nrk.no

Britisk datatilsyn starter undersøkelser etter NRK-avsløring

Kategori: Samfunn

Forretningsadressen til det britiske selskapet Tamoco. Foto: Johan Bull/NRK

For å undersøke selskapet som solgte NRK data om nordmenns bevegelser, trengte Datatilsynet hjelp fra britiske kolleger. Det får de nå.

I starten av mai fortalte NRK historien om Stavanger-mannen Karl Bjarne Bernhardsen. NRK kunne spore hans bevegelser i over 200 dager.

Det var mulig å gjøre fordi NRK kjøpte informasjon om bevegelser til 140.000 mobiler og nettbrett i 2019. NRK kjøpte dataene for 35.000 kroner fra det London-baserte selskapet Tamoco.

Datatilsynet reagerte tidlig på avsløringen, men siden selskapet er basert i England må det norske datatilsynet samarbeide med sine britiske kolleger om en eventuell granskning.

– Vi er forberedt på å bruke de ressursene som trengs. Men det vil nok kreve mye mer av det britiske datatilsynet, om de velger å samarbeide med oss i denne saken, sa seksjonssjef Tobias Judin i Datatilsynet, da det norske tilsynet startet sine egne undersøkelser.

Datatilsynets eget arbeid har nå kommet et steg videre.

– Vi er i kontakt med det britiske datatilsynet, som har informert oss at de vil gjøre undersøkelser, skriver Judin, i en epost til NRK.

En mann står på et fortau foran et plankegjerde i Oslo Sentrum. Husene i bakgrunnen er gule.
Tobias Judin er sjef for internasjonal seksjon i Datatilsynet. Foto: Martin Gundersen

Judin oppgir at personvernloven som ble vedtatt i 2018, ofte kalt GDPR, har gjort samarbeid mellom landene mye bedre.

– Vi er glade for at vi har et godt samarbeid med det britiske datatilsynet. Det viser hvordan landskapet er endret etter GDPR med mer samarbeid mellom tilsynene. Nå er vi mer et lag som står sammen, kommuniserer, og spør hverandre om hjelp, sier Judin.

Tirsdag kveld opplyser det britiske datatilsynet gjennom en pressetalsperson at: «Vi er klar over innmeldte bekymringer angående Tamoco og vi vil gjøre undersøkelser». Tilsynet har ikke ønsket å svare nærmere på hva disse undersøkelsene vil innebære.

Til Danmarks Radio (DR) sier dansk datatilsyn at de vil undersøke om personopplysninger om deres borgere er samlet inn, og om det har skjedd på lovlig vis.

Tamoco oppgir til NRK at de vil samarbeide med norsk og britisk datatilsyn.

– Vi har startet vår egen interne granskning av dataene vi er levert og vi vil føye oss etter alle eksterne undersøkelser fra norsk eller britisk datatilsyn. Vi har også vært veldig åpne med media om hva vi gjør, sier Tamoco, gjennom en talsperson.

Informerte EUs personvernråd

Den 12. mai informerte Datatilsynet også EUs personvernråd om NRKs artikler. Rådet spiller en viktig rolle ved å vedta veiledninger og uttalelser som medlemslandenes tilsyn kan støtte seg på.

– Saken har fått massiv oppmerksomhet i Norge, til og med på politisk nivå. Det norske datatilsynet har fått en rekke pressehenvendelser, noen også delvis kritiske til tilsynenes oppfattede mangel på handling innenfor området databeskyttelse, skriver det norske datatilsynet, i en epost til rådets sekretariat.

I forrige uke sa digitaliseringsminister Linda Hofstad Helleland under Stortingets spørretime at hun ville følge opp arbeidet med mobilsporing på ministernivå i EU.

15 kommentarer

  1. Lasse Stang

    Datatilsynet har ikke oppegående funksjon hva gjelder henvendelser fra befolkningen forøvrig i disse tider. Der når man ikke frem på ordinært vis lenger, så dårlig hjelp å få rett og slett. Det er firmaer som selger sine data og tjenester til kunder som ønsker økonomiske innsyn i folks private domene. Slik som man bestiller en enkel vare til noe hundre lapper blir man avkrevd sitt fulle personnummer. Det blir man ikke opplyst om ved bestillinger på nett at ved bestilling blir man «kredittvurdert». Det kommer i ettertid grunnet at loven krever en tilbakemelding på det. Det er grovt overtramp å ta seg slik til rette overfor intetanende kunder. På dette området virker det som at Datatilsynet og myndighetene aksepterer en slik fremferd. Er det nok en dobbeltmoral eller kvasimoral som regjerer og ikke en konskvent linje som skal gjelde ?!

