From: Petter Reinholdtsen Date: Fri, 9 Dec 2016 12:22:47 +0000 (+0100) Subject: Oppdateringer. X-Git-Url: http://pere.pagekite.me/gitweb/homepage.git/commitdiff_plain/c0de645c17fdd6b7e7a328324fd4598e0c5a7916?ds=sidebyside Oppdateringer. --- diff --git a/blog/data/2016-12-09-nettaviser-tyster.txt b/blog/data/2016-12-09-nettaviser-tyster.txt index 0309d1911f..f41d2efb84 100644 --- a/blog/data/2016-12-09-nettaviser-tyster.txt +++ b/blog/data/2016-12-09-nettaviser-tyster.txt @@ -3,11 +3,15 @@ Tags: norsk Date: 2016-12-09 10:30 Publish: 2016-12-10 10:30 -

Når jeg bruker Ghostery og andre verktøy for å holde styr på -hvordan nettsteder sprer informasjon om hvilke nettsider jeg leser -blir det veldig synlig hvilke nettsteder som er satt opp til å -utveksle informasjon med utlandet og tredjeparter. For en stund siden -la jeg merke til at det virker å være avvik mellom personvernpolicy og +

Når jeg bruker Ghostery, +uBlock, +uMatrix, +ScriptSafe og andre +nettleserverktøy (de passer på hverandre) for å holde styr på hvordan +nettsteder sprer informasjon om hvilke nettsider jeg leser blir det +veldig synlig hvilke nettsteder som er satt opp til å utveksle +informasjon med utlandet og tredjeparter. For en stund siden la jeg +merke til at det virker å være avvik mellom personvernpolicy og praksis endel steder, og tok tak i et par konkrete eksempler og sendte spørsmål til Datatilsynets kontaktpunkt for veiledning:

@@ -76,7 +80,8 @@ personopplysingsloven § 11, jf. 8.<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11>» - @@ -136,13 +141,13 @@ henviser til § 8.

Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt -spørsål, så neste steg er antagelig å høre om Datatilsynet er +spørsmål, så neste steg er antagelig å høre om Datatilsynet er interessert i å se på saken.

Men Dagbladet er ikke det eneste nettstedet som forteller at de -ikke deler personopplystninger med andre mens observerbar praksis +ikke deler personopplysninger med andre mens observerbar praksis dokumenterer noe annet. Jeg sendte derfor også et spørsmål til -kontaktadressen til nettavisen digi.no, og der var responsen mye +kontaktadressen til nettavisen Digi.no, og der var responsen mye bedre:

@@ -243,15 +248,15 @@ noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»

-

Det var nyttig å vite at de var enige om at formuleringen i +

Det var nyttig å vite at de er enige om at formuleringen i personvernpolicyen er misvisende. Derimot var det nedslående at i stedet for å endre praksis for å følge det personvernpolicyen sier om -å ikke dele personinformasjon med tredjeparter, så velger digi.no å +å ikke dele personinformasjon med tredjeparter, så velger Digi.no å fortsette praksis og i stedet endre personvernpolicyen slik at den å dokumentere dagens praksis med spredning av personopplysninger.

-

Med bakgrunn i at digi.no ikke har fulgt sin egen personvernpolicy -spurte jeg hvordan de kom til å håndtere endringen:

+

Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy +spurte jeg hvordan Digi.no kom til å håndtere endringen:

@@ -290,12 +295,16 @@ som er normalt for norske kommersielle nettsteder.

vi skrur bare av tredjeparts tracking.»

-Det høres jo uhyggelig ut at det er normalt å utlevere lesernes -personopplysninger til utlandet, det er jo ikke en praksis jeg tror er -i tråd med kravene i personopplysningsloven, og heller ikke en praksis -jeg som leser synes er greit. Men jeg hadde fortsatt ikke fått svar -på om de kom til å varsle om avviket mellom praksis og policy, så jeg -forsøkte meg på nytt: +

Det høres jo ikke bra ut at det er normalt for norske kommersielle +nettsteder å utlevere lesernes personopplysninger til utlandet. Men +som en kan lese fra gårdagens oppslag fra NRK gjelder +det også norske kommuner og andre offentlige aktører, og +jeg +skrev om problemet i fjor. Det er uansett ikke en praksis jeg +tror er i tråd med kravene i personopplysningsloven, og heller ikke en +praksis jeg som leser synes er greit. Jeg manglet dog fortsatt svar +på om de kom til å varsle lesere og Datatilsynet om avviket mellom +praksis og policy, så jeg forsøkte meg med en ny epost i går kveld:

@@ -305,16 +314,26 @@ tråd med personvernpolicy?»

-

Det spørsmålet vet jeg så langt ikke svaret på. Antagelig kan -Datatilsynet svare på om det er påkrevd å varsle dem og leserne om +

Det spørsmålet vet jeg så langt ikke svaret på, men . Antagelig +kan Datatilsynet svare på om det er påkrevd å varsle dem og leserne om dette. Jeg planlegger å oppdatere denne bloggposten med svaret når det kommer.

-

Apropos bruken av Google Analytics kan jeg jo nevne at +

De to eksemplene jeg nevner er som dere forstår ikke unike, men jeg +har ikke full oversikt over hvor mange det gjelder. Jeg har ikke +kapasitet til eller glede av å lese alle personvernpolicyer i landet. +Kanskje mine lesere kan sende meg tips på epost om andre nettsteder +med avvik mellom policy og praksis? Hvis vi alle går sammen og +kontakter de ansvarlige, kanskje noen til slutt endrer praksis og +slutter å dele lesernes personopplysninger med tredjeparter?

+ +

Apropos bruken av Google Analytics kan jeg forresten nevne at Universitetet i Oslo også har tatt i bruk Google Analytics, men der -fjernes deler av IP-adressen lokalt på Universitetet via en -mellomtjener/proxy før øvrig informasjon sendes over til Google -Analytics. Dermed er det mulig for ansvarlige for nettstedet å -vite at Google ikke har tilgang til fullstendig IP-adresse. -Bakgrunnen er at juristene ved universitetet har konkludert med at det -er eneste måten en kan bruke Google Analytics uten å bryte loven.

+lagres programkoden som overføres til nettleserne lokalt og deler av +IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy +før informasjon sendes over til Google Analytics. Dermed er det mulig +for ansvarlige for nettstedet å vite at Google ikke har +tilgang til komplett IP-adresse. Årsaken til at denne metoden brukes +er at juristene ved universitetet har konkludert med at det er eneste +måten en kunne vurdere å bruke Google Analytics uten å bryte +loven.