(Dette innlegget sto på trykk som kronikk i Dagens Næringsliv 13. mai 2015.)

Jeg har vært på utenlandsreise og sliter med jetlag. Jeg googler «søvnproblemer». De neste dagene forfølges jeg av annonser for legemidler på norske og internasjonale nettsider. Hvordan kan det ha seg at alle disse selskapene plutselig vet at jeg ikke får sove om natten?

Det pågår for tiden et datakappløp i medie- og markedsføringsbransjen. Bruk av ny teknologi og muligheten til å samle inn og analysere store datamengder er i ferd med å endre måten annonsører når sine kunder på. Bransjen er på vei bort fra tradisjonell massemarkedsføring og over til å henvende seg direkte til den enkelte. I dag får du persontilpasset reklame på nett, men om ikke lenge får du det også når du ser på tv.

Motoren i markedet for digital annonsering er fremveksten av annonsebørser, der kjøp og salg av annonseplasser foretas av dataprogrammer i løpet av hundredels sekunder. Den annonsøren som byr høyest på en bruker, får vise vedkommende reklame. Og den som byr høyest er gjerne den som har mest data om brukeren – og ser at brukeren har en verdifull profil. Hvis annonsebørsene er motoren, er personopplysninger drivstoffet.

Google og Facebook er blant vinnerne i dette markedet fordi de sitter på enormt mye data om oss. For ikke å tape annonsekampen mot disse globale kjempene bygger norske aktører opp egne plattformer for datastøttet annonsering.

Vi er vitne til en massive innsamling av personopplysninger. Utnyttelsen av disse til kommersielle formål setter personvernet under press.

Den største utfordringen er at markedet for digital annonsering er lite åpent og gjennomsiktig. De fleste av oss vet ikke at vi blir profilert. Selv om vi samtykker til noe av cookie-bruken, er det ikke mulig å ha oversikt over det samlede omfanget av opplysninger som samles inn om oss. På mange av nettsidene vi besøker er det ofte flere titalls ulike selskaper til stede som samler inn opplysninger om oss bak kulissene. Vi blir ikke opplyst om hvilken kunnskap som utledes om oss på bakgrunn av disse dataene, og hvilke profiler vi ender opp med å få.

Det er et paradoks at mens vi borgere aldri før har delt mer informasjon om oss selv, så er selskapene som utnytter disse opplysningene svært hemmelighetsfulle om sin aktivitet. Vi har fått en informasjonsasymmetri: Tusentalls selskaper vet svært mye om oss, mens vi ikke en gang vet hvem som vet og hva de vet. Dette er uheldige fordi det gjør oss sårbare for urettmessig diskriminering og manipulering. Når vi ikke vet hva som foregår er vi heller ikke i en posisjon til å ta informerte valg.

Hvis du føler at du mister kontroll over dine egne personopplysninger og ikke vet hvem som ser deg, kan det føre til at du begynner å legge bånd på deg selv. Du kan for eksempel unnlate å søke etter kreftmedisin eller skrive under på et opprop i frykt for at du legger igjen spor som kan blir brukt mot deg. Datatilsynet gjennomførte en spørreundersøkelse i 2013 som viste at 16 prosent har latt være å foreta enkelte søk på nett fordi de er usikre på hvordan disse opplysningene kan bli brukt senere.

I USA avdekkes det stadig eksempler på selskaper som sammenstiller og selger svært sensitive profiler til annonsører. For eksempel profiler som «tidlig stadium av Alzheimer» eller «spillavhengige over 50 år». I Europa har vi i dag en strengere personvernlovgivning som hindrer tilsvarende utnyttelse av personopplysninger.

Lagring av enorme datamengder om enkeltindivider utgjør også i seg selv en risiko. Konsekvensene ved datainnbrudd og datalekkasjer blir enda større når datamengdene er store og kan gi et rikt og avslørende bilde av enkeltpersoner.

Bransjen hevder at det kun er anonyme data som benyttes til profilering. Men jo mer detaljerte og nærgående profilene er, jo større er imidlertid faren for at det er mulig å reidentifisere enkeltindivider i datasettene.

Nytt personvernregelverk (i form av en forordning) er nå på trappene i EU. Skjerpet informasjonsplikt for virksomheter og styrket eiendomsrett over egne data er viktige elementer. Ett av forslagene går for eksempel ut på at det skal bli lettere for enkeltpersoner å motsette seg at dataene blir brukt til profilering. Loven vil også gi oss større rett til å kreve data slettet. Sanksjonene skjerpes betydelig, og særlig interessant blir det å se hva slags sanksjoner ulovlig reidentifisering av data blir møtt med. Vårt håp er at norske politiske myndigheter bruker all innflytelse de har til å unngå at forordningen svekkes i sluttforhandlingene som begynner etter sommeren.

