Den norske mediebransjen mobiliserer igjen for å stoppe innstramminger i regelverket for cookies og lignende sporingsteknologier. Denne gangen håper vi at regjeringen ikke lytter.

Bakgrunnen for det som utspiller seg i høringsrunden går nesten ti år tilbake i tid. Da skulle Norge forsøke å implementere et EU-direktiv som krevde at brukere måtte samtykke for at deres personopplysninger skulle bli samlet inn gjennom cookies og lignende teknologier som gir tilgang til informasjon som er lagret på mobil, datamaskin, nettbrett og lignende. Formålet var å gi internettbrukere i Norge bedre kontroll over sine personopplysninger, på samme måte som internettbrukere i resten av Europa.

Slik ble det ikke.

Etter sterk mobilisering fra mediebransjen og andre som driver innen digital markedsføring, valgte i stedet Samferdselsdepartementet i 2013 å åpne for at en forhåndsinnstilling i nettleser om at bruker aksepterer cookies kan anses som et samtykke.

Spor først, ikke spør etterpå

Hvis man ikke selv går inn og endrer de tekniske innstillingene i nettleseren eller mobilen, anses man altså for å ha samtykket til å kunne bli sporet på nett. Dette gjelder for eksempel hvilke sider man besøker, hvor lenge man er der og hva man gjør.

Hvordan dette kan kalles et samtykke i noen som helst form, er vanskelig å forstå. I stedet for å ta et aktivt valg om man ønsker å bli sporet eller ikke, blir man sporet fra første stund – spor først, ikke spør etterpå. Da forslaget kom, uttalte Datatilsynet at departementet hadde landet på den desidert dårligste løsningen. Norske brukeres personvern blir i realiteten avgjort av forhåndsinnstillinger som utformes av utenlandske teknologiselskaper slik som Google eller Apple.

Når det nå på nytt foreslås innstramminger i kravet til samtykke for bruk av cookies og lignende teknologier, har mediebransjen igjen mobilisert for å stoppe eller trenere endringene. Mediebedriftenes Landsforening (MBL) har levert en høringsuttalelse som støttes av bransjens store aktører. Her bes det om at de foreslåtte endringene ikke gjennomføres.

Begrunnelsen er ifølge MBL å opprettholde annonseinntektene for mediebransjen i møte med store teknologiselskaper som Facebook og Google, slik at de kan finansiere journalistikken som tjener en viktig samfunnsrolle i et demokrati. Dersom kravet til samtykke til cookies og andre identifikatorer strammes inn, mener MBL at dette vil kunne innebære en betydelig reduksjon i norske redaksjonelle mediers annonseinntekter.

Det er fritt vilt

Datatilsynet har selvfølgelig forståelse for hvor viktig de redaksjonelle medienes samfunnsrolle er. Reglene som nå foreslås innført i Norge er imidlertid regler som redaksjonelle medier i øvrige europeiske land har måtte forholde seg til i nesten 10 år.

At noe må gjøres med teknologigigantene, er vi heller ikke uenig med dem i. Men det er ikke det dette forslaget handler om. Dette forslaget handler om å verne om internettbrukeres grunnleggende menneskerett til personvern, og retten til å bestemme over egne personopplysninger.

Dagens særnorske og personvernfiendtlige cookie-regelverk gjelder ikke bare for norske medier. Dette regelverket gjelder på samme måte for Google, Facebook og alle andre som benytter cookies eller lignende sporingsteknologier på internettbrukere i Norge. Det er fritt vilt.

Det Datatilsynet og Forbrukertilsynet ber om, er at norske internettbrukere skal ha samme mulighet som andre i Europa til å velge om de vil gi sine personopplysninger til kompliserte annonsenettverk bak kulissene, og som vanlige brukere gjerne ikke har forutsetning for å forstå hvordan opererer.

Dersom endringer i cookie-regelverket skal gjennomføres, mener MBL at bruk av cookies som finansierer av redaksjonelle medier må falle inn under et eksisterende unntak fra samtykkekravet for cookies eller lignende teknologi som er «nødvendig» for å levere en nettjeneste som brukeren uttrykkelig har bedt om.

