Personopplysningar på avvegar
Teknologirådet har avslørt uansvarleg – og kanskje ulovleg – handtering av personopplysningar på offentlege nettstader.
SPORING: Det mest populære sporingsverktøyet i verda er Google Analytics. Det er førebels det mest populære verktøyet i norsk offentleg sektor òg.
lustrasjon: TarikVision / Shutterstock / NTB
Bakgrunn
I mars 2021 kom Teknologirådet med ein rapport som synte at norske offentlege nettstader brukte sporingsverktøy frå selskap som Google og Facebook.
Bruken av sporingsverktøyet Google Analytics strir potensielt med EUs GDPR-regelverk som Noreg er bunden til.
Teknologirådet og Datatilsynet meiner at offentlege institusjonar har vore for slepphendte i handteringa av personopplysningar.
Bakgrunn
I mars 2021 kom Teknologirådet med ein rapport som synte at norske offentlege nettstader brukte sporingsverktøy frå selskap som Google og Facebook.
Bruken av sporingsverktøyet Google Analytics strir potensielt med EUs GDPR-regelverk som Noreg er bunden til.
Teknologirådet og Datatilsynet meiner at offentlege institusjonar har vore for slepphendte i handteringa av personopplysningar.
Teknologi
redaksjonen@dagogtid.no
Når ein går inn på ein ny nettstad, skjer det meir enn dei fleste trur. Frå du har skrive inn nettadressa, til du er i gang med å rulle nedover på sida, kan følgjande ha skjedd: 1. Informasjon om nettsida du kom frå, vert send til Google. 2. Det digitale fingeravtrykket ditt vert kopla opp mot ein profil av deg som Google eller Facebook har laga. 3. Annonsørar har på grunnlag av data om deg delteke i ein automatisert bodrunde om kven som skal få vise deg reklame. 4. Det blir gjort eit videoopptak av aktiviteten din på nettsida.
Det er desse prosessane som gjer at du får opp reklame for sydenturar på ein nettstad når du har lese om Spania på ein annan nettstad. Alt dette skjer for at me skal få dei digital tenestene me er vande med å bruke, gratis. Det er dei snurrande tannhjula, stempla som går att og fram, og røyrsystemet som oljar maskineriet i den digitale overvakingsøkonomien. Overvakingsøkonomien er eit komplekst system med hovudsakleg eitt mål: å samle inn store mengder data om brukarar for å kunne gje dei målretta reklame. For å samle dataa bruker aktørar forskjellige «sporingsverktøy», som har fått det harmlause og misvisande namnet cookies.
I mars 2021 kom det norske Teknologirådet med rapporten Kommersiell sporing i offentleg sektor. Rapporten undersøkte nettstadene til 41 offentlege institusjonar og fann at offentlege nettstader i stor grad har delteke i overvakingsøkonomien. Då Teknologirådet og Datatilsynet markerte personverndagen 31. januar i år, kom Tore Tennøe, direktør i Teknologirådet, med nye tal. No hadde Teknologirådet undersøkt 157 nettstader til sentrale offentlege verksemder, alle direktorata i Noreg, 60 kommunar og 10 fylkeskommunar.
– Over 80 prosent av desse nettstadene bruker eitt eller fleire sporingsverktøy i regi av dei store teknologigigantane, aller mest Google, forklarte Tennøe på personverndagen.
– Er det lovleg? Nei, sannsynlegvis ikkje, la han til.
Offentleg sporing
Ein grunn til at offentlege institusjonar nyttar sporingsverktøy, er at dei vil vite kven og kor mange som vitjar nettstadene deira. Om dei når ut til målgruppene sine, med andre ord. Ein annan grunn er at dei vil vite om nettstadene fungerer som dei skal, og er brukarvenlege.
Det mest populære sporingsverktøyet i verda er Google Analytics. Det er førebels det mest populære verktøyet i norsk offentleg sektor òg. 124 av dei 157 nettstadene Teknologirådet undersøkte for to månader sidan, brukte Google Analytics. Kvifor er dette blitt så populært?
Me har tala med Marianne Gjessing, journalist for Digi.no. Ho har ti års røynsle med digitalisering og leiing i offentleg sektor.
