Generated.

[homepage.git] / blog / draft / 2015-google-analytics.txt

<html
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
</head>

http://www.nrk.no/livsstil/_-har-ikke-kontroll-med-cookies-1.12399474
https://kommunen.dk/kommunale-hjemmesider-sladrer-uden-tilladelse/

Leserbrev/kronikk.  Hvor bør den sendes?  Sendt til NRK Ytring
2015-02-17, avslag 2015-02-18.  Sendt til DN D2-magasin 2015-02-18.

http://www.kulturverk.com/
http://www.magasinetplot.no/
http://www.kulturverk.com/kontakt/
NRK ytring (nei takk) 
Aftenposten innsikt
Amagasinet kan faktisk være en mulighet, også
Næringsavisens (sp?) D2-magasin

Kronikk tilbydt NRK Ytring (2015-02-17, takket nei 2015-02-18), Dagens
Næringsliv (tilbudt 2015-02-18, interessert, deretter stille i
ukesvis), Verdens Gang (tilbudt 2015-06-10, intet svar), Dagbladet
(tilbudt 2015-07-07, takket nei), Morgenbladet (tilbudt 2015-09-09,
intet svar, forsøkt ny adresse 2015-10-20), Klassekampen (tilbudt
2015-09-27, intet svar), Dagsavisen (tilbudt 2015-10-06, intet svar),
Aftenposten (tilbudt 2015-10-12, takket nei 2015-10-13), Dag og Tid
(tilbudt 2015-10-14)

https://theintercept.com/2015/09/25/gchq-radio-porn-spies-track-web-users-online-identities/

Denne teksten sto på trykk i XXX 2015-XXX.


<p><strong>Snurpenot-overvåkning av sensitiv personinformasjon</strong></p>

<p>Av Petter Reinholdtsen</p>

<p>Tenk om et norsk sykehus delte informasjon om hva som blir lest på
sykehusets nettsted og hvem som leser dem til noen som samarbeider med
et fremmed lands etterretningstjenester, og at informasjonen ble delt
på en måte som lot flere andre fremmede lands etterretningstjenester
snappe opp informasjonen.  Tenk om de fleste sykehus, kommuner,
helsestasjoner, Stortinget, universiteteter, høyskoler, grunnskoler,
og det meste av offentlig forvaltning gjør det samme.  Det samme gjør
aviser og andre medier som NRK og TV2, sammen med adopsjonstjenester
og krisesenter.  Ville det gitt grunn til bekymring?</p>

<p>En slik praksis ville gjøre det mulig for nevnte
etterretningsorganisasjoner å holde oversikt over norske borgeres
interesser og hva de holder på med over tid.  Det ville ikke bare
gjelde mannen i gata, men også stortingsrepresentanter, dommere,
statsminister, regjering, embedsverket, politifolk og andre offentlige
tjenestemenn.  Med den innsamlede informasjonen kan en for eksempel
finne ut hvilke sykdommer folk er interessert i, hvorvidt de er
interessert i alkoholisme, adopsjon, abort eller barnehager, hvilke
politiske saker de følger med på og hvilke politiske sympatier de har.
En kan finne ut hvilke argumenter som vil ha mest effekt på
beslutningstagere og måter de kan påvirkes.</p>

<p>Det høres kanskje ut som en absurd og ekstrem fremtidsvisjon tatt
ut fra fantasien til George Orwell, forfatteren av dystopien 1984?
Men det er desverre virkeligheten i Norge i dag.</p>

<p><strong>Du kan beskytte deg</strong></p>

<p>Er vi så hjelpeløse og uten forsvar mot dette angrepet på
privatsfæren?  Heldigvis ikke.  Dagens nettlesere har utvidelser som
støtter å blokkere slike angrep ved å kjenne igjen slik rapportering
og nekte å sende informasjonen videre.  Personlig bruker jeg Ghostery,
NoScript og AdBlock for å blokkere slike spionløsninger.  Førstnevnte
viser en oversikt over hva som er blokkert (av kjente ting, ny og
ukjent spionkode blir ikke blokkert), mens AdBlock blokkerer i det
stille.  NoScript blokkerer JavaScript-programkode fra nettsteder jeg
ønsker å blokkere.  Jeg bruker alle tre, da de har litt ulik fokus, og
til sammen blokkerer de mer enn hver for seg.  Jeg anbefaler alle å
gjøre det samme, samt sende inn protest til organisasjoner med
nettsteder som bruker slik spionprogramvare i dag.</p>

