Generated.

[homepage.git] / blog / data / 2016-12-09-nettaviser-tyster.txt

Title: Er lover brutt når personvernpolicy ikke stemmer med praksis?
Tags: norsk, personvern, surveillance
Date: 2016-12-09 14:20

<p>Når jeg bruker <a href="https://www.ghostery.com/">Ghostery</a>,
<a href="https://www.ublock.org/">uBlock</a>,
<a href="https://github.com/gorhill/uMatrix">uMatrix</a>,
<a href="https://github.com/andryou/scriptsafe">ScriptSafe</a> og andre
nettleserverktøy (de passer på hverandre) for å holde styr på hvordan
nettsteder sprer informasjon om hvilke nettsider jeg leser blir det
veldig synlig hvilke nettsteder som er satt opp til å utveksle
informasjon med utlandet og tredjeparter.  For en stund siden la jeg
merke til at det virker å være avvik mellom personvernpolicy og
praksis endel steder, og tok tak i et par konkrete eksempler og sendte
spørsmål til Datatilsynets kontaktpunkt for veiledning:</p>

<blockquote>

<p>«Jeg har et spørsmål når det gjelder bruken av Google Analytics og
personvernpolicy.  Er det lovlig for et nettsted å si en ting i
personvernpolicy og gjøre noe annet i virkeligheten?  Spesifikt lurer
jeg på hvilket lov som er brutt hvis nettstedet i HTML-koden til
nettsidene ber lesernes nettleser om å kontakte Google Analytics og
slik overleverer sitt IP-nummer til Google, samtidig som
personvernpolicien hevder at Google Analytics kun får anonymiserte
data.  Google får jo i slike tilfeller alltid overført fullt
IP-nummer, og nettstedet kan i URL-en som brukes be Google om å ikke
lagre deler av IP-adressen (omtalt som anonymisering av Google
Analytics)</p>

<p>Et eksempel er Nettavisen digi.no.
<a href="http://www.digi.no/artikler/personvernpolicy/208772">Deres
personvernpolicy</a> sier følgende:</p>

<blockquote>
  «Tredjeparter (som Google Analytics, Cxense, TNS Gallup) får kun
  anonymiserte data.»
</blockquote>

<p>Men når en leser artikler der så blir maskiner i Norge, USA,
Tyskland, Danmark, Storbritannia, Irland og Nederland varslet om
besøket og får dermed overlevert full IP-adresse, som datatilsynet har
uttalt er en personopplysning.  Nettsidene er satt opp til be
nettleseren å kontakte 29 ulike maskiner rundt om i verden.  Fire av
dem er er under DNS-domenene digi.no og tek.no som tilhører samme
eier.  I tillegg ber nettsidene ikke
<a href="https://support.google.com/analytics/answer/2763052?hl=no">Google
Analytics om å fjerne siste oktett i IP-adressen ved lagring</a>,
dvs. flagget «aip=1» er ikke satt i URL-en som brukes for å kontakte
Google Analytics.</p>

<p>Tilsvarende er også tilfelle for andre nettsteder, så digi.no er
ikke spesiell i så måte (dagbladet.no er et annet eksempel, det
gjelder flere).»</p>

</blockquote>

<p>Etter noen dager kunne juridisk rådgiver Elisabeth Krauss Amundsen
hos Datatilsynet fortelle det følgende:</p>

<blockquote>
«Hei, og takk for din e-post.</p>

<p>Vår svartjeneste gir deg kortfattet rådgivning. Vi vil derfor ikke konkludere
i saken din, men gi deg råd og veiledning.</p>