Datatilsynet er også forundret over timingen

Etter vårt syn er det ingen holdepunkter for en slik forståelse i dagens regelverk. Dette unntaket skal tolkes strengt, og unntaket gjelder for eksempel de tilfellene hvor nettsiden trenger å huske hva du har lagt i handlekurven i en nettbutikk. Spranget er stort fra en bruker som behøver at nettsiden husker varen i handlekurven til massiv innsamling av personopplysninger for å målrette markedsføring mot hver enkelt bruker.

At mediebedrifter skal gis en særlig tillatelse til å fortsette den nåværende praksisen på bekostning av norske brukeres rett til selvbestemmelse over egne personopplysninger, vil vi advare mot. Dersom argumentet mot at man må be om samtykke er at brukere ikke sier «ja», så mener vi man har misforstått poenget med å be om samtykke og hvorfor disse innstrammingene foreslås.

Samtykke er ingen perfekt løsning, men per i dag finnes det ingen gode alternativer. Samtykkebokser kan også designes på måter hvor man ivaretar personvernet, og gir brukerne et reelt valg. MBLs argument om at det må være anledning til å stenge ute brukere som sier «nei» til cookies fra en nettside, er stikk i strid med det felles standpunktet til datatilsynsmyndighetene i Europa. En slik praksis på redaksjonelle mediers nettsider vil også kunne gå ut over folks mulighet til å delta i samfunnsdebatten.

Et gjennomgående poeng i høringsuttalen til MBL er at det er uheldig å endre den norske regelen nå, mens det jobbes med en ny kommunikasjonsvernforordning for EU. Avslutningsvis i et intervju med Kampanje uttaler styreleder i MBL, Pål Nedregotten, at han er «forundret over timingen».

Datatilsynet er også forundret over timingen.

Vi er forundret over at disse endringene ikke kom i 2013 da kravet til samtykke til cookies ble strammet inn i resten EU og EØS. Arbeidet i EU med kommunikasjonsvernforordningen har tatt svært lang tid, og ennå vet ingen når denne kommer. Å gjennomføre innstramminger i cookie-regelverket er på overtid, og personvernet til norske internettbrukere kan ikke vente lenger.

Det regner vi med at regjeringen ser.

Denne kommentaren ble først publisert i Kampanje (10.11.21), og er skrevet av Kristian Bygnes og Anders S. Obrestad. Begge jobber som juridiske rådgivere i Datatilsynet.

Vi har over tid blitt vant til at de nettsidene vi besøker, slipper til internettaktører som sanker inn informasjon om vår nettaktivitet for å tjene penger på den. Internettet er under omfattende kontroll av disse internasjonale aktørene som har sluppet inn på nettsidene til avisene, butikkjedene, statlige etater og kommuner.

Disse aktørene ønsker også å vite hva vi holder på med der ute i lokalbutikken, på kjøpesenteret, på flyplassen eller andre steder. Et sentralt verktøy er å vite nøyaktig hvor du er til enhver tid. Lokalisering kan gjøres med mobilen via GPS, men ulempen med denne løsningen er at den virker best utendørs og ikke inne i butikker. Wifi benyttes for enda bedre å kunne lokalisere oss innendørs, men også dette er for unøyaktig. Nesten like unøyaktig er avlesing av din mobils Bluetooth-identitet. Problemet med disse løsningene ligger også i at avlesing av våre mobiler krever mye «dyrt» og aktivt utstyr, og at slik avlesing krever forhåndstillatelse fra den enkelte av oss.

Det er her man nå har funnet en ny løsning ved å plassere ut små sendere tett i tett hvor folk beveger seg. Disse senderne kalles beacons eller nettvarder. De er billige og fungerer med å sende ut sin egen identitet. De store mobil- og operativsystemleverandørene har lagt til rette for at våre mobiler leser av signaler fra slike beacons.

Du laster nå ned apper som leser av beacons som er plassert ut i butikken. Nøyaktig kunnskap om hvor du er og hvilke varer du ser på kan gi grunnlag for å gi deg kjøpsanbefalinger og nyttig informasjon. Andre ser for seg at man kan bli geleidet rundt på togstasjoner, flyplasser og kjøpesentre etter å ha lastet ned togstasjon-app, flyplass-app eller kjøpesenter-app. Dermed snakker vi om en meget tett utplassering av slike beacons, og tettere utplassering vil gi mer nøyaktig posisjon.

