På lørdag skrev Øyvind Husby at Datatilsynet bommer om felles behandlingsansvar ved bruk av Facebook-side. Han sier dette er problematisk fordi vi som tilsyn forventer at vår vurdering skal være en mal for andre.

Vi har vært tydelige på at vi ikke opptrådte som tilsyn da vi vurderte vår bruk av Facebook. Vi har presisert at man ikke trenger å bruke samme metode som oss og at alle må gjøre sine egne vurderinger.

Misforstått

Når det gjelder jussen, ser Husby ut til å tro at det må foreligge en eksplisitt avtale om formål og midler for at felles behandlingsansvar skal inntre.

I Wirtschaftsakademie- og Fashion ID-dommene som Husby peker på, forelå det ingen enighet mellom partene. Partene brukte dessuten personopplysninger til litt ulike ting. Likevel konkluderte EU-domstolen med felles behandlingsansvar. Begge parter bidro nemlig til innsamling av data og å sette rammene for behandlingen, samtidig som de hadde en felles økonomisk interesse. Det er dette vi har lagt til grunn i våre vurderinger.

I førstnevnte dom finner vi uttalelser om omfanget av felles behandlingsansvar for Facebook-sider. Vi er enige med IKT-Norge i at man ikke har ansvar for alt som skjer på Facebook, men basert på dommens ordlyd kom vi frem til at omfanget av felles behandlingsansvar er videre enn hva Facebook legger opp til i sitt avtaleverk. IKT-Norge ser ut til å stole blindt på dette avtaleverket.

Huseby får det til å se ut som at vi står alene i vår forståelse, men vår tolkning er i tråd med retningslinjene til Personvernrådet, der alle 30 datatilsyn i EØS er medlemmer.

Vranglære

At andre er uenig i vår risikovurdering, er uproblematisk. Her prøver imidlertid IKT-Norge, et interesseorgan som representerer Facebook, å snu opp ned på det EU-domstolen har sagt om Facebook.

Det er skremmende, men ikke nytt.

Schrems II-dommen, som også gjaldt Facebook, sier litt forenklet at USA ikke har god nok beskyttelse av personopplysninger. Facebook har tolket seg bort fra dommen og sender derfor data fritt til USA likevel.

Vi vet at Facebook ofte gjemmer seg bak interesseorganer når de skal lobbe. Dette er vanlig taktikk i Brussel, og vi må være oppmerksomme på det samme her hjemme.

Udemokratisk

Husby avslutter innlegget sitt med å påpeke demokratisk deltakelse – og det er kjernen av problemet.

Facebook bestemmer hvem som får og ikke får se ulike budskap, basert på inngripende sporing som kan medføre nedkjølingseffekt. Nylige avsløringer viser at algoritmene premierer destruktivt og splittende innhold, og Facebook har blitt anklaget for å bidra til vold mot rohingyaene i Myanmar.

At Facebooks interesseorganisasjon skal definere demokratisk deltakelse, er mildt sagt problematisk.

Vårt mål er at Facebook skal respektere demokratiet og rettighetene våre. Det er trist at IKT-Norge har andre mål.

Dette innlegget ble først publisert i Dagens Næringsliv (02.02.22), og er skrevet av konstituert direktør Janne Stang Dahl og seksjonssjef Tobias Judin.

Datatilsynet har besluttet å ikke opprette en egen side på Facebook fordi usikkerheten til hvordan Facebook bruker disse dataene er for stor. I et innlegg den 13. oktober uttrykker Facebook overraskelse over at de ikke fikk bidra inn i vår vurdering og komme med utfyllende informasjon.

Her vil jeg forklare hvorfor vi både sa nei til Facebook, og til dialog under arbeidet vårt.

Facebook vet det meste om brukerne. De kjenner våre vaner, politiske oppfatning og hva vi spiser til middag. Med en Facebook-side ville vi bidratt til å fôre Facebook med informasjon om de som besøkte siden vår. Et «liker»-trykk på en artikkel der vi uttrykte skepsis til et nytt overvåkningstiltak, ville blitt en del av brukerens digitale tvilling på Facebook. Vi stilte oss dette spørsmålet: Kan vi forklare besøkende på vår side hva Facebook brukte opplysningene deres til? Svaret på spørsmålet er ganske enkelt nei. Vi ville heller ikke klart å oppfylle vilkårene i personvernforordningen om å ha kontroll på dataflyten.

Burde vi hatt dialog med Facebook som del av vår vurdering? For oss var det viktig å gjennomføre vurderingen som en hvilken som helst annen virksomhet. Vi tok samme utgangspunkt som en liten kommune, eller nettbutikken Garn & Tråd. Vi ønsket ikke særbehandling. Men Facebook er en lukket bok. De deltar sjelden i den offentlig debatten, inngår ikke særavtaler med enkeltvirksomheter, og opererer etter prinsippet «aksepter vilkårene, eller kom deg ut».

Facebook påpeker at de gir brukerne kontroll over eget innhold. Som alltid sier de at de ikke «selger personlig identifiserte data til tredjepartsaktører». Nei, Facebook vil helst ha dataene selv – men de tar betalt for at andre kan utnytte dem. Om min profil har navnet mitt øverst, er irrelevant. En analyse av min profil viser at Skeid er mitt favorittlag, og at jeg har en Maine Coon-katt. Det er mulig jeg tar feil, men jeg er trolig den eneste i verden som har disse to interessene. To opplysninger er altså nok til å identifisere hvem jeg er, selv uten navnet mitt som identifikator. I gjennomsnitt kan 68 registrerte «liker»-klikk fra en Facebook-bruker forutsi hudfargen deres med 95 % sikkerhet, og deres oppgitte seksuelle legning med 88 % sikkerhet.

