Petter Reinholdtsen: Er lover brutt nÃ¥r personvernpolicy ikke er stemmer med praksis?

Er lover brutt nÃ¥r personvernpolicy ikke er stemmer med praksis?

9th December 2016

NÃ¥r jeg bruker Ghostery, +uBlock, +uMatrix, +ScriptSafe og andre +nettleserverktÃ¸y (de passer pÃ¥ hverandre) for Ã¥ holde styr pÃ¥ hvordan +nettsteder sprer informasjon om hvilke nettsider jeg leser blir det +veldig synlig hvilke nettsteder som er satt opp til Ã¥ utveksle +informasjon med utlandet og tredjeparter. For en stund siden la jeg +merke til at det virker Ã¥ vÃ¦re avvik mellom personvernpolicy og +praksis endel steder, og tok tak i et par konkrete eksempler og sendte +spÃ¸rsmÃ¥l til Datatilsynets kontaktpunkt for veiledning:

+ +

+ +
Â«Jeg har et spÃ¸rsmÃ¥l nÃ¥r det gjelder bruken av Google Analytics og +personvernpolicy. Er det lovlig for et nettsted Ã¥ si en ting i +personvernpolicy og gjÃ¸re noe annet i virkeligheten? Spesifikt lurer +jeg pÃ¥ hvilket lov som er brutt hvis nettstedet i HTML-koden til +nettsidene ber lesernes nettleser om Ã¥ kontakte Google Analytics og +slik overleverer sitt IP-nummer til Google, samtidig som +personvernpolicien hevder at Google Analytics kun fÃ¥r anonymiserte +data. Google fÃ¥r jo i slike tilfeller alltid overfÃ¸rt fullt +IP-nummer, og nettstedet kan i URL-en som brukes be Google om Ã¥ ikke +lagre deler av IP-adressen (omtalt som anonymisering av Google +Analytics)
+ +
Et eksempel er Nettavisen digi.no. +Deres +personvernpolicy sier fÃ¸lgende:
+ +
+ Â«Tredjeparter (som Google Analytics, Cxense, TNS Gallup) fÃ¥r kun + anonymiserte data.Â» +
+ +
Men nÃ¥r en leser artikler der sÃ¥ blir maskiner i Norge, USA, +Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om +besÃ¸ket og fÃ¥r dermed overlevert full IP-adresse, som datatilsynet har +uttalt er en personopplysning. Nettsidene er satt opp til be +nettleseren Ã¥ kontakte 29 ulike maskiner rundt om i verden. Fire av +dem er er under DNS-domenene digi.no og tek.no som tilhÃ¸rer samme +eier. I tillegg ber nettsidene ikke +Google +Analytics om Ã¥ fjerne siste oktett i IP-adressen ved lagring, +dvs. flagget Â«aip=1Â» er ikke satt i URL-en som brukes for Ã¥ kontakte +Google Analytics.
+ +
Tilsvarende er ogsÃ¥ tilfelle for andre nettsteder, sÃ¥ digi.no er +ikke spesiell i sÃ¥ mÃ¥te (dagbladet.no er et annet eksempel, det +gjelder flere).Â»
+ +

+ +

Etter noen dager kunne juridisk rÃ¥dgiver Elisabeth Krauss Amundsen +hos Datatilsynet fortelle det fÃ¸lgende:

+ +

+Â«Hei, og takk for din e-post.
+ +
VÃ¥r svartjeneste gir deg kortfattet rÃ¥dgivning. Vi vil derfor ikke konkludere +i saken din, men gi deg rÃ¥d og veiledning.
+ +
Ut ifra det du skriver er det antakelig flere bestemmelser i +personopplysingsloven som brytes dersom virksomhetens personvernpolicy +sier noe annet om behandlingen av personopplysninger enn det som +faktisk skjer. Antakelig vil det vÃ¦re et brudd pÃ¥ informasjonsplikten +i personopplysingsloven Â§Â§ 18 og +19<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#Â§18> +dersom det gis feilinformasjon om at opplysningene utleveres. Det kan +ogsÃ¥ stilles spÃ¸rsmÃ¥l om grunnkravene for behandling av +personopplysninger vil vÃ¦re oppfylt ved en utlevering av +personopplysninger til en tredjepart, dersom dette ikke er inkludert +behandlingsgrunnlaget og formÃ¥let med behandlingen, se +personopplysingsloven Â§ 11, jf. +8.<https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#Â§11>Â» +

+ + + +

Oppdatert med kunnskap om lover og regler tok jeg sÃ¥ kontakt med +Dagbladet pÃ¥ epostadressen de annonserer pÃ¥ sine +personvernpolicysider:

