blog/data/2017-01-11-nav-tyster.txt

   1 Title: Bryter NAV sin egen personvernerklæring?
   2 Tags: norsk, personvern, surveillance, nuug
   3 Date: 2017-01-11 06:50
   4
   5 <p>Jeg leste med interesse en nyhetssak hos
   6 <a href="http://www.digi.no/artikler/nav-avslorer-trygdemisbruk-ved-a-spore-ip-adresser/367394">digi.no</a>
   7 og
   8 <a href="https://www.nrk.no/buskerud/trygdesvindlere-avslores-av-utenlandske-ip-adresser-1.13313461">NRK</a>
   9 om at det ikke bare er meg, men at også NAV bedriver geolokalisering
  10 av IP-adresser, og at det gjøres analyse av IP-adressene til de som
  11 sendes inn meldekort for å se om meldekortet sendes inn fra
  12 utenlandske IP-adresser.  Politiadvokat i Drammen, Hans Lyder Haare,
  13 er sitert i NRK på at «De to er jo blant annet avslørt av
  14 IP-adresser. At man ser at meldekortet kommer fra utlandet.»</p>
  15
  16 <p>Jeg synes det er fint at det blir bedre kjent at IP-adresser
  17 knyttes til enkeltpersoner og at innsamlet informasjon brukes til å
  18 stedsbestemme personer også av aktører her i Norge.  Jeg ser det som
  19 nok et argument for å bruke
  20 <a href="https://www.torproject.org/">Tor</a> så mye som mulig for å
  21 gjøre gjøre IP-lokalisering vanskeligere, slik at en kan beskytte sin
  22 privatsfære og unngå å dele sin fysiske plassering med
  23 uvedkommede.</p>
  24
  25 <P>Men det er en ting som bekymrer meg rundt denne nyheten.  Jeg ble
  26 tipset (takk #nuug) om
  27 <a href="https://www.nav.no/no/NAV+og+samfunn/Kontakt+NAV/Teknisk+brukerstotte/Snarveier/personvernerkl%C3%A6ring-for-arbeids-og-velferdsetaten">NAVs
  28 personvernerklæring</a>, som under punktet «Personvern og statistikk»
  29 lyder:</p>
  30
  31 <p><blockquote>
  32
  33 <p>«Når du besøker nav.no, etterlater du deg elektroniske spor. Sporene
  34 dannes fordi din nettleser automatisk sender en rekke opplysninger til
  35 NAVs tjener (server-maskin) hver gang du ber om å få vist en side. Det
  36 er eksempelvis opplysninger om hvilken nettleser og -versjon du
  37 bruker, og din internettadresse (ip-adresse). For hver side som vises,
  38 lagres følgende opplysninger:</p>
  39
  40 <ul>
  41 <li>hvilken side du ser på</li>
  42 <li>dato og tid</li>
  43 <li>hvilken nettleser du bruker</li>
  44 <li>din ip-adresse</li>
  45 </ul>
  46
  47 <p>Ingen av opplysningene vil bli brukt til å identifisere
  48 enkeltpersoner. NAV bruker disse opplysningene til å generere en
  49 samlet statistikk som blant annet viser hvilke sider som er mest
  50 populære. Statistikken er et redskap til å forbedre våre
  51 tjenester.»</p>
  52
  53 </blockquote></p>
  54
  55 <p>Jeg klarer ikke helt å se hvordan analyse av de besøkendes
  56 IP-adresser for å se hvem som sender inn meldekort via web fra en
  57 IP-adresse i utlandet kan gjøres uten å komme i strid med påstanden om
  58 at «ingen av opplysningene vil bli brukt til å identifisere
  59 enkeltpersoner».  Det virker dermed for meg som at NAV bryter sine
  60 egen personvernerklæring, hvilket
  61 <a href="http://www.hungry.com/~pere/blog/Er_lover_brutt_n_r_personvernpolicy_ikke_stemmer_med_praksis_.html">Datatilsynet
  62 fortalte meg i starten av desember antagelig er brudd på
  63 personopplysningsloven</a>.
  64
  65 <p>I tillegg er personvernerklæringen ganske misvisende i og med at
  66 NAVs nettsider ikke bare forsyner NAV med personopplysninger, men i
  67 tillegg ber brukernes nettleser kontakte fem andre nettjenere
  68 (script.hotjar.com, static.hotjar.com, vars.hotjar.com,
  69 www.google-analytics.com og www.googletagmanager.com), slik at
  70 personopplysninger blir gjort tilgjengelig for selskapene Hotjar og
  71 Google , og alle som kan lytte på trafikken på veien (som FRA, GCHQ og
  72 NSA).  Jeg klarer heller ikke se hvordan slikt spredning av
  73 personopplysninger kan være i tråd med kravene i
  74 personopplysningloven, eller i tråd med NAVs personvernerklæring.</p>
  75
  76 <p>Kanskje NAV bør ta en nøye titt på sin personvernerklæring?  Eller
  77 kanskje Datatilsynet bør gjøre det?</p>