Jeg snakker med mange enkeltpersoner og virksomheter i løpet av et år. Noen trenger veiledning om loven, noen mener Datatilsynet ikke gjør nok og noen mener Datatilsynet gjør for mye. «So what om virksomhetene lagrer litt opplysninger om kundene sine. Kan ikke Datatilsynet bare stresse ned?»

I tiden vi lever i er det mye som foregår digitalt. Digitale tjenester lager spor, og sporene kan lagres i lang tid uten at det koster så mye. Når de engang uskyldige sporene blir mange nok, er det plutselig mulig å si ganske mye om hvem du er. Sporene gir et helhetsbilde som kan si noe om livssituasjonen din, helsa di, økonomien din og så videre.

Man skjønner ikke nødvendigvis hvor mye som ligger lagret før man ser det selv – i alle fall gjorde ikke jeg det. Alle i Norge har innsynsrett. Det betyr at du kan ta kontakt med en virksomhet eller offentlig organ og be om kopi av alle personopplysningene dine.

TV-en, avisa og handlevogna vet alt om deg

To av Datatilsynets medarbeidere brukte i fjor innsynsretten sin for å lære mer om hvilke spor som lagres. Testpersonene valgte ut helt vanlige, norske virksomheter som er representative for hva virksomhetene der ute gjør. Resultatene ble samlet i en rapport der du kan lese mer om hva de fire virksomhetene lagrer.

Visste du for eksempel at TV-tilbyderen din kan lagre hvilke kanaler og programmer du har sett på? Eller at noen virksomheter kjøper opplysninger fra tredjeparter for å prøve å finne ut hvor mye du tjener, om du har studert og hvor mange barn du har? Når du leser nettaviser, må du regne med at alt analyseres. Hva leser du, hvor lang tid bruker du på å lese det, hvor var du da du leste?

Dersom du drar et medlemskort i kassa når du handler, er det en god mulighet for at alle kjøpene dine lagres i fem år. Hvilke dagligvarer du har kjøpt de siste fem årene sier mye om kostholdet ditt og dermed helsa di. Hvor mange kilo sjokolade har du spist? Kjøper du øl midt i uka? Hvor mange kondompakker har du brukt?

Innsynsrapporten | NRK-nettsak | NRK Dagsrevyen

Lyse tider for personvernet

Senere i år får vi nye personvernregler. Det nye reglene stiller for eksempel strengere krav til innhenting av samtykke og gir deg større mulighet til å protestere mot behandling av dine personopplysninger. Det er positivt fordi du og alle andre vil få bedre kontroll over egne opplysninger.

Jeg synes imidlertid det beste med de nye reglene er den bevisstgjørende effekten. På grunn av at de nye reglene allerede har blitt mye omtalt, går det opp for stadig flere virksomheter at det gjelder strenge regler for behandling av personopplysninger, og at de har et stort ansvar. Mitt inntrykk etter å ha snakket med mange virksomheter, er at de kommer til å utarbeide mer personvernvennlige tjenester.

I dette prosjektet har ikke Datatilsynet utført en formell kontroll av de fire virksomhetene. Datatilsynet har ikke tatt stilling til om det de gjør holder seg innenfor loven, hverken den gamle eller nye. Poenget er heller å synliggjøre at det lagres mye og at alle har rett til å se hva som lagres om seg selv.

Hva kan man gjøre selv?

Datatilsynet er en tilsynsmyndighet. Det betyr at vi kan gripe inn mot ulovlig behandling av personopplysninger, og det gjør vi stort sett på bakgrunn av tips. Vi får imidlertid ikke vært over alt på én gang, men heldigvis er det ting du kan gjøre selv for å ta vare på ditt eget personvern:

1. Husk at dine personopplysninger har en verdi for virksomheter, så det er mange som vil vite mest mulig om deg. Bare del opplysningene dine med virksomheter du stoler på.
2. Synes du det er vanskelig å forstå hva en virksomhet skal gjøre med personopplysningene dine? Spør! Etter de nye reglene skal virksomhetene på eget initiativ gi deg kortfattet og lettfattelig informasjon om hva de gjør.
3. Lurer du på hva en virksomhet lagrer om deg? Be om innsyn. Å be om innsyn er den beste måten å oppdage om en virksomhet lagrer mer om deg enn den har gitt inntrykk av.
4. Misfornøyd? Si fra til virksomheten! Bruk din makt som forbruker. Dersom forbrukere foretrekker mer personvernvennlige tjenester, må virksomhetene tilpasse seg.