    Svar på denne kommentaren

    • bent ole fosse (svar til Lasse Stang)

      Angående det å legge igjen personnummer, så er dette ofte i forbindelse med Klarna Checkout og betaling via faktura.. Da er det jo greit med en kredittsjekk. Betaler en via vipps eller annen form for direktebetaling skal en ikke legge igjen personnummer. Da får en heller handle et annet sted

    • For å utdype dette med personnummer, kredittsjekk og Klarna: Dette gjelder stadig flere nettbutikker de siste årene og mange setter standard checkout til Klarna. Jeg opplever at mange nettbutikker gjør det direkte vanskelig å finne direktebetalingsvalget. Planen til nettbutikken og Klarna er selvfølgelig at flest mulig skal velge faktura eller delbetaling slik at de kan tjene penger på renter/gebyrer/salær.

      Så nei det er ikke ulovlig men bare en måte å lure forbrukerne inn i gebyrverdenen til Klarna.

    • Ca halvparten av trafikken til f eks vår server er kryptert med VPN eller annet. Dvs at vi ikke vet hvem som logger på hos oss. Det samme problemet har f eks Altinn.no, de vil gjerne koble IP-adressen til personnummer. I stedet logger titusenvis på tilsynelatende fra «Praha» eller «St Petersburg» eller «Paris» så kvaliteten på overvåkingen blir ødelagt. Søkes det i loggen på meg, vil det dukke opp et trettitalls ulike IP’er. Man kan skille ut de falske ved å bruke DPI, men det krever datakraft.

      Myndighetene håper at bruken av VPN ikke øker, da sporing kan bli helt umulig til slutt.

    • Paal: «Myndighetene håper at bruken av VPN ikke øker, da sporing kan bli helt umulig til slutt.»

      Tilsvarende:

      Myndighetene stimulerer absolutt ikke til kryptering av epost. Egentlig er det helt trivielt å sette opp, men det blir så å si aldri tatt med noen referanse til det i veiledninger for å beskytte privat informasjon.

      For en del år siden var det et antall tilbydere av IP-telefoni som ga kunden direkte adgang til SIP-protokollen. Da kunne brukeren bruke en SIP-klient med opsjon for å kryptere samtalen. I dag brukes fortsatt SIP, men du får ikke tilgang til den, annet enn gjennom en førkrigs-standard analog utgang. Du har fortsatt lov til å organisere ditt eget SIP-telefon-nettverk, men da må du sette opp din egen SIP-server, og vil du kunne ringe opp mobil/fast-telefoner, må du selv sørge for samtrafikken.

      For SIP-telefoni er responsen fra nett-leverandørene så unisont avvisende og absolutt at jeg nærmest tar for gitt at de (ovenfra) har fått beskjed om at de ikke skal tilby SIP-tjenester.

      Kryptert epost krever ingenting fra nettleverandøren (men du må bruke en lokal post-klient på din egen PC, ikke en nett-tjeneste). Så enkelt som det er å sette opp burde populær-fagpressen stadig vekk gjenta hvordan det gjøres, men det skjer ikke. Så jeg mistenker at hint fra oven sier at det ikke er ønskelig.

      Du kan installere epost-kryptering. Du kan sette opp et privat SIP-telenett for en intern gruppe brukere. Kriminelle kan utmerket gjerne gjøre det, for å gå under radaren. Antagelig er det en del som gjør det. Det samme nivået beskyttelse av privatlivet burde være tilgjengelig også for lovlydige.

  2. Reidar Kaarbø

    GDPR er blitt en eneste stor vits, næringene har sabotert lovens gode intensjoner ved å gjøre det håpløst umulig å reservere seg mot datainnsamling og latterlig enkelt å si «JA» til ethvert misbruk. Det skulle selvfølgelig vært omvendt, det vet Datatilsynet, det vet politikerne og det vet næringene. Her handler det altså ikke om manglende evne, det handler om manglende vilje.

