Truet til taushet av Iam.no

Søketjenesten iam.no ble lansert i midten av september med slagordet “Iam viser deg all informasjon som finnes om deg (og alle andre) på nettet!”. Dette inkluderte fødselsdato, fødselsår og stjernetegn, og det førte umiddelbart til massiv oppmerksomhet i media, en masse henvendelser til firmaet og ledelsen og mange spørsmål til Datatilsynet.

Jeg startet Facebookgruppen “Stopp iam.no” som fikk 3000 medlemmer i løpet av to dager (nå har den 32 000). Jeg fikk svært mange henvendelse fra frustrerte folk som ønsket å få fjernet informasjonen på Iam.no. Det var mange som mente at Iam la ut hemmelige nummer, uriktig informasjon, informasjon om avdøde og informasjon om mindreårige.

Datatilsynet sendte et brev med rekke kritiske spørsmål om tjenesten der de blant annet spør om lovligheten, kildene som er benyttet, hvordan virksomheten sikrer at personopplysningene er korrekte og oppdaterte, hvordan de forhindrer at  skjulte telefonnummer og adresser publiseres og rutniner for korrigering av opplysninger.

Svarbrevet fra Iam har kommet, men de har krevd at dette skal unntas offentlighet. Det ligger en sensurert versjon av brevet på Datatilsynets sider. Der hevder de at de kun får informasjonen sin fra tre kilder; Easy Connect, Google og brukerne selv. Dette har trolig endret seg fra da siden ble lansert.

Iam har gjort noen forbedringer fra den opprinnelige versjonen. De har blant annet fjernet koblingen til skattelistene og fødselsåret. Det har blitt påpekt av Datatilsynet at det ikke er lov å legge ut både fødselsdato og år før da Finnfirma.no prøvde på det samme. Dette er positivt, men det er allikevel ikke nok.

Samtidig med at mange har kontaktet Iam.no, er det også mange som har kontaktet annonsørene til Iam.no for å informere dem om hva slags tjeneste de støtter. Det at så mange av annonsørene har trukket seg har ført til store vansker for Iam.no, og det er en egen Facebook-gruppe som heter “Boikott annonsørene til Iam.no“. Gruppen ble startet av Trømsøværingen Øyvind Lockertsen, og har jobbet aktivt for å bevisstgjøre annonsørene. Dette har tydeligvis satt sinnene i kok hos Iam.no, for Lockertsen har nå mottatt trusler om søksmål. Her er brevet fra advokatene til Iam.

Det er personopplysningsloven som skal beskytte ditt og mitt personvern. Det er godt mulig at Iam.no bryter denne på flere områder (§ 8 + § 28). Dersom de kun hadde drevet en nummeropplysningstjeneste hadde virksomheten vært legitim. Jeg tror ikke folk vil ha hjelp til å sammenstille og publisere såkalt “tilleggsinformasjon” som stjernetegn og fødselsdato. Det er egentlig dette debatten har dreid seg mye om.

Nummeropplysningstjenester bør kun ha lov til å legge ut informasjon som er relevant, dvs. navn, telefonnummer og addresse til personen. Tilleggsinformasjon som stjernetegn og fødselsdato bør kreve aktivt samtykke fra den det gjelder, også selv om dette finnes andre steder på nettet og det kun er snakk om en sammenstilling. Jeg vil sette foten ned for tjenester som iam.no, som sammenstiller og legger ut personopplysninger uten å hente inn samtykke først. Her må vi åpenbart vurdere å styrke lovverket.

Nå er det opp til Datatilsynet å avgjøre hva som skal skje med Iam.no videre. Datatilsynets rolle er ikke å være en slags moralens vokter, de skal se på de juridiske sidene ved dette. Det er åpenbart at de har hatt en vrien oppgave når det gjelder å vurdere lovligheten ved denne tjenesten, fordi det har dukket opp flere nye problemstillinger i forbindelse med denne saken. Det å videreformidle informasjon fra flere elementer gjør at man får en utfordring med å plassere det juridisk ansvaret. Dessuten omfattes nummeropplysning av Ekomforskriften. Spørsmålsstillingen blir da; hvem har ansvar for hva? Teleoperatøren har et ansvar. Men hvem har ansvaret for kvaliteten i nummeropplysningsdelen?

