nrk.no

Personvern: – Europa er den regulatoriske supermakten i verden

Kategorier: Samfunn & Sikkerhet

Bruce Schneier på Paranoia-konferansen i Oslo. Foto: Martin Gundersen


Det store personverneksperimentet er nå i gang, sier sikkerhetsekspert Bruce Schneier. Han mener Europa kan tvinge hele verden til å ta bedre vare på vår private informasjon.

– Europas nye personvernlover er et angrep på overvåkningskapitalisme, sier Bruce Schneier, som i 2015 skrev boken Data and Goliath, en dyster utgreiing om hvor lite kontroll vi har over vårt eget privatliv.

Der kommer det blant annet frem hvor vanlig det er at amerikanske selskaper deler informasjon med myndighetene, ofte som et resultat av hemmelige rettsordre. I boken tar han til orde for et Magna Carta, et dokument som sikrer vanlige borgere rettigheter til å beskytte eget privatliv.

Med de nye personvernlovene (GDPR) som ble innført i EU 25. mai, og innføres 20. juli i Norge, har Schneier langt på vei fått ønsket sitt oppfylt.

– Europa er den regulatoriske supermakten i verden og de er ikke redde for å håndheve de nye lovene. Det vil være bra for alle, ikke bare Europa, sier Schneier, som var på norgesbesøk i anledning sikkerhetskonferansen Paranoia.

Bruce Schneier anses som en betydelig skikkelse innen IT-sikkerhet og personvern. I tillegg til å ha gitt ut 15 bøker, er han teknisk sjef for sikkerhetsselskapet IBM Resilient og styremedlem i den digitale rettighetsorganisasjonen Electronic Frontier Foundation (EFF).

Hva nå?

I mai ble GDPR en del av europeisk lov, men slaget vil stå om Europa klarer å tvinge også amerikanske selskaper til å følge det ambisiøse lovverket.

Konfliktens kjerne er at de mest populære digitale tjenestene i dag er amerikanske, og at de heller vil følge de langt svakere personvernreglene i USA.

Med GDPR kan europeiske datatilsyn gi bøter på opptil – avhengig av hva som er størst – fire prosent av en bedrifts årlige omsetning eller 20 millioner euro.

Om Europa klarer å håndheve regelverket og eventuelt gi ut store bøtene kan det få globale konsekvenser.

Bekymringen er at GDPR uthules bit for bit i rettsalen, og at den til slutt blir tannløst. Blant annet scorer nettstedet Politico Facebook og Google som de med mest kunnskap og innflytelse over regelverket.

Det er dette Schneier sikter til når han beskriver GDPR som det viktigste personverneksperimentet i verden.

Personvernaktivist Max Schrems Foto: Heinz-Peter Bader/Reuters

De første søksmålene som følge av GDPR ble sendt allerede samme dag som lovverket trådde i kraft. Max Schrems, en østerriksk advokat og personvernforkjemper, sier til CNN:
– Vi ser etter store selskap som bevisst bryter loven, som på en måte prøver å ignorere den, og komme unna med det.

Vinner Schrems alle de fire søksmålene kan det gi Facebook og Google en bot på 7,6 milliarder euro.

Dette er ifølge Schneier personvernkampene du bør følge med på:

  • Retten til å bestemme hvem du deler din personlige informasjon med, og hva det brukes til
  • Retten til å vite hva et selskap vet om deg
  • Retten til å korrigere opplysninger om deg som er feil
  • Retten til å slette informasjon om deg selv
  • At dine data lagres sikkert

I USA er det svakere personvernlover

I Europa har det lenge vært forholdsvis strenge lover for personvern, men USA har til i dag svært svake lover for å verne om folks privatliv.

For eksempel eier man i USA som hovedregel ikke sin egen private informasjon, noe Schneier beskriver som «sykt». Bedrifter bøtelegges heller ikke første gangen personlige data kommer på avveie, noe som kan skje i Europa.

Demokratene i USA øyner på sikt å få vedtatt flere rettigheter for personvern, men disse vil være langt mildere enn hva som ligger i det europeiske lovverket. Det er også høyst usikkert om det kommer til å skje noe på denne fronten.