<p>Ut ifra det du skriver er det antakelig flere bestemmelser i
personopplysingsloven som brytes dersom virksomhetens personvernpolicy
sier noe annet om behandlingen av personopplysninger enn det som
faktisk skjer.  Antakelig vil det være et brudd på informasjonsplikten
i personopplysingsloven §§ 18 og
19&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§18</a>&gt;
dersom det gis feilinformasjon om at opplysningene utleveres. Det kan
også stilles spørsmål om grunnkravene for behandling av
personopplysninger vil være oppfylt ved en utlevering av
personopplysninger til en tredjepart, dersom dette ikke er inkludert
behandlingsgrunnlaget og formålet med behandlingen, se
personopplysingsloven § 11, jf.
8.&lt;<a href="https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11">https://lovdata.no/dokument/NL/lov/2000-04-14-31/KAPITTEL_2#§11</a>&gt;»
</blockquote>

<!-- Her er full URL som digi ba nettleserne bruke for å melde fra til
Google Analytics:
https://www.google-analytics.com/r/collect?v=1&_v=j47&a=666919305&t=pageview&_s=1&dl=http%3A%2F%2Fwww.digi.no%2F&ul=nb-no&de=UTF-8&dt=Digi.no%20-%20IT-bransjens%20nettavis&sd=32-bit&sr=1024x768&vp=400x300&je=0&_u=AEAAAMQAK~&jid=592247632&cid=1641512195.1480086725&tid=UA-54426-28&_r=1&z=328520576
-->

<p>Oppdatert med kunnskap om lover og regler tok jeg så kontakt med
Dagbladet på epostadressen de annonserer på sine
personvernpolicysider:<p>

<blockquote>

<p>«Jeg lurte litt i forbindelse med en bloggpost jeg skriver på, og lurer
på om dere hjelpe meg med å finne ut av følgende.  Først litt
bakgrunnsinformasjon.
<a href="http://www.dagbladet.no/2009/08/18/nyheter/avtale/brukeravtale/plikter/7706966/">Dagbladets
personvernpolicy</a> forteller følgende:</p>

<blockquote>
  <p>«3. Automatisk innhentet informasjon</p>

  <p>For eksempel IP-adressen din (ikke synlig for andre) samt
  statistisk, automatisk produsert informasjon, som når du sist var
  innlogget på tjenesten. Dette er informasjon vi samler for å gjøre
  tjenesten best mulig.»</p>

</blockquote>


<p>Men når en besøker nettsidene til Dagbladet,
f.eks. <a href="http://dagbladet.no/">forsiden</a>, så er nettsidene
satt opp til å kontakte mange tredjeparter som slik får tilgang til
både fullt IP-nummer og i de fleste tilfeller nøyaktig hvilken
artikkel en leser hos Dagbladet ved at Referer-feltet fylles og legges
ved.  Dette gjelder Google Analytics, Cxense, INS Gallup, Doubleclick
med flere.  Totalt ber forsiden nettleseren om å koble seg opp til 60
nettsteder med 149 separate oppkoblinger.  I hver av disse
oppkoblingene oversendes IP-adressen til leseren, og i følge
Datatilsynet er
«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en
IP-adresse definert som en personopplysning fordi den kan spores
tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>».</p>

<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18
og 19 skal informasjonen som gis om bruk og utlevering av
personopplysninger være korrekt.  De forteller videre at det er endel
grunnkrav som må være oppfylt ved utlevering av personopplysninger til
tredjeparter, nærmere forklart i personopplysingsloven § 11 som
henviser til § 8.</p>

<p>Mitt spørsmål er dermed som følger:</p>

  <blockquote>

  <p>Hva mener dere i personpolicyen når dere skriver at IP-adressen ikke
  er synlig for andre?»</p>
  
  </blockquote>

</blockquote>

<p>Etter en uke har jeg fortsatt ikke fått svar fra Dagbladet på mitt
spørsmål, så neste steg er antagelig å høre om Datatilsynet er
interessert i å se på saken.</p>

<p>Men Dagbladet er ikke det eneste nettstedet som forteller at de
ikke deler personopplysninger med andre mens observerbar praksis
dokumenterer noe annet.  Jeg sendte derfor også et spørsmål til
kontaktadressen til nettavisen Digi.no, og der var responsen mye
bedre:</p>

