Tyskland og Google
Det føregår for tida ein debatt med utgangspunkt i at Tyskland vil forby bruken av Google Analytics (GA) med grunnlag i personvern-lovgiving. Google Analytics er eit mykje brukt analyseprogram for web-statistikk. Enkelt sagt tel programmet kor mange som brukar nettstaden din.

Web-statistikk
Teljinga til GA føregår ved at eit lite program (Javascript) som nettstad-eigaren inkluderer i HTML-koden, overfører opplysningar om brukarane som kjem til nettstaden. Informasjonen blir overført til Google sine databasar i USA. Dei sentrale spørsmåla :

1. Skal informasjon om IP-adresse reknast som personopplysning?

2. Er ”klassisk” europeisk personvernlovgiving føremålstenleg i den teknologiske utviklinga vi er i med stadig meir av informasjon flytta ut i ”skya”?

IP-adresser og personopplysningar
IP-adressa er den adressa pc-en din, eller mobilen, får tildelt for å kommunisera på nettet. Alle ”dingsar” som skal koplast til nettet, må ha ei unik IP-adresse. Men ofte er denne adressa dynamisk, dvs. kvar gong du ”loggar” på nettet, får du ei ny ip-adresse. Det er også slik at i større organisasjonar, vil det berre vera ei felles ip-adresse som er synleg frå utsida, og denne blir delt av alle innafor organisasjonen. Ei kopling mellom ip-adresse og person, i dei tilfella det er muleg, vil også vera avhengig av utlevering av informasjon frå nett-tilbydaren. Det er det berre politiet (og advokat-firmaet Simonsen!) som kan krevja.

Personvernnemnda uttalte dette om problemstillinga i 2006:

IP-adressen kan benyttes til personidentifikasjon, men for privatpersoner med dynamisk IP-adresse forutsetter dette tilgang  til loggene fra vedkommendes Internet Service Provider (ISP).  Disse loggene er ikke tilgjengelig for utenforstående og i  Norge utleveres disse kun til politiet. <selskapet> har  dermed ingen mulighet til å koble IP-adressen til en person  via vedkommendes ISP.

IP-adressa kan altså vera ei personopplysning eller den er det ikkje, det er avhengig av konteksten.

Personvern og geografisk avgrensing
Dette spørsmålet er vanskelegare enn det første. I Europa er grunn¬prinsippet at persondata berre skal vera tilgjengeleg innafor eit område underlagt europeisk personvern¬lovgiving. Dette blir problematisk med dagens stadig meir globale datautveksling og ”skybasert” lagring. Dersom dagens lover skal handhevast strengt, vil europeiske land i mange tilfelle måtta gi avkall på dei mange fordelane dagens teknologi tilbyr.

Utfordringa blir å kunna dra mest muleg nytte av ny teknologi utan å kompromissa for mykje på personvern-området.

Tiltak
Kva kan ein så gjera? Dei mange som brukar GA eller tilsvarande verktøy bør i alle fall opplysa om det på nettsidene, slik at brukarane i alle fall har ein reell mulegheit til å velja det bort. Det bør omtalast saman med andre ting som har med personvern å gjera, gjerne under på ei eiga informasjonsside  om ’personvern’. Her er eit eksempel på slik omtale:  http://www.creativecommons.no/node/3

Då kan kalven, kua og oksen velja å ikkje bli talde! Men som i eventyret er nytten av ny kunnskap god, for ikkje å seia avgjerande.

Takk til Gisle Hannemyr ved UiO for mange gode innspel om emnet.