<p><strong>Hvordan foregår det?</strong></p>

<p>Den mest populære måten å dele informasjon om de besøkendes
bruksmønster på norske nettsteder er Google Analytics.  Måten den
fungerer på er at nettstedet legger inn et program i hver nettside som
ber brukerens nettleser ta kontakt med Google og rapportere hva slags
sider en ser på.  For at dette skal fungere må brukeren oppgi sin
IP-adresse til Google Analytics (ellers oppnås det ikke kontakt).
Deretter sendes det over informasjon om hvilken nettleser og versjon
man bruker, hvilke filformater, språk og komprimeringsmetoder man
bruker, og en rekke andre parametre som kan brukes til å identifisere
hvem brukeren er, som skjermoppløsning og fargedybde, språkvalg og
nøkkeltall som nettleseren er bedt om å huske.  I sum gjør dette det
mulig å identifisere nettleseren og brukeren på tvers av alle
nettsteder, enten unikt eller som del av et liten gruppe
nettlesere/personer.  I tillegg til at dette programmet tar kontakt
med Google for å rapportere om hva brukeren ser på, så har de fleste
nettsteder satt opp nettsidene sine til å hente selve programmet fra
Google Analytics sine nettsider.  Dvs. at programmet kan forandre seg
alt etter hvem som spør, og at en ikke kan vite hva det kommer til å
samle inn og rapportere om i fremtiden.</p>

<p>Google Analytics har et valg nettsteder kan ta i bruk som har det
litt misvisende navnet "anonymisering".  Det betyr at nettsiden har
justert programmet som sender over informasjon om nettleseren til å gi
Google Analytics-innsamleren beskjed om å ikke ta vare på siste del av
IP-adressen.  Det skal i teorien gjøre det vanskeligere å unikt
identifisere enkeltbrukere, men er i praksis irrelevant fra et
etterretningsperspektiv da IP-adressen overleveres Google og det ikke
finnes noen måte for innbyggere og nettstedseiere å styre hva de som
lytter på veien (og for så vidt Google selv) gjør med den.  I tillegg
er det oversendt nok informasjon til at det vil være mulig å
identifisere brukerne likevel.  Mekanismene som brukes til
de-anonymisering er godt kjent for de som ønsker det og blir stadig
mer fantasifulle.</p>

<p>Hvordan kan vi vite at Google samarbeider med utenlandsk
etterretning og at utenlandsk etterretning avlytter trafikk sendt til
Google analytics?  Mye takket være varsleren Edward Snowden, som bidro
til uvurderlig dokumentasjon på snurpenot-overvåkningen som nordmenn
blir utsatt for i dag. Men allerede før Snowden bekreftet at både
britiske GCHQ og USAs NSA bedriver signaletterretning og avlytter og
lagrer trafikk som passerer begge landene, var det kjent at NSA bedrev
slik praksis.  Det var også kjent at FRA i Sverige avlyttet og lagret
trafikk som passerte grensa til Sverige.  Hvor trafikken går gjennom
Internet er kjent, og for Norges del går det meste via Sverige, videre
via England til USA for å nå Google Analytics.  Noen ganger går den
kortere veier, men den passerer grenser der trafikk avlyttes av FRA,
GCHQ og NSA.  Snowden bidro til at det ble kjent at Google samarbeider
med NSA, samt at NSA har tilgang til interne datakilder hos Google,
med eller uten Googles vitende.  Det er av samme grunn kjent at NSA
ikke anser SSL-kryptert nett-trafikk som en utfordring å avlytte, slik
at det er urealistisk å tro at det reduserer signaletterretningen å
bruke HTTPS mot Google Analytics.  En bør anta at andre
signaletterretningsorganisasjoner utnytter de samme mulighetene.</p>

