Begrensninger i henting av offentlig journal fra Einnsyn.no (rate limit, max size 12, max offset 275)

The request was partially successful.

Kjære Difi - Direktoratet for forvaltning og IKT,

Jeg ser at Einnsyn.no fra Difi har satt opp begrensninger på henting av informasjon fra offentlige journaler (postlister).

1. Dette er "rate limit" per sekund, minutt og time (X-RateLimit-Limit-hour: 1000, X-RateLimit-Limit-minute: 100, X-RateLimit-Limit-second: 10).
2. Det er maks 25 journalposter per søk (size 25).
3. Det er maks 275 offset per søk (offset 275).

Rate limit + maks 25 per søk gjør at det tar svært lang tid å hente ned offentlig journal for en enkelt etat. Maks offset 275 gjør at man MAKSIMALT KAN SE SIDE 12 og dermed ikke får bla seg gjennom hele journalen til etatene.

I skrivende stund ligger det 35 187 394 journalposter i Einnsyn. Disse begrensningen gjør at man ikke kan hente ned de offentlige journalene fra over 100 etater. Må man søke innsyn for å få ut offentlig journal for ulike etater?

F.eks. legger Mattilsynet ukentlig ut nærmere 10000 journalposter på onsdager. Forrige uke var dette 9 710 journalposter. Det er 389 sider hvor kun 12 sider er mulig å hente. Det kun 3 % av offentlig journal for Mattilsynet.

Jeg søker innsyn i grunnlaget for disse avgjørelsene om begrensninger.

Kan dere også sende meg oversikt over alle DIFIs dokumenter som omhandler disse endringene i tilgangen til einnsyn.no (dvs. en journalutskrift)?

Med vennlig hilsen,

Hallvard Nygård

Postmottak DIFI, Agency for Public Management and eGovernment (Difi)

Dette er en automatisk generert e-post som bekrefter at din henvendelse er
mottatt.
Henvendelsen vil bli behandlet så snart som mulig.

Dette er ein automatisk generert e-post som stadfester at din førespurnad
er motteken.
Førespurnaden blir handsama så snart som mogleg.

This is an automatically generated e-mail to acknowledge receipt of your
request.
The request will be responded as soon as possible.

 

Arkivet i Difi
Direktoratet for forvaltning og IKT

Direktoratet for forvaltning og IKT (Difi) 
Postboks 8115 Dep, 0032 Oslo
Tlf. sentralbord: 22 45 10 00 
[1][Difi - Direktoratet for forvaltning og IKT henvendelses-e-postadresse]    [2]www.difi.no

References

Visible links
1. mailto:[Difi - Direktoratet for forvaltning og IKT henvendelses-e-postadresse]
2. http://www.difi.no/

Moen, Ole Jomar, Agency for Public Management and eGovernment (Difi)

1 Attachment

Hei.

Som leverandør av eInnsyn er Difi forpliktet til å gjennomføre tiltak for
å ivareta personvernet på en god måte. Vi viser til forskrift til
offentlighetslova § 6, siste ledd, siste setning:

 

…Offentleg elektronisk journal for organ som er omfatta av ordninga etter
fyrste ledd, skal innrettast slik at det ikkje skal vere mogleg å få treff
på personnamn i innførslar i journalane som er eldre enn eit år.

 

Tiltakene du refererer til er implementert for å forbedre personvernet.
Noe av  funksjonaliteten som lå i OEP er fjernet og man lagt til
funksjonalitet for å redusere nedlasting og etablering av skyggedatabaser.
RateLimit eller trafikkbegrensing er ett av disse tiltakene. Et annet
tiltak er en vesentlig forbedret søkemotor som gjør det lettere for bruker
å finne det han er på jakt etter. Begrensingene på treff som returneres er
basert på bruken av dagens søkemotorer på internett. Om ikke brukeren
finner det han er på jakt etter på de første sidene, endrer de på søket.
12 sider à 25 treff mener vi dekker behovene til en vanlig bruker med god
margin.

 

Tiltakene har fungert etter sin hensikt. Storbrukere av løsningen
(presse/media/institusjoner som ofte har begrenset antall ip-adresser ut
mot omverden) har ikke meldt om at de opplever tiltakene som
problematiske. Og trafikkbegrensingen har slått inn og vist at den bidrar
til å forhindre uønskede hendelser.