Å fortsette å skjule seg bak frasen om at Facebook ikke selger data, er meningsløs.

Når det gjelder de andre tiltakene de ramser opp, er det snakk om hvordan brukerne kan kontrollere og få tilgang til egne data – men bare til en viss grad. Vurderingen vår er imidlertid mye videre. Vår konklusjon er at vi ikke vet hva Facebook bruker dataene til. Her er selskapet veldig vagt, og sier på sedvanlig vis at de etterlever regelverket, og at de har gjort alle sine avtaler tilgjengelig.

I vår vurdering har vi også lagt betydelig vekt på at vår tilstedeværelse på Facebook kan bidra til å legitimere lovligheten av Facebook. Omdømme har også vært sentralt. Facebook var dypt involvert i Cambridge Analytica-skandalen, og nylig sto en varsler fram og fortalte om svært kritikkverdige forhold i selskapet. Uten å ta stilling til riktigheten i sistnevnte påstander, er jeg glad for at Datatilsynet i dag ikke har en Facebook-side.

Facebook har nå vist en åpen linje ved å ty til noe så sjeldent som å skrive en kronikk. Jeg håper de fortsetter å vise samme åpenhet og svarer på disse spørsmålene:

– Hva bruker Facebook dataene som samles inn via en Facebook-side til? Hvordan profileres for eksempel ungdom som trykker «liker» på Helse Norges side der unge kan bestille kondomer?

– Helt konkret: Hvordan gir Facebook forståelig og meningsfull informasjon om hvordan disse opplysningene brukes?

– Hvordan vil Facebook bidra til at norske virksomheter kan oppfylle kravene i regelverket om å forstå og beskrive behandlingen?

– Hvordan er kravet om innebygd personvern ivaretatt av Facebook?

Vi møter gjerne Facebook til diskusjon. Vi vil stille dem spørsmålene over. Men mange vil ha betydelig interesse for svaret, som jeg håper de offentliggjør.

Denne teksten ble først publisert på kommunikasjonsforeningens nettsider 23.09.2021.

Jeg kaster her ut et kjøttfullt ben som jeg håper kan bidra til å øke bevisstheten og skape debatt om det offentliges bruk av sosiale medier.

Bindinger til big tech er regelen snarere enn unntaket. Ved å bruke gratis tilgjengelige verktøy fra de store teknologiselskapene, inviterer offentlige virksomheter kommersielle aktører til å samle inn og bruke data om norske innbyggere. Samtidig skapes det et avhengighetsforhold som det kan bli vanskelig å fri seg fra, ettersom det finnes få alternative tjenestetilbydere.

Vi må passe på at det samme ikke skjer med retorikken: at offentlig sektor blir for avhengig av argumenter som forsvarer deres tilstedeværelse på Facebook, Twitter, LinkedIn og co, samtidig som de unnlater å reflektere over egen tilstedeværelse i kanalene og tenke alternativt. Hardt arbeid og tøffe beslutninger ligger forut. Det er først når man forsøker å fri seg fra lenker, man kjenner hvor krevende det kan være.

Tyskland går foran

Det offentlige myndigheter gjør, har en signaleffekt. Datatilsynet befinner seg i en merkelig situasjon. Som en moderne virksomhet digitaliserer og effektiviserer vi oss i takt med samfunnet. Samtidig skal vi være garantist og fremste beskytter av personvernet i Norge. Dermed står Datatilsynet i en snodig skvis i spørsmålet om vi bør bruke sosiale medier i vårt eget kommunikasjonsarbeid. Et par tilfeller fra våre kolleger i Tyskland er interessante.

I januar 2020 valgte en av de tyske datatilsynsmyndighetene å slette sin konto på Twitter. To EU-dommer, og personvernregelverkets krav til å avklare såkalt felles behandlingsansvar, var blant årsakene. Tilsynet konkluderte med at de ikke lenger var på trygg, juridisk grunn. Samtidig kom de med noen minstekrav overfor andre offentlige myndigheter som benytter sosiale medier i delstaten. I dag sverger vårt tyske søstertilsyn selv til den desentraliserte mikrobloggingstjenesten Mastadon når de kommuniserer med sine innbyggere.

Regelverket (GDPR) og rettspraksisen som avgjørelsen hviler på, vil være både direkte og indirekte bindende for Norge. EU-dommene Wirtschaftsakademie og Fashion ID fastslår at den som oppretter en Facebook-side, vil være felles ansvarlig med Facebook for behandlinger av personopplysninger på siden.

Da dommene falt, var vi i Datatilsynet selv allerede i dypt inne i vurderinger om egen bruk av sosiale medier.

Må ha orden i eget hus

Bruk av sosiale medier reiser flere viktige tekniske, juridiske og etiske spørsmål. Et knapt år etter at GDPR trådte i kraft, satte vi selv i gang med et ambisiøst prosjekt som bidrar til å belyse disse spørsmålene. Mandatet fra ledelsen var ikke å vurdere om vi skal gå ut av Twitter. Vi skulle vurdere å gå inn på Facebook.

Med innføringen av personvernforordningen, eller GDPR, i 2018, har vi fått et strengt og teknologinøytralt regelverk som plasserer plikter og ansvar på alle som behandler personopplysninger. Regelverket stiller krav til alle som behandler personopplysninger, og til formidlingen av rettigheter og informasjon om behandlingen. Forordningen handler i bunn og grunn om å ha orden i eget hus.