+ +

+ +
Â«Jeg lurte litt i forbindelse med en bloggpost jeg skriver pÃ¥, og lurer +pÃ¥ om dere hjelpe meg med Ã¥ finne ut av fÃ¸lgende. FÃ¸rst litt +bakgrunnsinformasjon. +Dagbladets +personvernpolicy forteller fÃ¸lgende:
+ +
+
Â«3. Automatisk innhentet informasjon
+ +
For eksempel IP-adressen din (ikke synlig for andre) samt + statistisk, automatisk produsert informasjon, som nÃ¥r du sist var + innlogget pÃ¥ tjenesten. Dette er informasjon vi samler for Ã¥ gjÃ¸re + tjenesten best mulig.Â»
+ +
+ + +
Men nÃ¥r en besÃ¸ker nettsidene til Dagbladet, +f.eks. forsiden, sÃ¥ er nettsidene +satt opp til Ã¥ kontakte mange tredjeparter som slik fÃ¥r tilgang til +bÃ¥de fullt IP-nummer og i de fleste tilfeller nÃ¸yaktig hvilken +artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges +ved. Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick +med flere. Totalt ber forsiden nettleseren om Ã¥ koble seg opp til 60 +nettsteder med 149 separate oppkoblinger. I hver av disse +oppkoblingene oversendes IP-adressen til leseren, og i fÃ¸lge +Datatilsynet er +Â«en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltpersonÂ».
+ +
Datatilsynet har fortalt meg at i fÃ¸lge personopplysingsloven Â§Â§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger vÃ¦re korrekt. De forteller videre at det er endel +grunnkrav som mÃ¥ vÃ¦re oppfylt ved utlevering av personopplysninger til +tredjeparter, nÃ¦rmere forklart i personopplysingsloven Â§ 11 som +henviser til Â§ 8.
+ +
Mitt spÃ¸rsmÃ¥l er dermed som fÃ¸lger:
+ +
+ +
Hva mener dere i personpolicyen nÃ¥r dere skriver at IP-adressen ikke + er synlig for andre?Â»
+ +
+ +

+ +

Etter en uke har jeg fortsatt ikke fÃ¥tt svar fra Dagbladet pÃ¥ mitt +spÃ¸rsmÃ¥l, sÃ¥ neste steg er antagelig Ã¥ hÃ¸re om Datatilsynet er +interessert i Ã¥ se pÃ¥ saken.

+ +

Men Dagbladet er ikke det eneste nettstedet som forteller at de +ikke deler personopplysninger med andre mens observerbar praksis +dokumenterer noe annet. Jeg sendte derfor ogsÃ¥ et spÃ¸rsmÃ¥l til +kontaktadressen til nettavisen Digi.no, og der var responsen mye +bedre:

+ +

+ +
Â«Jeg lurte pÃ¥ en ting i forbindelse med en bloggpost jeg skriver pÃ¥, +og lurer pÃ¥ om dere hjelpe meg. FÃ¸rst litt bakgrunnsinformasjon. +Digi.nos +personvernpolicy forteller fÃ¸lgende:
+ +
+ Â«All personlig informasjon blir lagret i vÃ¥re systemer, disse er ikke + tilgjengelig for tredjeparter, og blir ikke lagret i + informasjonskapsler. Tredjeparter (som Google Analytics, Cxense, + TNS Gallup) fÃ¥r kun anonymiserte data.Â» +
+ +
Men nÃ¥r en besÃ¸ker nettsidene til nettavisen, f.eks. +forsiden, sÃ¥ er nettsidene satt opp +til Ã¥ kontakte mange tredjeparter som slik fÃ¥r tilgang til bÃ¥de fullt +IP-nummer og i de fleste tilfeller nÃ¸yaktig hvilken artikkel en leser +hos Digi.no ved at Referer-feltet fylles og legges ved. Dette gjelder +bÃ¥de Google Analytics, Cxense blant og INS Gallum. Totalt ber +forsiden nettleseren om Ã¥ koble seg opp til 29 nettsteder med 44 +separate oppkoblinger. I hver av disse oppkoblingene sendes +IP-adressen til leseren over, og i fÃ¸lge Datatilsynet er +Â«en +IP-adresse definert som en personopplysning fordi den kan spores +tilbake til en bestemt maskinvare og dermed til en enkeltpersonÂ». +Det jeg ser virker ikke Ã¥ vÃ¦re i trÃ¥d med personvernpolicyen.
+ +
NÃ¥r en besÃ¸ker Digi.nos nettsider gjÃ¸res det to oppkoblinger til +Google Analytics, en for Ã¥ hente ned programkoden som samler +informasjon fra nettleseren og sender over til Google (analytics.js), +og en for Ã¥ overfÃ¸re det som ble samlet inn. I den siste oppkoblingen +er det mulig Ã¥ be Google om Ã¥ ikke ta vare pÃ¥ hele IP-adressen, men i +stedet fjerne siste oktett i IP-adressen. Dette omtales ofte litt +misvisende for Â«anonymisertÂ» bruk av Google Analytics, i og med at +fullt IP-nummer blir sendt til Google og det er opp til Google om de +vil bry seg om Ã¸nsket fra de som har laget nettsiden. Ut fra det som +stÃ¥r i personvernpolicyen ville jeg tro at Digi.no ba google om Ã¥ ikke +ta vare pÃ¥ hele IP-nummeret, men nÃ¥r en ser pÃ¥ den andre oppkoblingen +kan en se at flagget Â«aio=1Â» ikke er satt, og at Digi.no ikke ber +Google om Ã¥ la vÃ¦re Ã¥ lagre hele IP-adressen. Dette virker heller +ikke Ã¥ vÃ¦re i trÃ¥d med personvernpolicyen.
+ +
Datatilsynet har fortalt meg at i fÃ¸lge personopplysingsloven Â§Â§ 18 +og 19 skal informasjonen som gis om bruk og utlevering av +personopplysninger vÃ¦re korrekt. De forteller videre at det er endel +grunnkrav som mÃ¥ vÃ¦re oppfylt ved utlevering av personopplysninger til +tredjeparter, nÃ¦rmere forklart i personopplysingsloven Â§ 11 som +henviser til Â§ 8. Det er uklart for meg om disse kravene er oppfylt +nÃ¥r IP-adresse og informasjon om hvilke websider som besÃ¸kes til +tredjeparter.
+ +
Mitt spÃ¸rsmÃ¥l er dermed som fÃ¸lger:
+ +
+ +
Hva mener dere i personpolicyen nÃ¥r dere skriver at Â«Tredjeparter + fÃ¥r kun anonymiserte dataÂ»?Â»
+ +
+ +