– Mange har valt å bruke Google Analytics av same grunn som dei bruker andre verktøy frå Google, Facebook og Apple: Det er gratis. Sjølv om det finst mange aktørar som tilbyr liknande verktøy, er det lett å falle ned på det som er gratis og stort. Det er òg eit verktøy som blir opplevt som bra, ein får tilgang til mykje data. Ein kan sjå kvar brukarane kjem frå, og kor gamle dei er og få vite mykje om kven dei er. Dette vert opplevt som ein datarikdom, seier ho.
– Baksida med datarikdomen er at han blir delt med Google?
– Det er baksida med at det er gratis. Her må eg sitere ei russisk veninne: Gratis ost finst berre i musefella. Du betaler med dataa dine. Eller meir presist: Du betalar med data om kundane dine. Det er kanskje ikkje du som tener mest på det, kan hende er det Google som tener mest på det. Det må ein vurdere, og det har med etikk å gjere. Verksemder må vurdere om det er greitt for dei å gje data til Google slik at Google kan bli endå flinkare på å marknadsføre.
Personvern i utvikling
I 2012 godkjende Datatilsynet bruken av Google Analytics så lenge delar av IP-adressene vart maskerte før informasjonen vart lagra på serverane til Google.
Mykje har skjedd sidan då. I 2013 varsla Edward Snowden om storstilt amerikansk overvaking av både eigne og utanlandske borgarar, deriblant europeiske statsleiarar. I 2018 fekk me personvernforordninga til EU (GDPR), som Bjørn Erik Thon, direktør for Datatilsynet fram til januar i år, har kalla «vår veldig kjære personvernforordning». Den har styrkt personvernet i Europa og er ein sentral del av personvernet i Noreg.
GDPR har strenge reglar for overføring av personopplysningar, og det er ikkje lov å overføre personopplysningar til land utanfor EU med mindre mottakarlandet har tilsvarande vern av opplysningane.
Schrems II-dommen
Bruk av Google Analytics og mange andre sporingsverktøy er avhengig av at data kan flyte fritt til USA. Frå 2016 til 2020 har kommersiell utveksling av personopplysningar mellom EU og USA vore regulert av den såkalla Privacy Shield-avtalen. I 2020 vart avtalen kjend ugyldig av EU-domstolen etter søksmål frå den austerrikske personvernsaktivisten Max Schrems. Avtalen vart kjend ugyldig fordi amerikansk lovgiving gjev etterretnings- og overvakingsstyringsmakter vide fullmakter til å hente personopplysningar frå amerikanske selskap, til dømes Google.
Schrems II-dommen, som han vert kalla, gjer det derfor ulovleg å overføre personopplysningar til USA med mindre fleire vilkår blir oppfylte. Dommen har råka bruken av Google Analytics i EU. Datatilsyna i både Austerrike og Frankrike har kome fram til at bruken av Google Analytics bryt med reglane om trygg overføring til land utanfor EU.
Ei formulering frå det franske datatilsynet får fram kjernen i saka: «Sjølv om Google har innført ytterlegare tiltak for å regulere dataoverføring knytt til Google Analytics-funksjonaliteten, er ikkje desse tilstrekkelege for å hindre at USAs etterretningstenester får tilgang til dataa.»
Ulovleg i Noreg?
Hugs at 124 av dei 157 offentlege nettstadene som Teknologirådet undersøkte for to månader sidan, brukte Google Analytics. Er Noreg bunden av GDPR på like linje med EU-land? Me spør personvernekspert Hanne Pernille Gulbrandsen om forholdet mellom GDPR og norsk lovgiving.
– Det skal i prinsippet vere likt. Fordi me er ein del av EØS, er Noreg forplikta til å innføre det ein kallar indre marknadsrettsakter. GDPR er ei indre marknadsrettsakt og innført i norsk rett. Ettersom det er ei forordning, betyr det at me må implementere ho etter ordlyden, ord for ord. Så den norske personopplysningslova har heile GDPR som eit vedlegg.
– Betyr det at bruken av Google Analytics blant norske offentlege nettstader har vore i strid med lova?
– Det er vanskeleg å seie sikkert. Det kjem an på korleis tenesta er sett opp. Dessutan er det fleire regelverk som gjer seg gjeldande, til dømes «cookieregelverket» i den norske ekomlova, som ikkje er implementert heilt likt som i EU. Ut frå rapporten frå Teknologirådet kan det sjå ut til at bruken av Google Analytics strir med GDPR-reglane om overføring til tredjeland.