Et viktig verktøy for å sikre at personvernet til brukerne som er registrert i en løsning ivaretas, er å gjennomføre risikovurderinger og vurdering av personvernkonsekvenser. Det er dette verktøyet Datatilsynet nå har brukt i vurderingen av Facebook, og som har munnet ut i en ny rapport.

Legitimerer overvåkingsøkonomien

Vår vurdering er på mange måter et bidrag til en analyse av overvåkingsøkonomien. Kommunikasjon i sosiale medier vil av natur alltid inneholde personopplysninger. De store teknologigigantene går ut av sin vei for å gjøre det enklest mulig å kommunisere på plattformene deres. Tilsynelatende triviell kommunikasjon medfører ofte en omfattende behandling av personopplysninger. Jeg mener at et av de mest innsiktsfulle perspektivene å forstå disse plattformene på, er fra et personvernperspektiv.

Det er lettere å ta stilling til teknologi når vi forstår den bedre. Hva slags opplysninger samles inn fra Facebook-siden? Hvor lenge vil opplysningene lagres i Facebook-systemet? Hva er behandlingens geografiske omfang? I en teknisk kartlegging gjorde vi rede for behandlingens art, omfang, formål, sammenheng, kilder og mottakere, samt løsningens informasjonssikkerhet.

Kartleggingen «tvinger» en til å beskrive og ta stilling til en rekke forhold ved en databehandling som påvirker den enkeltes personvern, rettigheter og friheter. Ved å kommunisere gjennom en side på plattformen, bidrar vi til å opprettholde og legitimere denne økonomien.

Nye regler skulle skape endring

De store teknologiplattformene har lenge vært et vanskelig juridisk terreng. De setter standarden selv: «Godta vilkårene våre i sin helhet, eller la være å bruke tjenesten». De fleste tar ikke stilling til nye personvernerklæringer når det kommer oppdateringer, og har kanskje heller ikke sett på den gamle. Facebook kan når som helst endre sine vilkår.

GDPR ble innført for å endre. Hvor lenge kan vi akseptere denne rollefordelingen?

La oss se på enda et tilfelle fra Tyskland. Før sommeren gikk det føderale datatilsynet (BFDI) ut og gav offentlige myndigheter beskjed om å slette Facebook-sidene sine innen nyttår. Dette blant annet som følge av Schrems II-dommen spesielt og mangel på etterlevelse av EUs personvernlovgivning generelt. Offentlige myndigheter skal gå foran som et godt eksempel, sier de.

Et spørsmål om verdier

Bruk av sosiale medier gjør at ulike verdier kommer i konflikt med hverandre. Personvern må ofte balanseres mot interesser av vidt ulik karakter. Datatilsynet har, som resten av offentlig sektor, et viktig informasjons- og kommunikasjonsbehov. Samtidig har vi plikt til å informere om et stort og komplisert regelverk. Vi er ombud for én av de viktigste verdiene i et informasjonssamfunn.

Den enkelte står fritt til å bruke sosiale medier og ta stilling til personvern etter eget skjønn. Som offentlig aktør og rollemodell for personvernet, må vi i Datatilsynet ta mer allmenne hensyn og oppfylle våre plikter. Som tilsynsmyndighet følges vi med argusøyne når det gjelder loven vi selv håndhever. I vårt interne hierarki av verdier, er det selvsagt at personvernet troner øverst. Det går på bekostning av for eksempel Google Analytics, Youtube – og nå Facebook.   

Vårt tyske søstertilsyn hoppet over til plattformen Mastadon. Kanskje en emigrering til alternative kommunikasjonsverktøy er den eneste måten vi kan tilbakevise argumentet om at myndighetene må være der folket er? Jeg skulle ønske jeg kunne vise til et mer attraktivt alternativ.

Dokumentene avslørte at etterretningsmyndighetene hadde tatt i bruk mer vidtrekkende og inngripende virkemidler enn de fleste hadde kunnet forestille seg, og at programmene var verdensomspennende. Glenn Greenwald, tidligere advokat, en av Snowdens betrodde medhjelpere og nå journalist i Washington Post, skriver:

«Det dokumentarkivet som Edward Snowden hadde samlet, var forbløffende både i størrelse og i rekkevidde. Selv om jeg hadde skrevet om farene ved USAs hemmelige overvåkning i årevis, opplevde jeg de rene og skjære dimensjonene til overvåkningssystemet som genuint rystende, ikke minst fordi det åpenbart var blitt innført så å si uten demokratisk kontroll, åpenhet eller begrensninger».

Fra «Overvåket – Edward Snowden, NSA og overvåkningsstaten», Cappelen Damm 2014

Avsløringene fikk også rettslige konsekvenser. En av de viktigste kom i fjor, med EU-domstolens avgjørelse i Safe Harbour-saken. Saken gjaldt Facebooks behandling av personopplysninger om tjenestens brukere i Europa. Alle Facebook-brukere som bor i Europa har nemlig på papiret inngått en brukeravtale med Facebook Irland. Til tross for dette, viste det seg at all informasjon generert av europeiske Facebook-brukere har blitt overført til Facebook Inc.s servere i USA. Overføring av personopplysninger til land utenfor EU og EØS er bare tillatt under gitte, strenge vilkår, fordi det rettsvernet som personopplysningene våre nyter godt av i Europa, forsvinner når dataene havner et annet sted.

Ikke bare kom EU-domstolen til at disse dataoverføringene var ulovlige, men den underkjente likegodt hele den rettslige beslutningen som i sin tid innførte Safe Harbour-prinsippene. Dermed forsvant det viktigste rettslige grunnlaget for overføring av personopplysninger til USA, og med ett ble en mengde dataoverføringer ulovlige over natten.

