blog/data/2015-11-09-google-analytics.txt

   1 Title: Snurpenot-overvåkning av sensitiv personinformasjon
   2 Tags: norsk, personvern, surveillance,
   3 Date: 2015-11-09 22:30
   4
   5 <p>Tenk om et norsk sykehus delte informasjon om hva som blir lest og
   6 hvem som leser på sykehusets nettsted, med noen som samarbeider med et
   7 fremmed lands etterretningsvesen, og at flere andre fremmede lands
   8 etterretningstjenester kan snappe opp informasjonen.</p>
   9
  10 <p>Tenk om flere sykehus, kommuner, helsestasjoner, universitet,
  11 høyskoler, grunnskoler, Stortinget, det meste av offentlig
  12 forvaltning, medier, adopsjonstjenester og krisesenter gjør det
  13 samme?</p>
  14
  15 <p>Tenk om de som lytter kan holde oversikt over norske borgeres
  16 interesser, sykdommer, rusmisbruk, adopsjon, abort, barnehager,
  17 politiske interesser og sympatier samt hvilke argumenter som har best
  18 effekt på beslutningstagere og måter de kan påvirkes. Ville det gitt
  19 grunn til bekymring?</p>
  20
  21 <p>Høres det ut som noe tatt ut fra fantasien til George Orwell,
  22 forfatteren av dystopien 1984?  Det er virkeligheten i Norge i dag,
  23 takket være bruken av statistikktjenester som Google Analytics.</p>
  24
  25 <p><strong>Du kan beskytte deg</strong></p>
  26
  27 <p>Men borgerne har et forsvar mot dette angrepet på privatsfæren.
  28 Dagens nettlesere har utvidelser som støtter å blokkere slik
  29 utlevering av informasjon.  Personlig bruker jeg Privacy Badger,
  30 Ghostery, NoScript og AdBlock, og anbefaler alle å gjøre noe
  31 tilsvarende.  Merk at noen av verktøyene lekker informasjon, i tillegg
  32 til å gjøre en nyttig jobb, så det er lurt å bruke flere sammen.  I
  33 tillegg bør hver og en av oss sende inn protest til organisasjonene
  34 bak nettsteder som bidrar til dette inngrepet i privatsfæren.</p>
  35
  36 <p><strong>Hvem bidrar til overvåkningen?</strong></p>
  37
  38 <p>Takket være Ghostery la jeg merke til at flere og flere norske
  39 nettsteder begynte å la Google Analytics overvåke brukerne. Jeg ble
  40 nysgjerrig på hvor mange det gjaldt, og gikk igjennom ca. 2700 norske
  41 nettsteder, hovedsakelig offentlig forvaltning.  Jeg laget et system
  42 for å koble seg opp automatisk og sjekke hvor nettstedene spredte
  43 informasjon om besøket. Jeg ble overrasket både over omfanget og hva
  44 slags nettsteder som rapporterer besøksinformasjon ut av landet.
  45 Omtrent 70 prosent av de 2700 sender informasjon til Google Analytics.
  46 Noen tilfeldige eksempler er Akershus Universitetssykehus, Sykehuset
  47 Østfold, Lommelegen, Oslo krisesenter, Stortinget, den norske
  48 regjering, de fleste politiske partier på Stortinget, NAV, Altinn,
  49 NRK, TV2, Helse Førde, Helse Stavanger, Oslo kommune,
  50 Nasjonalbiblioteket, Pasientombudet, Kongehuset, Politiet,
  51 Teknologirådet, Tollvesenet, Norsk romsenter, Forsvarsbygg og
  52 Sivilforsvaret. Og det er mange flere.</p>
  53
  54 <p>Hvordan kan det offentlige Norge omfavne en slik praksis? Det er
  55 gode hensikter bak. Google har laget en god tjeneste for
  56 nettstedseiere, der de uten å betale med noe annet enn en bit av de
  57 besøkenes privatsfære får tilgang til nyttig og presis statistikk over
  58 nettstedets bruk ved å besøke netttjenesten hos Google.  De færreste
  59 merker ulempene angrepet på privatsfæren som nettstedene og Google
  60 utgjør.</p>
  61
  62 <p><strong>Hvordan foregår det?</strong></p>
  63
  64 <p>I nettsider kan nettsteder legge inn lenker til programkode som
  65 skal kjøres av brukerens nettleser.  De som tar i bruk Google
  66 Analytics legger typisk inn lenke til et javascript-program hos Google
  67 som ber nettleseren ta kontakt med Google og dele IP-adresse, side
  68 besøkt, aktuelle cookies og endel informasjon om nettleseren med
  69 Google Analytics.  Programmet trenger ikke være det samme for alle som
  70 henter det fra Google.  Det finnes et Google Analytics-tilvalg kalt
  71 «anonymisering» som nettstedeier kan ta i bruk.  Dette instruerer det
  72 omtalte programmet om å be Google slette deler av den oversendte
  73 IP-adressen.  Full IP-adresse sendes likevel over og er tilgjengelig
  74 for alle som snapper opp informasjonen underveis.</p>
  75
  76 <p>Takket være varsleren Edward Snowden, som bidro til uvurderlig
  77 dokumentasjon på snurpenot-overvåkningen som nordmenn blir utsatt for,
  78 vet vi at Google samarbeider med USAs etteretning som avlytter trafikk
  79 sendt til Google Analytics.</p>
  80
  81 <p>Men allerede før Snowden var det bekreftet at både britiske GCHQ og
  82 USAs NSA avlytter og lagrer blant annet Internett-trafikk som er innom
  83 et av landene, i tillegg til at FRA i Sverige avlytter og lagrer
  84 trafikk som passerte grensa til Sverige.</p>
  85
  86 <p>Og som
  87 <a href="http://www.dn.no/tekno/2013/02/03/amerikanerne-kan-se-hvert-ord-du-skriver">Datatilsynet
  88 sa til Dagens Næringsliv i 2013</a> kunne de vanskelig nekte bruk av
  89 skytjenester som Google Analytics når Norge var bundet av EUs «Safe
  90 Harbour»-avtale med USA.  De måtte derfor se bort fra
  91 f.eks. FISAAA-loven (som lar NSA avlytte Internett-trafikk) i sine
  92 vurderinger.  Når nå EUs «Safe Harbour»-avtale er underkjent, og det
  93 foreslås å bruke individuell avtalerett mellom selskaper som juridisk
  94 grunnlag for å sende personopplysninger til USA, er det greit å huske
  95 på at FISAA-loven og andre som brukes av USA som grunnlag for
  96 masseovervåkning overstyrer slike avtaler.</p>
  97
  98 <p>For øvrig burde varsleren Edward Snowden få politisk asyl i
  99 Norge.</p>