– Har ikke kontroll med cookies

Datatilsynet mener de ansvarlige for mange nettsteder ikke vet hva cookies gjør når de installeres på brukernes datamaskiner. – Offentlige nettsteder er spesielt betenkelige, mener tilsynet.

Data

Datatilsynet tviler på om offentlige etater vet hva som skjer med personopplysninger som videresendes til utenforstående.

Foto: Odd Rømteland / NRK
Tor Risberg byline
Journalist

De fleste nettsteder legger igjen cookies på harddisken din. Noen er nyttige, andre mer omdiskutert.

– Men eiere av nettaviser, nettbutikker og andre tjenester vet ofte ikke hvilke cookies som gjør hva. Mange som har reklame på sidene sine, aner ikke hva de i forbindelse med annonsene legger igjen av elektroniske spor på datamaskinen. Det er bekymringsfullt, sier fagdirektør Atle Årnes i Datatilsynet til NRK.no.

Mens reklameplass tidligere ble solgt til hver enkelt annonsør, er det nå vanlig at salget skjer via byråer som plasserer annonsene på nettsteder uten eiernes kontroll.

– Gratis, men ikke uten grunn

Årnes mener det er ekstra betenkelig at offentlige etater og ideelle organisasjoner installerer cookies (også kalt informasjonskapsler) på brukernes maskiner uten å vite eller informere tilstrekkelig om risikoen for personvernet.

Atle Årnes

Bekymringsfullt at det ikke er mulig å besøke statsapparatet på nett uten at IP-adressen blir sendt til et land med et annet lovverk, mener Atle Årnes i Datatilsynet.

Foto: Hans Fredrik Asbjoernsen

– Svært mange benytter analyseverktøyet Google Analytics for å få informasjon om brukerne sine. Meget nyttig for nettstedets eier, men også veldig nyttig for Google, sier han.

Verktøyet opererer på kryss og tvers av nett-tjenester og landegrenser.

– Google leverer fin statistikk gratis. Men ikke uten grunn. Statistikken gir dem temmelig god kontroll med din og min ferdsel på nettet, sier Årnes.

Siden 2007 har bruken av såkalte tredjeparts-cookies tatt av for alvor. Ifølge Årnes følger de nærmest sine egne regler om personvern, og sender informasjon om brukerne til utenforstående aktører som Google, reklamebyråer og andre kommersielle virksomheter.

Dermed kan markedsføring målrettes til enkeltpersoner basert på hvor de har vært på nettet.

– Enormt trykk

En fersk undersøkelse gjennomført av datatilsynene i Europa, viser at 70 prosent av informasjonskapslene kommer fra andre enn nettsidene de befinner seg på.

Undersøkelsen omfatter 16.555 cookies på 478 nettsteder i åtte land.

Det bekymrer oss at det ikke er mulig å besøke statsapparatet på nett uten at IP-adressen blir sendt til et land med et annet lovverk.

Fagdirektør Atle Årnes, Datatilsynet

– Det kommersielle trykket er blitt enormt. Helt ok hvis man vil ha det slik. Men betenkelig for nettbrukere som i praksis ikke lenger kan velge det bort. Man er helt prisgitt hva andre styrer, sier Årnes.

For tre år siden ble det påbudt å informere klart og tydelig om bruken av cookies. Men det er det ikke alle som gjør.

– I dag er det nesten ikke mulig å være på nettet uten at en mengde cookies havner i datamaskinen. For å etablere informasjonskapslene utleveres også IP-adresser, og aktørene vet derfor mye om hver enkelt av oss, sier Atle Årnes.

Garanti?

Årnes tviler på om det offentlige vet hva Google faktisk gjør med personopplysningene de bidrar aktivt til å samle inn på denne måten.

Skatteetaten.no er bare ett eksempel på etater som benytter Googles analyseverktøy. Andre er stortinget.no og regjeringen.no, samt hjemmesidene til NAV, Helsedirektoratet og en rekke norske kommuner.

Vi må ikke mistenke dem bare fordi de er store og utenlandske.

Direktør Torgeir Waterhouse, IKT-Norge

– Kan Skatteetaten garantere at informasjonen om brukerne ikke benyttes av andre? Vi er forpliktet til å kommunisere elektronisk om skattespørsmål, og nesten alle besøker denne etaten på nett. Dermed får en utenforstående aktør enorme mengder informasjon om befolkningen, sier Årnes.

Skatteetaten skriver på sin hjemmeside at personvernet skjermes ved å fjerne noen av sifrene i brukernes IP-adresser.

– Google opplyser at IP-adressene til de besøkende på nettsteder som benytter anonymiseringsfunksjonen ikke blir brukt eller lagret hos Google. Dette er altså noe man rett og slett bare er nødt til å stole på at selskapet overholder. Men Googles overordnede personvernpolicy gjør dette uklart. Der heter det at selskapet benytter alle opplysninger de samler inn fra tjenestene sine, sier Årnes.

– Er grundig vurdert

Mariken Holter

Skatteetaten gjorde en grundig vurdering av analyseverktøyet før det ble tatt i bruk, sier kommunikasjonsdirektør Mariken Holter.