Det var personvernaktivisten Maximillian Schrems som initierte saken. Han ville ha en slutt på at Facebook Irland sendte hans personopplysninger til USA, hvor han mente at verken lovgivning eller eksisterende praksis ga noe tilfredsstillende vern om hans personlige informasjon. Schrems henviste i den forbindelse til Snowdens avsløringer om de amerikanske etterretningstjenesters aktiviteter, og det samme gjør generaladvokat Yves Bot i sin innstilling til domstolen.

EU-domstolens konklusjoner var med andre ord en direkte konsekvens av Snowdens avsløringer, og Schrems’ initiativer via europeiske rettslige kanaler. Avgjørelsen er svært viktig, fordi Safe Harbour-beslutningen hadde vært det mest brukte rettslige grunnlaget for overføring av personlige opplysninger fra Europa til USA i over femten år. Nå er både private virksomheter og offentlige myndigheter i villrede med tanke på hva som vil skje videre. En delegasjon av EU-byråkrater er for tiden i USA for å forhandle videre om Privacy Shield, som skal være Safe Harbour-beslutningens arvtager, etter at EUs ekspertorgan i personvernspørsmål, Artikkel 29-gruppen, tidligere i vår ga en klar anbefaling til EU-kommisjonen om at det avtaleutkastet som det hadde fått til vurdering, ikke holdt mål i lys av våre grunnleggende individuelle rettigheter.

Men dommen er også svært viktig fordi den slår fast at grunnleggende individuelle rettigheter i europeisk rettstradisjon står i veien for masseovervåkning av europeiske borgere. Artikkel 29-arbeidsgruppen har analysert denne rettsavgjørelsen, og andre europeiske rettsavgjørelser om individets fundamentale rettigheter, og utledet fire garantier:

• Garanti A: et hvert inngrep i personvernet må baseres på klare, presise og tilgjengelige lovregler
• Garanti B: det er nødvendig å påvise at databehandlingen er nødvendig og proporsjonal
• Garanti C: det må finnes en uavhengig kontrollmekanisme
• Garanti D: individet skal kunne prøve lovligheten av inngrepet i sine rettigheter rettslig

At opplysninger om oss skal vernes, regnes som en grunnleggende menneskerettighet i EU. Artikkel 29-gruppen fremhever at disse garantiene må være oppfylt for at inngrep i vårt personvern skal kunne betraktes  som legitime. Dette gjelder uansett hva formålet med inngrepet er. Før vi kan gjenvinne tilliten til at våre personopplysninger blir behandlet på en forsvarlig måte i USA, er det nødvendig at amerikanske myndigheter sørger for å ivareta disse garantiene, mener arbeidsgruppen.

Disse garantiene er imidlertid ikke bare myntet på myndighetene i andre stater. Dette er allmenne prinsipper, og alle europeiske myndigheter som vurderer å innføre overvåkningstiltak mot befolkningen, må vurdere tiltakene opp mot disse garantiene. Den 8. juni skal Stortinget behandle et lovforslag fra Regjeringen om å innføre nye, skjulte tvangsmidler til kriminalitetsbekjempelsesformål (Prop. 68 L). Her finner man blant annet et forslag om å innføre dataavlesing som virkemiddel for politiet og PST. Vi forventer at Stortinget tar alle disse fire garantiene med i betraktningen når det nå skal stemme over dette lovforslaget.

(Dette innlegget sto på trykk som kronikk i Dagens Næringsliv 13. mai 2015.)

Jeg har vært på utenlandsreise og sliter med jetlag. Jeg googler «søvnproblemer». De neste dagene forfølges jeg av annonser for legemidler på norske og internasjonale nettsider. Hvordan kan det ha seg at alle disse selskapene plutselig vet at jeg ikke får sove om natten?

Det pågår for tiden et datakappløp i medie- og markedsføringsbransjen. Bruk av ny teknologi og muligheten til å samle inn og analysere store datamengder er i ferd med å endre måten annonsører når sine kunder på. Bransjen er på vei bort fra tradisjonell massemarkedsføring og over til å henvende seg direkte til den enkelte. I dag får du persontilpasset reklame på nett, men om ikke lenge får du det også når du ser på tv.

Motoren i markedet for digital annonsering er fremveksten av annonsebørser, der kjøp og salg av annonseplasser foretas av dataprogrammer i løpet av hundredels sekunder. Den annonsøren som byr høyest på en bruker, får vise vedkommende reklame. Og den som byr høyest er gjerne den som har mest data om brukeren – og ser at brukeren har en verdifull profil. Hvis annonsebørsene er motoren, er personopplysninger drivstoffet.

Google og Facebook er blant vinnerne i dette markedet fordi de sitter på enormt mye data om oss. For ikke å tape annonsekampen mot disse globale kjempene bygger norske aktører opp egne plattformer for datastøttet annonsering.

Vi er vitne til en massive innsamling av personopplysninger. Utnyttelsen av disse til kommersielle formål setter personvernet under press.

Den største utfordringen er at markedet for digital annonsering er lite åpent og gjennomsiktig. De fleste av oss vet ikke at vi blir profilert. Selv om vi samtykker til noe av cookie-bruken, er det ikke mulig å ha oversikt over det samlede omfanget av opplysninger som samles inn om oss. På mange av nettsidene vi besøker er det ofte flere titalls ulike selskaper til stede som samler inn opplysninger om oss bak kulissene. Vi blir ikke opplyst om hvilken kunnskap som utledes om oss på bakgrunn av disse dataene, og hvilke profiler vi ender opp med å få.