Klagesaker
Etter Schrems II-dommen har aktivistorganisasjonen til Max Schrems, NOYB (None Of Your Business), starta 101 klagesaker mot nettstader i heile EØS. Dei franske og austerrikske tilsyna har kome med vurderingar i to saker, men ein ventar framleis på utfallet av dei andre. Samstundes er det no forhandlingar mellom EU-kommisjonen og amerikanske styresmakter for å prøve å få på plass ei ny ordning som sikrar trygg utveksling av personopplysningar.
I Noreg vurderer Datatilsynet ei klagesak mot Telenor om bruken av Google Analytics. Tobias Judin, sjef for internasjonal seksjon i Datatilsynet, seier at dei nærmar seg ei avgjerd.
– Me nærmar oss ei avgjerd i den første vurderinga, og me reknar med å kunne gå ut med noko om nokre veker.
Førebels veit ein ikkje kor strenge dei komande vurderingane vil vere, men ut frå avgjerdene til franskmennene og austerrikarane kan ein vente ei innstramming.
– I praksis er det vanskeleg å sjå korleis nettstader lovleg kan bruke Google Analytics ut frå dei to avgjerdene, med mindre dei har kome på noko veldig smart som omgår Googles innsamling og overføring av data, sa Judin til Digi.no.
Reaksjonar
Datatilsynet har sett svært alvorleg på funna til Teknologirådet.
– Me synest det er svært urovekkjande. For oss er dette vel så mykje eit spørsmål om personvern som om ytringsfridom. Me meiner at alle må få lov til å tileigne seg informasjon frå det offentlege utan at dialogen dei har med det offentlege, skal brukast av tredjepartsaktørar til andre ting. Me meiner at det i verste fall kan føre til at folk legg band på seg og er tilbakehaldne med å innhente viktig informasjon frå det offentlege dersom dei veit at dei blir spora av store internasjonale kommersielle aktørar, seier Judin.
Tore Tennøe meiner at sporinga er problematisk, og at offentleg sektor har eit særskilt ansvar for å verne om personopplysningar.
– Teknologirådet har i fleire år vore kritisk til offentleg sektors bruk av gratisverktøy frå teknologigigantane. No er det på tide at det offentlege sluttar å betale med data om oss, sa han på personverndagen.
– Kva reaksjonar skapte rapporten til Teknologirådet då han kom ut i fjor?
– Det vart diskutert på Stortinget i samband med stortingsmeldinga om data som ressurs. Ein ser at ei handfull verksemder har lagt om i mellomtida, til dømes Forbrukartilsynet, Medietilsynet og Innovasjon Noreg. Så ei viss merksemd har det fått, men det går tregare enn me hadde trudd. Det har fått ny fart no med vedtaka mot Google Analytics i Austerrike og Frankrike. Men me har heller ikkje sett at personvernerklæringar har blitt betre enn før. Det er òg noko me peikar på i rapporten, at dei er nesten umoglege å forstå, seier Tennøe.
– Kva meiner du?
– Dei har gjort det vanskeleg å forstå at ein blir spora, og dei har gjort det vanskeleg å velje vekk sporinga. Ein får til dømes beskjed om at ein sjølv må gå inn og installere eit eige tillegg i nettlesaren, eller at ein må gå vidare å sjekke personvernerklæringa til Google, som er notorisk vanskeleg å forstå. Eg trur ikkje denne tilsløringa er noko dei har gjort bevisst, men dei har arva praksisen til dei store selskapa. Deira strategi er at folk skal vite minst mogleg om kor mykje som blir samla inn.
Alternativ
Google Analytics er ikkje det einaste sporingsverktøyet offentlege nettstader tek i bruk. 15 av 157 nettstader brukte Facebook Pixel, som òg samlar data til målretta reklame. 21 av 157 gjorde videoopptak av nettsidebesøket, og over 50 brukte Google-produkta Remarketing Audiences og DoubleClick. Men ettersom Google Analytics er mest utbreidd, er det der utfordringa ligg med å finne alternativ.
Tennøe seier at det finst alternativ, og at det er ei politisk oppgåve å bruke den offentlege innkjøpsmakta til å stimulere ein marknad for tenester som tek vare på personvernet. Dersom det offentlege held fram med å bruke monopolistane som tilbyr gratistenester, vil dei undergrave sjansane for betre løysingar.
Marianne Gjessig peiker òg på at det finst alternative sporingsverktøy, men at kva alternativ som vil fungere, kjem an på behova verksemdene har.
