Ofte Stilte Spørsmål

Hva er databeskyttelse?

Personvern er en menneskerett innen den Europeiske Union. Det eksisterer en samling av administrative og formelle krav for hvordan man kan samle, prosessere og relatere data om individer. Formålet med denne beskyttelsen er å gi individer forutsetninger for å utøve sin rett til personvern. Personopplysningsloven garanterer transparens, valg og kjennskap for individer med tanke på hvordan man påvirkes og under hvilke betingelser.

Fra og med 2018 kommer en ny lov om personvern for EU, som kommer til å være lik i hele EU. Fram til 2018 gjaldt den gamle personopplysningsloven i Norge.

Hva er "oppførselskartlegging" og profilering?

Oppførselskartlegging er når man titter på hvordan en viss person, eller gruppe av personer oppfører seg. For eksempel at de ofte besøker visse undersider, behøver slå opp visse ord i en ordbok eller at de havner på nettsteder gjennom å bruke en spesiell søkemotor. Oppførselskartlegging anvendes for å forutsi hva ulike kategorier mennesker kan antas å finne interessant, vanskelig eller morsomt.

Profilering er når man anvender oppførselskartlegging for å sortere mennesker i ulike grupper. Vanligvis særbehandler man siden den kartlagte gruppen basert på deres forventede preferanser.

Både profilering og oppførselskartlegging er vanlig i reklameindustrien. Det brukes for å bestemme hvilken type reklame man får se på ulike nettsteder. For eksempel kan småbarnsforeldre eller personer som kjenner småbarnsforeldre i større utstrekning enn andre få se reklame for tåteflasker, barnevogner eller charterreiser. I økt utstrekning anvendes profilering også for å bestemme hvilket nyhetsinnhold man får se på nyhetsnettsteder. Man kan for eksempel få korte artikler om nyfødte barn om man står i en kø (og har liten tid) eller lengre artikler om nyfødte barn hvis man er på et tog (og har lengre tid).

Profilering kan også anvendes for å påvirke den politiske opinionen, for eksempel gjennom å utforme målrettet politisk informasjon eller ved å ta grep mot enkelte grupper basert på deres særskilte karakteristikker. Denne formen for politisk påvirkning kalles ofte for "nudging" og kan også anvendes for å øke aksepten i ulike grupper for visse typer avgjørelser.

Hva mener dere med at et nettsted "sladrer" til en tredjepart?

Vi bruker sladder om at noens oppførsel, lesevaner eller preferanser blir overført til andre enn de som er ansvarlige for nettstedet.

I moderne webutvikling, har det blitt vanlig for et nettsted, å ikke drives fra en lokasjon. Når du besøker nettstedet, er du ikke bare i kontakt med de som driver nettstedet, men også alle forretninger og organisasjoner som samarbeider med de som driver nettstedet. Disse kan være internett-, script-, font- og analyseverktøy- leverandører, i tillegg til en rekke andre leverandører. Hvis de som driver nettstedet overleverer informasjon om besøkende til noen tredjepart, er det en form for sladder, siden det ikke normalt er åpenbart for besøkende hvilken type informasjon som blir overlevert.

Det kan for eksempel handle om at en netthandel overdrar oppdraget å profilere besøkende till ett reklameselskap, eller at en myndighet har bygd sitt nettsted slik at man automatisk etterlater informasjon om sin oppførsel till et reklameselskap. Oftest er det reklameselskap som er tredjeparter og de minst transparente tredjeparter.

Hvilke allmenne prinsipper gjelder for GDPR?

Den allmenne data beskyttelses forordningen fra EU trer i kraft 25. mai 2018 og handler om å balansere makten mellom de som påvirker individer (vanligvis foretak og myndigheter) og individer selv. Dataskydd.net's Webbkoll er et verktøy for å finne ut av hvem som forsøker samle inn informasjon om enkeltindivider og å hjelpe med å stoppe usynlig sporing.

Lovlighet, korrekthet og åpenhet

Det skal være tydelig for enhver hva som gjelder ved behandling av personopplysninger. (5(1)(a)).