Slike isolerte løsninger, hvor togstasjon-appen bare leser av togstasjonens beacons og ingen andres, var slik man så for seg bruk av beacons i utgangspunktet. Dessverre ser vi nå at det ryddige utgangspunktet for bruk av beacons er i ferd med å forsvinne allerede før teknologien er tatt i bruk. Vi ser at beaconaktørene legger til rette for en bredere bruk enn bare for én butikk eller én togstasjon.

Det er allerede etablert beacons-registre for allmenn bruk, som gir informasjon om de enkelte beacons.

Vi ser at app-leverandører ikke begrenser seg til å lese av kun egne beacons, men også andres. Apper du allerede benytter på mobilen endres til å ta i bruk beacons.

Mobilleverandører og leverandører av mobilens operativsystem etablerer beaconavlesing og innrapportering av beacons med lokasjon som standard løsning.

Vi ser dermed allerede nå at vi er kommet i en situasjon, med beacons, som er den samme som vi opplevde med ordinært internett. Med dette vil det fremover være umulig å bevege seg med sin mobil utenfor hjemmet, uten at man selv rapporterer lokasjon og sine interesser til ulike aktører. Din aktivitet og dine interesser vil, uten at du aner det, bli underlagt budgivning og kjøpslåing mellom store aktører som vil by på hvilken mulighet du har for å bruke penger og foreta et kjøp av akkurat deres produkt.

Vi ser at beaconløsningen kan bli pushet frem av gode allmennyttige formål. Dessverre er det ikke ofte betalingsvilje for slike formål. Det er først når reklamen og de store betalingsvillige aktørene kommer inn og får tilgang til personopplysningene dine, at det blir fart på sakene. Vi har lenge hørt at uten reklame og «cookies» på internett ville internett være dyrt eller dødt. Vi vil nok høre dette om beacons også, at denne teknologien vil være nødvendig for å overleve i konkurransen med internetthandelen. Dette er en side av saken og er påstander som blir holdt frem av sterke interessenter innen reklameindustri og av store internettaktører. Det blir alltid litt puslete å vaie personvernflagget overfor disse aktørene.

Vil det da være mulig å innføre den nye teknologien med beacons uten personvernulemper? Det finnes allerede mulighet til å beskytte de enkelte beacons slik at de bare kan avleses og brukes av den aktøren som har plassert dem ut og isolert sett bare kan leses av denne aktørens mobilapp. Det er viktig at det tenkes innebygd personvern og at brukeren selv har kontroll. Dessverre koster slike sikre løsninger mer enn løsninger uten sikkerhet.

Betalingsmiddelet som er i spill er våre personopplysninger. Å gi fra seg personopplysninger er åpenbart ikke like synlig som å gi fra seg kontanter. Vi vil nok se at store reklameaktører får benytte offentlige steder som gater, torg og undergrunnsstasjoner til moderne markedsføring. Det offentlige rom har fra før ikke vært blottet for reklame. Det spesielle nå er dessverre at bruk av beacons vil bringe oss til et helt nytt og langt mer utfordrende nivå.

(Dette innlegget sto på trykk som kronikk i Dagens Næringsliv 13. mai 2015.)

Jeg har vært på utenlandsreise og sliter med jetlag. Jeg googler «søvnproblemer». De neste dagene forfølges jeg av annonser for legemidler på norske og internasjonale nettsider. Hvordan kan det ha seg at alle disse selskapene plutselig vet at jeg ikke får sove om natten?

Det pågår for tiden et datakappløp i medie- og markedsføringsbransjen. Bruk av ny teknologi og muligheten til å samle inn og analysere store datamengder er i ferd med å endre måten annonsører når sine kunder på. Bransjen er på vei bort fra tradisjonell massemarkedsføring og over til å henvende seg direkte til den enkelte. I dag får du persontilpasset reklame på nett, men om ikke lenge får du det også når du ser på tv.

Motoren i markedet for digital annonsering er fremveksten av annonsebørser, der kjøp og salg av annonseplasser foretas av dataprogrammer i løpet av hundredels sekunder. Den annonsøren som byr høyest på en bruker, får vise vedkommende reklame. Og den som byr høyest er gjerne den som har mest data om brukeren – og ser at brukeren har en verdifull profil. Hvis annonsebørsene er motoren, er personopplysninger drivstoffet.

