--- /dev/null
+Title: Er lover brutt når personvernpolicy ikke er stemmer med praksis?
+Tags: norsk
+Date: 2016-12-09 10:30
+Publish: 2016-12-10 10:30
+
+<p>Når jeg bruker Ghostery og andre verktøy for å holde styr på
+hvordan nettsteder sprer informasjon om hvilke nettsider jeg leser
+blir det veldig synlig hvilke nettsteder som er satt opp til å
+utveksle informasjon med utlandet og tredjeparter. For en stund siden
+la jeg merke til at det virker å være avvik mellom personvernpolicy og
+praksis endel steder, og tok tak i et par konkrete eksempler og sendte
+spørsmål til Datatilsynets kontaktpunkt for veiledning:</p>
+
+<blockquote>
+
+<p>«Jeg har et spørsmål når det gjelder bruken av Google Analytics og
+personvernpolicy. Er det lovlig for et nettsted å si en ting i
+personvernpolicy og gjøre noe annet i virkeligheten? Spesifikt lurer
+jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til
+nettsidene ber lesernes nettleser om å kontakte Google Analytics og
+slik overleverer sitt IP-nummer til Google, samtidig som
+personvernpolicien hevder at Google Analytics kun får anonymiserte
+data. Google får jo i slike tilfeller alltid overført fullt
+IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke
+lagre deler av IP-adressen (omtalt som anonymisering av Google
+Analytics)</p>
+
+<p>Et eksempel er Nettavisen digi.no.
+<a href="http://www.digi.no/artikler/personvernpolicy/208772">Deres
+personvernpolicy</a> sier følgende:</p>
+
+<blockquote>
+ «Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun
+ anonymiserte data.»
+</blockquote>
+
+<p>Men når en leser artikler der så blir maskiner i Norge, USA,
+Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om
+besøket og får dermed overlevert full IP-adresse, som datatilsynet har
+uttalt er en personopplysning. Nettsidene er satt opp til be
+nettleseren å kontakte 29 ulike maskiner rundt om i verden. Fire av
+dem er er under DNS-domenene digi.no og tek.no som tilhører samme
+eier. I tillegg ber nettsidene ikke
+<a href="https://support.google.com/analytics/answer/2763052?hl=no">Google
+Analytics om å fjerne siste oktett i IP-adressen ved lagring</a>,
+dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte
+Google Analytics.</p>
+
+<p>Tilsvarende er også tilfelle for andre nettsteder, så digi.no er
+ikke spesiell i så måte (dagbladet.no er et annet eksempel, det
+gjelder flere).»</p>
+
+</blockquote>
+
+<p>Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen
+hos Datatilsynet fortelle det følgende:</p>
+
+<blockquote>
+«Hei, og takk for din e-post.</p>
+
+<p>Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere
+i saken din, men gi deg råd og veiledning.</p>
+
+<p>Ut ifra det du skriver er det antakelig flere bestemmelser i
+personopplysingsloven som brytes dersom virksomhetens personvernpolicy
+sier noe annet om behandlingen av personopplysninger enn det som
+faktisk skjer. Antakelig vil det være et brudd på informasjonsplikten
+i personopplysingsloven §§ 18 og
+19<<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18</a>>
+dersom det gis feilinformasjon om at opplysningene utleveres. Det kan
+også stilles spørsmål om grunnkravene for behandling av
+personopplysninger vil være oppfylt ved en utlevering av
+personopplysninger til en tredjepart, dersom dette ikke er inkludert
+behandlingsgrunnlaget og formålet med behandlingen, se
+personopplysingsloven § 11, jf.
+8.<<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11</a>>»
+</blockquote>
+
+<!-- Her er full URL:
+https://www.google-analytics.com/r/collect?v=1&_v=j47&a=666919305&t=pageview&_s=1&dl=http%3A%2F%2Fwww.digi.no%2F&ul=nb-no&de=UTF-8&dt=Digi.no%20-%20IT-bransjens%20nettavis&sd=32-bit&sr=1024x768&vp=400x300&je=0&_u=AEAAAMQAK~&jid=592247632&cid=1641512195.1480086725&tid=UA-54426-28&_r=1&z=328520576
+-->
+
+<p>Oppdatert med kunnskap om lover og regler tok jeg så kontakt med
+Dagbladet på epostadressen de annonserer på sine
+personvernpolicysider:<p>
+
+<blockquote>
+
+<p>«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer
+på om dere hjelpe meg med å finne ut av følgende. Først litt
+bakgrunnsinformasjon.
