpolicyer i landet. -Kanskje mine lesere kan sende meg tips på epost om andre nettsteder -med avvik mellom policy og praksis? Hvis vi alle går sammen og -kontakter de ansvarlige, kanskje noen til slutt endrer praksis og -slutter å dele lesernes personopplysninger med tredjeparter?

+

Jeg synes jo det er spesielt ille når barn får sine +personopplysninger spredt til utlandet, noe jeg +tok +opp med NRK i fjor. De to eksemplene jeg nevner er som dere +forstår ikke unike, men jeg har ikke full oversikt over hvor mange +nettsteder dette gjelder. Jeg har ikke kapasitet til eller glede av å +lese alle personvernpolicyer i landet. Kanskje mine lesere kan sende +meg tips på epost om andre nettsteder med avvik mellom policy og +praksis? Hvis vi alle går sammen og kontakter de ansvarlige, kanskje +noen til slutt endrer praksis og slutter å dele lesernes +personopplysninger med tredjeparter?

Apropos bruken av Google Analytics kan jeg forresten nevne at Universitetet i Oslo også har tatt i bruk Google Analytics, men der lagres programkoden som overføres til nettleserne lokalt og deler av IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy -før informasjon sendes over til Google Analytics. Dermed er det mulig -for ansvarlige for nettstedet å vite at Google ikke har -tilgang til komplett IP-adresse. Årsaken til at denne metoden brukes -er at juristene ved universitetet har konkludert med at det er eneste -måten en kunne vurdere å bruke Google Analytics uten å bryte -loven.

+(tilgjengelig via +github) før informasjon sendes over til Google Analytics. Dermed +er det mulig for ansvarlige for nettstedet å vite at Google +ikke har tilgang til komplett IP-adresse. Årsaken til at denne +metoden brukes er at juristene ved universitetet har konkludert med at +det er eneste måten en kunne vurdere å bruke Google Analytics uten å +bryte loven. Risikoen for gjenidentifisering og +identifisering ved hjelp av +nettleserinformasjon er fortsatt tilstede, så det er ingen optimal +løsning, men det er bedre enn å håpe at f.eks. Google og alle som +lytter på veien skal prioritere norsk lov over sin lokale +lovgivning.

+ +

Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt +spørsmål litt etter at jeg hadde publisert denne artikkelen:

+ +
+ +

Vi kommer til å annonsere en oppdatert policy, og skal undersøke om +vi er pliktig å varsle Datatilsynet.

+ +

Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy +sammen med utviklerne og advokat, så vi er sikre på at vi går frem +riktig og at det ikke er flere tvetydigheter som skjuler seg i +teksten.

+ +

Har du andre idéer eller konkrete innspill til hva som kan gjøre +policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker +å være ryddige på.

+ +
+ +

Vi får se om de liker mine innspill, som i grunnen er å ikke pusse +på personvernpolicyen men i stedet slutte å spre lesernes +personopplysninger til eksterne aktører.