Archive for desember, 2011

Det irske datatilsynet slår ned på Facebook

22. desember 2011

Det irske datatilsynet har i løpet av 2011 mottatt en rekke klager på Facebook, deriblant Forbrukerrådets fra tidlig i høst, og har gjennomført en granskning av selskapets håndtering av personopplysninger. Nå har tilsynets rapport kommet ut, og de har virkelig gjort en grundig jobb, som igjen kommer til å medføre mye jobb for Facebook i året som kommer.

Rapporten, som er på 150 sider, gjennomgår 17 forskjellige områder, og lister opp funn og forslag til forbedring på absolutt alle punkter. Her er et lite utdrag av funn og tiltak, oversatt av oss:

  • Forenkle forklaringene som følger Facebooks personverninformasjon
  • Forsterke brukernes muligheter til å ta informerte valg basert på tilgjengelig informasjon
  • Facebooks nåværende linje med å beholde ad-click data på ubestemt tid er uakseptabelt
  • Innsamlede personopplysninger skal slettes når hensikten de ble samlet inn for ikke lenger er tilstede
  • Facebook informerer i dag ikke brukerne godt nok om at deres aktivitet på forskjellige nettlesere på forskjellige maskiner arkiveres
  • Informasjonen som gis brukerne i forbindelse med å tillate tredjepartsapplikasjoners  tilgang til og bruk av informasjon, er i dag for kompleks for at brukerne skal kunne ha  en meningsfull oppfatning av hva som egentlig skjer
  • Brukerne må, gjennom hensiktsmessig informasjon og andre verktøy, gis muligheten til å foreta informerte valg, når de gir tredjepartsapplikasjonene tilgang til brukerens personopplysninger

Og sånn fortsetter listen.

Forbrukerrådet oppfatter at vi gjennom denne rapporten har fått svar på enkelte av de overordnede spørsmålene vi stilte i vår opprinnelige klage. Datatilsynet konkluderte med at norsk lov ikke kom til anvendelse, og slik vil det også være dersom forslaget til nytt Data Protection Directive går gjennom slik det foreligger nå.

Det irske datatilsynet konkluderer ikke med at et samtykke som gis Facebook er for svakt fundert til å hjemle innsamlingen og bruken av personopplysninger, men kommer med konkrete forslag og sterke oppfordringer til Facebook om å bedre tilgangen til informasjon på en rekke områder. Kommisjonens forslag til ny regulering søker også å styrke det informerte samtykket som rettslig grunnlag for behandling av personopplysninger.

Forbrukerrådet har også stilt spørsmål om Facebooks eventuelle ansvar for tredjepartsapplikasjoner, og selv om det irske datatilsynet ikke konkluderer på dette punktet, foreslår de mange tiltak for å bedre brukernes forståelse av tredjepartsapplikasjonenes innhenting og bruk av personopplysninger.

I irske datatilsynet har gitt Facebook frister på en rekke av tiltakene allerede i begynnelsen av 2012, og samtidig venter vi en offisiell oppstart av arbeidet med nytt Data Protection Directive i januar.

Bransjenorm for atferdsbasert reklame avvist av EUs uavhengige personvernråd

16. desember 2011

Tidligere denne måneden skrev vi at The Interactive Advertising Bureau (IAB) sammen med resten av bransjen (EASA) var blitt enige om en selvreguleringsnorm, såkalt ”Best Practice Recommendations”, for å sikre at atferdsbasert markedføring (OBA) finner sted innenfor et rammeverk. Nå er det klart at Article 29 Data Protection Working Party (Art 29 WP), EUs uavhengige rådgivende organ for personvern, har forkastet forslaget fra bransjen.

Først og fremst foreslår bransjenormen å innføre et ikon for atferdsbasert markedsføring i hele EU, som skal lenke til bakgrunnsinformasjon og tilgang til mekanismer for brukerkontroll på forskjellige språk. Ikonet skal vises på annonser basert på brukerens atferd. Ved å klikke på ikonet vil brukeren omdirigeres til et nettsted der de kan finne informasjon om, og få mulighet til å deaktivere, atferdsbasert reklame.

Art 29 WP baserte avvisningen på to elementer som var for dårlig ivaretatt: åpenhet og brukerens valgfrihet.