+<a href="http://www.dagbladet.no/2009/08/18/nyheter/avtale/brukeravtale/plikter/7706966/">Dagbladets
+personvernpolicy</a> forteller følgende:</p>
+
+<blockquote>
+ <p>«3. Automatisk innhentet informasjon</p>
+
+ <p>For eksempel IP-adressen din (ikke synlig for andre) samt
+ statistisk, automatisk produsert informasjon, som når du sist var
+ innlogget på tjenesten. Dette er informasjon vi samler for å gjøre
+ tjenesten best mulig.»</p>
+
+</blockquote>
+
+
+<p>Men når en besøker nettsidene til Dagbladet,
+f.eks. <a href="http://dagbladet.no/">forsiden</a>, så er nettsidene
+satt opp til å kontakte mange tredjeparter som slik får tilgang til
+både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken
+artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges
+ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick
+med flere. Totalt ber forsiden nettleseren om å koble seg opp til 60
+nettsteder med 149 separate oppkoblinger. I hver av disse
+oppkoblingene oversendes IP-adressen til leseren, og i følge
+Datatilsynet er
+«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en
+IP-adresse definert som en personopplysning fordi den kan spores
+tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>».</p>
+
+<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18
+og 19 skal informasjonen som gis om bruk og utlevering av
+personopplysninger være korrekt. De forteller videre at det er endel
+grunnkrav som må være oppfylt ved utlevering av personopplysninger til
+tredjeparter, nærmere forklart i personopplysingsloven § 11 som
+henviser til § 8.</p>
+
+<p>Mitt spørsmål er dermed som følger:</p>
+
+ <blockquote>
+
+ <p>Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke
+ er synlig for andre?»</p>
+
+ </blockquote>
+
+</blockquote>
+
+<p>Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt
+spørsål, så neste steg er antagelig å høre om Datatilsynet er
+interessert i å se på saken.</p>
+
+<p>Men Dagbladet er ikke det eneste nettstedet som forteller at de
+ikke deler personopplystninger med andre mens observerbar praksis
+dokumenterer noe annet. Jeg sendte derfor også et spørsmål til
+kontaktadressen til nettavisen digi.no, og der var responsen mye
+bedre:</p>
+
+<blockquote>
+
+<p>«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på,
+og lurer på om dere hjelpe meg. Først litt bakgrunnsinformasjon.
+<a href="http://www.digi.no/artikler/personvernpolicy/208772">Digi.nos
+personvernpolicy</a> forteller følgende:</p>
+
+<blockquote>
+ «All personlig informasjon blir lagret i våre systemer, disse er ikke
+ tilgjengelig for tredjeparter, og blir ikke lagret i
+ informasjonskapsler. Tredjeparter (som Google Analytics, Cxense,
+ TNS Gallup) får kun anonymiserte data.»
+</blockquote>
+
+<p>Men når en besøker nettsidene til nettavisen, f.eks.
+<a href="http://www.digi.no/">forsiden</a>, så er nettsidene satt opp
+til å kontakte mange tredjeparter som slik får tilgang til både fullt
+IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser
+hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder
+både Google Analytics, Cxense blant og INS Gallum. Totalt ber
+forsiden nettleseren om å koble seg opp til 29 nettsteder med 44
+separate oppkoblinger. I hver av disse oppkoblingene sendes
+IP-adressen til leseren over, og i følge Datatilsynet er
+«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en
+IP-adresse definert som en personopplysning fordi den kan spores
+tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>».
+Det jeg ser virker ikke å være i tråd med personvernpolicyen.</p>
+
+<p>Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til
+Google Analytics, en for å hente ned programkoden som samler
+informasjon fra nettleseren og sender over til Google (analytics.js),
+og en for å overføre det som ble samlet inn. I den siste oppkoblingen
+er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i
+stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt
+misvisende for «anonymisert» bruk av Google Analytics, i og med at
+fullt IP-nummer blir sendt til Google og det er opp til Google om de
+vil bry seg om ønsket fra de som har laget nettsiden. Ut fra det som
+står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke
+ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen
+kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber
+Google om å la være å lagre hele IP-adressen. Dette virker heller
+ikke å være i tråd med personvernpolicyen.</p>
+
+<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18
+og 19 skal informasjonen som gis om bruk og utlevering av
+personopplysninger være korrekt. De forteller videre at det er endel
+grunnkrav som må være oppfylt ved utlevering av personopplysninger til
+tredjeparter, nærmere forklart i personopplysingsloven § 11 som
+henviser til § 8. Det er uklart for meg om disse kravene er oppfylt
+når IP-adresse og informasjon om hvilke websider som besøkes til
+tredjeparter.</p>
+
+<p>Mitt spørsmål er dermed som følger:</p>
+
+<blockquote>
+
+ <p>Hva mener dere i personpolicyen når dere skriver at «Tredjeparter
+ får kun anonymiserte data»?»</p>
+
+</blockquote>
+
+</blockquote>
+
+<p>Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han
+måtte komme tilbake til meg når han hadde med utviklingsavdelingen.