– Eg har høyrt med folk som skryter av enkelte verktøy og synest dei er gode. Eg trur dei aller fleste, iallfall i offentleg sektor, ikkje har så spesifikke behov at dei ikkje kan klare seg med mykje lettare verktøy.
Ho peiker på at Datatilsynet har klart seg bra med ei minimalistisk løysing der lite data vert samla inn.
Ei betre verna framtid?
Korleis enda me med all denne sporinga? Tennøe meiner at det delvis kjem av at avgjerdene om å bruke Google Analytics og liknande verktøy ikkje har blitt tekne av verksemdene som heilskap, men berre av delar av verksemdene, til dømes kommunikasjons- eller IT-avdelingar.
– Det har vore ein mangel på meir sentrale retningsliner, og det har gjort at det ikkje har blitt registrert og ikkje tenkt gjennom, seier Tennøe.
– Kvifor har ikkje Datatilsynet lagt merke til problemet tidlegare? Er det ikkje deira ansvar å halde auge med slikt?
– Det fell til dels innanfor vårt og til dels innanfor ansvarsområdet til Nasjonal kommunikasjonsstyresmakt (Nkom). Den delinga er komplisert, og me skulle ynskje at det ikkje var avgrensingar på vår kompetanse på dette feltet. Det er òg eit problem at Datatilsynet ikkje har ressursar nok til å vere overalt heile tida. Me skulle gjerne vore fleire stader og fått med oss fleire ting, men med få menneske og lite ressursar er det dessverre avgrensa kor mykje me får gjort, seier Judin frå Datatilsynet.
Sjølv om funna til Teknologirådet svekkjer tilliten til offentleg handtering av personopplysningar, er Tennøe optimistisk:
– Eg trur me vil kome til å sjå tilbake på 2010-talet som ein periode då me var altfor slepphendte med å la store selskap forsyne seg av data om oss og bruke dei til å påverke oss.
Er du abonnent? Logg på her for å lese vidare.
Digital tilgang til DAG OG TID – heilt utan binding
Prøv ein månad for kr 49.
Deretter kr 199 per månad. Stopp når du vil.
Teknologi
redaksjonen@dagogtid.no
Når ein går inn på ein ny nettstad, skjer det meir enn dei fleste trur. Frå du har skrive inn nettadressa, til du er i gang med å rulle nedover på sida, kan følgjande ha skjedd: 1. Informasjon om nettsida du kom frå, vert send til Google. 2. Det digitale fingeravtrykket ditt vert kopla opp mot ein profil av deg som Google eller Facebook har laga. 3. Annonsørar har på grunnlag av data om deg delteke i ein automatisert bodrunde om kven som skal få vise deg reklame. 4. Det blir gjort eit videoopptak av aktiviteten din på nettsida.
Det er desse prosessane som gjer at du får opp reklame for sydenturar på ein nettstad når du har lese om Spania på ein annan nettstad. Alt dette skjer for at me skal få dei digital tenestene me er vande med å bruke, gratis. Det er dei snurrande tannhjula, stempla som går att og fram, og røyrsystemet som oljar maskineriet i den digitale overvakingsøkonomien. Overvakingsøkonomien er eit komplekst system med hovudsakleg eitt mål: å samle inn store mengder data om brukarar for å kunne gje dei målretta reklame. For å samle dataa bruker aktørar forskjellige «sporingsverktøy», som har fått det harmlause og misvisande namnet cookies.
I mars 2021 kom det norske Teknologirådet med rapporten Kommersiell sporing i offentleg sektor. Rapporten undersøkte nettstadene til 41 offentlege institusjonar og fann at offentlege nettstader i stor grad har delteke i overvakingsøkonomien. Då Teknologirådet og Datatilsynet markerte personverndagen 31. januar i år, kom Tore Tennøe, direktør i Teknologirådet, med nye tal. No hadde Teknologirådet undersøkt 157 nettstader til sentrale offentlege verksemder, alle direktorata i Noreg, 60 kommunar og 10 fylkeskommunar.
– Over 80 prosent av desse nettstadene bruker eitt eller fleire sporingsverktøy i regi av dei store teknologigigantane, aller mest Google, forklarte Tennøe på personverndagen.
– Er det lovleg? Nei, sannsynlegvis ikkje, la han til.
Offentleg sporing
Ein grunn til at offentlege institusjonar nyttar sporingsverktøy, er at dei vil vite kven og kor mange som vitjar nettstadene deira. Om dei når ut til målgruppene sine, med andre ord. Ein annan grunn er at dei vil vite om nettstadene fungerer som dei skal, og er brukarvenlege.
