Da er det 2 uker siden skattelistene ble offentliggjort, og jeg regner med at de fleste av dere nå har full kontroll på naboer, idrettskjendiser og klassekameratene fra ungdomsskolen (via Facebook, så klart). Ikke? Har du heller ikke plottet inn de rikeste vennene dine på kartet i VGs skattelisteapp, sier du? Da bør du skynde deg, for om et år kan det være for sent…

I Januar i år diskuterte Finanskomiteen på Stortinget om offentliggjøring av skattelistene skulle forbys. Det ble ikke flertall i komiteen for et slikt forbud, men i prosessen skjedde det noe interessant: Flere av komitemedlemmene uttrykte bekymring for måten skattelistene offentliggjøres på, og ba Finansdepartementet se på alternative løsninger. Denne bekymringen har også blitt gjentatt nå i høst.

Teknologirådet har vært opptatt av personvern lenge, og vi bidro i debatten gjennom å peke på hvordan den teknologiske utviklingen har endret proporsjonaliteten mellom åpenhet rundt skattesystemet på den ene siden, og personvernet på den andre. Konklusjonen vår var (fra vårt notat til komiteen):

Internettpublisering av skattelistene har ført til at de brukes utover den opprinnelige intensjonen med offentliggjøring, for eksempel i søk og sammenstillinger av data. I tillegg dukker skatteinformasjon opp i stadig flere kanaler, slik som sosiale medier og på mobile plattformer.

Til sammen medfører dette en endring i proporsjonaliteten hvor personvernet er svekket. Det er all grunn til å anta at dette er en utvikling som bare vil fortsette i personvernets disfavør. Det er derfor vår oppfatning at det er på tide å vurdere om ordningen skal bestå, og eventuelt i hvilken form.

Mange legger ut mye informasjon om seg selv frivillig på nett. Men selv for de som ikke er aktive bloggere, Facebook-brukere eller nettdebattanter kan man få et ganske godt bilde av hvem de er gjennom å koble sammen data fra skattelister, registre over eiendom, gule sider, resultatlister fra idrettsarrangementer og evt. koblinger til virksomheter som er registrert i Brønnøysund. I motsetning til informasjon den enkelte frivillig velger å legge ut på nett, er man
pliktig å innberette opplysninger om inntekter og formue til myndighetene. Dette er personlig informasjon som legges ut på internett utenfor den enkeltes kontroll.

Det er derfor positivt at Skatteetaten nå har sendt et brev til Finansdepartementet der de nettopp foreslår alternative måter å offentliggjøre skattelistene på. En av bekymringene vi luftet i vårt innspill gikk på muligheten for å greie å holde informasjonen vekk fra det åpne nettet. Vi pekte blant annet på:

Dersom pressen får skattelistene i elektronisk form, er det vanskelig å se for seg at de ikke vil finne veien ut på nett. Dersom dataene legges på en server i utlandet, vil de være utenfor norsk jurisdiksjon.

I 2004, da skattelistene kun var tilgjengelig gjennom enkeltsøk hos skatteetaten, greide
likevel Nettavisen å omgå flere av begrensningene gjennom å bygge sine egne søkegrensesnitt oppå Skatteetaten. De registrerte også data om de rikeste skatteyterne, og gjorde disse dataene søkbare på sine sider.

Dersom skattelistene kun legges ut på papir, kan man tenke seg at listene kan fotograferes og siden maskinleses eller registreres manuelt. Slike data vil være lett tilgjengelige for norske nettbrukere selv om de legges på en server utenfor norsk jurisdiksjon.

Skatteetaten skisserer løsninger på disse utfordringene i sitt brev – blant annet ønsker de å gå over til kundeterminaler i stedet for papirlister på ligningskontorene, og de ønsker sanksjoner mot nettaviser som misbruker dataene de får oversendt.

Jeg synes den løsningen Skatteetaten nå foreslår for Finansdepartementet høres fornuftig ut, og støtter dem i deres håp om at nye skattesøk kan være på plass til neste år. Selv om det betyr at jeg ikke lenger får vite akkurat hvor mange meter motorvei som kan bygges for mine skattepenger.

Teknolgirådet kom i vår med en rapport om åpne offentlige data. Ekspertgruppemedlem Haakon Wium Lie hadde et innlegg relatert til temaet på trykk i “Aftenposten” i dag. For de som gikk glipp av det, kan det finnes her

Andre spennende ting som skjer på åpne data-fronten for tida:
NRK ønsker å få utlevert datasettet til den gamle elektroniske postjournalen
Bjørn Tennøe krever åpne kollektivdata

Jeg snublet nylig over en interessant artikkel i The Wall Street Journal om hvordan vi – og særlig barna våre – spores på internett. Mange av oss vet jo at nettsteder og annonsørene deres lagrer små informasjonskapsler på datamaskinen vår for å kunne kjenne oss igjen fra gang til gang, men er vi egentlig klar over omfanget?