+Seks dager senere lurte jeg på hva han fant ut, og etter noen timer
+fikk jeg så følgende svar fra direktøren for teknologi og
+forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:</p>
+
+<blockquote>
+
+<p>«Takk for godt tips! Det er helt riktig at IP og referrer-adresse
+potensielt kan leses ut av tredjepart.</p>
+
+<p>Retningslinjene våre har vært uklare på dette tidspunktet, og vi
+oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som
+følger:</p>
+
+<hr>
+<p>3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til
+oss blir lagret i våre systemer, er ikke tilgjengelig for
+tredjeparter, og blir ikke lagret i informasjonskapsler.
+Informasjonen vil kun benyttes til å gi deg som bruker mer relevant
+informasjon og bedre tjenester.</p>
+
+<p>Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne
+hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS
+er pliktig å påse at disse tredjepartene behandler data i tråd med
+norsk regelverk.</p>
+<hr>
+
+<p>Ellers har vi nå aktivert anonymisering i Google Analytics
+(aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har
+mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er
+noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»</p>
+
+</blockquote>
+
+<p>Det var nyttig å vite at de var enige om at formuleringen i
+personvernpolicyen er misvisende. Derimot var det nedslående at i
+stedet for å endre praksis for å følge det personvernpolicyen sier om
+å ikke dele personinformasjon med tredjeparter, så velger digi.no å
+fortsette praksis og i stedet endre personvernpolicyen slik at den å
+dokumentere dagens praksis med spredning av personopplysninger.</p>
+
+<p>Med bakgrunn i at digi.no ikke har fulgt sin egen personvernpolicy
+spurte jeg hvordan de kom til å håndtere endringen:</p>
+
+<blockquote>
+
+<p>«Tusen takk for beskjed om endring av personvernpolicy for digi.no.
+Gjelder endringen også andre nettsteder?</p>
+
+<p>Vil tidligere håndteringen av IP-adresser og lesemønster i strid
+med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd
+med
+<a href="https://lovdata.no/forskrift/2000-12-15-1265/§2-6">personopplysningsforskriften
+§ 2-6</a>? Vil leserne bli varslet på en prominent og synlig måte om
+at lesernes IP-adresser og lesemønster har vært utlevert til
+tredjeparter i stid med tidligere formulering om at tredjeparter kun
+får anonymiserte data, og at utleveringen fortsetter etter at
+personvernpolicy er endret for å dokumentere praksis?</p>
+
+<p>Appropos ekstra tilbud til betalende lesere, tilbyr dere en
+mulighet for å betale for å lese som ikke innebærer at en må gjøre det
+mulig å la sine lesevaner blir registeret av tek.no? Betaler gjerne
+for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»</p>
+</blockquote>
+
+<p>Jeg fikk raskt svar tilbake fra direktøren Høie:</p>
+
+<blockquote>
+<p>«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.</p>
+
+<p>Vi kommer til å ta en runde og gå over vår policy i forbindelse med
+dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig
+overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av
+tredjeparts analyseverktøy og annonsetracking er helt på linje med det
+som er normalt for norske kommersielle nettsteder.</p>
+
+<p>Angående spørsmålet ditt:
+<br>Du vil fortsatt vise i våre interne systemer om du blir Ekstra-bruker,
+vi skrur bare av tredjeparts tracking.»</p>
+</blockquote>
+
+Det høres jo uhyggelig ut at det er normalt å utlevere lesernes
+personopplysninger til utlandet, det er jo ikke en praksis jeg tror er
+i tråd med kravene i personopplysningsloven, og heller ikke en praksis
+jeg som leser synes er greit. Men jeg hadde fortsatt ikke fått svar
+på om de kom til å varsle om avviket mellom praksis og policy, så jeg
+forsøkte meg på nytt:
+
+<blockquote>
+
+<p>«Kan du fortelle meg om dere anser det å være påkrevd å varsle
+tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i
+tråd med personvernpolicy?»</p>
+
+</blockquote>
+
+<p>Det spørsmålet vet jeg så langt ikke svaret på. Antagelig kan
+Datatilsynet svare på om det er påkrevd å varsle dem og leserne om
+dette. Jeg planlegger å oppdatere denne bloggposten med svaret når
+det kommer.</p>
+
+<p>Apropos bruken av Google Analytics kan jeg jo nevne at
+Universitetet i Oslo også har tatt i bruk Google Analytics, men der
+fjernes deler av IP-adressen lokalt på Universitetet via en
+mellomtjener/proxy før øvrig informasjon sendes over til Google
+Analytics. Dermed er det mulig for ansvarlige for nettstedet å
+<em>vite</em> at Google ikke har tilgang til fullstendig IP-adresse.
+Bakgrunnen er at juristene ved universitetet har konkludert med at det
+er eneste måten en kan bruke Google Analytics uten å bryte loven.</p>
projects / homepage.git / commitdiff