Date: 2016-12-09 10:30
Publish: 2016-12-10 10:30
-<p>Når jeg bruker Ghostery og andre verktøy for å holde styr på
-hvordan nettsteder sprer informasjon om hvilke nettsider jeg leser
-blir det veldig synlig hvilke nettsteder som er satt opp til å
-utveksle informasjon med utlandet og tredjeparter. For en stund siden
-la jeg merke til at det virker å være avvik mellom personvernpolicy og
+<p>Når jeg bruker <a href="https://www.ghostery.com/">Ghostery</a>,
+<a href="https://www.ublock.org/">uBlock</a>,
+<a href="https://github.com/gorhill/uMatrix">uMatrix</a>,
+<a href="https://github.com/andryou/scriptsafe">ScriptSafe</a> og andre
+nettleserverktøy (de passer på hverandre) for å holde styr på hvordan
+nettsteder sprer informasjon om hvilke nettsider jeg leser blir det
+veldig synlig hvilke nettsteder som er satt opp til å utveksle
+informasjon med utlandet og tredjeparter. For en stund siden la jeg
+merke til at det virker å være avvik mellom personvernpolicy og
praksis endel steder, og tok tak i et par konkrete eksempler og sendte
spørsmål til Datatilsynets kontaktpunkt for veiledning:</p>
8.<<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11</a>>»
</blockquote>
-<!-- Her er full URL:
+<!-- Her er full URL som digi ba nettleserne bruke for å melde fra til
+Google Analytics:
https://www.google-analytics.com/r/collect?v=1&_v=j47&a=666919305&t=pageview&_s=1&dl=http%3A%2F%2Fwww.digi.no%2F&ul=nb-no&de=UTF-8&dt=Digi.no%20-%20IT-bransjens%20nettavis&sd=32-bit&sr=1024x768&vp=400x300&je=0&_u=AEAAAMQAK~&jid=592247632&cid=1641512195.1480086725&tid=UA-54426-28&_r=1&z=328520576
-->
</blockquote>
<p>Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt
-spørsål, så neste steg er antagelig å høre om Datatilsynet er
+spørsmål, så neste steg er antagelig å høre om Datatilsynet er
interessert i å se på saken.</p>
<p>Men Dagbladet er ikke det eneste nettstedet som forteller at de
-ikke deler personopplystninger med andre mens observerbar praksis
+ikke deler personopplysninger med andre mens observerbar praksis
dokumenterer noe annet. Jeg sendte derfor også et spørsmål til
-kontaktadressen til nettavisen digi.no, og der var responsen mye
+kontaktadressen til nettavisen Digi.no, og der var responsen mye
bedre:</p>
<blockquote>
</blockquote>
-<p>Det var nyttig å vite at de var enige om at formuleringen i
+<p>Det var nyttig å vite at de er enige om at formuleringen i
personvernpolicyen er misvisende. Derimot var det nedslående at i
stedet for å endre praksis for å følge det personvernpolicyen sier om
-å ikke dele personinformasjon med tredjeparter, så velger digi.no å
+å ikke dele personinformasjon med tredjeparter, så velger Digi.no å
fortsette praksis og i stedet endre personvernpolicyen slik at den å
dokumentere dagens praksis med spredning av personopplysninger.</p>
-<p>Med bakgrunn i at digi.no ikke har fulgt sin egen personvernpolicy
-spurte jeg hvordan de kom til å håndtere endringen:</p>
+<p>Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy
+spurte jeg hvordan Digi.no kom til å håndtere endringen:</p>
<blockquote>
vi skrur bare av tredjeparts tracking.»</p>
</blockquote>
-Det høres jo uhyggelig ut at det er normalt å utlevere lesernes
-personopplysninger til utlandet, det er jo ikke en praksis jeg tror er
-i tråd med kravene i personopplysningsloven, og heller ikke en praksis
-jeg som leser synes er greit. Men jeg hadde fortsatt ikke fått svar
-på om de kom til å varsle om avviket mellom praksis og policy, så jeg
-forsøkte meg på nytt:
+<p>Det høres jo ikke bra ut at det er normalt for norske kommersielle
+nettsteder å utlevere lesernes personopplysninger til utlandet. Men
+som en kan lese fra <a href="https://www.nrk.no/norge/kommunen-deler-informasjon-om-deg-med-facebook-og-google-1.13248945">gårdagens oppslag fra NRK</a> gjelder
+det også norske kommuner og andre offentlige aktører, og
+<a href="http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html">jeg
+skrev om problemet i fjor</a>. Det er uansett ikke en praksis jeg
+tror er i tråd med kravene i personopplysningsloven, og heller ikke en
+praksis jeg som leser synes er greit. Jeg manglet dog fortsatt svar
+på om de kom til å varsle lesere og Datatilsynet om avviket mellom
+praksis og policy, så jeg forsøkte meg med en ny epost i går kveld:</p>
<blockquote>
</blockquote>
-<p>Det spørsmålet vet jeg så langt ikke svaret på. Antagelig kan
-Datatilsynet svare på om det er påkrevd å varsle dem og leserne om
+<p>Det spørsmålet vet jeg så langt ikke svaret på, men . Antagelig
+kan Datatilsynet svare på om det er påkrevd å varsle dem og leserne om
dette. Jeg planlegger å oppdatere denne bloggposten med svaret når
det kommer.</p>
-<p>Apropos bruken av Google Analytics kan jeg jo nevne at
+<p>De to eksemplene jeg nevner er som dere forstår ikke unike, men jeg
+har ikke full oversikt over hvor mange det gjelder. Jeg har ikke
+kapasitet til eller glede av å lese alle personvernpolicyer i landet.
+Kanskje mine lesere kan sende meg tips på epost om andre nettsteder
+med avvik mellom policy og praksis? Hvis vi alle går sammen og
+kontakter de ansvarlige, kanskje noen til slutt endrer praksis og
+slutter å dele lesernes personopplysninger med tredjeparter?</p>
+
+<p>Apropos bruken av Google Analytics kan jeg forresten nevne at
Universitetet i Oslo også har tatt i bruk Google Analytics, men der
-fjernes deler av IP-adressen lokalt på Universitetet via en
-mellomtjener/proxy før øvrig informasjon sendes over til Google
-Analytics. Dermed er det mulig for ansvarlige for nettstedet å
-<em>vite</em> at Google ikke har tilgang til fullstendig IP-adresse.
-Bakgrunnen er at juristene ved universitetet har konkludert med at det
-er eneste måten en kan bruke Google Analytics uten å bryte loven.</p>
+lagres programkoden som overføres til nettleserne lokalt og deler av
+IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy
+før informasjon sendes over til Google Analytics. Dermed er det mulig
+for ansvarlige for nettstedet å <em>vite</em> at Google ikke har
+tilgang til komplett IP-adresse. Årsaken til at denne metoden brukes
+er at juristene ved universitetet har konkludert med at det er eneste
+måten en kunne vurdere å bruke Google Analytics uten å bryte
+loven.</p>
projects / homepage.git / commitdiff