Google og Facebook er blant vinnerne i dette markedet fordi de sitter på enormt mye data om oss. For ikke å tape annonsekampen mot disse globale kjempene bygger norske aktører opp egne plattformer for datastøttet annonsering.

Vi er vitne til en massive innsamling av personopplysninger. Utnyttelsen av disse til kommersielle formål setter personvernet under press.

Den største utfordringen er at markedet for digital annonsering er lite åpent og gjennomsiktig. De fleste av oss vet ikke at vi blir profilert. Selv om vi samtykker til noe av cookie-bruken, er det ikke mulig å ha oversikt over det samlede omfanget av opplysninger som samles inn om oss. På mange av nettsidene vi besøker er det ofte flere titalls ulike selskaper til stede som samler inn opplysninger om oss bak kulissene. Vi blir ikke opplyst om hvilken kunnskap som utledes om oss på bakgrunn av disse dataene, og hvilke profiler vi ender opp med å få.

Det er et paradoks at mens vi borgere aldri før har delt mer informasjon om oss selv, så er selskapene som utnytter disse opplysningene svært hemmelighetsfulle om sin aktivitet. Vi har fått en informasjonsasymmetri: Tusentalls selskaper vet svært mye om oss, mens vi ikke en gang vet hvem som vet og hva de vet. Dette er uheldige fordi det gjør oss sårbare for urettmessig diskriminering og manipulering. Når vi ikke vet hva som foregår er vi heller ikke i en posisjon til å ta informerte valg.

Hvis du føler at du mister kontroll over dine egne personopplysninger og ikke vet hvem som ser deg, kan det føre til at du begynner å legge bånd på deg selv. Du kan for eksempel unnlate å søke etter kreftmedisin eller skrive under på et opprop i frykt for at du legger igjen spor som kan blir brukt mot deg. Datatilsynet gjennomførte en spørreundersøkelse i 2013 som viste at 16 prosent har latt være å foreta enkelte søk på nett fordi de er usikre på hvordan disse opplysningene kan bli brukt senere.

I USA avdekkes det stadig eksempler på selskaper som sammenstiller og selger svært sensitive profiler til annonsører. For eksempel profiler som «tidlig stadium av Alzheimer» eller «spillavhengige over 50 år». I Europa har vi i dag en strengere personvernlovgivning som hindrer tilsvarende utnyttelse av personopplysninger.

Lagring av enorme datamengder om enkeltindivider utgjør også i seg selv en risiko. Konsekvensene ved datainnbrudd og datalekkasjer blir enda større når datamengdene er store og kan gi et rikt og avslørende bilde av enkeltpersoner.

Bransjen hevder at det kun er anonyme data som benyttes til profilering. Men jo mer detaljerte og nærgående profilene er, jo større er imidlertid faren for at det er mulig å reidentifisere enkeltindivider i datasettene.

Nytt personvernregelverk (i form av en forordning) er nå på trappene i EU. Skjerpet informasjonsplikt for virksomheter og styrket eiendomsrett over egne data er viktige elementer. Ett av forslagene går for eksempel ut på at det skal bli lettere for enkeltpersoner å motsette seg at dataene blir brukt til profilering. Loven vil også gi oss større rett til å kreve data slettet. Sanksjonene skjerpes betydelig, og særlig interessant blir det å se hva slags sanksjoner ulovlig reidentifisering av data blir møtt med. Vårt håp er at norske politiske myndigheter bruker all innflytelse de har til å unngå at forordningen svekkes i sluttforhandlingene som begynner etter sommeren.

]]> https://www.personvernbloggen.no/2015/05/22/du-er-til-salgs/feed/ 0 https://www.personvernbloggen.no/2014/09/16/kan-norske-toppdomener-brukes-til-a-gi-bedre-personvern/ https://www.personvernbloggen.no/2014/09/16/kan-norske-toppdomener-brukes-til-a-gi-bedre-personvern/#respond http://www.personvernbloggen.no/wp-content/uploads/2015/07/Bjørn-Erik-Thon_avatar_1436432631-200x200.jpg Tue, 16 Sep 2014 12:00:54 +0000 http://www.personvernbloggen.no/?p=1257 På personverndagen i januar 2014 lanserte nettguru og teknologidirektør i Opera Software Håkon Wium Lie følgende ide: Kan norske toppdomener brukes til å skape bedre personvern?

