Norge – fra internett til inter-njet?

Eivind Savio

Norge – fra internett til inter-njet?

Digitale tjenester 11 kommentarer

Forrige uke dukket en «merkelig» sak opp i pressen med Datatilsynet som avsender. Med store bokstaver gikk Datatilsynet ut og erklærte at de har kommet frem til at Google Analytics er lovstridig. Motparten de har pekt ut til å motbevise dette er det offentlige – nemlig Skatteetaten og Lånekassen fordi de har Google Analytics installert på sine nettsteder.

Men – i ytterste konsekvens av hva Datatilsynet skisserer som lovstridig, dette handler ikke bare om Google Analytics. Det er mange tjenester og funksjoner på internett som vi i dag tar for gitt som vil kunne bli forbudt i Norge. Hva norske nettsteder har foran seg er et mulig inter-njet.

Per Google, du lyver(?)

Etter å ha studert dokumentene til Datatilsynet opp mot hva Google Analytics selv skriver, er det to ubesvarte spørsmål som henger igjen i luften:

  1. Har Datatilsynet manglende kunnskap om Google Analytics?
  2. Eller – mener de Google sine forklaringer til hvordan Google Analytics virker, samt hva Google skriver og sier om personvern, ikke er korrekt?

Basert på hvordan Datatilsynet formulerer seg i saken, og at de faktisk ikke har dokumentert at Google Analytics bryter loven, hadde den naturlige motparten vært Google og Google Analytics. Og – fremgangsmåten hadde vært dialog med Google direkte for å avklare uklarheter.

Er en IP-adresse en personopplysning?

Datatilsynet har i sine kontrollrapporter skrevet at EU-domstolen har slått fast at IP-adresser skal regnes som personopplysninger. I et blogginnlegg av Alexander Rustad fra Creuna om denne saken, bestrides denne tolkningen i kommentarfeltet.

Hvis ikke en fullstendig IP-adresse er lagret, er den likevel lagret?

Lånekassen og Skatteetaten benytter begge en funksjonalitet som kalles for IP-maskering, noe som innebærer at fullstendig IP-adresse ikke lagres hos Google.

Om dette skriver Datatilsynet (min utheving):

Det er slått fast at de innsamlede IP-adressene anonymiseres etter at de er mottatt hos Google i USA. En slik anonymisering vil kunne ha samme virkning som sletting. Imidlertid er det ikke mulig å fastslå hvorvidt opplysningene oppbevares i identifiserbar form utover det som er nødvendig for å oppfylle de relevante behandlingsformålene.

_anonymizeIp() som funksjonen heter som maskerer IP-adresser, er beskrevet på følgende måte av Google Analytics (min utheving):

_anonymizeIp() tells Google Analytics to anonymize the information sent by the tracker objects by removing the last octet of the IP address prior to its storage.

Illustrasjonen under viser IP-maskering i praksis (for ordens skyld, Kjøkkenfesten maskerer ikke IP selv om nettstedet er brukt som illustrasjon):

Google Analytics IP-maskering

I de foreløpige kontrollrapportene fra Datatilsynet til Lånekassen og Skatteetaten kan vi lese følgende (sitat fra Skatteetatens kontrollrapport):

Som behandlingsansvarlig er det Skatteetatens ansvar å sørge for at anonymiseringen finner sted så snart det anførte statistikkformålet er oppfylt, slik at opplysningene kan anses slettet og kravene i lovens §§ 11 og 28 kan anses oppfylt. Den behandlingsansvarlige er forpliktet til å dokumentere dette, ifølge personopplysningsloven § 14.

IP-maskering oppfyller dette siden det kun er den maskerte IP-adressen som lagres, men Datatilsynet bestrider likevel at det faktisk er slik det foregår.

Om Datatilsynet mener Google snakker usant om IP-maskering er riktig adressat Google, ikke Skatteetaten og Lånekassen.

Utleveres det personopplysninger til Google?

Dette spørsmålet stilles av Datatilsynet med bakgrunn i at Google har endret sin TOS (Terms of Service), og Datatilsynet har da (slik jeg tolker det) lagt til grunn at fullstendig IP har blitt lagret selv om IP-maskering benyttes, og at Google i tillegg kobler data fra Google Analytics med andre tjenester ned på personnivå:

Dette betyr at selskapet kan sammenstille opplysninger om den besøkende fra mange ulike nettsteder, også tilbake i tid. Dersom brukeren benytter Googles påloggingstjenester vil Google også kunne kjenne identiteten til brukeren.

Jeg regner med at Datatilsynet har lest hva Google Analytics skriver om personvern, eierskap til data og datadeling, og at de er kjent med datadelingsinnstillingene i Google Analytics? Hvis de har lest dette, og er kjent med innstillingene, stoler de ikke på at dette stemmer? Om det ligger mistro til grunn, vil ikke riktig adressat for dette være Google, og ikke Skatteetaten og Lånekassen?

Innstilling for datadeling i Google Analytics

Innstillinger for datadeling i Google Analytics.

Det er i tillegg en delingsmetode til hvor man må hake av om Google skal få en generell tilgang til Google Analytics ved support. Alternativ metode er å gi Google ad-hoc tilgang fra sak til sak.

Google Analytics support-innstillinger

Norge – fra internett til inter-njet?

Selv om saken i dette tilfellet dreier seg om Google Analytics, har dette mer vidtrekkende konsekvenser. Datatilsynet har også startet etterforskning av Facebook «Like-knappen», og sier at det er likheter mellom dette og Google Analytics. De sier ikke hva de mener med «likhet», men at en «Like-knapp» også innhenter den besøkendes IP-adresse kan være en fellesnevner.

Hvis det er slik at norske nettsteder ikke har lov, slik Datatilsynet antyder, å benytte tjenester som sender (eller kan sende) IP-adressen til et besøk til tredjepart uten å kunne gjøre rede for den, vil svært mange tjenester og løsninger bli forbudt i Norge.  Listen under over tjenester som i ytterste konsekvens kan bli forbudt for norske nettsteder er lang, men langt fra komplett.

  • Vil det være tillatt med videoer fra Vimeo, Ustream og YouTube?
  • Vil alle “sosiale medier knapper” bli forbudt, ikke bare Facebook? Hva med Twitter, LinkedIn, Google+, Pinterest, AddThis og ShareThis?
  • Vil norske nettsteder kunne benytte kommentarfunksjonalitet fra DisQus eller Facebook?
  • Kan en firmablogg benytte Gravatar sin tjeneste for å vise bildet til den som har lagt igjen en kommentar?
  • Kan man benytte Bing eller Google Maps på kontaktsiden, eller vil bare Statens Kartverk være lovlig?
  • Kan man benytte sky-tjenester til å lagre data eller optimalisere hastighet på nettstedet? Vil CloudFlare og Google PageSpeed Service være tillatt?
  • Hva med ad-serving og annonsering? Vil DoubleClick, Adform og Adwords Conversion Tracking være tillatt?
  • Vil Google interntsøk være tillatt?
  • Kan norske nettsteder laste jQuery fra Microsoft Content Delivery Network?

Er det begynnelsen av norsk inter-njet vi ser?

Disclaimer: Halogen AS er Google Analytics Certified Partner. Selv om hverken Skatteetaten eller Lånekassen er kunder av Halogen i denne saken, kan det finnes en kunde-/leverandørknyting i andre prosjekter.

Les også: – Vanvittig arrogante eller totalt inkompetente! Even Aas-Eng kritisk til Datatilsynet i e24.