<p><strong>Hvem bidrar til spionasjen</strong></p>

<p>Takket være Ghostery la jeg merke til at flere og flere norske
nettsteder begynte å bidra til spionasje på det norske folk, og jeg
ble litt nysgjerrig på hvor mange det egentlig gjelder.  Jeg tok
derfor en gjennomgang av ca. 2700 nettsider, i hovedsakelig offentlig
forvaltning, laget et system for å koble seg opp automatisk og sjekke
hvor de spredte informasjon om besøket, og ble overrasket over både
omfanget og hvilke typer nettsteder som rapporterer besøksinformasjon
ut av landet.  Omtrent 70 prosent sender informasjon om besøket til
Google Analytics.  Noen tilfeldige eksempler er Akershus
universitetssykehus, Sykehuset Østfold, Lommelegen, Oslo krisesenter,
Stortinget, den norske regjering, de fleste politiske partier på
Stortinget, NAV, Altinn, NRK, Helse Førde, Helse Stavanger, Oslo
kommune, Nasjonabiblioteket, Pasientombudet, Kongehuset, Politiet,
Teknologirådet, Tollvesenet, Norsk romsenter, Forsvarsbygg og
Sivilforsvaret.  Og det er mange, mange flere.</p>

<p><strong>Mer hemmelighetskremmeri</strong></p>

<p>Du lurer kanskje på hvordan det offentlige Norge kan omfavne en
praksis der de besøkendes interesser deles med utenlandsk
etterretning?  Som alltid er det gode hensikter bak.  Google har laget
en god tjeneste for nettstedseiere, der de uten å betale med noe annet
enn en bit av de besøkenes privatsfære får tilgang til nyttig og
presis statistikk over nettstedets bruk.  Nettstedseier har få andre
ulemper enn potensielt dårlig omdømme.  Ulempene er det de besøkende
som får, og de aller fleste merker aldri til ulempene og vil dermed
ignorere angrepet på privatsfæren som nettstedene og Google går sammen
om å gjennomføre.</p>

<p>Men det er jo ikke første gang det offisielle Norge med gode
hensikter velger å lukke øynene for overvåkning fra USA.  Tankene går
til en nyhetssak fra NRK for noen dager siden om hvordan regjeringen
har valgt å stemple
<ahref="http://www.nrk.no/fordypning/hemmeligstempler-gamle-dokumenter-1.12198893">tidligere
offentlige dokumenter som hemmelige igjen</a>, og i et av dem,
<ahref="http://www.documentcloud.org/documents/1658370-mte-i-sikkerhetsutvalget-3-juli-1958.html">protokoll
for møte i Regjeringens sikkerhetsutvalg fra torsdag 3. juli 1958
(side 3)</a> finner en følgende uttalelse om en planlagt lyttestasjon
på norsk jord:</p>

<p><blockquote>
  Vilkåret er at de innsamlede opplysninger hurtigst mulig stilles til
  rådighet for De forente stater.  Opplysninger skal dog også kunne
  brukes av norske militære myndigheter og amerikanerne har sagt seg
  villig til å gjøre norske militære myndigheter kjent med resultatene
  av sine analyser av det innsamlede materialet.
</blockquote></p>

<p>Hvordan kan vi vite at dette ikke beskriver det som gjøres på
norske nettsteder i dag?</p>

<p>Forøvrig burde varsleren Edward Snowden få politisk asyl i
Norge.</p>

<p>
 - hvordan identifiseres brukere
   - ip-adresser
   - browser-signaturer
   - cookies

 v google samarbeider med NSA
 v ssl forteller NSA ikke er noe avlyttingsproblem
 v FRA, GCHQ lytter på all trafikk som passerer Sverige og England
 v Eksempler på nettsteder som rapporterer til GA
 v "anonymseringen" er verdiløs
 v enkeltdatamaskiner og husstander kan identifiseres
 v løsning: blokker google analytics og andre spiontjenester