Demokratene, som tradisjonelt er mer positive til forbrukerrettigheter, mangler tross alt flertall i Senatet og Kongressen, og de har ikke presidentskapet.

– Personvern blir knapt diskutert i USA, sier Schneier, men nevner at det finnes et initiativ som kan ha påvirkning i USA.

I California ble det nylig vedtatt et nytt lovverk for personvern som er det strengeste i USA noensinne, men det gir langt færre rettigheter til vanlige borgere enn GDPR. Schneier er også bekymret for at regelverket vil svekkes ytterligere innen det trer i kraft om to år.

Her har vi snakket mye og lenge om det store bildet, hva kan du og jeg gjøre på et personlig plan?
– Du kan slå av telefonen, men ærlig talt: Det er mange dumme råd der ute, som ikke å ha bankkort eller epostadresse.

Men, det må jo være noe fornuftig jeg kan gjøre?
– Nei, egentlig lite. Det finnes noe som hjelper litt, men dette er systemiske problemer. Det eneste som virkelig hjelper er reguleringer som GDPR.

Opptatt av personvern? Dette er noe av det vi har skrevet om det tidligere:

23 kommentarer

  1. Problemet er at «alle» nettsteder vil ha info, og legger cookies. Så opplyser de om personvern, men du får faktisk ikke brukt nettsiden dersom du velger bort informasjonsdeling. Dette gjelder også store norske, der «valg» er låst og ikke kan overstyres.

    Svar på denne kommentaren

    • Det er ikke vanlig å ha et alternativ for at du ikke ønsker å bli cookie-tracka. Det er fordi det er nok å kreve at dersom du ikke ønsker det, må du skru av cookie-tracking i selve nettleseren din.

      Fra datatilsynet.no:
      «Dersom informasjonskravet (om cookies) er oppfylt, er samtykket du gjev gjennom ei innstilling i nettlesaren din tilstrekkeleg. I nettlesaren kan du godta bruk av informasjonskapslar, eller ikke godta slik bruk. Dersom du ikkje ønskjer å samtykke til at cookies blir lagra, kan du skru av funksjonen i nettlesaren din.

      Dette gjeld også der nettlesaren allereie er førehandsinnstilt for aksept. Lova krev altså ikkje at brukaren av nettstaden treng å gjere noko aktivt for å godta bruk av cookies, så lenge det finst informasjon tilgjengeleg om korleis informasjonskapslane blir brukt.»

    • keal (svar til Rolf)

      Så lenge det bare er snakk om cookies kan du redusere sporingen betydelig ved å slette cookies regelmessig. Mange nettlesere kan også stilles til å automatisk slette alle cookies når du går ut av nettleseren, men da mister du muligheten for å bevare de få som du ønsker å beholde – nettsteder du stoler på etc.

      Et nettsted kan identifisere/spore deg på annen måte, f.eks. på IP-adresse – det er en av grunnene til å ikke ha fast IP-adresse! Men selv da kan det godt hende at internett-leverandøren din i praksis lar deg få beholde den samme i dager og uker og måneder. Uansett kan IPen du bruker identifisere internett-levandør og grovt stedsbestemme deg.

      Men folk vil jo ha ekstra-service overalt, og alle de tilbud de kan få, og er mer enn villige til å logge inn med både navn og passord og epost og whathaveyou. Da gjør det lite fra eller til om nettstedet bruker cookies – det kan være for f.eks å forhånds-innfylle brukernavn-feltet, men personvernet har du gitt absolutt avkall på, med eller uten cookies.

      Og folk vil være moderne og digitale overalt: Om du ikke betaler i butikken eller på bussen med en app på din høyst idenfiserende mobil, så bruker du vel et høyst personlig plastkort til det. Selv om du betaler kontant bruker du kanskje det plastkort for å få 1% «medlemsrabatt» – men kassalappen knyttes opp mot medlemsnummeret ditt, slik at du på epost kan få tilsendt spesialtilbud på de varer du regelmessig kjøper i butikkjeden, eller noe slikt. Hvordan skulle Æ få ekstra rabatt på de ti varene jeg kjøper mest av, hvis ikke butikkene holder oversikt over alt Æ kjøper?