Det er et paradoks at mens vi borgere aldri før har delt mer informasjon om oss selv, så er selskapene som utnytter disse opplysningene svært hemmelighetsfulle om sin aktivitet. Vi har fått en informasjonsasymmetri: Tusentalls selskaper vet svært mye om oss, mens vi ikke en gang vet hvem som vet og hva de vet. Dette er uheldige fordi det gjør oss sårbare for urettmessig diskriminering og manipulering. Når vi ikke vet hva som foregår er vi heller ikke i en posisjon til å ta informerte valg.

Hvis du føler at du mister kontroll over dine egne personopplysninger og ikke vet hvem som ser deg, kan det føre til at du begynner å legge bånd på deg selv. Du kan for eksempel unnlate å søke etter kreftmedisin eller skrive under på et opprop i frykt for at du legger igjen spor som kan blir brukt mot deg. Datatilsynet gjennomførte en spørreundersøkelse i 2013 som viste at 16 prosent har latt være å foreta enkelte søk på nett fordi de er usikre på hvordan disse opplysningene kan bli brukt senere.

I USA avdekkes det stadig eksempler på selskaper som sammenstiller og selger svært sensitive profiler til annonsører. For eksempel profiler som «tidlig stadium av Alzheimer» eller «spillavhengige over 50 år». I Europa har vi i dag en strengere personvernlovgivning som hindrer tilsvarende utnyttelse av personopplysninger.

Lagring av enorme datamengder om enkeltindivider utgjør også i seg selv en risiko. Konsekvensene ved datainnbrudd og datalekkasjer blir enda større når datamengdene er store og kan gi et rikt og avslørende bilde av enkeltpersoner.

Bransjen hevder at det kun er anonyme data som benyttes til profilering. Men jo mer detaljerte og nærgående profilene er, jo større er imidlertid faren for at det er mulig å reidentifisere enkeltindivider i datasettene.

Nytt personvernregelverk (i form av en forordning) er nå på trappene i EU. Skjerpet informasjonsplikt for virksomheter og styrket eiendomsrett over egne data er viktige elementer. Ett av forslagene går for eksempel ut på at det skal bli lettere for enkeltpersoner å motsette seg at dataene blir brukt til profilering. Loven vil også gi oss større rett til å kreve data slettet. Sanksjonene skjerpes betydelig, og særlig interessant blir det å se hva slags sanksjoner ulovlig reidentifisering av data blir møtt med. Vårt håp er at norske politiske myndigheter bruker all innflytelse de har til å unngå at forordningen svekkes i sluttforhandlingene som begynner etter sommeren.

]]> https://www.personvernbloggen.no/2015/05/22/du-er-til-salgs/feed/ 0 https://www.personvernbloggen.no/2015/04/16/facebook-fra-sosialt-nettverk-til-markedsforingstjeneste/ https://www.personvernbloggen.no/2015/04/16/facebook-fra-sosialt-nettverk-til-markedsforingstjeneste/#respond https://www.personvernbloggen.no/wp-content/uploads/2018/10/Kari-Laumann_avatar_1539256187-200x200.jpg Thu, 16 Apr 2015 09:20:18 +0000 https://www.personvernbloggen.no/?p=1563 En forskergruppe som har skrevet en rapport på vegne av det belgiske datatilsynet hevder at Facebook samler inn informasjon om nettbrukere uten Facebook-konto, brukere som er logget ut, samt brukere som aktivt har valgt å ikke bli sporet. Den belgiske rapporten konkluderer med at brukerne får for dårlig informasjon og mangler kontroll over egne personopplysninger. Facebook mener på sin side at forskerne i hovedsak tar feil.

Sporer avloggede brukere og ikke-brukere

Mange nettsider har installert Facebooks «social plug-ins» som er dele-, anbefal- eller liker-knapper knyttet opp mot Facebook. «Liker»-knappen er den mest brukte og er tilstede på mer enn 13 millioner sider. For eksempel har dagbladet.no, finn.no og nrk.no Facebook-plug-ins på sine nettsider. Forskerne bak rapporten oppdaget at hvis du har vært innom facebook.com, uavhengig om du er medlem eller ikke, har Facebook lagt igjen en eller flere informasjonskapsler på maskinen eller mobilen din. Facebook kan da samle inn informasjon om alle nettsider du besøker som har en social plug-in. Med andre ord:

• Facebook sporer hvilke nettsider brukerne besøker (selv om brukeren ikke benytter seg av plug-ins og selv om brukeren ikke er logget inn hos Facebook)
• Facebook sporer også ikke-brukere

På sine egne nettsider informerer Facebook om at de er i ferd med å rulle ut en ordning der nettaktiviteten din blir kartlagt for å skreddersy reklamen du ser. Kartleggingen skjer automatisk, og hvis du ikke ønsker å bli kartlagt må du selv skru av denne funksjonen. I personvernerklæringen oppgir Facebook at de vil kartlegge nettaktiviteten selv om du skrur av denne funksjonen, men de vil ikke bruke det til markedsføringsformål. Enda mer interessant er det at forskerne mener å ha funnet ut at hvis europeiske ikke-brukere går inn på Facebook for å registrere at de ikke ønsker å bli kartlagt av Facebook-plug-ins blir de sporet av en informasjonskapsel som ligger lagret hos brukeren i to år!