    Dessverre ser det ut til at Datatilsynet har blitt fullstendig impotent her.

    Svar på denne kommentaren

  3. Starlessandbibleblack Sabbath

    Man burde vel først og fremst rette granskningen mot dem som lager et system for totalovervåkning. Her har de funnet én liten fisk som VIDEREselger dataene, men det tar jo ikke akkurat problemet ved rota?

    Svar på denne kommentaren

    • Tydeligvis ønsker ikke folk at problemet skal tas vded rota. Uansett har ikke norske myndigheter noen mulighet for å legge ned Facebook og Google, eller nekte folk å rapportere til Facebook/Google hvor de befinner seg og hva de bedriver. Og folk ville skrike opp i protest.

      Folk skriker opp om småfiskene blir fanget, også. De ønsker at elbil-appen skal kunne fortelle hvor nærmeste hurtiglader er – da er det helt nødvendig å røpe hvor du befinner deg. De ønsker å få hint om veivalg, kulturtilbud, trafikk-korker og masse annet som også betinger at posisjonen er kjent.

      Om du flikker ørlitegranne på app-utvalget, og f.eks. nekter bank-appen din å vite hvor du er, så mister du kanskje muligheten for å få vite hvor nærmeste filial er. Hvis du samtidig fortsetter å rapportere posisjonen din til Facebook slik at dine FB-venner kan se nøyaktig hvor du befinner deg, da er det en dårlig vits å bekymre seg for bank-appen.

      Og brukerne ønsker både sosiale media og karttjenester og stedsbestemt informasjon om alle slags tilbud. Sjansene for at sosiale media skal videreselge lokasjonsdata er ganske mye større enn for at banken din skal gjøre det. Skal du ha beskyttelse, er det bare å forsvinne fra sosiale media!

      Men myndighetene kan uansett spore deg, så sant du ikke har slått av mobilen fullstendig. Ikke med GPS-presisjon, men godt nok til å vite i hvilke gater rusler i bysentrum.

  4. I grunnen er det deg selv som gir bort disse opplysningene. Politiet gremmer seg over at dataene fra Tom Hagens telefon bare kan peiles over antenner/omformere, da han ikke bruker dumtelefon (av noen kalt smarttelefon).

    Jeg har en anonym telfon med et utenlandsk kontantabbonement, som jeg aldri bruker hjemme, hvis jeg ikke vil fortelle noen hvor jeg har vært (holder på grave tunnel inn til kronjuvelene)

    Svar på denne kommentaren

    • keal (svar til Per)

      Bare husk på at du ikke behøver å bruke (aktivt) den ikke-anonyme telefonen. Det er tilstrekkelig at den er påslått for at du skal kunne spores. Du må legge den igjen hjemme, eller slå den av når du forlater huset. Med en gang du slår den på for å sjekke innkommende meldinger, røper du hvor du er, selv om ruten du brukte hjemmefra vil være ukjent.

      Den anonyme telefonen din blir selvsagt sporet på samme måte. Hvis du bare slår den på kortvarig for å sjekke epost/SMS er det vanskelig å knytte sporingsdata opp mot deg. Men spores den stadig vekk til hytta di, er du ikke så anonym som du håpet. Jfr. alt det NRK-teamet kunne slutte ut fra regelmessige forflytninger, i de dataene de kjøpte billig, uten å ane noe på forhånd om eieren. GSM-sporing har dårligere nøyaktighet enn GPS/app, men det er ingen mulighet for å unngå den, når telefonen er påslått. Selv ikke om telefonen din er en tjue år gammel Nokia 3210.

  5. Kåre Matthiessen

    Hei,
    Takk for interessant artikkel!

    PS: Når skal NRK.no igjen åpne opp for kommentarfelt under sine andre artikler på NRK.no?
    NRK har nå brukt unnskyldningen i et halvt år om at Disqus har mangler mht. sikkerhet. Det finnes nok av andre løsninger, men NRK virker å ha mistet interessen i å finne en tjeneste for kommentarfeltene.

