get_queried_object(); $id = $cu->ID; ?>

Personvernbloggen

Datatilsynets blogg om personvernspørsmål
Avatar photo

Kan norske toppdomener brukes til å gi bedre personvern?

av | sep 16, 2014

På personverndagen i januar 2014 lanserte nettguru og teknologidirektør i Opera Software Håkon Wium Lie følgende ide: Kan norske toppdomener brukes til å skape bedre personvern?

At Norge forvalter domenet .no er ingen hemmelighet. Færre vet at vi i tillegg har kontroll på domene .sj (Svalbard og Jan Mayen) og .bv ( Bouvetøya). Dette er sovende domener, derfor syntes jeg Håkons ide var interessant og nytenkende.

Prosessen som fulgte har vært den merkeligste jeg har opplevd i de årene jeg har jobbet med forbruker- eller personvernspørsmål.  Det toppet seg 10. juli. Da fikk jeg et brev fra Samferdselsdepartementet. Normalt er det vanskelig å få et departement i tale, og dette er faktisk første gang jeg har opplevd at et departement har tatt aktiv til motmæle mot høyttenking uten at det har vært noen form for kontakt på forhånd.

Departementet ønsket å gi en «umiddelbar» reaksjon på det som ble framstilt som «et forslag» fra Datatilsynet. Vi kunne lese at:

  • «departementet ønsker derfor ingen prosess som har til formål å undergrave ideen om .no som et sikkert og trygt domene»
  • «at norske selskaper i tillegg vil bli tvunget til å anskaffe domenenavn også under .sj og .bv for å beskytte sine interesser ansees som uheldig» »
  • «et personvernvennlig domene kan enkelt realiseres under Datatilsynets eget domenenavn eller under et nytt underkategori under .no»

Les brevet fra Samferdselsdepartementet her

Ønsker en ny leverandør å etablere en ny internettjeneste under domenet, skal ikke bruker akseptere et sett med betingelser – det er tjenesteleverandøren som aksepterer bruksbetingelsene for domenet

Teknologirådet inviterte til høring om forslaget den 10. september. Det ble et interessant og inspirerende møte. Jeg holdt et innlegg, og nedenfor gjengir jeg det jeg sa i innledningen min:

Det er stor oppmerksomhet om manglende informasjonssikkerhet. Datasentre hackes, sensitiv informasjon kommer på avveier og det er generelt alt for dårlig informasjonssikkerhetstenkning i Norge. Som et eksempel kan jeg nevne at Datatilsynet har gjennomført ca 20 tilsyn mot norske kommuner og funnet feil og mangler hos nær sagt alle. Det er behov for et krafttak for personvern i kommunal sektor.

Samtidig beveger samfunnet seg i retning av mer overvåking og kontroll. PSTs forslag om bruk av stordata og Edvard Snowdens avsløringer er eksempler på det. Vi registreres hvor enn vi er på nett og cookies av ulike slag slipper vi ikke unna. Ny teknologi introduseres nærmest daglig. På tilsyn finner vi for ofte at data lagres for lenge.

Det hevdes at .no er et av verdens tryggeste og sikrest domener, og det er sikkert helt riktig. Men hva gjør .no for personvern og informasjonssikkerhet? Kan det hindre at PST får bruke data fra firmaer med en .no – adresse i sin big data – analyse. Etterleves personopplysningslovens sletteregler bedre på et .no – domene? Blir vi i mindre grad tracket av cookies på et .no – domene? Og er informasjonssikkerheten bedre på et .no – domene?

Svaret på disse spørsmålene er nei!

Så er spørsmålet – kan vi ved å bruke de to toppdomenene .sj og .bv bidra til større sikkerhet og bedre personvern?

Jeg vet ikke, men det jeg liker med denne ideen er den tvinger oss til å tenke i nye baner. For tror vi at utfordringene knyttet til overvåking, til manglende informasjonssikkerhet og til manglende etterlevelse av personopplysningsloven blir mindre i årene som kommer? Selvsagt ikke.

Hele ideen er egentlig oppsummert i følgende setning i invitasjonen: «Ønsker en ny leverandør å etablere en ny internettjeneste under domenet, skal ikke bruker akseptere et sett med betingelse – det er tjenesteleverandøren som aksepterer bruksbetingelsene for domenet».

Den sveitsiske protonmail.ch er nevnt som et eksempel i invitasjonen. Tjenesten tilbyr blant beskyttelse under sveitsiske regelverk, kryptering, ingen tracking av brukeren og en n anonymitets-garanti. Nå er selskapet registrert under et .ch-domene. Tjenesten kunne kanskje vært registrert også på .no. Men så er spørsmålet: Ønsker det norske politiske miljøet å bruke de frie toppdomenene til å etablere en trygg havn der nettopp slike tjenester kan etablere seg? Ønsker de kanskje å stille tilleggskrav om informasjonssikkerhet? Ønsker de å stille tilleggskrav om sletting, om kryptering osv?

Jeg har ikke svaret på dette, men spørsmålet må besvares med annet enn en beskjed om å ligge unna. Kanskje kan det også ligge penger i dette. Dersom .sj og .bv etableres som en trygg havn kan det  tiltrekke seg selskaper som ønsker å tjene penger på å tilby sikre tjenester, enten det er epost, netthandel, helserådgivning eller kredittkort, for å nevne noen eksempler. Målet må i så fall være at .bv eller .sj etableres som et varemerke for sikkerhet og personvern. Da kan vi også se selskaper som har et «vanlig» .no domene der vi selger personopplysningene våre mot personifisert reklame, men en egen .sj-avdeling der vi kanskje betaler en femtilapp om måneden for å slippe nettopp reklamen.

Dette er foreløpige tanker. Det hører definitivt med til kategorien «tenkt, men ikke tenkt ferdig». Men skal vi skape bedre levekår for personvern og informasjonssikkerhet må vi iblant tenke nytt og snu nye steiner. Det er det jeg synes vi skal gjøre nå.

Det ble en fin debatt etterpå. Folk fra NORID kom med saklige motforestillinger mot forslaget, bl.a. at det kunne føre til en oppdeling av internett ( balkanisering) og at man måtte vise at det var interesse for å knytte seg til et slikt domene. Dette er fornuftige innspill. Balkanisering må unngås, og det ligger selvsagt viktig utredningsarbeid foran oss dersom vi skal gå videre med ideen. Her er noen innspill til hvilke krav som kan stilles til .sj og .bv:

  • Lagring skal skje i Norge og under norske jurisdiksjon
  • Det må stilles strenge krav til hvilke typer cookies som kan aksepteres
  • Det må tilbys brukervennlig og sikker kryptering
  • Det må være streng tilgangskontroll
  • Data må ikke selges til tredjeparter
  • Selskapet må forplikte seg til jevnlig gjennomgang av egen sikkerhet
  • Selskapene må forplikte seg til å følge forbrukerregelverket og operere med kontrakter som er i overensstemmelse med reglene i markedsføringsloven
  • Det kan etableres et klageorgan som kan frata selskapet retten til å operere under .sj og .bv – domenet.

Det vi i denne omgang trenger er politisk interesse for å gå videre. I et samfunn som skriker etter bedre personvern og bedre informasjonssikkerhet er det alt for defensivt å skyte ned forslaget slik Samferdselsdepartementet har forsøkt å gjøre.