Personopplysningene testpersonen fikk fra Schibsted

 Facebook kunngjorde i går at de nå følger etter blant annet Google og Microsoft og og gir ut opplysninger om hvor ofte politiet i ulike land ber om innsyn i informasjon om brukerne. Dette er absolutt et skritt i riktig retning. Samtidig er det ganske beskjedne opplysninger Facebook gir ut. Jeg etterlyser for eksempel informasjon om hva slags opplysninger det ble rettet forespørsel om og hva som ble levert ut. Andre selskaper gir ut opplysninger om det for eksempel etterspørres innholdsdata eller kun kontoopplysninger (navn, eventuelt adresse, epost osv). Antall innsyn er dessuten relativt beskjedent. For Norges del er det bedt om innsyn i 16 tilfeller, mens det i 31 prosent av disse er utlevert opplysninger.

 Regjeringen har varslet at datalagringsdirektivet vil tre i kraft 1. januar 2015. Jeg forventer at det utarbeides god statistikk over hvor mange saker politiet ber om opplysninger i, hva slags opplysninger de ber om og hva slags opplysninger de får.

Åpenhet og gjennomsiktighet er viktige verdier i et liberalt demokrati, og vil dessuten bidra til at folk kan bruke retten til innsyn i hva som er lagret om dem.

Les mer om hva som gis ut:

• Tall fra Facebook
• Tall fra Microsoft og Google

I dag sitter ni ansatte i Datatilsynet limt foran skjermene i et improvisert hovedkvarter i lokalene våre. Vi er i gang med å sveipe nettsidene til 200 virksomheter. Vi skal finne ut om de informerer om hvordan de behandler personopplysninger.

Folk har rett til å vite hvordan deres personopplysninger samles inn og brukes, og virksomheter skal informere om dette. Ved å gjøre det på sine nettsider, gjør de det lettere for folk å ha oversikt over hvordan opplysningene deres håndteres. Vi har sett en trend de siste årene til at folk er mer opptatt av personvern og personverninnstillinger, spesielt i forbindelse med bruk av Facebook. Vi tror at folk forventer godt personvern i tjenestene de bruker, og at det bør være i virksomhetens interesse å informere om hva de gjør.

Nettsidene som sveipes er et utvalg av de mest brukte nettsidene i Norge, og de største norske virksomhetene i privat sektor. Vi ser etter om de har en personvernerklæring og hvor tilgjengelig den er. Vi sjekker også om den innholder det som bør være med i en slik erklæring. Den bør blant annet gi oversikt over hvilke personopplysninger som samles inn, og om virksomheten deler personopplysninger med andre.  

Datatilsynet er med i et internasjonalt prosjekt kalt ”Internet Sweep Day” der 14 land deltar for å kartlegge bruken av personvernerklæringer. Prosjektet gjennomføres i regi av Global Privacy Enforcement Network og resultatene fra sveipet offentliggjøres i september.

Vi oppfordrer alle virksomheter til å sjekke tilstanden til personvernerklæring på egne nettsider. Samtidig minner vi nettbrukerne om at de kan etterspørre informasjon fra en virksomhet – både når det gjelder hvordan virksomheten behandler personopplysninger generelt, og at de kan be om innsyn i egne opplysninger.

Nylig la Microsoft fram sin rapport om innsynsbegjæringer de mottar fra politiet i ulike land. Selskapet mottok 75 278 innsynsbegjæringer som potensielt rettet seg mot over 137 000 kontoer. Norsk politi kom med 187 henvendelser mot 426 kontoer. For Norges del ble det  ikke i noen tilfelle utlevert innholdsdata, typisk innhold i en hotmail-melding. Det ble derimot i nesten 90 prosent av henvendelsene utlevert annen type data (ikke innholdsdata). Dette dreide seg om informasjon om et kundeforhold, for eksempel hvem som er registrert som eier av en epost-adresse, vedkommendes alder og hvilken land som var oppgitt som bosted. Microsoft legger også fram et konkret eksempel på hva de opplyser om ved en standard  utlevering til politiet.

Også Google publiserer  slike rapporter. De mottok 66 249  begjæringer mot kontoer i 2012. Første halvår 2012 kom det 37 henvendelser fra norsk politi. I de tre årene rapportene er publisert  har de opplevd en betydelig økning i antallet henvendelser. I følge en bloggpost fra Center for Internet and Society på Stanford University mottok Twitter henvendelser knytta til 2 614 kontoer mens Dropbox mottok 164.

Datatilsynet  har etterlyst slike rapporter fra flere selskaper. Blant annet har vi oppfordret Facebook til å utarbeide en tilsvarende rapport, uten at dette så langt er etterkommet.

Derfor er det gledelig at Microsoft nå legger seg på en linje med større åpenhet om politiets innsynsbegjæringer. Her kan både norske selskaper og myndigheter ha noe å lære. Regjeringen har dessuten varslet at datalagringsdirektivet trer i kraft i løpet av 2013.

Vi forventer at det utarbeides god statistikk over hvor mange saker politiet ber om opplysninger i, hva slags opplysninger de ber om og hva som slags opplysninger de får. Åpenhet og gjennomsiktighet er viktige verdier i et liberalt demokrati, og vil dessuten bidra til at folk kan bruke retten til innsyn i hva som er lagret om dem.