NSA/FRA warning for http://www.arbeiderpartiet.no/
NSA/FRA warning for http://www.senterpartiet.no/
NSA/FRA warning for http://www.hoyre.no/
NSA/FRA warning for http://www.frp.no/
NSA/FRA warning for http://www.krf.no/
NSA/FRA warning for http://www.demokratene.no/

http://www.brighthub.com/internet/google/articles/65268.aspx
https://en.wikipedia.org/wiki/Google_Analytics




==================================================
Kortversjon 2:


Snurpenot-overvåkning av sensitiv personinformasjon

Av Petter Reinholdtsen

Tenk om et norsk sykehus delte informasjon om hva som blir lest på
sykehusets nettsted og hvem som leser dem, til noen som samarbeider
med et fremmed lands etterretningsvesen, og at flere andre fremmede
lands etterretningstjenester snapper opp informasjonen.

Tenk om de fleste sykehus, kommuner, helsestasjoner, Stortinget,
universiteteter, høyskoler, grunnskoler, og det meste av offentlig
forvaltning, aviser og andre medier som NRK og TV2, sammen med
adopsjonstjenester og Krisesenter gjør det samme?

Tenk om de som lytter holder oversikt over norske borgeres
rettigheter, interesser, sykdommer, alkoholisme, adopsjon, abort,
barnehager, politiske saker og sympatier, hvilke argumenter som har
best effekt på beslutningstagere og måter de kan påvirkes. Ville det
gitt grunn til bekymring?

Høres det ut som en absurd og ekstrem fremtidsvisjon tatt ut fra
fantasien til George Orwell, forfatteren av dystopien 1984?

Dette er dessverre virkeligheten i Norge i dag.

Du kan beskytte deg
-------------------

Er vi så hjelpeløse og uten forsvar mot dette angrepet på
privatsfæren? Heldigvis ikke. Dagens nettlesere har utvidelser som
støtter å blokkere slike angrep. Personlig bruker jeg Privacy Badger,
Ghostery, NoScript og AdBlock.  Jeg anbefaler alle å gjøre det samme,
og sende inn protest til organisasjonene bak nettsteder som bruker
slik spionprogramvare.  Merk at noen av verktøyene lekker informasjon,
i tillegg til å gjøre en nyttig jobb, sa det er lurt å bruke flere
sammen.

Hvordan foregår det?
--------------------

Google Analytics, med det litt misvisende navnet «anonymisering», har
et valg nettsteder kan ta i bruk. Informasjon om besøkendes
bruksmønster deles. Programmet ber brukerens nettleser ta kontakt med
Google og rapportere hva slags sider en ser på, og gjøre det mulig å
identifisere nettlesere og brukeren på tvers av alle andre
nettsteder. Programmet kan forandre seg alt etter hvem som spør.

Hvordan kan vi vite at Google samarbeider med utenlandsk etterretning
som avlytter trafikk sendt til Google analytics? Mye takket være
varsleren Edward Snowden, som bidro til uvurderlig dokumentasjon på
snurpenot-overvåkningen som nordmenn blir utsatt for.

Allerede før Snowden er det bekreftet at britiske GCHQ og USAs NSA
bedriver signaletterretning og avlytter og lagrer trafikk som passerer
begge landene, og at FRA i Sverige avlyttet og lagret trafikk som
passerte grensa til Sverige.


Hvem bidrar til spionasjen?
---------------------------

Takket være Ghostery la jeg merke til at flere og flere norske
nettsteder begynte å bidra til spionasje på det norske folk. Jeg ble
nysgjerrig på hvor mange det gjelder., og tok derfor en gjennomgang av
ca. 2700 nettsider, i hovedsakelig offentlig forvaltning, og laget et
system for å koble seg opp automatisk og sjekke hvor de spredte
informasjon om besøket. Jeg ble overrasket over både omfanget og
hvilke typer nettsteder som rapporterer besøksinformasjon ut av
landet. Omtrent 70 prosent sender informasjon til Google
Analytics. Noen tilfeldige eksempler er Akershus universitetssykehus,
Sykehuset Østfold, Lommelegen, Oslo krisesenter, Stortinget, den
norske regjering, de fleste politiske partier på Stortinget, NAV,
Altinn, NRK, Helse Førde, Helse Stavanger, Oslo kommune,
Nasjonalbiblioteket, Pasientombudet, Kongehuset, Politiet,
Teknologirådet, Tollvesenet, Norsk romsenter, Forsvarsbygg og
Sivilforsvaret. Og det er mange, mange flere.