For dårlig informasjon og brukerstyring

Den belgiske rapporten er kritisk til at informasjon om hvordan personopplysningene til Facebookbrukere benyttes er vag og lite konkret. Brukerne har også for liten mulighet til å styre hvordan opplysningene deres blir brukt i markedsføring. Det er ikke mulig for brukeren å sette begrensninger med hensyn til hvilke opplysninger som man ikke vil skal bli brukt i markedsføring. Trykker du «liker» på noe kan du ble del av et sponset innlegg eller en reklame. Du kan «opte-out» av sistnevnte, mens eneste måten å ikke være del av sponsede innlegg er å la være å «like».

Et annet eksempel på dårlig tilrettelegging for brukerstyring er lokasjonsdata. Den eneste måten å skru av at Facebook-appen henter lokasjonsdata er å stenge denne funksjonen i operatørinnstillingene på telefonen. Her kunne isteden lokasjonsinnhenting vært skrudd av «by default» slik at brukeren selv kunne åpne for denne funksjonen hvis hun ønsker det. Rapporten mener at Facebook bør gi brukeren mer kontroll på hvordan opplysningene deres blir brukt, samt gi bedre informasjon – blant annet vise hvordan navn og bilde faktisk blir brukt til markedsføring.

Mangler samtykke; bryter loven

Personvernlovgivningen i Europa krever at Facebook må få samtykke fra brukeren, for eksempel ved bruk av personopplysninger i markedsføring. For at samtykket skal være gyldig skal det være informert, frivillig og uttrykkelig. Rapporten hevder at med den begrensede informasjonen og valgfriheten brukeren får feiler Facebook når det kommer til lovpålagt samtykke på flere punkter. Et eksempel er personverninnstillingene som krever at brukeren kan trykke «opt-out» for bruk av persondata til markedsføring. Det vil si at brukeren aktivt selv må ta grep selv for å ikke bli kartlagt for markedsføringsformål – dette teller ikke som gyldig samtykke.

Facebook vet mer om deg

Mengden informasjon Facebook samler om brukerne sine øker, både horisontalt og vertikalt. Facebook samler horisontal informasjon om brukere fra ulike kilder. Samtidig bygger de databasen også vertikalt ved at de har mange forskjellige typer detaljert informasjon om brukere. Det hele startet som en sosial greie på et gutterom på et universitet i USA, mens i dag er Facebook verdt over 200 milliarder dollar og en av de største på markedsføring på nett. Som Facebookbruker er det lett å få en bismak i munnen når jeg leser rapporter som dette. Ikke minst fordi det er vanskelig å forstå hvordan Facebook egentlig bruker opplysninger om meg, og hvilken informasjon de faktisk har om meg.

Bakgrunn: Det belgiske datatilsynet står bak rapporten som er skrevet av forskere ved Centre of Interdisciplinary Law and ICT (ICRI) og Computer Security and Industrial Cryptography department (Cosic) ved Universitetet i Leuven, og Media, information and telecommunication department (Smit) ved Vrije Universiteit Brussels. Siste versjon av rapporten ble publisert den 31. mars 2015. Vil du vite mer kan du også lese Guardian eller Digi.nos dekning av saken.

Den typen generelle råd til foresatte som barnepsykolog Mørch kommer med er i beste fall svært uheldig, og noe aktørene i Du Bestemmer-prosjektet tar sterkt avstand fra. Å følge med på ungdommenes åpne profiler er ikke problemet her, det er når de foresatte gjør som Brekke at det blir svært problematisk – å sjekke ungdommenes lukkede Facebook-profil i skjul. Slike fremgangsmåter vil fort føre til at ungdommene finner andre arenaer å kommunisere på, samtidig som tilliten til foreldrene blir ødelagt. Spesielle tilfeller vil selvsagt kunne forsvare et slikt inngrep, men det må i så fall være helt klart at det er unntaket og ikke hovedregelen.

Rett til privatliv
FNs barnekonvensjon sier at barn og unge har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse. Det betyr at barn og unges meninger om eget personvern er viktige. Hvis ungdommene for eksempel ikke ønsker at deres foresatte skal være “venn” med dem eller se deres kommunikasjon med andre på sosiale nettsteder, bør de foresatte respektere det.

Behovet for å ha et rom for seg selv som andre respekterer og ikke bryter seg inn i, varierer fra person til person. Noen synes det er greit å dele mye, mens andre er mer tilbakeholdne. Vi har likevel alle noe vi ikke ønsker å dele med alle andre. Det kan være følelser, tanker eller meninger om helse, seksualitet, religion eller politikk, eller rett og slett bare at man vil ha privatliv.

Det handler om frihet.

Hvor bør grensene gå?
Alle skal kunne føle seg trygge på at ingen får vite alt om dem, eller ser absolutt alt de foretar seg. Foresatte har selvsagt rett til å vite ganske mye om sine barn, men det er dermed ikke greit at de tar i bruk alle midler og sniker seg til å overvåke den lukkede Facebook-kommumikasjonen til ungene sine bare for å “følge med”. Slik snoking er som å lese dagboken til ungene, og vil oppleves som svært krenkende.

Dersom foreldrene vil følge med på hva ungene foretar seg eller hvem de kommuniserer med, må det som utgangspunkt baseres på åpenhet og dialog. Alle, også ungdommer, bør i så stor grad som mulig selv kunne bestemme hvilke opplysninger om seg selv de vil dele, og med hvem. Hvilket forbilde er foreldrene når de lurer seg til å lese hva ungdommene har skrevet til hverandre i private og lukkede Facebook-chatter etter at de har glemt å logge seg ut? Hvilket tillitsforhold er dette med på å skape? Ved å gå inn i ungdommenes Facebook-profil vil de voksne også kunne få innblikk i strengt private samtaler mellom nære venner, samtaler som ikke handler om noe ulovlig, men om ungdommenes innerste tanker og holdninger.