At Norge forvalter domenet .no er ingen hemmelighet. Færre vet at vi i tillegg har kontroll på domene .sj (Svalbard og Jan Mayen) og .bv ( Bouvetøya). Dette er sovende domener, derfor syntes jeg Håkons ide var interessant og nytenkende.

Prosessen som fulgte har vært den merkeligste jeg har opplevd i de årene jeg har jobbet med forbruker- eller personvernspørsmål.  Det toppet seg 10. juli. Da fikk jeg et brev fra Samferdselsdepartementet. Normalt er det vanskelig å få et departement i tale, og dette er faktisk første gang jeg har opplevd at et departement har tatt aktiv til motmæle mot høyttenking uten at det har vært noen form for kontakt på forhånd.

Departementet ønsket å gi en «umiddelbar» reaksjon på det som ble framstilt som «et forslag» fra Datatilsynet. Vi kunne lese at:

• «departementet ønsker derfor ingen prosess som har til formål å undergrave ideen om .no som et sikkert og trygt domene»
• «at norske selskaper i tillegg vil bli tvunget til å anskaffe domenenavn også under .sj og .bv for å beskytte sine interesser ansees som uheldig» »
• «et personvernvennlig domene kan enkelt realiseres under Datatilsynets eget domenenavn eller under et nytt underkategori under .no»

Les brevet fra Samferdselsdepartementet her

Ønsker en ny leverandør å etablere en ny internettjeneste under domenet, skal ikke bruker akseptere et sett med betingelser – det er tjenesteleverandøren som aksepterer bruksbetingelsene for domenet

Teknologirådet inviterte til høring om forslaget den 10. september. Det ble et interessant og inspirerende møte. Jeg holdt et innlegg, og nedenfor gjengir jeg det jeg sa i innledningen min:

Det er stor oppmerksomhet om manglende informasjonssikkerhet. Datasentre hackes, sensitiv informasjon kommer på avveier og det er generelt alt for dårlig informasjonssikkerhetstenkning i Norge. Som et eksempel kan jeg nevne at Datatilsynet har gjennomført ca 20 tilsyn mot norske kommuner og funnet feil og mangler hos nær sagt alle. Det er behov for et krafttak for personvern i kommunal sektor.

Samtidig beveger samfunnet seg i retning av mer overvåking og kontroll. PSTs forslag om bruk av stordata og Edvard Snowdens avsløringer er eksempler på det. Vi registreres hvor enn vi er på nett og cookies av ulike slag slipper vi ikke unna. Ny teknologi introduseres nærmest daglig. På tilsyn finner vi for ofte at data lagres for lenge.

Det hevdes at .no er et av verdens tryggeste og sikrest domener, og det er sikkert helt riktig. Men hva gjør .no for personvern og informasjonssikkerhet? Kan det hindre at PST får bruke data fra firmaer med en .no – adresse i sin big data – analyse. Etterleves personopplysningslovens sletteregler bedre på et .no – domene? Blir vi i mindre grad tracket av cookies på et .no – domene? Og er informasjonssikkerheten bedre på et .no – domene?

Svaret på disse spørsmålene er nei!

Så er spørsmålet – kan vi ved å bruke de to toppdomenene .sj og .bv bidra til større sikkerhet og bedre personvern?

Jeg vet ikke, men det jeg liker med denne ideen er den tvinger oss til å tenke i nye baner. For tror vi at utfordringene knyttet til overvåking, til manglende informasjonssikkerhet og til manglende etterlevelse av personopplysningsloven blir mindre i årene som kommer? Selvsagt ikke.

Hele ideen er egentlig oppsummert i følgende setning i invitasjonen: «Ønsker en ny leverandør å etablere en ny internettjeneste under domenet, skal ikke bruker akseptere et sett med betingelse – det er tjenesteleverandøren som aksepterer bruksbetingelsene for domenet».

Den sveitsiske protonmail.ch er nevnt som et eksempel i invitasjonen. Tjenesten tilbyr blant beskyttelse under sveitsiske regelverk, kryptering, ingen tracking av brukeren og en n anonymitets-garanti. Nå er selskapet registrert under et .ch-domene. Tjenesten kunne kanskje vært registrert også på .no. Men så er spørsmålet: Ønsker det norske politiske miljøet å bruke de frie toppdomenene til å etablere en trygg havn der nettopp slike tjenester kan etablere seg? Ønsker de kanskje å stille tilleggskrav om informasjonssikkerhet? Ønsker de å stille tilleggskrav om sletting, om kryptering osv?