]]> https://www.personvernbloggen.no/2015/05/22/du-er-til-salgs/feed/ 0 https://www.personvernbloggen.no/2013/06/01/xbox-one-bare-lek-og-moro-eller/ https://www.personvernbloggen.no/2013/06/01/xbox-one-bare-lek-og-moro-eller/#respond http://www.personvernbloggen.no/wp-content/uploads/2015/04/Atle-Årnes_avatar_1430207306.jpg Sat, 01 Jun 2013 07:38:57 +0000 http://www.personvernbloggen.no/?p=602

Xbox One med en oppdatert Kinnect vekker oppsikt med tanke på håndtering av personopplysninger.

Det er mye spennende og fascinerende elektronikk ute på markedet for tiden som kan være en utfordring for personvernet om den ikke brukes riktig. Vi har tidligere i denne bloggen skrevet om Google glass og personvernproblematikk som dukker opp i forbindelse med bruk av et slikt produkt. Vi har også fokusert på droner, som vil kunne utfordre vårt personvern dersom de ikke brukes riktig. Siste nyhet innen personvernutfordrende elektronikk er spillkonsollen Xbox One som ble presentert i forrige uke. Denne konsollen,  sammen med den kraftige  og oppdaterte inn-enheten ”Kinect” skaper noen åpenbare utfordringer for personvernet.

Det er opplyst at den oppdaterte Kinect vil kunne avlese reaksjonstid og humør, den kan se i mørket, kjenne igjen den enkeltes stemme i en bråkete stue, lese puls kun ved å se ditt ansikt og mye mer. Man vekker Xbox One til live ved å si «Xbox on», man kan av dette trekke slutningen at den dermed alltid lytter.  Kinnect sensoren må visst alltid være tilsluttet Xbox One for at spillkonsollen skal kunne kjøre. Dette var ikke nødvendig med Kinnect mot den gode gamle Xbox 360.

En av Tysklands øverste talsmenn for personvern, Peter Schaar, uttalte til Spiegel denne uken at brukere ikke kan kontrollere hva slags informasjon som vil bli lagret på en XBox One. Schaar fortalte at XBox fortløpende registrerer all slags personlig informasjon om brukeren, som deretter blir behandlet på en ekstern server, muligens også gitt videre til tredjeparter. Om de noen gang vil slettes, kan den enkelte eier av boksen  ikke riktig vite.

Microsoft sier på sin side at Xbox One har en av/på-knapp. I tillegg er det mulig å skru av Kinect-sensoren.

Det er opplyst at Microsoft de nærmeste ukene vil komme med mer informasjon om Xbox One og den oppgraderte Kinect.

Vi har allerede mottatt bekymrede henvendelser om Xbox One til Datatilsynet. Vi som arbeider med personvern vil derfor følge nøye med på Microsoft og dette produktet i tiden frem mot, og etter lansering. Den nye spillkonsollen, TV-er med samme funksjonalitet og andre tilsvarende nyvinninger blir et åpenbart tema på kommende møter i noen av de teknologiforaene jeg deltar i sammen med mine europeiske personvernkollegaer.

Men hva kan du gjøre selv? Jo – for det første er det den enkelte forbruker som selv må ta stilling til hvilken teknologi man bringer inn i stuer og soverom. Og….å trekke ut kontakten når maskinen ikke brukes er selvsagt også en mulighet om du ikke føler deg helt trygg.

—

Her er noen relevante artikler:

Mener Xbox One er et «forskrudd mareritt» for privatlivet http://www.dagensit.no/k/mappami/article2621966.ece

Xbox One’s Kinect Can Turn Off, Microsoft Says, Noting Privacy Worries http://kotaku.com/xbox-ones-kinect-can-turn-off-microsoft-says-noting-510100564

Xbox One could track everything you watch on TV http://www.theinquirer.net/inquirer/news/2270959/xbox-one-could-track-everything-you-watch-on-tv

Microsoft: Xbox One’s Kinect Won’t Skimp on Privacy http://mashable.com/2013/05/29/xbox-one-kinect-privacy/

Microsoft: Nå lanserer vi Xbox One http://www.xbox.com/nb-NO/xboxone/meet-xbox-one

Vi fikk en meget grundig innføring i Microsofts personverntenkning, blant annet deres do not track – løsning i Internet Explorer 10. Dette var ikke minst interessant fordi do not track har vært et gjennomgangstema i flere av møtene våre her i USA. Geff Brown gikk deretter gjennom skytjenesten Microsoft 365. Vi kjente hovedpunktene fra før, men det var beroligende å høre fra sentralt Microsoft-hold at forbrukerdata som lagres i deres cloud-løsning ikke mingles med andre forbrukerdata. Vi fikk også en orientering om Microsoft Trust Center.

