Personvern og bruk av Google Analytics på nettsidene

Innsynsførespurnaden var delvis vellukka.

Kjære Aker sykehus,

Jeg har et spørsmål når det gjelder bruken av Google Analytics og evt andre sporingstjenester på deres nettsider og personvernpolicyen deres. Kan dere garantere for at tredjepart kun får anonymiserte data om brukerne av deres nettsider? Og hvordan kan dere eventuelt garantere dette?

Med vennlig hilsen,
Iselin Fjeld
journalist, NRK Dagsrevyen

P. Reinholdtsen la igjen ein bemerkning ()

Jeg sjekket med Mimes brønn hvor denne meldingen tok veien, i og med at Aker sykehus nå er slått sammen til Oslo Universitetssykehus og det ikke er kommet svar innefor fristen satt for innsynshenvendelser. Eposten ble bekreftet mottatt 2016-12-28 13:09:19 av epostmottaksmaskinen mx2.oslo-universitetssykehus.no som hadde IP-adresse 91.186.69.92. Mottaket ble bekreftet med kvitteringsmeldingen "Message 107129108 accepted".

Bjørn Tiller,

1 Attachment

Vi takker for henvendelsen og viser til vedlagte notat hvor spørsmål
besvares.

 

--
mvh

Bjørn Tiller
Webmaster
Kommunikasjon
Oslo universitetssykehus HF
mobil 99 27 29 14
Besøk: Kirkeveien 166 (Ullevål sykehus) 
[1]www.oslo-universitetssykehus.no

IKKE SENSITIVT INNHOLD

Opprinnelig henvendelse:

 

> Kjære Aker sykehus,

>

> Jeg har et spørsmål når det gjelder bruken av Google Analytics og evt
andre sporingstjenester på deres nettsider og personvernpolicyen deres.
Kan dere garantere for at tredjepart kun får anonymiserte data om brukerne
av deres nettsider? Og hvordan kan dere eventuelt garantere dette?

>

> Med vennlig hilsen,

> Iselin Fjeld

> journalist, NRK Dagsrevyen

 

References

Visible links
1. http://www.oslo-universitetssykehus.no/

P. Reinholdtsen la igjen ein bemerkning ()

I svaret står det at OUS har fått beskjed fra «Direktoratet for e-helse at det er lagt inn anonymiseringskode, ved at de har satt inn ga('set', 'anonymizeIp', true), slik at IP-adressen maskeres, og at det heller ikke lagres noen andre cookies for sporing eller demografiske øyemed.» Det er ikke helt riktig.

Når en besøker nettsiden til Aker sykehus[1] så blir en videresendt til Oslo Universitetssykehus (med bakgrunn i omorganisering av sykehusene i Oslo). Denne siden bruker Google Analytics, og komplett IP-adresse sendes over til Google både når nettleseren henter ned et JavaScript-program[3] og når dette programmet utføres, samler inn informasjon og sender informasjonen over til Google[4]. I følge Google selv[5] må den siste henvendelsen inneholde «aip=1» hvis en ber Google fjerne en bit av innsenderenes Internett-adressen (det som misvisende kalles anonymisering av Google Analytics-data). Min nettleser ble ikke bedt om å bruke aip=1 da jeg testet for noen minutter siden[4], og uavhengig av dette ble fullt IP-nummer og hvilken nettsted jeg besøkte sendt over til Google både ga analytics.js ble lastet ned og når detaljene om min maskin ble sendt over[4]. Dermed vil IP-adressen for besøkende gjøres tilgjengelig for Google og alle som kan lytte på nettet på veien mot Google (f.eks. ISP, FRA, NSA, GCHQ).

[1] http://www.akersykehus.no/
[2] https://oslo-universitetssykehus.no/
[3] https://www.google-analytics.com/analyti...
[4] https://www.google-analytics.com/r/colle...
[5] https://support.google.com/analytics/ans...

RFC2045 la igjen ein bemerkning ()

Ikke så relevant lenger, men eForvaltningsforskriftens §6 krever følgende:

«Et forvaltningsorgan som mottar henvendelser i elektronisk form skal gi bekreftelse til avsender om at en henvendelse er mottatt.

Bekreftelse bør gis straks henvendelsen er mottatt. Den bør inneholde et referansenummer eller lignende og angi på hvilket tidspunkt henvendelsen ble mottatt.»

https://lovdata.no/forskrift/2004-06-25-...

RFC2045 la igjen ein bemerkning ()

Forskrift om IT-standarder i offentlig forvaltnings § 5. Obligatoriske standarder for tekstdokumenter som vedlegg til e-post:

«Ferdigstilte tekstdokumenter som skal sendes som vedlegg til e-post fra forvaltningsorganer til innbyggere og næringsliv, skal utformes i PDF 1.4-1.6, PDF 1.7 (ISO 32000-1) eller PDF/A (ISO 19005-1).

Forvaltningsorganer skal kunne ta i mot vanlige dokumentformater som for eksempel Open Document Format (ODF) og Office Open XML (OOXML).»

https://lovdata.no/forskrift/2013-04-05-...

Dvs. dokumentet må sendes ut som .pdf, ikke .docx.

RFC2045 la igjen ein bemerkning ()

Det kan være verdt å be om en kopi av databehandleravtalen.

Paul-Olivier Dehaye la igjen ein bemerkning ()

The main goal of Google Analytics is to track down individuals and match them up with demographic information, so detailed statistics about usage can be given to the website owner.
The website owner does not see personal data, but Google does. Google obscures this thanks to the snippet of text that they require website owners to add to their privacy policy.
I don't know Norwegian data protection law, but in European law (implemented through member states law) the following is true: since the website is the data controller, it is still the website that is responsible to respond to subject access requests, i.e. to individuals who exercise their fundamental right of access to their personal data. In other words, you can ask the website owner for access to your personal data held by Google by giving them a cookie value, and that website will be forced to ask Google for the data tied to that cookie value. This is particularly true if you have some login or whatnot on that website, because then there is definitely a potential for the website owner to tie your login to your Google Analytics value.
So you can make that type of personal data requests (not freedom of information requests), and afterwards, for extra fun, try to get a copy, through freedom of information, of all the processing notes associated to your initial request. Very instructive, usually.