<blockquote>

<p>«Jeg lurte på en ting i forbindelse med en bloggpost jeg skriver på,
og lurer på om dere hjelpe meg.  Først litt bakgrunnsinformasjon.
<a href="http://www.digi.no/artikler/personvernpolicy/208772">Digi.nos
personvernpolicy</a> forteller følgende:</p>

<blockquote>
  «All personlig informasjon blir lagret i våre systemer, disse er ikke
  tilgjengelig for tredjeparter, og blir ikke lagret i
  informasjonskapsler.  Tredjeparter (som Google Analytics, Cxense,
  TNS Gallup) får kun anonymiserte data.»
</blockquote>

<p>Men når en besøker nettsidene til nettavisen, f.eks.
<a href="http://www.digi.no/">forsiden</a>, så er nettsidene satt opp
til å kontakte mange tredjeparter som slik får tilgang til både fullt
IP-nummer og i de fleste tilfeller nøyaktig hvilken artikkel en leser
hos Digi.no ved at Referer-feltet fylles og legges ved.  Dette gjelder
både Google Analytics, Cxense blant og INS Gallum.  Totalt ber
forsiden nettleseren om å koble seg opp til 29 nettsteder med 44
separate oppkoblinger.  I hver av disse oppkoblingene sendes
IP-adressen til leseren over, og i følge Datatilsynet er
«<a href="https://www.datatilsynet.no/Teknologi/Internett/Webanalyse/">en
IP-adresse definert som en personopplysning fordi den kan spores
tilbake til en bestemt maskinvare og dermed til en enkeltperson</a>».
Det jeg ser virker ikke å være i tråd med personvernpolicyen.</p>

<p>Når en besøker Digi.nos nettsider gjøres det to oppkoblinger til
Google Analytics, en for å hente ned programkoden som samler
informasjon fra nettleseren og sender over til Google (analytics.js),
og en for å overføre det som ble samlet inn.  I den siste oppkoblingen
er det mulig å be Google om å ikke ta vare på hele IP-adressen, men i
stedet fjerne siste oktett i IP-adressen.  Dette omtales ofte litt
misvisende for «anonymisert» bruk av Google Analytics, i og med at
fullt IP-nummer blir sendt til Google og det er opp til Google om de
vil bry seg om ønsket fra de som har laget nettsiden.  Ut fra det som
står i personvernpolicyen ville jeg tro at Digi.no ba google om å ikke
ta vare på hele IP-nummeret, men når en ser på den andre oppkoblingen
kan en se at flagget «aio=1» ikke er satt, og at Digi.no ikke ber
Google om å la være å lagre hele IP-adressen.  Dette virker heller
ikke å være i tråd med personvernpolicyen.</p>

<p>Datatilsynet har fortalt meg at i følge personopplysingsloven §§ 18
og 19 skal informasjonen som gis om bruk og utlevering av
personopplysninger være korrekt.  De forteller videre at det er endel
grunnkrav som må være oppfylt ved utlevering av personopplysninger til
tredjeparter, nærmere forklart i personopplysingsloven § 11 som
henviser til § 8.  Det er uklart for meg om disse kravene er oppfylt
når IP-adresse og informasjon om hvilke websider som besøkes til
tredjeparter.</p>

<p>Mitt spørsmål er dermed som følger:</p>

<blockquote>

  <p>Hva mener dere i personpolicyen når dere skriver at «Tredjeparter
  får kun anonymiserte data»?»</p>
  
</blockquote>

</blockquote>

<p>Redaksjonssjef Kurt Lekanger svarte samme dag og forklarte at han
måtte komme tilbake til meg når han hadde med utviklingsavdelingen.
Seks dager senere lurte jeg på hva han fant ut, og etter noen timer
fikk jeg så følgende svar fra direktøren for teknologi og
forretningsutvikling Øystein W. Høie i Teknisk Ukeblad Media:</p>

<blockquote>

<p>«Takk for godt tips! Det er helt riktig at IP og referrer-adresse
potensielt kan leses ut av tredjepart.</p>