WSJ har undersøkt 50 nettsteder som er spesielt rettet mot barn og unge og funnet ut at til sammen legger de igjen 4 123 “sporingsinstrumenter” (informasjonskapsler eller lignende). Det mest overraskende er kanskje at dette er 30% mer enn det som er funnet for de 50 mest populære nettstedene i USA totalt.

Les hele artikkelen her

Nå må det sies at ikke alle disse informasjonskapslene er beregnet på å overvåke bruk og interesser – noen har en rent praktisk funksjon, slik som å huske påloggingsinformasjon eller hvor langt man var kommet i et spill før det ble satt på pause. Men de aller fleste er beregnet på å finne ut hvilke nettsteder vi besøker for slik å finne ut hva vi er interessert i. På mange måter er det prisen vi betaler for å forvente at alt fra spill til nyheter skal være gratis på nett. WSJ viser til forskning som antyder at barn har påvirkning på innkjøp for flere hundre milliarder dollar, så det er ikke uten grunn at det finnes massevis av nettsteder for barn som tilbyr attraktivt innhold tilsynelatende uten kostnad.

Hva er en informasjonskapsel?
Informasjonskapsler kan lagres hos brukeren av to ulike typer aktører: Førsteparts informasjonskapsler opprettes av den webserver brukeren besøker, altså av det nettstedet brukeren har skrevet i adressefeltet i sin nettleser (for eksempel www.dagbladet.no. Tredjeparts informasjonskapsler kan derimot opprettes av en tredjepart som direkte leverer innhold til den websiden som besøkes. Typisk vil dette gjelde for annonsører på nettstedets sider, som for eksempel REMA1000 . En annonse på en webside ligger normalt ikke på nettstedets egen webserver, men lastes ned fra annonsørens server. Slik får også denne anledning til å lagre en informasjonskapsel hos brukeren. Slike kapsler vil normalt brukes til å samle informasjon om brukerens websurfing på sider hvor det aktuelle selskapet har annonser, og de brukes i markedsføringsøyemed. Det finnes et antall nettverk av reklamebyråer som samarbeider for å utveksle informasjon om brukeres surfevaner og preferanser, for slik å kunne bygge mest mulig treffsikre personprofiler.

Lurer du på hva dine surfevaner sier om deg eller dine barn? En av de tredjepartsannonsørene som er mest allestedsnærværende er Google. Fiffig nok har de laget en side hvor du kan sjekke hva surfevanene sier om dine preferanser, og her kan du også gjøre endringer dersom du ønsker mer relevant reklame for deg – eller slå av hele greia.

Her kan du se mine preferanser:

Listen er sannsynligvis ganske preget av at jeg verken bruker Google eller aksepterer informasjonskapsler (men selv med det som utgangspunkt skjønner jeg ikke helt at jeg skal være mer opptatt av klær enn av elektronikk).

Vil ikke du heller kartlegges? Det er enkelt å sette opp nettleseren slik at den ikke lagrer informasjonskapsler fra de nettstedene du besøker – stort sett finner du det under “verktøy” og som regel er det en egen fane eller lignende for personverninnstillinger. Vær oppmerksom på at det medfører noe ekstra irritasjon – de fleste nettsteder som krever pålogging bruker informasjonskapsler for å holde orden på brukernavn og passord. Vil du slippe dette, kan du velge å bare blokkere tredjeparts informasjonskapsler.

For spesielt interesserte
Dersom du ikke aksepterer informasjonskapsler i det hele tatt, og forsøker å logge på en nettside, skjer det ofte ingenting – eller du får en kryptisk og helt irrelevant feilmelding. Trikset (dersom du bruker Internt Explorer – men det er sikkert lignende triks for andre nettlesere) er da å klikke på det lille øyet med “innkjøring forbudt” skilt nederst i nettleseren, klikke på en av url-ene i listen som kommer opp, velge “sammendrag” og “la alltid dette området få bruke informasjonskapsler”. Last inn siden på nytt og prøv å logge på igjen. Dersom du er skikkelig paranoid, sletter du loggen din etterpå. Da forsvinner alle informasjonskapslene, og Google og vennene deres må begynne innsamlingen på nytt…

Det må også sies at det å slå av informasjonskapsler kun medfører at dine surfevaner ikke vil inngå i datagrunnlaget til de som driver med slikt, og at du i mindre grad vil få tilpassede annonser. Dersom du vil slippe reklame helt, må du bruke programvare som blokkerer for annonser, eller du må velge nettsteder som ikke er reklamefinansiert.

Har du fått låne datautstyr av arbeidsgiver eller på skolen? Føler du ofte at du blir observert selv om det ikke er andre i rommet? Det er ikke sikkert det er deg det er noe i veien med.