+ +

Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han +mÃ¥tte komme tilbake til meg nÃ¥r han hadde med utviklingsavdelingen. +Seks dager senere lurte jeg pÃ¥ hva han fant ut, og etter noen timer +fikk jeg sÃ¥ fÃ¸lgende svar fra direktÃ¸ren for teknologi og +forretningsutvikling Ãystein W. HÃ¸ie i Teknisk Ukeblad Media:

+ +

+ +
Â«Takk for godt tips! Det er helt riktig at IP og referrer-adresse +potensielt kan leses ut av tredjepart.
+ +
Retningslinjene vÃ¥re har vÃ¦rt uklare pÃ¥ dette tidspunktet, og vi +oppdaterer nÃ¥ disse sÃ¥ dette kommer tydeligere frem. Ny tekst blir som +fÃ¸lger:
+ +
+
3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til +oss blir lagret i vÃ¥re systemer, er ikke tilgjengelig for +tredjeparter, og blir ikke lagret i informasjonskapsler. +Informasjonen vil kun benyttes til Ã¥ gi deg som bruker mer relevant +informasjon og bedre tjenester.
+ +
Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne +hente ut IP-adresse og data basert pÃ¥ dine surfemÃ¸nstre. TU Media AS +er pliktig Ã¥ pÃ¥se at disse tredjepartene behandler data i trÃ¥d med +norsk regelverk.
+
+ +
Ellers har vi nÃ¥ aktivert anonymisering i Google Analytics +(aip=1). Kan ogsÃ¥ nevne at Tek.no-brukere som har kjÃ¸pt Tek Ekstra har +mulighet til Ã¥ skru av all tracking i kontrollpanelet sitt. Dette er +noe vi vurderer Ã¥ rulle ut pÃ¥ alle sidene i vÃ¥rt nettverk.Â»
+ +

+ +

Det var nyttig Ã¥ vite at de er enige om at formuleringen i +personvernpolicyen er misvisende. Derimot var det nedslÃ¥ende at i +stedet for Ã¥ endre praksis for Ã¥ fÃ¸lge det personvernpolicyen sier om +Ã¥ ikke dele personinformasjon med tredjeparter, sÃ¥ velger Digi.no Ã¥ +fortsette praksis og i stedet endre personvernpolicyen slik at den Ã¥ +dokumentere dagens praksis med spredning av personopplysninger.