 

Det har vært stil spørsmål rundt det med antall journalposter en kan se,
både pr side og totalt i søkesvaret. 

Tiltaket med å begrense svar er basert på åpen statistikk fra bruk av
Google sin søkemotor. Den viser at brukere benytter i hovedsak av de
første treffene ved søk. Interessen for treff 10 og utover er marginal. En
bruker blar ikke side etter side for å se gjennom treff. Etter vurdering
basert på den statistikken har vi lagt til rette for 12 sider a 25 linjer
som skulle tilsi 300 treff. Det mener vi er «romslig» når en ser på de
erfaringer vi finner i statistikken i fra Google og ivaretar hensynet
brukere kan ha for å bla noen sider for å se om det finnes et bedre treff
på søket.

 

Et av målene med tiltak som er innført er å ta vare på personvernet uten
at det skal oppleves negativt for den gjennomsnittlige bruker. Det mener
jeg vi har greidd på en god måte, spesielt med tanke på at storforbrukere
som presse ikke har opplevd tiltakene som begrensende.

 

Difi jobber samen med Presseforbundet med å utvikle en løsning som gjør
det mulig å bruke et eksternt API inn mot løsningen. I første omgang vil
dette bli en prøveordning for å se om det tilfredsstiller de behov en
ønsker å ivareta og hvordan løsningen totalt sett responderer ved å åpne
opp for et eksternt API.

 

Det er tidligere blitt begjært innsyn i databasene til EPJ, OEP og vi ser
heller ikke bort i fra at det vil skje med databasen til eInnsyn.  Vi er i
dag ikke klar over nye forholds som vil gjøre det aktuelt for oss å
innvilge en slik begjæring. 

Lenke til Lovavdelingen sin uttalelse:

[1]https://www.regjeringen.no/no/dokumenter...

 

Når det gjelder Mattilsynet så jobber vi sammen  med dem om å «dele opp»
den journalen slik at en kan se/ søke på de ulike regionene og på den
måten forbedre søkesvaret.

 

 

 

Vennlig hilsen

 

Ole Jomar Moen

 

 

A:   Skrivarvegen 2, 6863 Leikanger

 

 

[2]hoved_lang_farger_RGB

 

Postboks 8115 Dep., 0032 Oslo

 

[3]www.difi.no

 

 

 

show quoted sections

Moen, Ole Jomar, Agency for Public Management and eGovernment (Difi)

1 Attachment

Hei.

Som leverandør av eInnsyn er Difi forpliktet til å gjennomføre tiltak for
å ivareta personvernet på en god måte. Vi viser til forskrift til
offentlighetslova § 6, siste ledd, siste setning:

 

…Offentleg elektronisk journal for organ som er omfatta av ordninga etter
fyrste ledd, skal innrettast slik at det ikkje skal vere mogleg å få treff
på personnamn i innførslar i journalane som er eldre enn eit år.

 

Tiltakene du refererer til er implementert for å forbedre personvernet.
Noe av  funksjonaliteten som lå i OEP er fjernet og man lagt til
funksjonalitet for å redusere nedlasting og etablering av skyggedatabaser.
RateLimit eller trafikkbegrensing er ett av disse tiltakene. Et annet
tiltak er en vesentlig forbedret søkemotor som gjør det lettere for bruker
å finne det han er på jakt etter. Begrensingene på treff som returneres er
basert på bruken av dagens søkemotorer på internett. Om ikke brukeren
finner det han er på jakt etter på de første sidene, endrer de på søket.
12 sider à 25 treff mener vi dekker behovene til en vanlig bruker med god
margin.

Tiltakene har fungert etter sin hensikt. Storbrukere av løsningen
(presse/media/institusjoner som ofte har begrenset antall ip-adresser ut
mot omverden) har ikke meldt om at de opplever tiltakene som
problematiske. Og trafikkbegrensingen har slått inn og vist at den bidrar
til å forhindre uønskede hendelser.

Det har vært stil spørsmål rundt det med antall journalposter en kan se,
både pr side og totalt i søkesvaret. 