Mer hemmelighetskremmeri
------------------------

Hvordan kan det offentlige Norge omfavne en slik praksis? Det er gode
hensikter bak. Google har laget en god tjeneste for nettstedseiere,
der de uten å betale med noe annet enn en bit av de besøkenes
privatsfære får tilgang til nyttig og presis statistikk over
nettstedets bruk. De aller fleste merker aldri ulempene angrepet på
privatsfæren som nettstedene og Google gjennomfører.

Det er ikke første gang det offisielle Norge med gode hensikter velger
å lukke øynene for overvåkning fra USA.  NRK dokumenterte nylig
hvordan regjeringen valgte å stemple tidligere offentlige dokumenter
som hemmelige igjen, noe protokoll fra Regjeringens sikkerhetsutvalg
torsdag 3. juli 1958 om en planlagt lyttestasjon på norsk jord viser:

  Vilkåret er at de innsamlede opplysninger hurtigst mulig stilles til
  rådighet for De forente stater. Opplysninger skal dog også kunne
  brukes av norske militære myndigheter og amerikanerne har sagt seg
  villig til å gjøre norske militære myndigheter kjent med resultatene
  av sine analyser av det innsamlede materialet.

Hvordan kan vi vite at dette ikke beskriver det som gjøres på norske
nettsteder i dag?

For øvrig burde varsleren Edward Snowden få politisk asyl i Norge.

----------------------------------------------------------------------
Hvis DN ønsker å bekrefte dokumentasjonen fra 1958, kan de legge
lenkene i egen ramme:

Det er ikke første gang det offisielle Norge med gode hensikter velger
å lukke øynene for overvåkning fra USA. En nyhetssak fra NRK nylig
dokumenterte hvordan regjeringen har valgt å stemple
<ahref="http://www.nrk.no/fordypning/hemmeligstempler-gamle-dokumenter-1.12198893">tidligere
offentlige dokumenter som hemmelige igjen</a>.
<ahref="http://www.documentcloud.org/documents/1658370-mte-i-sikkerhetsutvalget-3-juli-1958.html">
Uttalelsen er dokumentert i protokoll fra Regjeringens
sikkerhetsutvalg torsdag 3. juli 1958 om en planlagt lyttestasjon på
norsk jord, jfr. lenkene.


http://www.dn.no/tekno/2013/02/03/amerikanerne-kan-se-hvert-ord-du-skriver
https://firstlook.org/theintercept/2015/07/01/nsas-google-worlds-private-communications/