Når det gjelder åpenhet, mener Art 29 WP at et ikon i seg selv ikke er tilstrekkelig for å informere brukerne om bruk av cookies fordi:

  • Den gjennomsnittlige bruker vil ikke kunne gjenkjenne ikonets underliggende mening uten ekstra informasjon gitt ved siden av.
  • Å bare sette ordet «reklame» ved siden av ikonet er ikke nok til å informere brukeren om at annonsen bruker cookies for å lage atferdsbasert reklame.
  • Ikonet i seg selv og nettstedet http://www.youronlinechoices.eu gir ikke nøyaktig og lett forståelig informasjon om de forskjellige reklamenettverkene og deres formål med å plassere cookies på brukerens datamskin.

Når det gjelder brukernes valgfrihet, mener Art 29 WP at selv om brukere gis muligheten til å velge bort atferdsbasert reklame, er dette ikke forenlig med EUs ePersonverndirektiv, ettersom opplysninger faktisk behandles uten brukerens samtykke og uten å gi brukeren informasjon før de brukes:

  • Selv om den cookien som aktiveres hvis brukeren velger bort atferdsbasert reklame (opt-out cookie) hindrer ytterligere atferdsbasert reklame, stopper dette verken reklamenettverket fra å få tilgang til eller lagre informasjon på brukerens datamaskin.
  • Brukeren blir ikke informert om hvorvidt en cookie som overvåker internett-aktivitet forblir lagret på datamaskinen og hvilket formål denne i tilfelle har.
  • Mens installasjon av en opt-out cookie ikke gir brukeren mulighet til å administrere og slette tidligere installerte sporings-cookies, skapes det samtidig et feilaktig inntrykk av at å velge bort atferdsbasert reklame deaktiverer sporing av internettatferden.

Art 29 WP var også bekymret for at bransjen foreslår at et barn over 12 år skal kunne ta beslutninger i forhold til behandlingen av sine egne personopplysninger, og mener bransjen istedet burde forholde seg til lovgivningen i det enkelte land. De var også kritiske til at normen overhodet ikke sier noe om hvordan bransjen skal sikre god etterlevelse og håndheving av sine egne regler.

I forkant av møtet Art 29 WP hadde med bransjen i september  sendte BEUC, den europeiske forbrukerorganisasjonen, et brev for å ta opp en rekke bekymringer de hadde i forhold til forslaget fra bransjen.

Offentlige Data – hvor er de, og hvem har de?

13. desember 2011

Fornyings- og administrasjonsdepartementet startet sommeren 2010 det de kalte en innledende kartlegging angående av hva departementene og underliggende etater har av offentlige data. Som det fremgår på data.norge.no, var det ikke veldig mange svar å få, og trolig er det mange, mange datasett som mangler.

Tilgang til offentlige data er en råvare mange mennesker og bedrifter kan foredle til nyttige tjenester. Som det fremgår av bloggen det er lenket til ovenfor, går det likevel mildt sagt trått med å få frem disse dataene.

Kommisjonen sendte i går ut en pressemelding om strategien videre med de offentlige dataene, og ser man på Kommisjonens liste over hvor de største barrierene er, vil nok nevnte departement kjenne seg godt igjen. Først og fremst er det et informasjonsunderskudd når det gjelder hvilke data som eksisterer, samtidig som det er lite klarhet over at dataene eksisterer og er tilgjengelige. Da er det lite å jobbe med for kreative, innovative og datahungrige sjeler.

Norge er dessverre helt i takt med resten av Europa, hva skal til for at vi skal ta føringen på dette området?

EU styrker personvernet

13. desember 2011

I et utkast til EUs forslag til nytt personverndirektiv, planlagt offentliggjort i januar 2012, og som Forbrukerrådet har fått i hånden, er det klart at EU-kommisjonen vil styrke personvernet og gi brukerne større råderett over egne data og personopplysninger.

For å gi brukerne større makt foreslår EU-kommisjonen blant annet at:

  • innsamling av data fra privatpersoner skal begrenses til et minimum
  • personvern skal være implementert i alle relevante tjenester (privacy by default)
  • personopplysninger skal kun publiseres dersom brukere aktivt velger det
  • personopplysninger, innhold og metadata slettes så snart en bruker ber om det
  • hvis tjenesteleverandører mister kontrollen over personopplysninger, skal brukeren få beskjed innen 24 timer.

I utkastet foreslås det også å opprette egne «personvernombud» i  organisasjoner som samler inn persondata og som  har flere enn 250 ansatte. Det legges også opp til at de nasjonale datatilsynene skal få større makt og frihet.