Jeg har ikke svaret på dette, men spørsmålet må besvares med annet enn en beskjed om å ligge unna. Kanskje kan det også ligge penger i dette. Dersom .sj og .bv etableres som en trygg havn kan det  tiltrekke seg selskaper som ønsker å tjene penger på å tilby sikre tjenester, enten det er epost, netthandel, helserådgivning eller kredittkort, for å nevne noen eksempler. Målet må i så fall være at .bv eller .sj etableres som et varemerke for sikkerhet og personvern. Da kan vi også se selskaper som har et «vanlig» .no domene der vi selger personopplysningene våre mot personifisert reklame, men en egen .sj-avdeling der vi kanskje betaler en femtilapp om måneden for å slippe nettopp reklamen.

Dette er foreløpige tanker. Det hører definitivt med til kategorien «tenkt, men ikke tenkt ferdig». Men skal vi skape bedre levekår for personvern og informasjonssikkerhet må vi iblant tenke nytt og snu nye steiner. Det er det jeg synes vi skal gjøre nå.

Det ble en fin debatt etterpå. Folk fra NORID kom med saklige motforestillinger mot forslaget, bl.a. at det kunne føre til en oppdeling av internett ( balkanisering) og at man måtte vise at det var interesse for å knytte seg til et slikt domene. Dette er fornuftige innspill. Balkanisering må unngås, og det ligger selvsagt viktig utredningsarbeid foran oss dersom vi skal gå videre med ideen. Her er noen innspill til hvilke krav som kan stilles til .sj og .bv:

• Lagring skal skje i Norge og under norske jurisdiksjon
• Det må stilles strenge krav til hvilke typer cookies som kan aksepteres
• Det må tilbys brukervennlig og sikker kryptering
• Det må være streng tilgangskontroll
• Data må ikke selges til tredjeparter
• Selskapet må forplikte seg til jevnlig gjennomgang av egen sikkerhet
• Selskapene må forplikte seg til å følge forbrukerregelverket og operere med kontrakter som er i overensstemmelse med reglene i markedsføringsloven
• Det kan etableres et klageorgan som kan frata selskapet retten til å operere under .sj og .bv – domenet.

Det vi i denne omgang trenger er politisk interesse for å gå videre. I et samfunn som skriker etter bedre personvern og bedre informasjonssikkerhet er det alt for defensivt å skyte ned forslaget slik Samferdselsdepartementet har forsøkt å gjøre.

I dag sitter ni ansatte i Datatilsynet limt foran skjermene i et improvisert hovedkvarter i lokalene våre. Vi er i gang med å sveipe nettsidene til 200 virksomheter. Vi skal finne ut om de informerer om hvordan de behandler personopplysninger.

Folk har rett til å vite hvordan deres personopplysninger samles inn og brukes, og virksomheter skal informere om dette. Ved å gjøre det på sine nettsider, gjør de det lettere for folk å ha oversikt over hvordan opplysningene deres håndteres. Vi har sett en trend de siste årene til at folk er mer opptatt av personvern og personverninnstillinger, spesielt i forbindelse med bruk av Facebook. Vi tror at folk forventer godt personvern i tjenestene de bruker, og at det bør være i virksomhetens interesse å informere om hva de gjør.

Nettsidene som sveipes er et utvalg av de mest brukte nettsidene i Norge, og de største norske virksomhetene i privat sektor. Vi ser etter om de har en personvernerklæring og hvor tilgjengelig den er. Vi sjekker også om den innholder det som bør være med i en slik erklæring. Den bør blant annet gi oversikt over hvilke personopplysninger som samles inn, og om virksomheten deler personopplysninger med andre.  

Datatilsynet er med i et internasjonalt prosjekt kalt ”Internet Sweep Day” der 14 land deltar for å kartlegge bruken av personvernerklæringer. Prosjektet gjennomføres i regi av Global Privacy Enforcement Network og resultatene fra sveipet offentliggjøres i september.