Tiltaket med å begrense svar er basert på åpen statistikk fra bruk av
Google sin søkemotor. Den viser at brukere benytter i hovedsak av de
første treffene ved søk. Interessen for treff 10 og utover er marginal. En
bruker blar ikke side etter side for å se gjennom treff. Etter vurdering
basert på den statistikken har vi lagt til rette for 12 sider a 25 linjer
som skulle tilsi 300 treff. Det mener vi er «romslig» når en ser på de
erfaringer vi finner i statistikken i fra Google og ivaretar hensynet
brukere kan ha for å bla noen sider for å se om det finnes et bedre treff
på søket .

Et av målene med tiltak som er innført er å ta vare på personvernet uten
at det skal oppleves negativt for den gjennomsnittlige bruker. Det mener
jeg vi har greidd på en god måte, spesielt med tanke på at storforbrukere
som presse ikke har opplevd tiltakene som begrensende.

Difi jobber samen med Presseforbundet med å utvikle en løsning som gjør
det mulig å bruke et eksternt API inn mot løsningen. I første omgang vil
dette bli en prøveordning for å se om det tilfredsstiller de behov en
ønsker å ivareta og hvordan løsningen totalt sett responderer ved å åpne
opp for et eksternt API.

Det er tidligere blitt begjært innsyn i databasene til EPJ, OEP og vi ser
heller ikke bort i fra at det vil skje med databasen til eInnsyn.  Vi er i
dag ikke klar over nye forholds som vil gjøre det aktuelt for oss å
innvilge en slik begjæring. 

Lenke til Lovavdelingen sin uttalelse:

[1]https://www.regjeringen.no/no/dokumenter...

Når det gjelder Mattilsynet så jobber vi samme med dem om å «dele opp» den
journalen slik at en kan se/ søke på de ulike regionene og på den måten
forbedre søkesvaret.

 

 

 

Vennlig hilsen

 

Ole Jomar Moen

 

A:   Skrivarvegen 2, 6863 Leikanger

 

 

[2]hoved_lang_farger_RGB

 

Postboks 8115 Dep., 0032 Oslo

 

[3]www.difi.no

 

 

 

 

References

Visible links
1. https://www.regjeringen.no/no/dokumenter...
3. http://www.difi.no/

Kjære Moen, Ole Jomar,

Dere legger begrensninger. Du sier grunnlaget er forskrift til offentlighetslova § 6, siste ledd, siste setning. Den sier kun at man ikke skal få treff på navn i eldre journalposter.

Kan jeg få utlevert saksdokumenter relatert til denne avgjørelsen? Den virker dårlig begrunnet.

Bruker alle "tiltakene" samme begrunnelse?

"(...) Og trafikkbegrensingen har slått inn og vist at den bidrar til å forhindre uønskede hendelser."

Hva definerer dere som uønsket hendelse? Hvor er saksdokumentene som definerer dette?

Hvorfor skal dere hindre etablering av skyggedatabaser? Hvilken hjemmel har dere for å gjør det?

Selv om normal Google-bruk er at man ikke blar videre enn side 12, så lurer jeg fremdeles på hvilken hjemmel og grunnlag dere har for å sette en så skarp avkutting av innhold?
Hvorfor skal dere hindre meg i å bla og bla i postlister en sen lørdagskveld? Det er mye spennende man finner ved å bla. Det hadde man ikke funnet ved å søke (vet hvilke ord man burde søke etter).

Med vennlig hilsen,

Hallvard Nygård

Kjære Moen, Ole Jomar,

Venter enda på svar.

Med vennlig hilsen,

Hallvard Nygård

Kjære Moen, Ole Jomar,

Når kan jeg forvente svar?
Innsynshenvendelsen er kun delvis behandlet.

Med vennlig hilsen,

Hallvard Nygård

Kjære Difi - Direktoratet for forvaltning og IKT,

Vær så snill å send denne videre til personen som vurderer innsynsklager.

Jeg skriver for å klage på Difi - Direktoratet for forvaltning og IKT sin håndtering av min innsynshenvendelse «Begrensninger i henting av offentlig journal fra Einnsyn.no (rate limit, max size 12, max offset 275)».

Jeg har ikke fått besvart videre spørsmål og har ikke fått klarhet i hvilken sak dere referer til. Minner om at innsynshenvendelser skal besvaret uten ugrunnet opphold. Kan ikke se at det er noen grunn til at denne ikke skulle la seg besvare.

Under følger eposten som ikke er besvart.