Foto: Baard Brinchmann

Ifølge Skatteetaten er personvernet høyt prioritert.

– Vi tar det på største alvor og har et bevisst forhold til bruk av cookies og Google Analytics, sier kommunikasjonsdirektør Mariken Holter til NRK.no.

Hun forteller at det ble gjort en grundig vurdering av Google Analytics før løsningen ble tatt i bruk på nettsidene.

– Og vi informerer brukerne våre om hvilke opplysninger som behandles for hvilke formål. Våre vurderinger og konklusjoner ble akseptert av Datatilsynet gjennom den endelige kontrollrapporten etter deres tilsyn, sier hun.

Men Datatilsynet godkjenner ikke løsninger, ifølge Atle Årnes.

– Det er nettsidenes eiere som må vurdere om bruken av cookies er innenfor lovverket. Det er korrekt at vi slo vi oss til ro med Skatteetatens konklusjoner i vår rapport i 2012. Men personvern er en kontinuerlig prosess der man hele tiden bør vurdere følgene av tekniske endringer. Googles tjenester gjennomgår endringer over tid, sier han.

Nytt den siste tiden er for eksempel tjenestene Google Tag Manager for håndtering og Universal Analytics for analyse.

– Det bekymrer oss at det ikke er mulig å besøke statsapparatet på nett uten at IP-adressen blir sendt til et land med et annet lovverk. California betrakter nødvendigvis ikke IP-adresser som personopplysninger på samme måte som vi gjør i Europa, sier Årnes.

– Litt spesielt i Norge

Datatilsynet mener at nettstedseiere som lar andre virksomheter håndtere personopplysninger, nå må ta en debatt om nytteverdi og sikkerhet, og gjøre nødvendige avtaler for å sikre at lovverket følges.

Årnes mener det er litt spesielt at Norge overlater håndteringen til brukerne selv via nettleserinnstillinger, slik regelverket er i loven om elektronisk kommunikasjon.

– I andre land må nettsidenes eiere forsikre seg om at informasjonen de utleverer til utenforstående skjer på en betryggende måte, sier Årnes.

Cookies-informasjon i nettbutikk

Alle nettsteder skal informere om at cookies er i sving, slik at du kan godta dem eller ikke.

Foto: Skjermdump

– Mange synes det er komplisert å stille inn datamaskinen slik at den avviser installasjon av cookies. Noen løser dette ved å bruke to nettlesere. Det hele er blitt temmelig tuklete, sier han.

Datatilsynet bruker ikke Googles tjenester på sine hjemmesider.

– Vi har valgt en lokal løsning som gir oss full kontroll, og som vi betaler for. Økonomi er en viktig grunn til at mange lar seg friste til å bruke gratistjenester som Google Analytics. Hvor trygge de er når det kommer til personvern er en annen sak, sier Årnes.

Deler ikke bekymringen

Torgeir Waterhouse

Galt å mistenke aktører bare fordi de er store og utenlandske, sier Torgeir Waterhouse i IKT-Norge.

Foto: Pressebilde / IKT Norge

Torgeir Waterhouse, direktør for internett og nye medier i IKT-Norge, deler ikke Datatilsynets bekymring.

– Det er like viktig for offentlige som for private å forstå hvordan folk benytter nettsidene deres. Alle kan ha nytte av løsninger som Google Analytics. Når fagpersoner velger å bruke dem, må man gå ut fra at de vet hva de gjør, sier han til NRK.no.

Han forutsetter også at Google og tilsvarende selskaper gjør hva de sier at de gjør.

– Vi må ikke mistenke dem bare fordi de er store og utenlandske. Man får heller ta det opp med dem hvis det kan påvises at de gjør noe galt, sier han.

Waterhouse mener det ikke er spesielt komplisert å stille inn datamaskinen slik at bruken av cookies blir trygg.

– Men folk flest er ikke interessert. Og det er en helt annen sak. Bedre digital kunnskap hos befolkningen er viktig. Myndighetene må ta sin del av ansvaret for å få dette inn allerede i skolen, slik at alle kan ta informerte valg i den digitale verden, sier han.

TV og radio

Vi fyrer med ved. Men hva slags ved skal man fyre med - og hva bør man absolutt ikke slenge i peisen? Vi tester ved og gir tips og råd om vedovner, gamle som nye. Og så ser vi på fiffige ved-dingser.
Helene sjekker inn - på asylmottak. Norsk dokumentar.
I fem døgn bor programleder Helene Sandvig sammen med asylsøkere på Dikemark Asylmottak. Det blir et tøft møte med en helt annen virkelighet.
Kunne du tenkt deg å sove i same seng som kong Olav? I sesongpremieren på Solgt tar programleiar Frode Søreide med seg to lag med meklarar frå Austlandet til Narvik. Her skal dei tippe pris på tre eigedomar. Kven tippar nærast? Ei av utfordringane er eit gamalt og ærverdig pensjonat, som mellom annan Kong Olav har gjesta ved fleire høve. Sesong 5 (1:6)