Det mest populære sporingsverktøyet i verda er Google Analytics. Det er førebels det mest populære verktøyet i norsk offentleg sektor òg. 124 av dei 157 nettstadene Teknologirådet undersøkte for to månader sidan, brukte Google Analytics. Kvifor er dette blitt så populært?
Me har tala med Marianne Gjessing, journalist for Digi.no. Ho har ti års røynsle med digitalisering og leiing i offentleg sektor.
– Mange har valt å bruke Google Analytics av same grunn som dei bruker andre verktøy frå Google, Facebook og Apple: Det er gratis. Sjølv om det finst mange aktørar som tilbyr liknande verktøy, er det lett å falle ned på det som er gratis og stort. Det er òg eit verktøy som blir opplevt som bra, ein får tilgang til mykje data. Ein kan sjå kvar brukarane kjem frå, og kor gamle dei er og få vite mykje om kven dei er. Dette vert opplevt som ein datarikdom, seier ho.
– Baksida med datarikdomen er at han blir delt med Google?
– Det er baksida med at det er gratis. Her må eg sitere ei russisk veninne: Gratis ost finst berre i musefella. Du betaler med dataa dine. Eller meir presist: Du betalar med data om kundane dine. Det er kanskje ikkje du som tener mest på det, kan hende er det Google som tener mest på det. Det må ein vurdere, og det har med etikk å gjere. Verksemder må vurdere om det er greitt for dei å gje data til Google slik at Google kan bli endå flinkare på å marknadsføre.
Personvern i utvikling
I 2012 godkjende Datatilsynet bruken av Google Analytics så lenge delar av IP-adressene vart maskerte før informasjonen vart lagra på serverane til Google.
Mykje har skjedd sidan då. I 2013 varsla Edward Snowden om storstilt amerikansk overvaking av både eigne og utanlandske borgarar, deriblant europeiske statsleiarar. I 2018 fekk me personvernforordninga til EU (GDPR), som Bjørn Erik Thon, direktør for Datatilsynet fram til januar i år, har kalla «vår veldig kjære personvernforordning». Den har styrkt personvernet i Europa og er ein sentral del av personvernet i Noreg.
GDPR har strenge reglar for overføring av personopplysningar, og det er ikkje lov å overføre personopplysningar til land utanfor EU med mindre mottakarlandet har tilsvarande vern av opplysningane.
Schrems II-dommen
Bruk av Google Analytics og mange andre sporingsverktøy er avhengig av at data kan flyte fritt til USA. Frå 2016 til 2020 har kommersiell utveksling av personopplysningar mellom EU og USA vore regulert av den såkalla Privacy Shield-avtalen. I 2020 vart avtalen kjend ugyldig av EU-domstolen etter søksmål frå den austerrikske personvernsaktivisten Max Schrems. Avtalen vart kjend ugyldig fordi amerikansk lovgiving gjev etterretnings- og overvakingsstyringsmakter vide fullmakter til å hente personopplysningar frå amerikanske selskap, til dømes Google.
Schrems II-dommen, som han vert kalla, gjer det derfor ulovleg å overføre personopplysningar til USA med mindre fleire vilkår blir oppfylte. Dommen har råka bruken av Google Analytics i EU. Datatilsyna i både Austerrike og Frankrike har kome fram til at bruken av Google Analytics bryt med reglane om trygg overføring til land utanfor EU.
Ei formulering frå det franske datatilsynet får fram kjernen i saka: «Sjølv om Google har innført ytterlegare tiltak for å regulere dataoverføring knytt til Google Analytics-funksjonaliteten, er ikkje desse tilstrekkelege for å hindre at USAs etterretningstenester får tilgang til dataa.»
Ulovleg i Noreg?
Hugs at 124 av dei 157 offentlege nettstadene som Teknologirådet undersøkte for to månader sidan, brukte Google Analytics. Er Noreg bunden av GDPR på like linje med EU-land? Me spør personvernekspert Hanne Pernille Gulbrandsen om forholdet mellom GDPR og norsk lovgiving.
– Det skal i prinsippet vere likt. Fordi me er ein del av EØS, er Noreg forplikta til å innføre det ein kallar indre marknadsrettsakter. GDPR er ei indre marknadsrettsakt og innført i norsk rett. Ettersom det er ei forordning, betyr det at me må implementere ho etter ordlyden, ord for ord. Så den norske personopplysningslova har heile GDPR som eit vedlegg.