      Du klarer aldri å bli helt anonym, men du kan redusere kartleggingen betydelig. Men du må ofre en del for det: Sosiale medier, rabatter eller spesialtibud, automatiserte funksjoner og tilgang på ekstra informasjon, og du må fomle med kontanter til stadighet.

      Så vi velger å gi avkall på personvernet for å oppnå en rekke fordeler. Jeg velger å holde personvernet relativt høyt, og takker derfor nei til en del tilbud og mekanismer, men må finne meg i litt hoderisting og latter på grunn av det. Vi skulle gjerne hatt personvern, men facebook og å kunne betale med mobilen trumfer personvernet.

  2. Arne Tafjord

    GDPR er nok heller en trussel mot personvernet og rettstaten generelt. Når det gjelder personvern blir nå alle «tvunget» til å skrive under på at de godtar ditt og datt av «personvernsovertredelser». Ellers får de ikke tjenesten sin utført. Og verstingen er selvfølgelig myndighetene. Det andre er at bøtene er så sinnsykt store at de vil uthule rettssystemet. Ta f.eks hvis et land/stat forbryter seg mot en mann… (Noe som skjer 100% av tiden…). Foruten det prøver EU å hevde overnasjonal rett utenfor sine juridiske grenser. Med et slikt system er allerede EU teknisk sett konkurs, eller rettstaten svekket, og jeg velger å tro det siste. GDPR kommer i praksis bare til å gjelde utvalgte.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Arne Tafjord)

      Hei,

      jeg ser ikke helt hvor du vil med argumentene dine. Som privatperson får du flere og sterke rettigheter og vil i liten grad oppleve noen endring. GDPR er heller ikke veldig forskjellig fra de norske personvernlovene de erstattet.

    • Jeg antar at Arne Tafjord mener at leveradører av tjenester og varer vil tvinge oss til å aktivt si fra oss all GDPR-beskyttelse, gi vårt samtykke, som betingelse for å levere noe som helst til oss kunder. Hvis du alltid må gi fra deg alle former for beskyttelse for å få tilgang til noe du er avhengig av, da kunne du kanskje vært bedre tjent med en dårligere beskyttelse som du ikke samtykker i at blir brutt.

      Jeg har mer enn én gang hørt slik argumentasjon. Den holder ikke helt vann, så lenge resten av personvern-lovgivingen respekteres. F.eks. skal den som samler info ha en saklig begrunnelse for alle de opplysniger som bevares, begrunnet i hvilken virksomhet som drives: En nettbutikk for klær har saklig grunn for å spørre om kjønn og kroppshøyde; en musikk-strømme-tjeneste har det neppe.

      Selv om jeg ikke stiller meg bak Arne Tafjord her, peker han likevel på et interessant prinsipielt spørsmål: Dersom forbud og reguleringer går så langt at det ikke er noen mulighet for at de vil bli respektert og håndhevet, da kan de virke mot sin hensikt – det klassiske eksempelet er naturligvis forbudstiden tidlig på 1900-tallet. (Vi ser en del debattanter hevde tilsvarende i norsk narkotika-debatt.)

      Men på ett felt er jeg (delvis) enig med Tafjord: Myndighetene, og spesielt politiet, er langt mer ivrige på å samle informasjon om oss bare for å ha det, «for sikkerhets skyld», og gjerne i strid med lovverket. Det har vært flere saker de siste årene der det er avslørt at DNA-analyser som skulle vært destruert for lenge siden har blitt beholdt.

      Det har blitt mer vanlig kjent at politiet både har mekansimene og lovverket bak seg når de overvåker enhver bevegelse mobilen din foretar seg i landskapet: Det skal ikke være totalt uinteressant for dem, men da bruker det selvsagt ikke ressurser på det. Teskelen er uhyre lav: Om du er en ungdom som ikke kommer hjem til avtalt tid, og foreldrene dine ringer bekymret til politiet, er det nok til at politiet benytter sin rett til å følge med på hvilke gater du går og hvilke hus du stopper ved/i. Og da snakker vi bare om den overvåkingen de har eksplisitt lov til å bedrive.