----

Dere legger begrensninger. Du sier grunnlaget er forskrift til offentlighetslova § 6, siste ledd, siste setning. Den sier kun at man ikke skal få treff på navn i eldre journalposter.

Kan jeg få utlevert saksdokumenter relatert til denne avgjørelsen? Den virker dårlig begrunnet.

Bruker alle "tiltakene" samme begrunnelse?

"(...) Og trafikkbegrensingen har slått inn og vist at den bidrar til å forhindre uønskede hendelser."

Hva definerer dere som uønsket hendelse? Hvor er saksdokumentene som definerer dette?

Hvorfor skal dere hindre etablering av skyggedatabaser? Hvilken hjemmel har dere for å gjør det?

Selv om normal Google-bruk er at man ikke blar videre enn side 12, så lurer jeg fremdeles på hvilken hjemmel og grunnlag dere har for å sette en så skarp avkutting av innhold?
Hvorfor skal dere hindre meg i å bla og bla i postlister en sen lørdagskveld? Det er mye spennende man finner ved å bla. Det hadde man ikke funnet ved å søke (vet hvilke ord man burde søke etter).

------

Komplett historie for min innsynshenvendelse og all korrespondanse er tilgjengelig via Internett fra denne adressen: https://www.mimesbronn.no/request/begren...

Med vennlig hilsen,

Hallvard Nygård

Postmottak DIFI, Agency for Public Management and eGovernment (Difi)

Dette er en automatisk generert e-post som bekrefter at din henvendelse er
mottatt.
Henvendelsen vil bli behandlet så snart som mulig.

Dette er ein automatisk generert e-post som stadfester at din førespurnad
er motteken.
Førespurnaden blir handsama så snart som mogleg.

This is an automatically generated e-mail to acknowledge receipt of your
request.
The request will be responded as soon as possible.

 

Arkivet i Difi
Direktoratet for forvaltning og IKT

Direktoratet for forvaltning og IKT (Difi) 
Postboks 8115 Dep, 0032 Oslo
Tlf. sentralbord: 22 45 10 00 
[1][Difi - Direktoratet for forvaltning og IKT henvendelses-e-postadresse]    [2]www.difi.no

References

Visible links
1. mailto:[Difi - Direktoratet for forvaltning og IKT henvendelses-e-postadresse]
2. http://www.difi.no/

Postmottak DIFI, Agency for Public Management and eGovernment (Difi)

1 Attachment

Difi viser til e-post datert 11.12.2018 vedrørende «Klage over innsyn
etter Offentleglova – Begrensninger i henting av offentleg journal fra
Einnsyn.no».

Difi har mottatt klagen og vil behandle den. Du vil få tilbakemelding så
snart Difi har behandlet klagen.

 

Hilsen arkivet i Difi

 

 

 

[1]logo

 

Postboks 1382 Vika, 0114 Oslo

 

[2]www.difi.no

 

References

Visible links
2. file://difi/apps/Outlook%20Signatur-maler%20Difi/Maler/2017/www.difi.no

Os, Stein Magne, Agency for Public Management and eGovernment (Difi)

Takk for din henvendelse og takk for din interesse i eInnsyn.

Vi viser til i Offentlegforskrifta § 6 siste ledd, siste setning:
 
Offentleg elektronisk journal for organ som er omfatta av ordninga etter fyrste ledd, skal innrettast slik at det ikkje skal vere mogleg å få treff på personnamn i innførslar i journalane som er eldre enn eit år.
 
Vi viser videre til Kongeleg resolusjon 17. oktober 2008 om iverksettjing av lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd og forskrift til lova: https://www.regjeringen.no/globalassets/... side 46
 