Et av formålene med denne turen har vært å fange opp trender, og i så måte har den vært en stor suksess. I diskusjonen om cloud-løsninger og sensitive data kom det fram at mange helseinstitusjoner i USA lagrer pasientdata i skyen. Vi skal ikke her felle en dom over det, men det er ingen tvil om at dette ville vært svært krevende i Norge – og det er trolig heller ikke på den politiske dagsorden. Microsoft påpekte for øvrig at det i USA var mange små helseforetak med dårlig informasjonssikkerhet som fikk økt sikkerheten ved å gå i skyen.

Microsoft ga oss også en presentasjon av dagens – og morgendagens – teknologiske muligheter, og her som de andre stedene vi har besøkt konkluderte vi med at framtida blir spennende – og krevende.

Forsvarer dine rettigheter i den digitale verden

I dag tidlig, torsdag, besøkte vi Electronic Frontier Foundation (EFF). Det var en kort taxitur fra hotellet vårt og sydover til Mission district i San Francisco hvor EFF har sine lokaler. Området kler på en måte organisasjonen, som ikke fokuserer på fancy lokaler, men istedet på å forsvare ytringsfriheten, personvern, innovasjon og forbrukerrettigheter. Fra starten i 1990 har EFF kjempet for våre digitale rettigheter.

Vi ble tatt i mot av advokat Lee Tien, som blant annet er spesialist på personvernlov, intellectual property-regulering og personvern-regulering. Lee ga oss overordnet informasjon om hva EFF arbeidet med. Dette var mye av det som det norske Datatilsynet også arbeider med, slik som smarte strømavlesere, svarte bokser i biler, sosiale nettsamfunn, ebilletter, big data, overvåking og ikke minst Cyber security.

Mye av informasjonen fra Lee dreide seg om Cyber Security. Dette er et vanskelig tema for offentlige myndigheter, som i henhold til Lee ofte er dårlige på Cyber Security. Hvem styrer dette? Militæret eller de sivile? Cyber Crime krever mer overvåking, men man balansere dette for å ivareta personvernet.

EFF arbeider med tre store områder innen personvern på nettet:
– ACTA-reform, hvor også Cloud Computing blir håndtert
– kommunikasjonskontroll
– datalagring

Vi spør om hva Lee mener om Do Not Track som et verktøy? Er det håp for verktøyet? Han håper at W3C kommer opp med noe. Problemet er tredjeparts ad-network. Her er det sterke interesser inne. Og selvfølgelig kommer arbeidet med Do Not Track inn i mange år, for sent.

Vi fikk mye informasjon fra Lee. Det er nyttig å få vite, direkte fra kilden, hva som er fokusområder, bekymringer og planlagte satsinger.

Stanford, Main Quad

I dag, onsdag, har vi besøkt Stanford University. Vi gikk opp Palm drive, igjennom The Oval og opp til Main Quad. Dette gjør stort inntrykk. Oppe på Faculty Club har vi en avtale med Director of Privacy på Center for Internet and Society, Aleecia M. McDonald. Senteret er ledende på studier på lov og politikk om internett og andre nye teknologier.

McDonald er sentral i arbeidet til W3C Tracking Protection Working Group, og hun rettleder også Mozilla i deres «Do Not Track» webleserfunksjon. Hennes forskning omfatter blant annet brukernes forventninger til «Do Not Track», samt effekten av industriens selvregulering.

Vi fikk de siste nyheter om problematikken med Do Not Track. Sterke krefter gjør arbeidet utfordrende, og fremdriften lider av dette. Under samtalen kunne vi ikke unngå å komme inn på forskjellene mellom amerikansk og europeisk lovverk og hva disse forskjellen fører til. Hun fortalte om APPS Act (hva utviklere bør vite om brukernes personvern og samtykke), som er ganske godt tilpasset mange av de betenkeligheter grupper for forbrukerbeskyttelse har fremmet.

Vi snakket også om håndteringen av tredjepartscookies og førstepartscookies. At cookies som gir seg tilkjenne som førstepartscookies når de egentlig er tredjepartscookies, gjør det vanskelig å skille ut disse.