+ +

Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy +spurte jeg hvordan Digi.no kom til Ã¥ hÃ¥ndtere endringen:

+ +

+ +
Â«Tusen takk for beskjed om endring av personvernpolicy for digi.no. +Gjelder endringen ogsÃ¥ andre nettsteder?
+ +
Vil tidligere hÃ¥ndteringen av IP-adresser og lesemÃ¸nster i strid +med dokumentert personvernpolicy bli varslet til Datatilsynet i trÃ¥d +med +personopplysningsforskriften +Â§ 2-6? Vil leserne bli varslet pÃ¥ en prominent og synlig mÃ¥te om +at lesernes IP-adresser og lesemÃ¸nster har vÃ¦rt utlevert til +tredjeparter i stid med tidligere formulering om at tredjeparter kun +fÃ¥r anonymiserte data, og at utleveringen fortsetter etter at +personvernpolicy er endret for Ã¥ dokumentere praksis?
+ +
Appropos ekstra tilbud til betalende lesere, tilbyr dere en +mulighet for Ã¥ betale for Ã¥ lese som ikke innebÃ¦rer at en mÃ¥ gjÃ¸re det +mulig Ã¥ la sine lesevaner blir registeret av tek.no? Betaler gjerne +for Ã¥ lese nyheter, men ikke med en bit av privatlivet mitt. :)Â»
+

+ +

Jeg fikk raskt svar tilbake fra direktÃ¸ren HÃ¸ie:

+ +

+
Â«TydeliggjÃ¸ringen i personvernpolicy gjelder alle vÃ¥re nettsteder.
+ +
Vi kommer til Ã¥ ta en runde og gÃ¥ over vÃ¥r policy i forbindelse med +dette, og vil i de tilfeller det er pÃ¥krevd selvsagt vÃ¦re tydelig +overfor brukere og tilsyn. Vil samtidig understreke at vÃ¥r bruk av +tredjeparts analyseverktÃ¸y og annonsetracking er helt pÃ¥ linje med det +som er normalt for norske kommersielle nettsteder.
+ +
AngÃ¥ende spÃ¸rsmÃ¥let ditt: +
Du vil fortsatt vise i vÃ¥re interne systemer om du blir Ekstra-bruker, +vi skrur bare av tredjeparts tracking.Â»
+

+ +

Det hÃ¸res jo ikke bra ut at det er normalt for norske kommersielle +nettsteder Ã¥ utlevere lesernes personopplysninger til utlandet. Men +som en kan lese fra gÃ¥rdagens oppslag fra NRK gjelder +det ogsÃ¥ norske kommuner og andre offentlige aktÃ¸rer, og +jeg +skrev om problemet i fjor. Det er uansett ikke en praksis jeg +tror er i trÃ¥d med kravene i personopplysningsloven, og heller ikke en +praksis jeg som leser synes er greit. Jeg manglet dog fortsatt svar +pÃ¥ om de kom til Ã¥ varsle lesere og Datatilsynet om avviket mellom +praksis og policy, sÃ¥ jeg forsÃ¸kte meg med en ny epost i gÃ¥r kveld:

+ +

+ +
Â«Kan du fortelle meg om dere anser det Ã¥ vÃ¦re pÃ¥krevd Ã¥ varsle +tilsyn og brukere nÃ¥, nÃ¥r dere har oppdaget at praksis ikke har vÃ¦rt i +trÃ¥d med personvernpolicy?Â»
+ +

+ +

Det spÃ¸rsmÃ¥let vet jeg sÃ¥ langt ikke svaret pÃ¥, men . Antagelig +kan Datatilsynet svare pÃ¥ om det er pÃ¥krevd Ã¥ varsle dem og leserne om +dette. Jeg planlegger Ã¥ oppdatere denne bloggposten med svaret nÃ¥r +det kommer.

+ +

De to eksemplene jeg nevner er som dere forstÃ¥r ikke unike, men jeg +har ikke full oversikt over hvor mange det gjelder. Jeg har ikke +kapasitet til eller glede av Ã¥ lese alle personvernpolicyer i landet. +Kanskje mine lesere kan sende meg tips pÃ¥ epost om andre nettsteder +med avvik mellom policy og praksis? Hvis vi alle gÃ¥r sammen og +kontakter de ansvarlige, kanskje noen til slutt endrer praksis og +slutter Ã¥ dele lesernes personopplysninger med tredjeparter?

+ +

Apropos bruken av Google Analytics kan jeg forresten nevne at +Universitetet i Oslo ogsÃ¥ har tatt i bruk Google Analytics, men der +lagres programkoden som overfÃ¸res til nettleserne lokalt og deler av +IP-adressen fjernes lokalt pÃ¥ universitetet via en mellomtjener/proxy +fÃ¸r informasjon sendes over til Google Analytics. Dermed er det mulig +for ansvarlige for nettstedet Ã¥ vite at Google ikke har +tilgang til komplett IP-adresse. Ãrsaken til at denne metoden brukes +er at juristene ved universitetet har konkludert med at det er eneste +mÃ¥ten en kunne vurdere Ã¥ bruke Google Analytics uten Ã¥ bryte +loven.

+ +

Tags: norsk.

+ + +

+ Petter Reinholdtsen + +

Archive

Tags