… Eit viktig spørsmål under høyringa har vore i kva grad det bør gjelde ytterlegare avgrensingar for å vareta personvernomsyn. I høyringsnotatet etterlyste departementet synspunkt på om det burde vere ei søkjesperre på personnamninnførslar slik at ein ikkje kunne få treff på slike innførslar i journalane som blir gjort tilgjengelege på Internett når innførslane er meir enn eitt år gamle og om systemet burde innrettast slik at det ikkje kan søkjast i journalane frå eksterne søkjemotorar. Departementet har kome til at personvernomsyn taler for at det i forskrifta blir fastsett at det skal vere ei søkjesperre slik at det ikkje skal vere mogleg å få treff på personnamninnførslar som er meir enn eitt år gamle. Kravet om at det skal vere ei slik søkjesperre gjeld berre i høve til dei organa som er omfatta av ordninga med Offentleg elektronisk postjournal, ikkje for organ som legg journalane sine ut på Internett utan å vere omfatta av ordninga. Departementet har vurdert om det burde innførast eit krav om søkjesperre også for organ som ikkje er omfatta av ordninga, men har kome til at det ikkje vil vere føremålstenleg å innføre eit slik krav no. Dette bør heller innførast ved ei eventuell utviding av kva organ som skal vere med i ordninga med Offentleg elektronisk postjournal.
 
Når det gjeld høvet til å søkje frå eksterne søkjemotorar, vil moglegheita til å stenge for dette avhenge av kva som til einkvar tid er teknisk mogleg. Dette eignar seg difor dårleg for regulering i forskrift. Det vil likevel bli lagt opp til at systemet, så langt det er praktisk mogleg, skal bli innretta slik at det ikkje kan søkjast frå eksterne søkjemotorar i journalane som leggjast ut. Desse avgrensingane vil berre få verknad for organ som er omfatta av plikta til å gjere journalar tilgjengelege på Internett, sidan berre desse vil vere omfatta av den felles offentlege elektroniske postjournalen.
 
Ein vil i nær framtid kome attende til korleis ein skal handtere ivaretakinga av personvernomsyn vedrørande mogleg bygging av personprofilar på grunnlag av postjournalar som er lagde ut på Internett av organ som ikkje er omfatta av OEP-ordninga. …
 
Det er konkrete krav til søket, forhindring av indeksering og ivareta personvernet med hensyn til bygging av personprofiler. Det har over tid ikke vært endring i kravene og de er fremdeles gyldige for eInnsyn. Difi er pålagt å innføre tiltak for å ivareta disse kravene. Tiltakene implementert i løsningen er valgt av etableringsprosjektet til eInnsyn. Tiltakene ble gjort etter en risikovurdering der hensynet til personvernet ble veiet opp mot krav i offentleglova, samtidig som brukeropplevelsen ikke skal bli vesentlig påvirket i negativ retning. Erfaringene så langt er at vi har truffet rimelig bra med:
 
· Generell høflighetsprotokoll for søkemotorer
· Begrensing av antall poster som returneres ved spørring
· Trafikkbegrensing
 
Vi har vært bevisst på at dette er minimumstiltak. Nye tiltak blir vurdert av produktsjef og systemeier, når man ser behov.

Venleg helsing

Stein Magne Os
seniorrådgjevar
M: 900 89 566
A: Skrivarvegen 2, 6863 Leikanger

Postboks 8115 Dep., 0032 Oslo

www.difi.no

-----Opprinnelig melding-----
Fra: Hallvard Nygård <[Innsyns-e-postadresse #1436]>
Sendt: tirsdag 11. desember 2018 19.57
Til: Postmottak DIFI <[epostadresse]>
Emne: Klage over innsyn etter Offentleglova - Begrensninger i henting av offentlig journal fra Einnsyn.no (rate limit, max size 12, max offset 275)

Kjære Difi - Direktoratet for forvaltning og IKT,

Vær så snill å send denne videre til personen som vurderer innsynsklager.

Jeg skriver for å klage på Difi - Direktoratet for forvaltning og IKT sin håndtering av min innsynshenvendelse «Begrensninger i henting av offentlig journal fra Einnsyn.no (rate limit, max size 12, max offset 275)».

Jeg har ikke fått besvart videre spørsmål og har ikke fått klarhet i hvilken sak dere referer til. Minner om at innsynshenvendelser skal besvaret uten ugrunnet opphold. Kan ikke se at det er noen grunn til at denne ikke skulle la seg besvare.

Under følger eposten som ikke er besvart.

----

Dere legger begrensninger. Du sier grunnlaget er forskrift til offentlighetslova § 6, siste ledd, siste setning. Den sier kun at man ikke skal få treff på navn i eldre journalposter.

Kan jeg få utlevert saksdokumenter relatert til denne avgjørelsen? Den virker dårlig begrunnet.

Bruker alle "tiltakene" samme begrunnelse?

"(...) Og trafikkbegrensingen har slått inn og vist at den bidrar til å forhindre uønskede hendelser."