  3. Ari Segebarth-Bjerga

    Jeg har allerede opplevd at en del amerikanske nettsider, ofte lokale nettaviser, rett og slett bare blokkerer alle europeiske IP-adresser slik at de ikke trenger å følge GDPR. De større amerikanske selskapene tørr nok ikke gi fra seg hele det europeiske markedet.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Ari Segebarth-Bjerga)

      Da jeg undersøkte hvor mange nettsider som faktisk nekter europeere adgang kom jeg fram til at det ikke var så mange.

      Jeg tror vi i veldig liten grad vil oppleve at tjenester nekter oss adgang grunnet GDPR.

  4. Tusenvis av europeere som er på reise med kjøretøyene sine har fått store problemer med GDPR i USA. Amerikanske forsikringsselskaper nekter nå å forsikre utenlandske kjøretøyer, som dermed ikke får slippe ut av havner og flyplasser. Sideeffektene dukker nok opp mange steder.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Thor Hammer)

      Dette problemet kjenner jeg ikke til. Kan du lenke til en nyhetskilde eller nå meg på epost om dette er noe du har opplevd selv?

    • ER det virkelig «tusenvis» av eurpoeere som – etter inføring av GDPR – har tatt med seg kjøretøyene sine til USA?

      Og for de som eventuelt har gjort det: Hvorfor har det oppstått problmener med forsikring av dem i USA – er ikke disse kjøretøyene forsikret i hjemlandet?

      Dersom det er snakk om permanent flytting til USA vil jo det forklare behovet for forsikring. Men for det første: Det å importere en bruktbil til USA er litt stikk imot hva de fleste bilentusiaster velger å gjøre. For det andre: Om du og bilen flytter permanent til USA kommer neppe GDPR inn i det hele tatt.

      Med andre ord: Jeg stiller meg «noe skeptisk» til det du hevder.

  5. Hva med kommuner, som etter hvert har lagret svært mye info om oss ?
    Hvorfor er ikke det problematisert?
    Retten til å slette opplysninger fra det offentlige er vel nærmest ikke-eksisterende og i evt søknadsprosess og innsynskrev så oppnår man vel uansett at innsyn/slettekravet direkte eller indirekte eksponerer det man nettopp ønsket å slette. For innsyn/slette kravet lagres jo igjen.

    Svar på denne kommentaren

  6. Gundersen :
    Forsøk på sletting avvises i all hovedsak i det offentlige, selv mtp søknader om det ene eller andre som ikke ble innvilget for mange år siden, med ingen relevans i dag.
    Alt lagres og så og si ingenting slettes.
    Man kan velge å ikke være kunde lenger i et selskap og nå kreve sletting eller portabilitet. Det kan man ikke i en kommune. I noen tilfeller er det svært urimelig.
    Sperrefristen mtp innsyn er fra femti til åtti /hundre år. Det betyr at man i arkiv kan kreve og få innsyn i detaljerte personopplysninger ang personer som ennå lever, akkurat har gått bort eller er noens avdøde foreldre.
    I søk i arkiv fikk jeg tilgang på nettopp dette, mtp søknader og referat fra sosialstyret i et par kommuner.

    Svar på denne kommentaren

    • keal (svar til Morten)

      Jeg ble døpt i DNK som spebarn. Da jeg var 17 meldte jeg meg ut, og har vært religionsfri siden.

      Jeg ba om å bli totalt slettet fra registrene til DNK; jeg ønsket ikke at de skulle ha mitt navn i sine arkiver; jeg har ingenting mer med DNK å gjøre enn med noen annen kirke. De nektet, og hevdet at de på religiøst grunnlag hadde krav på å få beholde mitt navn i arkivene: De betrakter meg fortsatt som døpt, som «et av Guds barn», og dersom jeg en dag «vender tilbake til Gud» skal jeg ikke døpes på nytt; det ville være å vise mistillit til Herren, ble jeg fortalt. Så for å hindre meg i å bli døpt for annen gang, har de rett til å bevare personopplysninger om meg, slik at deres Gud ikke blir vist mistillit…

      Det er noen år siden de nektet å slette meg fra registrene, og det er en viss mulighet for at de har i dag har større tiltro til at dere Gud vil se gjennom fingrene med en gjendåp. (For meg vil uansett ikke det problemet oppstå!) Jeg er nok ikke registrert som medlem i DNK, men jeg blir ikke det minste forbauset om DNK fortsatt har meg registrert som døpt.