<p>Retningslinjene våre har vært uklare på dette tidspunktet, og vi
oppdaterer nå disse så dette kommer tydeligere frem. Ny tekst blir som
følger:</p>

<hr>
<p>3. Dette bruker vi ikke informasjonen til Informasjon du oppgir til
oss blir lagret i våre systemer, er ikke tilgjengelig for
tredjeparter, og blir ikke lagret i informasjonskapsler.
Informasjonen vil kun benyttes til å gi deg som bruker mer relevant
informasjon og bedre tjenester.</p>

<p>Tredjeparter (som Google Analytics, Cxense, TNS Gallup) vil kunne
hente ut IP-adresse og data basert på dine surfemønstre. TU Media AS
er pliktig å påse at disse tredjepartene behandler data i tråd med
norsk regelverk.</p>
<hr>

<p>Ellers har vi nå aktivert anonymisering i Google Analytics
(aip=1). Kan også nevne at Tek.no-brukere som har kjøpt Tek Ekstra har
mulighet til å skru av all tracking i kontrollpanelet sitt. Dette er
noe vi vurderer å rulle ut på alle sidene i vårt nettverk.»</p>

</blockquote>

<p>Det var nyttig å vite at vi er enige om at formuleringen i
personvernpolicyen er misvisende.  Derimot var det nedslående at i
stedet for å endre praksis for å følge det personvernpolicyen sier om
å ikke dele personinformasjon med tredjeparter, så velger Digi.no å
fortsette praksis og i stedet endre personvernpolicyen slik at den å
dokumentere dagens praksis med spredning av personopplysninger.</p>

<p>Med bakgrunn i at Digi.no ikke har fulgt sin egen personvernpolicy
spurte jeg hvordan Digi.no kom til å håndtere endringen:</p>

<blockquote>

<p>«Tusen takk for beskjed om endring av personvernpolicy for digi.no.
Gjelder endringen også andre nettsteder?</p>

<p>Vil tidligere håndteringen av IP-adresser og lesemønster i strid
med dokumentert personvernpolicy bli varslet til Datatilsynet i tråd
med
<a href="https://lovdata.no/forskrift/2000-12-15-1265/§2-6">personopplysningsforskriften
§ 2-6</a>?  Vil leserne bli varslet på en prominent og synlig måte om
at lesernes IP-adresser og lesemønster har vært utlevert til
tredjeparter i stid med tidligere formulering om at tredjeparter kun
får anonymiserte data, og at utleveringen fortsetter etter at
personvernpolicy er endret for å dokumentere praksis?</p>

<p>Appropos ekstra tilbud til betalende lesere, tilbyr dere en
mulighet for å betale for å lese som ikke innebærer at en må gjøre det
mulig å la sine lesevaner blir registeret av tek.no?  Betaler gjerne
for å lese nyheter, men ikke med en bit av privatlivet mitt. :)»</p>
</blockquote>

<p>Jeg fikk raskt svar tilbake fra direktøren Høie:</p>

<blockquote>
<p>«Tydeliggjøringen i personvernpolicy gjelder alle våre nettsteder.</p>

<p>Vi kommer til å ta en runde og gå over vår policy i forbindelse med
dette, og vil i de tilfeller det er påkrevd selvsagt være tydelig
overfor brukere og tilsyn. Vil samtidig understreke at vår bruk av
tredjeparts analyseverktøy og annonsetracking er helt på linje med det
som er normalt for norske kommersielle nettsteder.</p>

<p>Angående spørsmålet ditt: 
<br>Du vil fortsatt vises i våre interne systemer om du blir Ekstra-bruker,
vi skrur bare av tredjeparts tracking.»</p>
</blockquote>