Hva definerer dere som uønsket hendelse? Hvor er saksdokumentene som definerer dette?

Hvorfor skal dere hindre etablering av skyggedatabaser? Hvilken hjemmel har dere for å gjør det?

Selv om normal Google-bruk er at man ikke blar videre enn side 12, så lurer jeg fremdeles på hvilken hjemmel og grunnlag dere har for å sette en så skarp avkutting av innhold?
Hvorfor skal dere hindre meg i å bla og bla i postlister en sen lørdagskveld? Det er mye spennende man finner ved å bla. Det hadde man ikke funnet ved å søke (vet hvilke ord man burde søke etter).

------

Komplett historie for min innsynshenvendelse og all korrespondanse er tilgjengelig via Internett fra denne adressen: https://www.mimesbronn.no/request/begren...

Med vennlig hilsen,

Hallvard Nygård

-------------------------------------------------------------------
Vennligst bruk denne e-post adressen for alle svar:
[Innsyns-e-postadresse #1436]

Merk: Innholdet i denne innsynsforespørselen og alle dine svar vil bli offentliggjort på Internett. Du finner våre regler for personvern og åndsverk her:
https://www.mimesbronn.no/help/officers

Om du, som saksbehandler, syntes denne tjenesten er nyttig, be gjerne nettredaktøren hos dere lenke til oss fra din organisasjons innsyn-side.

-------------------------------------------------------------------

Moen, Ole Jomar, Agency for Public Management and eGovernment (Difi)

Takk for din henvendelse og takk for din interesse i eInnsyn.

Vi viser til i Offentlegforskrifta § 6 siste ledd, siste setning:

Offentleg elektronisk journal for organ som er omfatta av ordninga etter fyrste ledd, skal innrettast slik at det ikkje skal vere mogleg å få treff på personnamn i innførslar i journalane som er eldre enn eit år.

Vi viser videre til Kongeleg resolusjon 17. oktober 2008 om iverksettjing av lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd og forskrift til lova: https://www.regjeringen.no/globalassets/... side 46

… Eit viktig spørsmål under høyringa har vore i kva grad det bør gjelde ytterlegare avgrensingar for å vareta personvernomsyn. I høyringsnotatet etterlyste departementet synspunkt på om det burde vere ei søkjesperre på personnamninnførslar slik at ein ikkje kunne få treff på slike innførslar i journalane som blir gjort tilgjengelege på Internett når innførslane er meir enn eitt år gamle og om systemet burde innrettast slik at det ikkje kan søkjast i journalane frå eksterne søkjemotorar. Departementet har kome til at personvernomsyn taler for at det i forskrifta blir fastsett at det skal vere ei søkjesperre slik at det ikkje skal vere mogleg å få treff på personnamninnførslar som er meir enn eitt år gamle. Kravet om at det skal vere ei slik søkjesperre gjeld berre i høve til dei organa som er omfatta av ordninga med Offentleg elektronisk postjournal, ikkje for organ som legg journalane sine ut på Internett utan å vere omfatta av ordninga. Departementet har vurdert om det burde innførast eit krav om søkjesperre også for organ som ikkje er omfatta av ordninga, men har kome til at det ikkje vil vere føremålstenleg å innføre eit slik krav no. Dette bør heller innførast ved ei eventuell utviding av kva organ som skal vere med i ordninga med Offentleg elektronisk postjournal.

Når det gjeld høvet til å søkje frå eksterne søkjemotorar, vil moglegheita til å stenge for dette avhenge av kva som til einkvar tid er teknisk mogleg. Dette eignar seg difor dårleg for regulering i forskrift. Det vil likevel bli lagt opp til at systemet, så langt det er praktisk mogleg, skal bli innretta slik at det ikkje kan søkjast frå eksterne søkjemotorar i journalane som leggjast ut. Desse avgrensingane vil berre få verknad for organ som er omfatta av plikta til å gjere journalar tilgjengelege på Internett, sidan berre desse vil vere omfatta av den felles offentlege elektroniske postjournalen.