– Betyr det at bruken av Google Analytics blant norske offentlege nettstader har vore i strid med lova?
– Det er vanskeleg å seie sikkert. Det kjem an på korleis tenesta er sett opp. Dessutan er det fleire regelverk som gjer seg gjeldande, til dømes «cookieregelverket» i den norske ekomlova, som ikkje er implementert heilt likt som i EU. Ut frå rapporten frå Teknologirådet kan det sjå ut til at bruken av Google Analytics strir med GDPR-reglane om overføring til tredjeland.
Klagesaker
Etter Schrems II-dommen har aktivistorganisasjonen til Max Schrems, NOYB (None Of Your Business), starta 101 klagesaker mot nettstader i heile EØS. Dei franske og austerrikske tilsyna har kome med vurderingar i to saker, men ein ventar framleis på utfallet av dei andre. Samstundes er det no forhandlingar mellom EU-kommisjonen og amerikanske styresmakter for å prøve å få på plass ei ny ordning som sikrar trygg utveksling av personopplysningar.
I Noreg vurderer Datatilsynet ei klagesak mot Telenor om bruken av Google Analytics. Tobias Judin, sjef for internasjonal seksjon i Datatilsynet, seier at dei nærmar seg ei avgjerd.
– Me nærmar oss ei avgjerd i den første vurderinga, og me reknar med å kunne gå ut med noko om nokre veker.
Førebels veit ein ikkje kor strenge dei komande vurderingane vil vere, men ut frå avgjerdene til franskmennene og austerrikarane kan ein vente ei innstramming.
– I praksis er det vanskeleg å sjå korleis nettstader lovleg kan bruke Google Analytics ut frå dei to avgjerdene, med mindre dei har kome på noko veldig smart som omgår Googles innsamling og overføring av data, sa Judin til Digi.no.
Reaksjonar
Datatilsynet har sett svært alvorleg på funna til Teknologirådet.
– Me synest det er svært urovekkjande. For oss er dette vel så mykje eit spørsmål om personvern som om ytringsfridom. Me meiner at alle må få lov til å tileigne seg informasjon frå det offentlege utan at dialogen dei har med det offentlege, skal brukast av tredjepartsaktørar til andre ting. Me meiner at det i verste fall kan føre til at folk legg band på seg og er tilbakehaldne med å innhente viktig informasjon frå det offentlege dersom dei veit at dei blir spora av store internasjonale kommersielle aktørar, seier Judin.
Tore Tennøe meiner at sporinga er problematisk, og at offentleg sektor har eit særskilt ansvar for å verne om personopplysningar.
– Teknologirådet har i fleire år vore kritisk til offentleg sektors bruk av gratisverktøy frå teknologigigantane. No er det på tide at det offentlege sluttar å betale med data om oss, sa han på personverndagen.
– Kva reaksjonar skapte rapporten til Teknologirådet då han kom ut i fjor?
– Det vart diskutert på Stortinget i samband med stortingsmeldinga om data som ressurs. Ein ser at ei handfull verksemder har lagt om i mellomtida, til dømes Forbrukartilsynet, Medietilsynet og Innovasjon Noreg. Så ei viss merksemd har det fått, men det går tregare enn me hadde trudd. Det har fått ny fart no med vedtaka mot Google Analytics i Austerrike og Frankrike. Men me har heller ikkje sett at personvernerklæringar har blitt betre enn før. Det er òg noko me peikar på i rapporten, at dei er nesten umoglege å forstå, seier Tennøe.
– Kva meiner du?
– Dei har gjort det vanskeleg å forstå at ein blir spora, og dei har gjort det vanskeleg å velje vekk sporinga. Ein får til dømes beskjed om at ein sjølv må gå inn og installere eit eige tillegg i nettlesaren, eller at ein må gå vidare å sjekke personvernerklæringa til Google, som er notorisk vanskeleg å forstå. Eg trur ikkje denne tilsløringa er noko dei har gjort bevisst, men dei har arva praksisen til dei store selskapa. Deira strategi er at folk skal vite minst mogleg om kor mykje som blir samla inn.