<p>Det høres jo ikke bra ut at det er normalt for norske kommersielle
nettsteder å utlevere lesernes personopplysninger til utlandet.  Men
som en kan lese fra <a href="https://www.nrk.no/norge/kommunen-deler-informasjon-om-deg-med-facebook-og-google-1.13248945">gårdagens oppslag fra NRK</a> gjelder
det også norske kommuner og andre offentlige aktører, og
<a href="http://people.skolelinux.org/pere/blog/Snurpenot_overv_kning_av_sensitiv_personinformasjon.html">jeg
skrev om omfanget av problemet i fjor</a>.  Det er uansett ikke en
praksis jeg tror er i tråd med kravene i personopplysningsloven, og
heller ikke en praksis jeg som leser synes er greit.  Jeg manglet dog
fortsatt svar på om Digi.no kom til å varsle lesere og Datatilsynet om
avviket mellom praksis og policy, så jeg forsøkte meg med en ny epost
i går kveld:</p>

<blockquote>

<p>«Kan du fortelle meg om dere anser det å være påkrevd å varsle
tilsyn og brukere nå, når dere har oppdaget at praksis ikke har vært i
tråd med personvernpolicy?»</p>
       
</blockquote>

<p>Det spørsmålet vet jeg så langt ikke svaret på, men antagelig kan
Datatilsynet svare på om det er påkrevd å varsle tilsyn og lesere om
dette.  Jeg planlegger å oppdatere denne bloggposten med svaret når
det kommer.</p>

<p>Jeg synes jo det er spesielt ille når barn får sine
personopplysninger spredt til utlandet, noe jeg
<a href="https://www.mimesbronn.no/request/opplysninger_samlet_inn_av_mobil">tok
opp med NRK i fjor</a>.  De to eksemplene jeg nevner er som dere
forstår ikke unike, men jeg har ikke full oversikt over hvor mange
nettsteder dette gjelder.  Jeg har ikke kapasitet til eller glede av å
lese alle personvernpolicyer i landet.  Kanskje mine lesere kan sende
meg tips på epost om andre nettsteder med avvik mellom policy og
praksis?  Hvis vi alle går sammen og kontakter de ansvarlige, kanskje
noen til slutt endrer praksis og slutter å dele lesernes
personopplysninger med tredjeparter?</p>

<p>Apropos bruken av Google Analytics kan jeg forresten nevne at
Universitetet i Oslo også har tatt i bruk Google Analytics, men der
lagres programkoden som overføres til nettleserne lokalt og deler av
IP-adressen fjernes lokalt på universitetet via en mellomtjener/proxy
(<a href="https://github.com/unioslo/ipproxy">tilgjengelig via
github</a>) før informasjon sendes over til Google Analytics.  Dermed
er det mulig for ansvarlige for nettstedet å <em>vite</em> at Google
ikke har tilgang til komplett IP-adresse.  Årsaken til at denne
metoden brukes er at juristene ved universitetet har konkludert med at
det er eneste måten en kunne vurdere å bruke Google Analytics uten å
bryte loven.  Risikoen for gjenidentifisering og
<a href="https://panopticlick.eff.org/">identifisering ved hjelp av
nettleserinformasjon</a> er fortsatt tilstede, så det er ingen optimal
løsning, men det er bedre enn å håpe at f.eks. Google og alle som
lytter på veien skal prioritere norsk lov over sin lokale
lovgivning.</p>

<p>Oppdatering 2016-12-09: Fikk svar fra direktøren Høie på mitt
spørsmål litt etter at jeg hadde publisert denne artikkelen:</p>

<blockquote>

<p>Vi kommer til å annonsere en oppdatert policy, og skal undersøke om
vi er pliktig å varsle Datatilsynet.</p>

<p>Det vi uansett ønsker å gjøre først, er å gå gjennom hele policy
sammen med utviklerne og advokat, så vi er sikre på at vi går frem
riktig og at det ikke er flere tvetydigheter som skjuler seg i
teksten.</p>

<p>Har du andre idéer eller konkrete innspill til hva som kan gjøre
policy tydeligere, tar vi gjerne imot det. Dette er et felt vi ønsker
å være ryddige på.</p>
        
</blockquote>

<p>Vi får se om de liker mine innspill, som i grunnen er å ikke pusse
på personvernpolicyen men i stedet slutte å spre lesernes
personopplysninger til eksterne aktører.</p>