Ein vil i nær framtid kome attende til korleis ein skal handtere ivaretakinga av personvernomsyn vedrørande mogleg bygging av personprofilar på grunnlag av postjournalar som er lagde ut på Internett av organ som ikkje er omfatta av OEP-ordninga. …

Det er konkrete krav til søket, forhindring av indeksering og ivareta personvernet med hensyn til bygging av personprofiler. Det har over tid ikke vært endring i kravene og de er fremdeles gyldige for eInnsyn. Difi er pålagt å innføre tiltak for å ivareta disse kravene. Tiltakene implementert i løsningen er valgt av etableringsprosjektet til eInnsyn. Tiltakene ble gjort etter en risikovurdering der hensynet til personvernet ble veiet opp mot krav i offentleglova, samtidig som brukeropplevelsen ikke skal bli vesentlig påvirket i negativ retning. Erfaringene så langt er at vi har truffet rimelig bra med:

• Generell høflighetsprotokoll for søkemotorer
• Begrensing av antall poster som returneres ved spørring
• Trafikkbegrensing

Vi har vært bevisst på at dette er minimumstiltak. Nye tiltak blir vurdert av produktsjef og systemeier, når man ser behov.

Vennlig hilsen

Ole Jomar Moen

Skrivarvegen 2, 6863 Leikanger
Postboks 8115 Dep., 0032 Oslo
www.difi.no

-----Opprinnelig melding-----
Fra: Hallvard Nygård <[Innsyns-e-postadresse #1436]>
Sendt: søndag 18. november 2018 00.06
Til: Moen, Ole Jomar <[epostadresse]>
Emne: Re: eInnsyn - Størrelse på resultat av søk i eInnsyn

Kjære Moen, Ole Jomar,

Dere legger begrensninger. Du sier grunnlaget er forskrift til offentlighetslova § 6, siste ledd, siste setning. Den sier kun at man ikke skal få treff på navn i eldre journalposter.

Kan jeg få utlevert saksdokumenter relatert til denne avgjørelsen? Den virker dårlig begrunnet.

Bruker alle "tiltakene" samme begrunnelse?

"(...) Og trafikkbegrensingen har slått inn og vist at den bidrar til å forhindre uønskede hendelser."

Hva definerer dere som uønsket hendelse? Hvor er saksdokumentene som definerer dette?

Hvorfor skal dere hindre etablering av skyggedatabaser? Hvilken hjemmel har dere for å gjør det?

Selv om normal Google-bruk er at man ikke blar videre enn side 12, så lurer jeg fremdeles på hvilken hjemmel og grunnlag dere har for å sette en så skarp avkutting av innhold?
Hvorfor skal dere hindre meg i å bla og bla i postlister en sen lørdagskveld? Det er mye spennende man finner ved å bla. Det hadde man ikke funnet ved å søke (vet hvilke ord man burde søke etter).

Med vennlig hilsen,

Hallvard Nygård

show quoted sections

Hallvard Nygård left an annotation ()

Samme svar ser ut til å være sendt til begge disse henvendelsene:
- https://www.mimesbronn.no/request/begren...
- https://www.mimesbronn.no/request/blokke...

Kjære Ole Jomar Moen / Difi.

Ser dere har sendt samme svar til for forskjellige henvendelser.

Denne henvendelsen, "Begrensninger i henting av offentlig journal fra Einnsyn.no (rate limit, max size 12, max offset 275)", gjelder innsyn i saksdokumentasjon rundt generelle sperrer som er lagt inn på Einnsyn.no. I spørsmålet viser jeg til 3 ulike sperrer (rate limit, max size og max offset) og jeg etterspør derfor saksnummer og dokumenter rundt at dette ble lagt inn i systemet.

Dersom slik dokumentasjon ikke er journalført, så ber jeg om at dere går tilbake og journalfører.

I svaret viser dere til Offentlegforskrifta §6. Denne viser til at man ikke skal få opp treff ved søk på personnavn dersom journalposten er eldre enn 1 år. Ser ikke hvordan dette er relevant for sperring av gitte webklienter. Dere har en slik sperre og den fungerer så vidt jeg vet.

Videre "Vi viser videre til Kongeleg resolusjon 17. oktober 2008 om iverksettjing av lov 19. mai 2006 nr. 16 om rett til innsyn i dokument i offentleg verksemd og forskrift til lova: https://www.regjeringen.no/globalassets/... side 46". Dere viser her ikke til noe konkret og noe av det dere viser til er tatt med i Forskrift til Offenteglova. Resolusjonen gjentar det samme angående treff ved søk på personnavn. Videre omtales ekterne søkemotorer. Vennligst henvis spesifikt.