De foreslåtte tiltakene  gir brukeren en helt annen makt enn de har i dag over sine egne  personopplysninger. Det er også interessant at EU-kommisjonen vil gi brukerne lov å ta med seg lagret data på tvers av tjenester og leverandører. Dette kan bidra til større innovasjon og konkurranse i markedet og dermed bedre tjenester og flere valgmuligheter for forbrukerne.

Også tjenester som er registrert andre steder enn i Europa, men som brukes flittig av norske og andre europeiske forbrukere, må forholde seg til EU-direktivet, men antagelig ikke nasjonale lover.

Direktivet skal visstnok legges frem av Kommisjonen i januar, og man kan vente seg heftige diskusjoner i prosessen frem mot vedtak i EU-parlamentet, fra EU-medlemslandene og helt sikkert fra ulike bransjeaktører. I følge Financial Times, som også har fått titte på forslaget, kan det ta både ett og to år før direktivet er banket og vedtatt i EUs institusjoner.

Veike retningslinjer for adferdsbasert markedsføring

9. desember 2011

Mye av eksistensen til selskaper som Facebook og Google bygger på muligheten til å personifisere reklame ut fra de sporene vi legger igjen på nett, såkalt adferdsbasert markedsføring på nett eller ”online behavioral advertising” (OBA). At dette har opplagte utfordringer for person- og forbrukervernet er lett å se.

For å ta tak i noen av disse utfordringene har nå The Interactive Advertising Bureau blitt enige med resten av bransjen om en form for selvregulering, en såkalt ”Best Practice Recommendations” for å sikre at denne formen for overvåkning skjer innenfor visse grenser.

BEUC, organisasjonen som samler de aller fleste europeiske forbrukerorganisasjonene, har nå sett nærmere på anbefalningene, og er ikke spesielt imponert.

Som ofte blir problemet definert som et informasjonsproblem som kan løses med mer informasjon – i denne sammenhengen med et klikkbart ikon på sider som benytter seg av OBA.

BEUC påpeker i brev til Mr. Jacob Kohnstamm, Chairman of the Article 29 Working Party flere svakhetene ved selvreguleringen:

  • Retningslinjene dekker langt fra alle aktørene, og heller ikke alle sidene ved denne typen markedsføring. At retningslinjene er frivillige hjelper heller ikke.
  • Å benytte et symbol på nettsidene er langt fra tilstrekkelig. Det er en kjensgjerning at få klikker seg videre og faktisk leser informasjonen.
  • Og skulle man faktisk lese informasjonen, er den ubalansert og dekker over alvorlige personvernmessige sider ved denne formen for markedsføring.

Det er derfor ikke vanskelig å være enige med BEUC når de ber om at bekymringen for bransjens selvregulering må tas på alvor.

For vi er ikke i tvil om at vårt personvern på nett fortjener bedre beskyttelse enn uforpliktende og veike retningslinjer.

 

EU skifter personvernskurs?

2. desember 2011

Data Protection Directive (DPD), som også ligger til grunn for den norske personopplysningsloven, er under revisjon i EU. Forbrukerrådet har de siste årene engasjert seg i spørsmål knyttet til personvern, og har tidligere klaget Facebook og Zynga inn for Datatilsynet for mulige brudd på norsk personopplysningslov.

Datatilsynet kom i sommer til at norsk lov ikke kommer til anvendelse i det hele tatt, all den tid Facebook er etablert i Irland. Vi har derfor videresendt klagen vår til det irske datatilsynet, og avventer nå svar derfra.

Vi har også vært i Kommisjonen og presentert Facebooksaken for gruppen som jobber med revisjonen av DPD, og fikk gehør for at det var et problem for brukere å måtte forholde seg til et tilsyn utenfor eget land og språk.

Dette gehøret ser det ut til at har stoppet på veien opp mot de politiske toppene. EUs DG for justis og fundamentale rettigheter, Vivian Reding, tok i begynnelsen av uken til ordet for å beholde prinsippet om etablering, og dermed ikke følge (rettssikkerhets)sporet mot prinsippet om bosted.

Dette er et problem.

Gjennom et harmonisert regelverk oppnår man den uniformertheten bransjen krever, samtidig som den enkelte bruker har tryggheten i å kunne forholde seg til et lov- og tilsynsverk i eget land. Jeg tviler dessuten på at Kommisjonen tar høyde for å dimensjonere det irske datatilsynet for den europeiske tilsynsjobben de nå har, og kommer til å fortsette å ha, dersom Reding får det som hun vil.