McDonald fortalte oss at Stanford for tiden har flere ekstremt flinke folk som arbeider med tracking og personvern. Disse produserer relevante arbeider som er direkte anvendelige. Student Jonathan Mayer er en av dem. Han arbeider på både Security Lab og Center for Internet and Society. Hans forskningsarbeid på Googles omgåelse av Safaris cookie blokkeringsfunksjon er godt kjent.

Under samtalen kommer Stanfords professor Dan Boneh inn. McDonald har avtalt at han skulle komme og fortelle oss om sitt arbeid i Computer Science Department. Han fortalte oss mye om sitt pågående arbeid. Professor Boneh fokuserer i sitt arbeid på anvendt kryptografi og datasikkerhet. Vi vil senere komme tilbake med mer informasjon om hans pågående arbeid.

Senatorenes kontorer ligger i stilfulle bygninger i området rundt Capitol, eller the Hill som vi forstår at det kalles her.

Vårt møte var med et medlem av staben til Al Franken, en demokratisk senator fra Minnesota. Han er leder for en underkomite som bl.a. har ansvar for personvern, og i USA, som i Norge, er personvern en viktig del av samfunnsdebatten.

Det Al Franken særlig er opptatt av er cybersikkerhet og lokaliseringsteknologi og han jobber aktivt med lovgivning på disse områdene. Forslag om cyberangrep pålegger virksomheter med kritisk infrastruktur som utsettes for angrep en rapporteringsplikt til sikkerhetsmyndighetene. Dette er vel og bra, men innebærer samtidig at store mengder persondata utleveres til samme sted.

Apper som tilbyr overvåkning av ektefeller og barn markedsføres aktivt i USA. Frankens lovforslag handler i korthet om at det skal foreligge samtykke til registrering og utlevering fra den som overvåkes. I tillegg pålegges den som utvikler appen en informasjonsplikt.

Dette innebærer i praksis er forbudt mot slike apper, da det er vanskelig å tenke seg at noen vil samtykke til slikt. Verdt å merke seg er at forslaget også gjelder lokalisering som for eksempel Google gjør når de tilbyr sine tjenester og alle andre typer apper.

Dette er for øvrig bare en av flere initiativer til lovregulering av lokalisering og overvåkning på nettet. Senator Rockefeller jobber med en do-not-track lov og John Kerry har også fremme et lovforslag på områder, så får vi se hva som skjer med det nå som han har blitt utenriksminister.

Vi treff også Marc Rotenberg, juss-professor på Georgetown og leder av personvernorganisasjonen EPIC. Her jobber 10-12 engasjerte personvernere med lobbyvirksomhet og kampanjer.

EPIC kjører også rettsaker mot amerikanske myndigheter med jevne mellomrom. På lista står blant annet Federal Trade Commission, CIA og Departement of Homeland Security. En av EPICs suksesser er å få fjernet de utskjelte nakenscannerne på flyplassene.

Vi fikk bekreftet inntrykket av at personvernlovgivningen i relativt stor grad håndheves av privatpersoner og organisasjoner gjennom rettssaker. Dette er slående forskjellig fra de fleste europeiske land, der den konkrete håndhevelsen av regelverket skjer av personvernmyndighetene.

Et tema vi diskuterte begge steder var effekten av såkalt solnedgangslovgivning. Det vil si at lover datostemples og må fornyes etter for eksempel fem år. Overraskende nok er den notoriske Patriot Act en solnedgangslov.

I utgangspunktet høres en slik lovgivningsteknikk ut som en god idé, og man er sikret en evaluering av loven etter noen år. Særlig på personvernområdet kan det være effektivt, for etter vår erfaring er kulturen for å evaluere personvernkrenkende tiltak dårlig utviklet.

Samtidig har det noen bieffekter. Det er erfaringsmessig vanskelig å fjerne noe som allerede er etablert, og det er lett å se for seg at debatten handler om effektivisering fremfor opphevelse loven. Dessuten kan innvendingene mot loven være mindre når det «bare» er snakk om en midlertidig lov. Det kunne være interessant å få lesernes synspunkter på om dette er en vei å gå i Norge.

La oss avslutte med senatet.

The Hill er et stort område med betydelige avstander, og mange av kontorene ligger et stykke fra selve Capitol.

En underjordisk trikkelinje binder de ulike byggene sammen. Dette er trikken Obama (da han var senator), John Kerry og andre størrelser bruker når de skal forflytte seg mellom de ulike bygningene. Og det er ikke til å nekte for at man blir litt rett i ryggen av å kjøre denne trikken, og kanskje sitte på presidentens stamsete.

I morgen treffer vi Google og på fredag Facebook og Microsoft.

Vi mottar gjerne forslag til spørsmål og temaer.