anyway, while I have you on the line.  I wonder about british privacy law.  in norway, it is required to have a data handling agreement in place before asking others to handle personal information on your behalf.  are there similar laws in Britain?
Sat 11:02 AM
the background is to figure out if alaveteli/whatdotheyknow use in UK require an agreement with google when passing the users IP address to google to fetch javascripts for required functionallity (the captcha and the javascript pdf viewer).  I suspect it is required here in Norway, and hope it is required in UK too, to raise the priority of avoiding the google dependency for the core developers. :)
Sat 11:05 AM
Very interesting.
Sat 11:19 AM
Yes, that requirement exists, but they won't care, because the U.K. ICO will never get on their case for this.
Sat 11:19 AM
In general first party websites are responsible for ensuring their whole systems are compliant with data protection laws and can satisfactorily perform all the required actions attached to this.
Sat 11:21 AM
There are different means to ensure that, and one of them is an explicit agreement  eteeen the two parties.
Sat 11:22 AM
Most websites however when you contact them for that issue claim they are compliant and refer to what Google forces them to add to their own privacy policy.
Sat 11:22 AM
In effect, Google lawyers have figured out a way to make all those websites complicit: the language added covers the processing done by the website, not that done by Google. But the website is still liable for the processing done by Google.
Sat 11:24 AM
So you have to actively show to the website they are failing in their legal duty.
Sat 11:24 AM
There is a neat way to do this: access requests.
Sat 11:24 AM
(Before I get into Access Requests, it could be argued this extra language in the privacy policy, or the agreement the website has with G is the agreement itself)
Sat 11:26 AM
(it could be, as long as it ensures all rights can be respected, including access)
Sat 11:27 AM
So the only active tool you have to create the problem is "Access": Ask the website for the data collected by Google through the use of the website. This works especially if the website requires identification and stores Google Analytics values as 1st party cookie. No excuse then.
Sat 11:27 AM
Then the website has to somehow find Google, contact them, argue that G respect local laws, etc. G will not bulge. And then, you are good: either the website stops using GA, or they *knowingly* keep on using an illegal service. That's a good basis for a local complaint.
Sat 11:30 AM
The wonderful thing is that this scales really really well. And it's also the best way to make adtech more transparent.
Sat 11:31 AM
I was thinking of using that strategy with newspapers as first parties, not FOI sites though.  :)
Sat 11:31 AM
right.  was planning to ask for a copy of the agreement with google, which is the approach that has proven slightly effective here in Norway.
Sat 11:40 AM
You saw my comment on Mimesbronn about this, right?
Sat 11:40 AM
do not remember it, at least.  the messages on mimes brønn get in faster than I manage to read them.  ~300 messages in my backlog. :)
Sat 11:41 AM
I have tried the same with government authorities in Belgium and Switzerland. No one respects the law.
Sat 11:41 AM
Right. But there was specific request for Google Analytics stuff.
Sat 11:41 AM
If you want I can add any website you wish to PersonalData.IO
Sat 11:42 AM
I had some success in <URL: https://www.mimesbronn.no/request/personopplysninger_til_google_sk_2 >, but this was google forms, not google analytics.
Sat 11:42 AM
I think that's the one, yes.
Sat 11:42 AM
google analytics is going to be a harder nut to crack, as very few understand how it work and that it actually is collecting personal information.
Sat 11:42 AM
Google claims it doesn't.
Sat 11:43 AM
Can you partner on this with Norwegian consumer org, for them to link with other consumer orgs?  That's actually part of what I wanted to talk with Aftenposten.
Sat 11:43 AM
well, the norwegian privacy agency (datatilsynet) have decleared IP address to be personal information, so it is hard to get away with such claim...
Sat 11:43 AM
No, because Google will claim they don't keep the IP. They only keep part of IP.
Sat 11:44 AM
Of course they don't tell you what else they keep. And the whole point of the system is to track people of course.
Sat 11:44 AM
How likely is all this to interest people on Tuesday, if I frame it a bit wider?
Sat 11:45 AM
the norwegian consumer agencies are using Google Analytics too, so I suspect it will be hard for them to take on the case..
Sat 11:45 AM
Right. Then ask them for your data.
Sat 11:45 AM
no idea who show up, so I do not know what will interest them. :)
Sat 11:46 AM
Seriously this is the best way to force them to look at the law.
Sat 11:46 AM
good idea.
Sat 11:46 AM
You don't make friends that way though...
Sat 11:46 AM
But it is crucial for new forms of journalism and understanding of very complex tools that, as we see, are new forms of power.
Sat 11:47 AM