Det er klart at foresatte må følge med på hva ungdommene holder på med, det er jo deres ansvar, men det må ikke baseres på skjult overvåking.

Spionering på andres barn
Dette handler dessuten også om tredjepersoner. Ved å være inne på kontoen til egne barn (med eller uten deres samtykke) vil man som Brekke beskriver, få mye informasjon om andre ungdommer også. – Informasjon som ikke var ment for den voksne, samtaler som ikke ville være skrevet slik dersom ungdommene visste at voksne spionerte på dem. Slike bruddstykker av ungdommenes kommunikasjon kan også ofte fremstå som noe annet enn det er tenkt som, og en fjær kan fort bli til minst fem høns.

Brekke har ikke bare gått inn og snoket på sine egne barns Facebook-profil og deres lukkede kommunikasjon når de har glemt å logge seg av (uten egentlig å se ut til å mistenke at hans egne barn har gjort noe galt). Han skriver også at han har lagret masse av dette, og velger å skrive en kronikk om dette der barna sine venners utsvevende liv henges ut. Er det greit? Vi mener helt klart at målet ikke alltid helliger middelet, og at det her blir tråkket over opptil flere grenser. Det å mistenke utsvevende oppførsel blant ungdommene, og så svare med å gjøre noe så krenkende, er ikke god grobunn for kommunikasjon med egne (eller andres) barn.

Personvern er en grunnleggende beskyttelse av ditt privatliv
Visst er vi enige i at foreldre må engasjere seg i sine barns liv, og at de må vise interesse for hva som skjer på nett, som utenfor. Visst er vi enige i at foresatte må bry seg og snakke sammen, utveksle erfaringer og informasjon. Men, til syvende og sist handler det om å skape og vedlikeholde gode og trygge relasjoner, basert på tillit og gjensidig respekt. Utgangspunktet må være dialog og kommunikasjon, ikke overvåking og kontroll.

Kommentaren er skrevet i samarbeid med Karoline Tømte i Senter for IKT i utdanningen, prosjektleder for undervisningsopplegget Du Bestemmer. Du bestemmer er et samarbeidsprosjekt mellom Senter for IKT i utdanningen, Teknologirådet og Datatilsynet.

Vinteren 2013 besøkte jeg blant annet Facebook på deres hovedkontor i Palo Alto utenfor San Francisco.  I en kantine som holdt samme kvalitet so en god norsk restaurant ruslet mange ansette rundt i pysjamas-bukse. Dagen før hadde nemlig selskapet feiret sin 9-års gebursdag. Mye kan sies om et besøk hos Facebook, men noe av det mest tankevekkende var nettopp det faktum at Facebook var kun ni år gammelt. Og i løpet av disse ni årene har selskapet, og mange andre selskaper som holdt til i samme nabolag, totalt endret måten vi kommuniserer på. Fra en verden der fax var hightec til en verden der vi deler alt. Hadde Facebook slik det i dag ser ut blitt lansert ”over natta” for ni år siden ville det blitt forbudt av både personvern- og forbrukermyndigheter sporenstreks! Men Facebook har jobbet smart – de har utvidet sine tjenester gradvis – og er i dag helt annerledes enn ved lanseringen.

Delingskulturen overgår vår fatteevne. I løpet av ett minutt laster vi opp 30 timer video på Youtube, det er 300 000 innlogginger på Facebook og mer enn 2 millioner søk på Google. Og det slutter ikke i der. 90% av verdens data er nemlig produsert de sist to årene, og i løpet av et drøyt år et det antatt at det vil være 12 milliarder enheter med internettilkobling. Muligheten for å analysere data er blitt dramatisk endret de siste årene. Vi snakker ofte om big data, eller stordata – analyse.

Gir det overhode mening å snakke om personvern med så stor datamengder og med så avanserte analysemuligheter?Så absolutt, men det krever mye både av de sosiale nettsamfunnene og ikke minst av den enkelte borger.

De sosiale nettsamfunnene har et stort ansvar for å legge til rette for at du skal kunne gå inn å bestemme hva du ønsker å dele med andre. Det må også klart og tydelig gi opplysninger om hva de bruker opplysningene til – og hva de vil bruke dem til i framtida. Flere nettsamfunn har blitt flinkere til å legge til rette for at man selv kan kontrollere hva man deler med andre, men det skorter fortsatt på viljen til å gi opplysninger om hva de sosiale nettsamfunnene selv bruker opplysningene til. Nylig ble Google ilagt en bot av det franske datatilsynet for ”ikke i tilstrekkelig grad [å ha] informert sine brukere om behandlingen av deres personopplysninger, og heller ikke informert tilstrekkelig om formålene med denne behandlingen”. Flere saker er under oppseiling, bl.a. i Nederland og Spania. Også Facebook har vært i personvernmyndighetenes søkelys. Også her i Norge, og har måttet gjøre store endringer.

Men den enkelte har også et ansvar for å ivareta sitt eget personvern, og det ansvaret vil trolig bli større i årene som kommer. En undersøkelse Datatilsynet og Teknologirådet gjennomførte i 2012/13 viste at 44% av norske Facebook-brukere har vært inne og endret personverninnstillingene sime. Det er et oppløftende tall. Samtidig viser samme undersøkelse at det er stor forskjell mellom aldersgruppene. Blant eldre Facebook-brukere har 60% aldri endret personverninnstillingene, så her ligger et klart potensiale for forbedring.