De som har fulgt med i Bipper-debatten har sikkert fått med seg at det finnes programvare for å overvåke barns mobilbruk (inkludert hvor de befinner seg) via PC-en. Men foreldres overvåkning av egne barn blir småtterier i forhold til et skoledistrikt i Philadelphia som har tatt 56 000 bilder av elever via web-kameraet på elevenes bærbare datamaskiner. Datamaskinene har typisk stått på elevenes rom, og det skal finnes bilder både av elever som sover og elever som ikke er fullt påkledd.

Wired har mer om saken og et eksempel på bilde her.

Og bare for å få litt norsk perspektiv på hvor drøy slik overvåkning er:
Politiet i Norge har i dag ikke anledning til å drive såkalt dataavlesning – det vil si å skaffe seg tilgang til opplysninger på en mistenkts datamaskin gjennom for eksempel å installere et program på maskinen.

Da metodekontrollutvalget kom med sin rapport Skjult informasjon – åpen kontroll i 2009 mente de at det burde åpnes for dataavlesning innenfor de rammene som brukes for kommunikasjonsavlytning i dag. I praksis betyr det at de mener politiet kan gå inn i et system de har fått tillatelse til å avlytte for å få tak i for eksempel nødvendige krypteringsnøkler slik at de faktisk kan gjennomføre avlyttingen. Utvalget mener imidlertid at det ikke bør gis tillatelse til fortløpende overvåkning av et datasystem – det bør ikke være lov å fange opp annen informasjon enn den mistenkte selv velger å sende, eller å slå på mikrofon eller web-kamera.

Saken i Philadelphia ble først tatt opp i februar i år, men da hevdet de ansvarlige at kameraet kun var blitt fjernaktivert for noen få maskiner som var mistet eller stjålet (dette har vi også sett eksempler på i Norge). I følge Wired ble omfanget av saken oppdaget da en av elevene fikk tilsnakk for upassende oppførsel og ble vist et bilde av seg selv mens han tok piller på sitt eget soverom (eleven selv sier at det var godteri).

I går kunne Assosiated Press melde at FBI har bestemt seg for å ikke ta ut tiltale mot skolen fordi de mener skolen ikke mente å gjøre noe kriminelt. Familien til eleven i saken over har forøvrig gått til sak mot skolen for brudd på privatlivets fred, og denne saken er ikke avklart ennå.

I Philadelphia skal de for øvrig endre retningslinjene sine slik at det kun blir tillatt å fjernstyre elevenes maskiner etter å ha fått tillatelse (i forbindelse med support) eller etter at maskinen er meldt stjålet til politiet. Legg merke til at de har kommet fram til dette “After months of consulting with experts in the field”… Burde vel vært en “no brainer”?

I går lanserte det danske Videnskabsministeriet den nye danske versjonen av MinID – NemID.

Tjenesten minner veldig om den norske MinID, men i tillegg til en rekke statlige og kommunale tjenester, skal den også kunne brukes hos bank og forsikring – en slags hybrid mellom MinID og BankID, altså.

I Norge har MinID vært en suksess – ikke minst fordi den brukes for å logge inn i forbindelse med levering av selvangivelse og sjekking av skatteoppgjøret. De virkelig spennende tjenestene kommer imidlertid når sikkerheten blir enda bedre (nivå 4), slik at vi kan få tjenester knyttet til f.eks helse også på nett. Åse Kari skriver blant annet om en versjon av dette i blogginnlegget Har du hatt Klamydia?…

I Danmark skal sikkerheten være ivaretatt gjennom at man må bruke et kodekort i forbindelse med innlogging – på samme måte som kodene som tidligere har vært sendt ut med selvangivelsen i Norge, og som nå sendes ut av Norge.no. For danskene er dette en forbedring fra den “gamle” digitale ID-en, som måtte installeres lokalt på PC-en. Jeg har ikke greid å finne noe informasjon om hvorvidt danskene kan få kode tilsendt til mobilen sin i stedet for å ta med seg kodekortet – det er i hvert fall en funksjon jeg setter pris på med MinID. Når det går flere måneder mellom hver gang man logger seg på, er det lett å glemme hvilket “lurt sted” man la kodekortet…

Jeg har heller ikke greid å finne noe informasjon om hvilket sikkerhetsnivå den danske løsningen er godkjent for, utover gjentatte forsikringer om at kodekortet gjør at “hackere og IT-kriminelle” ikke kan få adgang. Men ettersom løsningen ligner mye på dagens norske, vil jeg anta at vi snakker om sikkerhetsnivå 3? Uansett ble den “nemme” ID-en så populær i går at tjenesten brøt sammen, så danskene er åpenbart sugne på nye ID-løsninger.

Her er noen milepæler for ID-hungrige nordmenn:

• Difi satser på å lansere sikkerhetsnivå 4 i løpet av 2010 – forhåpentlig vil mange spennende offentlige tjenester følge.
• Hvis alt går etter planen skal du i november 2011 kunne få et nasjonalt ID-kort som også skal inneholde digital signatur.