      Jeg nevner dette for å illustrere hva slags begunnelser religiøse krefter kan benytte og få aksept for (naturligvis under forutsetning av at det er den rette religionen). At de har meg registrert som døpt vil neppe skade meg (jeg er ikke av dem som ligger søvnløs i frykt for at styringen av Norge tas over av et ikke-kristent teokrati!), men jeg blir provosert av at et religiøst samfunn som jeg ikke tilhører på religiøst grunnlag skal ha anledning til å sette norsk lov til side og oppbevare personopplysninger om meg, mot min vilje.

    • Martin Gundersen (NRK) (svar til Morten)

      Send meg gjerne en epost om dette så kan vi diskutere det nærmere der. Epost ligger i bio.

  7. Legg merket til at Bruce Schneier er teknisk sjef for IBM Resilient, og at dette firmaets hjemmeside ikke lar deg bruke hjemmesiden uten at du aksepterer Cookies, samt logger all bruken av hjemmesiden deres. Hvis han er en forkjemper for personvern, og sjef for firmaet fremstår han som useriøs.

    Electronic Frontier Foundation (EFF), har dog hverken Cookies eller Google Analytics 🙂

    Datatilsynet eller kommuner har sikkert ikke fulgt med i timen uansett. Offentliggjøring betyr ikke overlevering av data internasjonalt.

    For overvåking er en tilstand som skaper aggressjon. De som hater vil hate mer. De som ønsker å være anonyme, vil bli forbannet.

    De som ikke ønsker å være anonyme kan heller flytte til landsbygden.

    Terrorisme er nok i stor grad korrelert med overvåking.
    Det samme gjelder våpen. Har man mange, blir flere blir drept.
    Etterhvert vil man forstå at antall masseskytinger etc. fører til at USA fremstår som den 3’dje verden fremfor Kina eller verden forøvrig når det gjelder antall drepte i massakre per kapita.

    EU bør ha et helt tydelig budskap. GDPR bør håndheves uavhengig hva land fra den 3’dje verden burde mene.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Hans)

      Jeg viser til våre sider for personvern som forklarer hvilke systemer vi bruker for analyse.

      «Av analysesystemer bruker vi løsninger fra Google Analytics, Chartbeat og Comscore.

      Ingen av disse systemene er satt opp til å spore din IP-adresse.»

      Dere kan lese hele personvern-teksten her.

    • Hans (svar til Hans)

      En ting er hva NRK bruker Google Analytics til, men det er ganske naivt å tro at dataene Google samler inn via nrk.no er hold isolert fra data som Google samler inn via Google Analytics på andre nettsteder og tjenester og og brukes for å lage svært detaljerte profiler på alle brukere. Det er også litt søkt å avskrive kritikk basert på at dere ikke samler inn IP-adresser, da det finnes mange andre metoder for å identifisere brukere på.

    • Martin Gundersen (NRK) (svar til Hans)

      NRK og Google har en avtale om bruk av Google Analtyics. Den tar blant annet opp at Google ikke kan benytte dataene selv eller til andre formål.

      Du har helt rett i at det finnes andre metoder å gjenkjenne brukere. Blant annet med device fingerprinting. Google Analytics bruker meg bekjent ikke fingerprinting og det ville vært kontraktbrudd om de utnyttet datene på andre måter enn NRK er klar over.

      Jeg håper dette svarte på noen av bekymringene dine. Du kan alltids blokkere cookies og andre trackere ved å benytte EFFs privacy badger.

  8. Audun Nilsen

    Vi trénger ikke manntall, men vi gjør det fordi det er praktisk. Problemene oppstår, først, når man gjør det til en greie, som når Securitas-folk henger seg opp i enkeltindivider, eller når det blir en uting, som i psykiatrí og Barnevern, hvor de sier rett ut at de ikke vil ha oversyn, og tilogmed påstår at det er ulovlig.

    Svar på denne kommentaren

Legg igjen en kommentar til Morten Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.