Det er laget mange lister med tips over hvordan den enkelte skal ivareta personvernet sitt på Facebook. Jeg vil nøye med meg seks gode råd:

– Gå gjennom personverninnstillingene jevnlig. Det er særlig viktig å være obs på hvem man vil dele opplysninger med

– Tenk før du skriver. Alt kan spres videre selv om du ikke velger det selv, og det kan være svært vanskelig å få slettet ting som er kommet på avveie

– Bruk ulike passord på ulike kontoer. Særlig viktig er det å ikke bruke samme passord som i nettbanken noe annet sted

– Tenk før du klikker på en lenke. Ofte følger spam og annen skadelig programvare med på vedlegg. Det er viktig å være sunt skeptisk til alle lenker – ser det useriøst så styr unna og slett umiddelbart.

– Hold anti-virusprogrammet oppdatert. Dette er svært viktig, men ingen sovepute for ikke å bruke hodet. Antivirus-programmene gir ikke 100% trygghet

– Søk hjelp dersom du opplever å bli krenket på nettet. www.slettmeg.no er et godt sted å begynne.

 Facebook kunngjorde i går at de nå følger etter blant annet Google og Microsoft og og gir ut opplysninger om hvor ofte politiet i ulike land ber om innsyn i informasjon om brukerne. Dette er absolutt et skritt i riktig retning. Samtidig er det ganske beskjedne opplysninger Facebook gir ut. Jeg etterlyser for eksempel informasjon om hva slags opplysninger det ble rettet forespørsel om og hva som ble levert ut. Andre selskaper gir ut opplysninger om det for eksempel etterspørres innholdsdata eller kun kontoopplysninger (navn, eventuelt adresse, epost osv). Antall innsyn er dessuten relativt beskjedent. For Norges del er det bedt om innsyn i 16 tilfeller, mens det i 31 prosent av disse er utlevert opplysninger.

 Regjeringen har varslet at datalagringsdirektivet vil tre i kraft 1. januar 2015. Jeg forventer at det utarbeides god statistikk over hvor mange saker politiet ber om opplysninger i, hva slags opplysninger de ber om og hva slags opplysninger de får.

Åpenhet og gjennomsiktighet er viktige verdier i et liberalt demokrati, og vil dessuten bidra til at folk kan bruke retten til innsyn i hva som er lagret om dem.

Les mer om hva som gis ut:

• Tall fra Facebook
• Tall fra Microsoft og Google

Bladet Vårt Land bringer i dag nyheten om at at flere ansatte i ambulanse og redningstjenesten tar bilder av pasienter, mens de er ute på akuttoppdrag. Bildene taes med helsepersonellets private mobiltelefoner, og uten samtykke fra pasientene. I enkelte tilfeller blir bildene publisert på sosiale medier. Statens Helsetilsyn har derfor igjen sett seg nødt til å minne om den taushetsplikten som helsepersonell har. 

Fra myndighetenes side har vi opp gjennom årene brukt ganske så betydelig med ressurser på å lære barn og unge om personvern og ansvarsforhold på Internett og i sosiale medier. Fra Datatilsynets side har vi særlig konsentrert oss om arbeidet med www.dubestemmer.no, der vi samarbeider med Teknologirådet og Senter for IKT i utdanningen. På mange måter tror jeg faktisk at barn og unge har tilegnet seg en bedre forståelse for mulige konsekvenser av publisering på sosiale medier, enn hva middelaldrende voksne har. Vi får håpe at dette i noen grad skyldes at det bevissthetsskapende arbeidet, fra mange gode krefter, har gitt resultater. 

Helsedirektoratets veileder om bruk av sosiale medier for helsepersonell mv

Vi valgte i sin tid navnet på undervisningsopplegget «Du bestemmer» fordi vi mente at den enkelte kan ta ansvar først etter at man har fått kunnskap. Når den enkelte har fått  kunnskap (eller ihvertfall muligheten til det) er det vanskeligere å unngå å ta ansvar for sine handlinger. Samme logikk bør også gjelde for arbeidstakere.

Fra Datatilsynet sin side vil vi derfor igjen oppfordre arbeidsgivere til å gi sine medarbeidere et godt  grunnlag for å være ansvarlige i sin bruk av sosiale medier, knyttet til sin rolle som arbeidstaker og yrkesutøver. Gjennom gjentatt bevissthetsskaping og kunnskapsbygging kan medarbeidere kanskje unngå å tråkke fatalt feil, nærmest i ren «bevisstløsthet».

Det finnes allerede en del brukbart veiledningsmateriale – her er noe å ta utgangspunkt i:  

• Helsedirektoratet: «Veileder i bruk av sosiale medier i helse-, omsorgs- og sosialsektoren». Utgitt juni 2012.
• Nasjonal sikkerhetsmyndighet (NSM): «Sosiale medier og sikkerhet»
• Nasjonal sikkerhetsmyndighet (NSM): «Nettsamfunn og sikkerhet«.
• Direktoratet for forvaltning og IKT (Difi), samleside om bruk av sosiale medier i forvaltningen: http://www.difi.no/sosiale-medier

Så må jeg til slutt få nevne den lille veiledningen vi i Datatilsynet utarbeidet allerede våren 2007 – den gang Facebook var i sin lille spede begynnelse her i Norge. I vårt råd nummer fem heter det: 

«Du er selv ansvarlig for all informasjon du legger ut på profilen din. Legg ikke ut bilder eller personopplysninger om andre uten først å ha spurt dem om lov.»

I hovedsak er det i prinsippet så enkelt!