Jeg finner ikke at henvisningen er relevant for min innsynshenvendelse ang. dokumentasjon for at dere har valgt å legge inn disse sperrene.

Avslutningsvis omtaler dere krav som er videreført i Einnsyn.no samt en risikovurdering. Dette er relevant for min innsynshenvendelse og jeg ber om at dette oversendes snarest.

Konkret hadde det vært av interesse å se dere vurdering av "max offset" opp mot Offentleglova §10 ("Plikt til å føre journal. Tilgjengeleggjering av journalar og dokument på Internett") og Forskrift til Offentleglova § 6 ("Tilgjengeleggjering av journalar på Internett"). Dere bryter jo tross alt loven på vegne av alle som er pålagt å bruke Einnsyn.no. Journalen blir ikke fullstendig publisert.

Med vennlig hilsen,

Hallvard Nygård

Postmottak DIFI, Agency for Public Management and eGovernment (Difi)

Dette er en automatisk generert e-post som bekrefter at din henvendelse er
mottatt.
Henvendelsen vil bli behandlet så snart som mulig.

Dette er ein automatisk generert e-post som stadfester at din førespurnad
er motteken.
Førespurnaden blir handsama så snart som mogleg.

This is an automatically generated e-mail to acknowledge receipt of your
request.
The request will be responded as soon as possible.

 

Arkivet i Difi
Direktoratet for forvaltning og IKT

Direktoratet for forvaltning og IKT (Difi) 
Postboks 8115 Dep, 0032 Oslo
Tlf. sentralbord: 22 45 10 00 
[1][Difi - Direktoratet for forvaltning og IKT henvendelses-e-postadresse]    [2]www.difi.no

References

Visible links
1. mailto:[Difi - Direktoratet for forvaltning og IKT henvendelses-e-postadresse]
2. http://www.difi.no/

Postmottak DIFI, Agency for Public Management and eGovernment (Difi)

6 Attachments

 

Hei,

 

Jeg tenker at du som svar kan sende han doknr. 16/00246-13 og teksten jeg
har formulert under her:

Difi viser til din e-post datert 3.11.2018 med spørsmål knyttet til «Rate
limit, max size 12.max offset 275» og påfølgende korrespondanse, senest
ved e-post fra deg den 27.12.2018 hvor du ba om å få utlevert
saksdokumenter. 

Det er implementert tiltak i eInnsyn for å motvirke nedlasting av data
basert på grensesnittet som er ment for manuelle søk
(«skraping»/«webscraping»). Dette fordi skraping gjør de personvernøkende
tiltak i eInnsyn ineffektive. Konkret kan man med denne typen nedlasting
omgå søkesperren på personnavn, jf. offentlegforskrifta § 6 fjerde ledd
tredje punktum, og man kan gjøre sammenligninger av virksomhetenes
journaler fra forskjellige tidspunkt og på den måten identifisere
informasjon som er tilbakekalt.

Mulighetene for skraping var et tema allerede da Difi forvaltet OEP (den
tidligere fellesløsningen for statlige organers publisering av elektronisk
offentlig postjournal) og det var et tema under utviklingen av dagens
løsning, eInnsyn. I utviklingsprosjektet for eInnsyn var det diskusjoner
knyttet til dette blant annet i referansegruppemøter med sluttbrukere. I
brev til Kommunal- og moderniseringsdepartementet den 21.8.2017 gav Difi
en redegjørelse for temaet. Brevet ligger vedlagt. Dersom du ønsker en
utdypende redegjørelse for hvorfor det er implementert tiltak for å
motvirke skraping av eInnsyn, se brevets pkt. 1.3.

Difi innvilger innsyn i brev til Kommunal- og moderniseringsdepartementet
den 21.8.2017, doknr. 16/00246-13, som utdyper bakgrunnen for at det i
eInnsyn er implementert tiltak for å motvirke skraping.

 

Med vennlig hilsen

[1]logo

Direktoratet for forvaltning og IKT (Difi)

Postboks 1382 Vika, 0114 Oslo

Tlf. sentralbord: 22 45 10 00

[2]www.difi.no

 

 

References

Visible links
2. http://www.difi.no/