JUSS OG SAMFUNN

Webredaktører «bryter loven»

Datatilsynet møtte IKT-Norge til debatt.

27. sep. 2012 - 17:28

OSLO KONGRESSENTER (digi.no): Klikk-klikk-klikk. Publikum på Webdagene trykker på mentometerknappene sine. Her er visst mange på kant med loven.

- Når jeg ser at 78 prosent av dere bruker Google Analytics, og vi har konkludert med at bruken er ulovlig, så snakker jeg egentlig til lovbrytere, sa Datatilsynets direktør Bjørn Erik Thon. Han var ironisk til stor fornøyelse for de 400 deltakerne.

Torgeir Waterhouse er IKT-Norges direktør for internett og nye medier. <i>Bilde: Per Ervland</i>
Torgeir Waterhouse er IKT-Norges direktør for internett og nye medier. Bilde: Per Ervland

I en foreløpig rapport konkluderer Datatilsynet som kjent at to offentlige etater gjør seg skyldig i brudd på personvernlovgivningen.

Torsdag fikk Thon bryne seg på meningsmotstander Torgeir Waterhouse fra IKT-Norge under en debatt på konferansen.

Noen raser mot Datatilsynet og kaller oss arrogante og inkompetente, mens andre støtter oss, sa Bjørn Erik Thon og viste blant annet til artikkelen i bakgrunnen med støtte fra John Markus Lervik. - Når vi opplever at noen er enige og noen veldig uenige så har vi i hvert fall truffet en nerve det er viktig å diskutere, sa han. <i>Bilde: Per Ervland</i>
Noen raser mot Datatilsynet og kaller oss arrogante og inkompetente, mens andre støtter oss, sa Bjørn Erik Thon og viste blant annet til artikkelen i bakgrunnen med støtte fra John Markus Lervik. - Når vi opplever at noen er enige og noen veldig uenige så har vi i hvert fall truffet en nerve det er viktig å diskutere, sa han. Bilde: Per Ervland

- Lånekassen og Skatteetaten må kunne svare når tilsynet spør hva personopplysningene som hentes inn om besøkende på deres nettsider brukes til. Det har de ikke gjort, sa Thon og forsatte:

- Har de full kontroll med hva som skjer med opplysningene som samles inn fra nettsidene? Sånn vi ser saken har de svart nei på det. De har heller ikke fått svar på dette fra Google. Her ligger det en usikkerhet vi må få klarhet i.

Webdagene trakk fulle hus. Konferansen ble denne uken arrangert av Netlife Research for syvende år på rad. <i>Bilde: Per Ervland</i>
Webdagene trakk fulle hus. Konferansen ble denne uken arrangert av Netlife Research for syvende år på rad. Bilde: Per Ervland

Uenige om anonymisering

Lånekassen og Skatteetaten benytter et anonymiseringsparameter, som ifølge Google fjerner den siste oktetten i IP-adresser før lagringen skjer. Det er ikke Datatilsynet like sikker på.

- Det er stor usikkerhet rundt tidspunktet for anonymiseringen. Vi mener at IP-adressene sendes til Google i sin helhet, sa Bjørn Erik Thon.

IKT-Norges representant konkluderer helt annerledes på dette vesentlige punktet.

- IP-adressene blir anonymisert i minnet. Den fulle IP-adressen blir aldri lagret. Slettingen (av den siste IP-oktetten) foregår i Europa og innenfor området som norsk lovgivning er basert på, sa Torgeir Waterhouse.

Etter anonymiseringsprosessen ender vi opp med data som ikke kan identifisere hvem som har har vært inne på nettstedet, forsatte han.

- Dette har vi selvfølgelig sett på når vi er på tilsyn. Det har ikke vært mulig for oss, og jeg understreker – heller ikke mulig for Skatteetaten eller Lånekassen – å få svar på når IP-adressene blir anonymisert, svarte Thon.

Nå venter han spent på de endelige svarene på en serie spørsmål de har stilt Lånekassen og Skatteetaten. Fristen for å svare på tilsynets bekymringer er blitt utvidet til innen 1. november oktober.

- Vi planlegger også å møte Google i høst. Vår endelig konklusjon vil foreligge før jul, røpet Thon.

Enn så lenge risikerer ingen som bruker Google Analytics noen form for reaksjon. Datatilsynet vil ikke gå på tilsyn hos andre før konklusjonen foreligger.

- Det at 78 prosent av webredaktørene her er lovbrytere var selvfølgelig en spøkefull kommentar. Foreløpig risikerer de ingenting. Vi har tatt opp prøvesakene med Lånekassen og Skatteetaten og kommer ikke til å gå på tilsyn hos flere aktører nå. Men jeg forsøkte også å vekke bransjen her fordi jeg tror at mange har tatt i bruk et gratis og godt produkt mer eller mindre automatisk, uten å ha tenkt igjennom personvernkonsekvensene. Det håper jeg de kanskje gjør nå, sa Thon til digi.no umiddelbart etter debatten.

- Hvis det viser seg at Waterhouse har rett og at den siste oktetten av IP-adressen aldri lagres eller overføres til USA. Vil du da velsigne bruken av Google Analytics?

- Det kan jeg ikke svar på nå. Det er mange spørsmål vi har stilt de to etatene. De må også svare på hva Google gjør med disse opplysningene.

Bekymret

For Waterhouse handler ikke debatten utelukkende om Google Analytics. Han er bekymret for hva konklusjonen til Datatilsynet kan bety for en lang rekke andre tjenester i bred betydning, både «software as a service» og «platform as a service»-leveranser generelt.

- Min interesse i denne saken handler ikke om Google. Men konklusjonen vil etter all sannsynlighet påvirke også en lang rekke andre tjenester, sier han til digi.no.

Godkjent i Sverige

Ett poeng som dessverre ble glemt i dagens debatt, som Waterhouse minner oss om nå, er at Datatilsynet har valgt en helt annen tilnærming enn sine svenske kolleger.

Datainspektionen.se bruker faktisk Google Analytics på sine egne nettsider. De har også lagt ut en lengre tekst hvor redegjør for at bruk av webanalyseverktøyet er i tråd med personvernlovgivningen.

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.