that do not worry me.  I follow up several threads in parallell, but my capacity is limited with full time job and kids in the house. :)   One thread is google forms use, where I have some limited success.  another is iOS copyright terms in schools, where Apple claim the right to collect personal information and the school authority claim it do not apply, and a third is the use of google analytics in 70% of the norwegian web sites.
Sat 11:49 AM
In Europe you can also ask for "logic of processing" which would include details on how the third party processes data on behalf of the first party.
Sat 11:49 AM
(Details they of course don't have)
Sat 11:49 AM
Europa as in EU?
Sat 11:49 AM
Yes, EU.
Sat 11:50 AM
Okay, for focusing but make it personal too: ask for your data from those sites as well, as it will make the issue of noncompliance clearer.
Sat 11:50 AM
Access is basically the only right that you have that is active enough that you can *prove* noncompliance.
Sat 11:51 AM
I am not too eager to ask for my personal data, as it create a new problem - how to prove I am who I am and have the right to ask for a given set of data...
Sat 11:51 AM
That s part of what I use with CA, bit of course there they are first party websites.
Sat 11:51 AM
I try to starve my digital twin, not spread information about my person more places...
Sat 11:52 AM
Yes, it does. I can help you with that. You send the first party site ID, your identifier for the site, and your third party cookie values
Sat 11:52 AM
It's not your twin. It's part of you.
Sat 11:53 AM
You actually have many twins if you want to use that analogy. Big Other, not Big Brother.
Sat 11:53 AM
what do you mean by "first party site id" and my "identifier for the site"?
Sat 11:53 AM
I see it as no different to smiling in front of a CCTV camera and asking for the pictures afterwards. In ther words you can make the requests based on interactions you had in a sanitized environment.
Sat 11:54 AM
well, that nice cctv law is not in norway.  besides, I prefer to cover my face with a hat and avoid cctv cameras. :)  when considering to register with a web site, I read the terms and normally conclude that they are unacceptable - and thus do not register.
Sat 11:56 AM
Well you ask WhatDoTheyKnow for the data associated to your usage of the account "ThrowawayJustToBeAPain" on their site, including data collected on their behalf by Google, given that you found the value "UAXXXXX"
In the first party cookies.
Sat 11:56 AM
I'm a software developer.  I can not sign away my right to reverse engineer, for example, as I might need it in the future... :)
Sat 11:57 AM
Concerning CCTV, I see what you mean. But do you walk differently every day of the week so you can't be track by gait analysis?
Sat 11:58 AM
Or will you learn to fly so you don't have to step on smart mats that analyse stepping patterns?
Sat 11:58 AM
nope.  just raising the cost to track me, do not have the budget to make it impossible. :)
Sat 11:59 AM
I am *all* for raising the costs, but part of that strategy is also to make yourself -- briefly -- visible to generic surveillance and make full exercise of your rights then.
Sat 12:00 PM
That raises costs now, and progressively changes the calculation long term.
Sat 12:00 PM
but I'll try the approach for whatdotheyknow.  do you have any law URLs I can read to see what the framework is?
Sat 12:00 PM
Makes sense?
Sat 12:00 PM
sure.  and I some times do it, but would not do so by accepting an unacceptable terms of use.
Sat 12:01 PM
Nope. What I told you is not written up except in the law.
Sat 12:01 PM
Right. I get it.
Sat 12:01 PM
Also why it is important to share those ideas on strategy: I wouldn't care about giving away my right to reverse engineering a website in Norwegian to help you for instance.
Sat 12:02 PM
Is there an English translation of Norwegian data protection law?
Sat 12:05 PM
not that I am aware of.    <URL: https://lovdata.no/dokument/NL/lov/2000-04-14-31 > is the law.
Sat 12:08 PM
Relevant words to look for are "third party", "processor" or similar
Sat 12:09 PM
ah, datatilsynet have one linked from <URL: https://www.datatilsynet.no/Regelverk/Lover-og-regler/ >, <URL: https://www.datatilsynet.no/English/Regulations/Personal-Data-Act-/ >.
Sat 12:09 PM
Cool
Sat 12:10 PM
Do you know by the way if there is a register of Norwegian data controllers?
Sat 12:10 PM
not a complete one, but <URL: https://melding.datatilsynet.no/melding/report_search.pl > allow search in reported personal data handlers.  not quite sure what 'data controller' is, but suspect it is those that need to notify datatilsynet about their processing of personal data.
Sat 12:12 PM
but now I have to attend a kids birthday party. see you later. :)
Sat 12:15 PM
Only some data controllers need to report. It's those deciding what is to be done with the data.
Sat 12:16 PM
Google claims not to be data controller but only processor for the Google Analytics service. Shields them more from liability.
Sat 12:17 PM
Sections 13, 14 and 15 are what is relevant to the (non-)transfer of liabilities from the website to Google.
Sat 12:18 PM
In short:
Sat 12:18 PM
Absent a specific contract, the website is liable for any processing done by Google on their behalf (e.g. Analytics). This means they have to fulfill access requests and give more information about the processing done by Google than what Google has ever disclosed. Impossible.