    Handler dette heller om å sensurere og stille lesernes røster og meninger (vi betaler faktisk for NRK!), ettersom NRK.no har en høyst venstreliberal og delvis kulturradikal vridning i mye av deres journalistikk – især mht. dekning av republikanere og konservative i USA, Israel, identitetspolitikk (skriver stadig om undertrykking av muslimer og homofile i Afrika etc., men ignorerer de kristnes lidelser, hvite bønder i Sør-Afrika, titusenvis av ofre fra pakistanske grooming gangs i England osv.), klimahysteri (falske og overdrevne påstander), integrering og islam, erosjon av den suverene nasjonalstaten i Vesten, manglende kritikk av Kina, endeløs «fake news» om Trump og hans familie og administrasjon (Russia-gate etc.), samtidig som NRK.no dekker over desinformasjon fra CNN og co som favoriserer demokratene og en venstrevridd politisk agenda.

    Pussig hvordan Faktisk.no virker svært lite interessert i å drive faktasjekking i «fake news» som styrker det samme venstreliberale narrativet NRK er svært opptatt av å promotere. NRK er i ferd med å bli et ekkokammer på visse områder, og ligger nå godt til venstre for Klassekampen, samtidig som kvaliteten på mye av NRKs journalistikk er overfladisk og svak, så vel som tendensiøs og ensidig. Ut fra interessefeltene og saksdekningen, er det tydelig at NRK burde være mer opptatt av kvotere inn flere sentrums- og høyreorienterte journalister for å balansere, i stedet for å kun fokusere på kvotering basert på etnisitet og minoriteter. Vet dere hva som virkelig er en «minoritet» i disse dager? Ærlige og redelige journalister, som ikke driver ren venstrevridd narrativ-drevet journalistikk.

    Kommentar?

    Svar på denne kommentaren

    • Dette har ingenting med verken NRKbeta eller artikkelen å gjøre. Den diskusjonen du vil ta opp her viser dårlig respekt for debattdisiplin og forumets funksjon.

      Når du begynner å trekke fram at «NRK.no har en høyst venstreliberal og delvis kulturradikal vridning i mye av deres journalistikk – især mht. dekning av republikanere og konservative i USA, Israel, …», «fake news», «desinformasjon fra CNN» og «vestrevridd politisk agenda», da tyder det på at at du har et sterkt ønske om fylle debattfora med så mørkeblå holdninger at de muligens ikke hører inn under det blå lenger.

      Det har jo skjedd i svært mange nett-baserte kommentarspalter. Ja, jeg tror mange media bruker Disqus sine personvernbrudd som påskudd for å holde grums borte fra debattspaltene. Det er bedre med ingen leserkommentarer enn med grumsete kommentarer. Den som vil komme til orde kan sende inn kronikker og mer fyldig begrunnede debattinnlegg som presenteres selvstendige bidrag, ikke fra redaksjonen, men presentert på redaksjonell form. Er det for grumsete vil redaksjonen avvise det. I så fall får det sikkert inn på resett og lignende nettsteder. Eller du kan etablere ditt eget nettsted.

      Frie media har friheten til å velge hva de vil publisere. Slik har det vært siden Trangvikpostens dager. Ingen papiravis tok totalt ukritisk inn alle leserbrev og inserater. Ytringsfriheten gir deg ikkke krav på å få ubegrenset bruke andres kanaler for å formidle dine egne holdnigner.

      Hadde jeg vært redaktør for et nettsted med åpning for leserkommentarer, ville jeg vært ganske skarp på å fjerne grums og off-topic innlegg. Jeg ville ikke ha tilbudt mitt nettsted som talerstol for synspunkter og holdninger på skarp kollisjonskurs med mine egne holdninger. Hadde innspillene vært saklige og begrunnede, kunne jeg nok gått med på å presentere dem, men ikke uten et svar/kommentar-innlegg der jeg ville forklare hvorfor jeg finner forkastelige de holdninger jeg tross alt lar få komme fram. Min talefrihet som redaktør ville være like store som din talefrihet som leser.

      Jeg setter pris på den begrensing NRKbeta legger på en del av sine artikler, der du for å kommentere må svare på enkle spørsmål som viser at du faktisk har lest artikkelen. Det er langt fra noen absolutt sperre mot grums, men det hever terskelen betydelig. Jeg skulle gjerne sett at denne sperren ble brukt på samtlige NRKbeta-artikler, og at andre nettfora adopterte samme idé.

Legg igjen en kommentar til Lasse Stang Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.