Vi oppfordrer alle virksomheter til å sjekke tilstanden til personvernerklæring på egne nettsider. Samtidig minner vi nettbrukerne om at de kan etterspørre informasjon fra en virksomhet – både når det gjelder hvordan virksomheten behandler personopplysninger generelt, og at de kan be om innsyn i egne opplysninger.

En cookie er en liten informasjonspakke som plasseres på datamaskinen vår når vi surfer på nettet. Enkelte cookies er svært praktiske, for eksempel de som legger igjen en kode som forteller at vi bruker norsk språk og neste gang vi besøker samme nettsted får vi opp siden på norsk. Andre kartlegger i detalj hvilke sider vi besøker, hvor lenge vi er der og hva vi gjør.

Departementets forslag er bygd på et EU-direktiv. Formålet med direktivet var at borgerne skulle få større mulighet til selv å bestemme om du vil godta at det ble plassert cookies på datamaskinen, eventuelt også hvilke. I tillegg skulle det gis bedre informasjon til de besøkende. Det ble gjort et skille for ulike typer cookies, og for de noe mer pågående ble det vedtatt at de bare kunne plasseres på datamaskinen dersom hun ga sitt samtykke. Dette er selve kjernen i personverntanken og i personopplysningsloven, nemlig at den enkelte skal gi et frivillig og informert samtykke før noe lagres om oss, eller noe plasseres på datamaskinen vår.

Samferdselsdepartementet foreslår at det skal gis informasjon på hjemmesiden om hvilke cookies som lagres, for hvilket formål osv. Men når det gjelder den enkeltes selvbestemmelse, selve kjernen i direktivet, er forslaget sørgelig lesning. Overraskende nok har departementet valgt å se bort fra dette, og sier direkte at ”det presiseres at innholdet i kravet til samtykke av praktiske hensyn ikke vil være sammenfallende med samtykkekravet i personopplysningsloven”. Hva innebærer så departementets krav til samtykke? Jo, den enkelte må selv gå inn i nettleseren sin ( Internet Exporer, Safari, Chrome osv) og stille den inn slik at den godtar cookies, ikke godtar cookies, godtar noe cookies osv. I forslaget understreker departementet at ”en forhåndsinnstilling i nettleser om at bruker aksepterer informasjonskapsler anses å utgjøre et samtykke”. Og til orientering: De aller fleste nettlesere kommer i dag med standardinnstilling om at brukeren godtar alle cookies.

Den praktiske situasjonen er altså denne: Jeg skal inn på et nettsted og er usikker på hvilke cookies som plasseres på datamaskinen min. Jeg må først lete meg fram til det sted i nettleseren min jeg kan bestemme over mine cookies. Her hjemme har jeg tre nettlesere, noe som er ganske vanlig. Å gjøre disse innstillingene er komplisert, selv for en som er brukbart teknisk kompetent, men for veldig mange er dette omtrent som å lese gresk. Og når jeg stiller inn på ”godta ingen cookies” og forsøker å gå inn på nettbanken min får jeg følgende beskjed: Nettleser støtter ikke informasjonskapsler – og jeg kan bare glemme å logge inn. Jeg forsøker på nytt, og tillater noen flere cookies denne gangen, men med samme resultat, og slik kunne jeg fortsatt. Men det er dette departementet legger opp til. Istedenfor en samtykkeløsning der nettstedet må tilrettelegge for at jeg skal kunne gjøre gode og enkle valg må jeg selv gjøre hele jobben. Dette er svært langt unna et frivillig samtykke, så det første spørsmål jeg stiller er om departementet har implementert direktivet feil. Sikkert er det i hvert fall at fortolkningen av samtykke ligger langt unna den tolkning Datatilsynet i Norge og en rekke andre land legger til grunn. Dersom loven blir vedtatt blir det spennende å se hva ESA sier om implementeringen.

Dernest er det grunn til å spørre hvorfor de velger den desidert dårligste måten å implementere direktivet på. I flere europeiske land er det innført interessante samtykkeløsninger. Sjekk for eksempel det britiske datatilsynets hjemmesider. Her får man opp en enkel og informativ tekst nederst der man kan velge å akseptere cookies eller ikke, og i tillegg få mer opplysning om hvilke cookies som plasseres og hvordan de håndterer disse. Det finnes en rekke tilsvarende løsninger som tilbys av private aktører, blant annet TRUSTe, som jeg selv fikk demonstrert for ikke lenge siden. Det er positivt at kommersielle aktører ønsker å spille på lag med personvernet, men alle slike initiativer vil selvsagt bli lagt bort med et forslag som dette.