På Dataskydd.net:s Webbkoll ser vi dette som at individer skal ha en mulighet til å forstå hvilke tredjeparter de stilles i kontakt med gjennom å besøke et nettsted. Om ett reklameselskap eller noe annet selskap får enkel tilgang til personopplysninger og muligheter til å påvirke individer gjennom denne tilgangen, skal individet få vite om dette. Man skal ikke behøve en Master i webutvikling eller trenge spesielle tekniske verktøy for å forstå hvem som får mulighet til å påvirke en selv. Prinsippet om åpenhet er lett, men vil man ikke være helt transparent finnes det bestemmelser om hva man ikke for lov å la være å fortelle om i direktivets artikler 13-20.

Det innebærer også at privatpersoner skal få vite når saker går galt: om man har samlet inn informasjon om privatpersone som siden risikerer å ha lekt, bør den enkelte få vite om dette. I direktivet heter dette ”personal data breach notification” og reglene finnes iartikkel 34.

Formålsbegrensning

Personopplysninger skal samles inn for spesifikke og angitte formål. Disse formålene skal være tydelige og forståelige for den enkelte. Artikkel 13-20. (5(1)(b))

Formålet med innsamlingen er et ganske vidt begrep, og kan innbefatte alt fra markedsføring til å "forbedre webben". På Dataskydd.net's Webbkoll foretrekker vi metoder som forbedrer webben og nettstedet som ikke krever datainnsamling fra individer. Derfor har vi masse tips på hvordan man kan forbedre sitt nettsted i en databeskyttende retning.

Dataminimering

Man skal ikke samle inn flere opplysninger enn hva som er absolutt nødvendig for formålet. (5(1)(c))

Avhengig av hvilke formål som ligger bak innsamlingen av persondata, kan dataminimering bety forskjellige ting. Webbkoll gjør det enkelt å finne ut av hvordan man kan unngå å samle inn persondata og hvordan man unngår å lekke persondata. Skulle man ønske å samle persondata allikevel, må man være åpen om det og dette må forholde seg til reglene i kapittel 4 av reguleringen. Reglene om hvordan man samler og prosesserer personlige data er der for å sikre at enhver som vil kartlegge og spore andre behøver tenke gjennom konsekvensene av slike valg.

Korrekthet

Personopplysninger skal stemme overens med virkeligheten og oppdateres om de er feilaktige.

Dette prinsippet dreier seg om førstehåndsinformasjon som registreres av myndigheter eller foretak som eksempelvis kredittforetak. I webutvikling og markedsføring er det vanligere at man arbeider med "uskarpe" mengder av personopplysninger, og konsekvensen av at man feilklassifiseres av sin nettsporer er vanligvis ikke verre enn at man får feilaktig rettet reklame når man beveger seg i online miljøer.

Lagringsminimering

Man skal ikke lagre opplysninger lengre enn nødvendig.

Denne rettigheten er forbundet med formålsbegrensning og dataminimering. Dataskydd.net:s Webbkoll gjør det enkelt å ikke behøve tenke så myce på dette prinsippet.

Integritet og konfidensialitet

Personopplysninger skal behandles på et sikkert vis, både organisatorisk og teknisk.

Dataskydd.net's Webbkoll gjør det enkelt å se hvilke tekniske beskyttelsesmekanismer for databeskyttelse som er på plass. Vi har identifisert tiltak som ikke burde kreve noen større organisatoriske forandringer: de fleste av våra tips går raskt å gjennomføre, og de koster lite. Vår målsetting er å gjøre det så enkelt for privatpersoner som mulig å utøve sine rettigheter, samtidig som de som bygger nettsteder får enkle tommelfingerregler for å hjelpe individer å benytte denne muligheten.

Ansvar

Den som er ansvarlig for nettstedet er ansvarlig for at prinsippene følges.

Ettersom ansvar kan være en stor byrde har Webbkoll et stort antall anbefalinger for datasbeskyttelse som kan gå lengre enn hva man kan være juridisk ansvarlig for. Vi vil legge til rette for best mulig beskyttelse med minst mulig administrativ byrde. En årsak til hvorfor GDPR-reglene gjør det byråkratisk og kjedelig å ikke dataminimere er at hver aktør i samfunnet som vil påvirke andre må overveier måten de bruker slik makt.