Det er en kjent sak at utformingen og tilpassingen av lovgivningen har i flere tiår hengt etter den rivende teknologiske utviklingen, ikke bare på siden av personvern men også på andre områder. Men spesielt på personvern området har dette vært spesielt presserende. Dette er eksemplifisert ved det utgåtte personverndirektivet som ble avløst i 2018 til fordel for GDPR (Forordning 2016/679, på engelsk General Data Protection Regulation, forkortet GDPR). Lovgivere og fagpersoner kunne ikke forutse i 1995 (da personverndirektivet trådte i kraft) det enorme potensialet for masseinnsamling av personlig data via nettet og skadeomfanget dette ville gi hvis datasamlingen ble missbrukt, 10-12 år frem i tid.

GDPR og håndhevelsen av den er derfor viktig og nødvendig for å hindre misbruk av data. Bruker en nettside for eksempel Google analytics eller Google ads, vil Google være i stand til å ikke bare aggregere data fra sine egne sider, men på tvers av Internett også fra tredjeparts sider. Og jo flere kilder store teknologiselskaper som Google har til rådighet for å aggregere disse dataene, jo mer øker makten og innflytelsen deres. Dette kan ha enorme konsekvenser for ikke bare enkeltindividet, men storsamfunnet i sin helhet, slik Cambridge Analytica skandalen avslørte.

Hvordan sporer nettsidene meg?

Nettsider tar i bruk 'cookies' for å spore deg på tvers av nettsider og besøk for å samle personlig data om deg. Dette er helt enkelt en oppføring som er lagret i nettleseren din hvor utenforstående kan lese og lagre data. Dette vil typisk være en unik streng som identifiserer deg for en server som leser og skriver til denne posten, eller 'cookien'. Noen cookies er ganske harmløse og brukes ikke til å spore din aktivitet til markedsføringsformål, men kan også være et ledd for å sikre nett økten din eller gi bedre funksjonalitet på en nettside (som for eksempel en handlevogn på en nettbutikk). Mens andre brukes utelukkende til å samle inn dine personlige data (og havner dermed under EUs personverndirektiver, eller GDPR)

Hva kan jeg gjøre for å hindre at nettsider sporer meg?

Ideelt sett skulle det ikke være nødvendig med noen tiltak utover det vanlige for å hindre at nettsider sporer deg. Dersom næringsdrivende følger loven, har de et GDPR samtykke-skjema som du kan navigere i med en gang du besøker deres nettsider. Her kan du manuelt gå igjennom og velge hva slags 'cookies' du ikke ønsker skal spore din aktivitet. Slik jeg åpnet dette innlegget med.

Dessverre følger ikke alle loven og det er mange foretak som ikke har kunnskap, ressurser eller rett og slett ikke respekterer lovgivningen eller personvernet ditt nok til å implementere en slik funksjon. Det er her du selv må ta noen ekstra grep for å sikre deg og dine personlige data fra å ende opp i registre du ikke selv ønsker å stå oppført på. Arctic Software har et slikt skjema (og du kan få tilgang til skjemaet ved å klikke på 'skal det være en kjeks' knappen nederst). I skrivende stund er alle opplysninger vi samler fullstendig anonymisert og ingen av dataene kan spores på tvers av forskjellige nettsider.

Det er mange gode trinn du kan ta i bruk for å sikre deg bedre på nettet. Det mest preventive skrittet er å laste ned en adblock utvidelse til nettleseren din. Bruken og oppsettet til en slik utvidelse går litt utover rekkevidden av denne artikkelen, men det holder å gå til en søkemotor og søke på 'adblock' etterfulgt av navnet på nettleseren du bruker (f.eks edge, chrome, firefox, eller safari hvis du bruker mac).

Det neste du bør tenke på (og helst ikke uten hensyn til den første anbefalingen) er å vurdere en mer personvern vennlig søkemotor som DuckDuckGo. DuckDuckGo har også en ypperlig tjeneste der du kan maskere epostadressen din hvis du hyppig bruker den til å motta reklamepost eller skal bruke den til sosiale medier og videresender epostene til din virkelige adresse. I prosessen fjerner også tjenesten alle sporingslenker avsenderen putter i eposten.

Det er selvfølgelig mulig å sikre sine persondata og anonymitet på nettet ved å gå enda lenger (VPN, DNS filtrering, kryptering osv) men det går igjen litt ut over omfanget ment for denne artikkelen alene (men det er mulig vi skriver mer om det senere). Hvis du som privatperson følger de innledende trinnene (installerer adblock, samt bytter til en mer personvernvennlig søkemotor) har du kommet veldig langt på vei.

Ditt ansvar dersom du eier eller drifter en nettside

Dersom du er på den andre siden av skalaen og drifter din egen nettside må du ha to tanker i fokus. 1. Du må drive i samsvar med GDPR og 2. i de fleste tilfeller er ikke dette så inngripende å få på plass hverken i tid, omfang eller penger. Det er noen viktige momenter du må forholde deg til for å drive innenfor loven:

1. Du må informere brukerne om data du samler inn om de
2. Hvis informasjonen du samler inn om brukerne ikke er anonym må du innhente eksplisitt samtykke for innsamlingen
3. Anonymitet i punkt to innebærer også at en tredjepart ikke kan identifisere en nettøkt fra data du har innsamlet senere. Det hjelper ikke at brukeren ikke kan gjenkjennes med sin virkelige identitet. Anonymitet i denne sammenhengen betyr virkelig anonymitet. Bruker du for eksempel Google ads eller google analytics på hjemmesiden din er ikke brukeren lenger anonym selv om Google ikke direkte kan hente ut brukerens virkelige identitet fra dine innsamlinger alene (Google vil garantert kunne gjøre det i aggregatet, og/eller kunne spore brukerens nettaktivitet utenfor ditt domene ved å innhente opplysninger fra din implementasjon av deres tjenester).
4. Dersom du lagrer faktiske personopplysninger via dine hjemmesider (navn,epost etc) sørg for at dette er begrenset innenfor en tidsramme det regnes som formålmessing. Bruker hverken personen som registrerte sine opplysninger hos deg tjenestene dine lenger, eller bedriften selv ikke har noe praktisk behov for å fortsette å lagre disse opplysningene er det viktig at man periodemessing gjennomgår disse opplysningene og sletter de.
5. Igjen, dersom du lagrer faktiske personopplysninger er du pliktig å protokollføre dette jfr Datatilsynet

Hvis du som eier av en nettside er usikker på hvordan din nettside samler inn og behandler persondata (det gjør den nesten garantert) kan du ta kontakt med oss for en uforpliktende prat. Det er en smal sak å få oversikt over hvordan nettsiden din samler inn data ved å faktisk bare bruke den. Er ikke siden din i samsvar med gjeldende lovgivning kan vi også bistå med å få på plass dette raskt, oversiktlig og enkelt.

Avsluttende ord

I denne artikkelen har jeg forklart betydningen og hvor viktig personvern er for oss alle og at data som omfatter oss selv og vår person kontrolleres av oss selv. Jeg har også forklart at det er i bedriftens egen interesse å følge lovgivningen på dette området. Med det håper jeg eventuelle lesere har fått noe nyttig å lese på. Takk for oppmerksomheten!