Det forslaget som nå ligger på bordet er upraktisk, muligens i strid med direktivet, hemmende for utvikling av gode samtykkeløsninger og svært vanskelig for folk flest å håndtere. Jeg håper derfor Stortinget tar tak i dette under behandlingen og endrer forslaget.   

Prosessen for få tildelt TrustE-merket er enkel i all sin kompleksitet. Først gjennomføres en analyse av nettstedet basert på et kriteriesett for såkalt best practice der bl.a. bruk av cookies og personvernerklæringen gjennomgås. Deretter skrives en Gap-rapport (som vel kan oversettes til  avviksrapport) om hva som må forbedres, og kun en liten prosentdel kommer unna uten merknader. Deretter følger et «veikart til merket», altså tiltak som må på plass før merket tildeles. Når merket plasseres på nettstedet anses det som en del av selskapets personvernpolitikk, og dersom selskapet bryter denne politikken kan de i verste fall miste merket. Det er også et brudd på god forretningspraksis og kan føre til at de får Federal Trade Commission på nakken.

Når merket er tildelt følger TrustE opp med kontroller. De understreket at de i første rekke forsøker å bistå bedrifter som får merknader til å bli bedre, ikke nødvendigvis ta fra dem merket.

Interessant er også klageordningen. TrustE mottar klager fra forbrukere på selskaper som bryter kriteriene for tildeling. Hvert år mottar de ca 8 000 klager. Det er stor variasjon i klagene, men en typisk klage gjelder reklame som sendes fra nettstedet i strid med selskapets praksis om ikke å sende slik reklame.

Å få næringsdrivende til å følge lover og regler er en krevende øvelse. Det positive med merkeordninger er at selskaper som ønsker å bli merket viser en interesse for å jobbe aktivt og planmessig for å følge regelverket. Slik sett kan merkeordninger bidra til økt etterlevelse av loven.

Stanford, Main Quad

I dag, onsdag, har vi besøkt Stanford University. Vi gikk opp Palm drive, igjennom The Oval og opp til Main Quad. Dette gjør stort inntrykk. Oppe på Faculty Club har vi en avtale med Director of Privacy på Center for Internet and Society, Aleecia M. McDonald. Senteret er ledende på studier på lov og politikk om internett og andre nye teknologier.

McDonald er sentral i arbeidet til W3C Tracking Protection Working Group, og hun rettleder også Mozilla i deres «Do Not Track» webleserfunksjon. Hennes forskning omfatter blant annet brukernes forventninger til «Do Not Track», samt effekten av industriens selvregulering.

Vi fikk de siste nyheter om problematikken med Do Not Track. Sterke krefter gjør arbeidet utfordrende, og fremdriften lider av dette. Under samtalen kunne vi ikke unngå å komme inn på forskjellene mellom amerikansk og europeisk lovverk og hva disse forskjellen fører til. Hun fortalte om APPS Act (hva utviklere bør vite om brukernes personvern og samtykke), som er ganske godt tilpasset mange av de betenkeligheter grupper for forbrukerbeskyttelse har fremmet.

Vi snakket også om håndteringen av tredjepartscookies og førstepartscookies. At cookies som gir seg tilkjenne som førstepartscookies når de egentlig er tredjepartscookies, gjør det vanskelig å skille ut disse.

McDonald fortalte oss at Stanford for tiden har flere ekstremt flinke folk som arbeider med tracking og personvern. Disse produserer relevante arbeider som er direkte anvendelige. Student Jonathan Mayer er en av dem. Han arbeider på både Security Lab og Center for Internet and Society. Hans forskningsarbeid på Googles omgåelse av Safaris cookie blokkeringsfunksjon er godt kjent.

Under samtalen kommer Stanfords professor Dan Boneh inn. McDonald har avtalt at han skulle komme og fortelle oss om sitt arbeid i Computer Science Department. Han fortalte oss mye om sitt pågående arbeid. Professor Boneh fokuserer i sitt arbeid på anvendt kryptografi og datasikkerhet. Vi vil senere komme tilbake med mer informasjon om hans pågående arbeid.