Alternativ
Google Analytics er ikkje det einaste sporingsverktøyet offentlege nettstader tek i bruk. 15 av 157 nettstader brukte Facebook Pixel, som òg samlar data til målretta reklame. 21 av 157 gjorde videoopptak av nettsidebesøket, og over 50 brukte Google-produkta Remarketing Audiences og DoubleClick. Men ettersom Google Analytics er mest utbreidd, er det der utfordringa ligg med å finne alternativ.
Tennøe seier at det finst alternativ, og at det er ei politisk oppgåve å bruke den offentlege innkjøpsmakta til å stimulere ein marknad for tenester som tek vare på personvernet. Dersom det offentlege held fram med å bruke monopolistane som tilbyr gratistenester, vil dei undergrave sjansane for betre løysingar.
Marianne Gjessig peiker òg på at det finst alternative sporingsverktøy, men at kva alternativ som vil fungere, kjem an på behova verksemdene har.
– Eg har høyrt med folk som skryter av enkelte verktøy og synest dei er gode. Eg trur dei aller fleste, iallfall i offentleg sektor, ikkje har så spesifikke behov at dei ikkje kan klare seg med mykje lettare verktøy.
Ho peiker på at Datatilsynet har klart seg bra med ei minimalistisk løysing der lite data vert samla inn.
Ei betre verna framtid?
Korleis enda me med all denne sporinga? Tennøe meiner at det delvis kjem av at avgjerdene om å bruke Google Analytics og liknande verktøy ikkje har blitt tekne av verksemdene som heilskap, men berre av delar av verksemdene, til dømes kommunikasjons- eller IT-avdelingar.
– Det har vore ein mangel på meir sentrale retningsliner, og det har gjort at det ikkje har blitt registrert og ikkje tenkt gjennom, seier Tennøe.
– Kvifor har ikkje Datatilsynet lagt merke til problemet tidlegare? Er det ikkje deira ansvar å halde auge med slikt?
– Det fell til dels innanfor vårt og til dels innanfor ansvarsområdet til Nasjonal kommunikasjonsstyresmakt (Nkom). Den delinga er komplisert, og me skulle ynskje at det ikkje var avgrensingar på vår kompetanse på dette feltet. Det er òg eit problem at Datatilsynet ikkje har ressursar nok til å vere overalt heile tida. Me skulle gjerne vore fleire stader og fått med oss fleire ting, men med få menneske og lite ressursar er det dessverre avgrensa kor mykje me får gjort, seier Judin frå Datatilsynet.
Sjølv om funna til Teknologirådet svekkjer tilliten til offentleg handtering av personopplysningar, er Tennøe optimistisk:
– Eg trur me vil kome til å sjå tilbake på 2010-talet som ein periode då me var altfor slepphendte med å la store selskap forsyne seg av data om oss og bruke dei til å påverke oss.
– Det har vore ein mangel på meir sentrale retningsliner.
Tore Tennøe, direktør i Teknologirådet
– For oss er dette vel så mykje eit spørsmål om personvern som ytringsfridom.
Tobias Judin, sjef for internasjonal seksjon i Datatilsynet
Fleire artiklar
Teikning: May Linn Clement
Krigen er ei ufatteleg ulukke for Ukraina. Men også for Russland er det som skjer, ein katastrofe.
Tusen dagar med russisk katastrofe
KrF-leiar Dag Inge Ulstein får ikkje Stortinget med seg på å endre retningslinjene for kjønnsundervisning i skulen.
Thomas Fure / NTB
Utfordrar kjønnsundervisninga
Norske skulebøker kan gjere elevar usikre på kva kjønn dei har, meiner KrF-leiar Dag Inge Ulstein.
Jens Stoltenberg gjekk av som generalsekretær i Nato 1. oktober. No skal han leie styringsgruppa for Bilderberg-møta.
Foto: Thomas Fure / NTB
Jens Stoltenberg blir partyfiksar for Bilderberg-møta, ein institusjon meir i utakt med samtida enn nokon gong.
Den rumenske forfattaren Mircea Cartarescu har skrive både skjønnlitteratur, lyrikk og litterære essay.
Foto: Solum Bokvennen
Mircea Cărtărescu kastar eit fortrolla lys over barndommen i Melankolien
Taiwanarar feirar nasjonaldagen 10. oktober framfor presidentbygget i Taipei.
Foto: Chiang Ying-ying / AP / NTB
Illusjonen om «eitt Kina»
Kina gjer krav på Taiwan, og Noreg anerkjenner ikkje Taiwan som sjølvstendig stat. Men kor sterkt står argumenta for at Taiwan er ein del av Kina?