Datatilsynet har som mål å komme med svaret sitt i løpet av neste uke. Jeg håper de setter foten ned for tilleggsinformasjonen, og at svaret gir mer klarhet i forhold til lovgivningen. Kanskje Iam.no ser litt mer ut som parodi-siden iamnot.no etter neste uke? Håper det.

Se også artikkel på Hegnar.no (09.11.2009)- Venstrepolitiker vil ta ned skandalenettsted

Mine viktigste innvendinger mot Iam.no:

1. Personlig informasjon er personlig – del gjerne det du vil med andre, men det er ikke ok når en tredjepart begynner å publisere personopplysninger om deg uten ditt samtykke.

2. Man kan ikke reservere seg – Iam.no henter mye informasjonen sin fra teleselskapene gjennom Easy Connect. I dag må man inngå et kundeforhold med Iam.no for å “ta kontroll over opplysningene”. Det innebærer at man må samtykke til at denne informasjonen kan bli brukt til markedsføring. Alternativet er å få hemmelig nummer hos teleoperatøren (dette er en betalingstjeneste hos de fleste).

3. Tjenester som Iam.no gjør identitetstyveri enklere - Får man tak i fødselsdato og fødselsår på en person, er det lett å finne de siste 5 sifrene i personnummeret.

4. Iam.no sprer uriktige opplysninger – Svært mange har meldt om at det ligger feilaktig informasjon ute. Dette kan være svært uheldig. Hvis du har et svært vanlig navn er det nesten umulig for Iam å vite om du er den “Per Hansen” som er “verdensmester i mobiltelefonkasting” eller den som er “anmeldt for salg av brennevin til mindreårige”.

5. Iam.no kan sette personer i fare – Det finnes flere eksempler på informasjon som aldri burde ligget ute.

Loading Facebook Comments ...

15 Thoughts on “Truet til taushet av Iam.no

  1. Hei,
    Du skriver: ” Nummeropplysningstjenester bør kun ha lov til å legge ut informasjon som er relevant, dvs. navn, telefonnummer og addresse til personen. Tilleggsinformasjon som stjernetegn og fødselsdato bør kreve aktivt samtykke fra den det gjelder, også selv om dette finnes andre steder på nettet og det kun er snakk om en sammenstilling. Jeg vil sette foten ned for tjenester som iam.no, som sammenstiller og legger ut personopplysninger uten å hente inn samtykke først. Her må vi åpenbart vurdere å styrke lovverket. ”

    Betyr dette at din kamp primært ligger i å fjerne lovligheten av å publisere fødselsdato fra nummeropplysningstjenester? Ja – og aggregert informasjon som følge av dette selvfølgelig (stjernetegn).. Jeg klarte ikke å forstå sammenhengen mellom dette sitatet og 5 punkts listen som omfatter mer eller mindre ukonkrete påstander som “Iam.no kan sette personer i fare”, “Tjenester som Iam.no gjør identitetstyveri enklere”, “Personlig informasjon er personlig”, “Iam.no sprer uriktige opplysninger” .. Dette er da vel påstander som egentlig trenger en forankring i noe konkret? Dersom kilden inneholder feil som følger til disse 4 punktene vil dette også være et problem hos øvrige nummeropplysningstjenester? Jeg regner med at du derfor mener at kampen mot IAM egentlig er kampen mot at fødselsdato eller år, samt den informasjon man kan skape som følge av dette? I så fall – hvorfor er IAM synderen når dette er gjort lovlig ???

  2. Christoffer Biong on November 10, 2009 at 2:35 pm said:

    Hei Trygve!
    For å svare på spørsmålet ditt: Ja, jeg mener at fødselsdato og år ikke har noe i en nummeropplysningstjeneste å gjøre. Det bør man selv få velge om man vil dele med andre eller ikke. Jeg skal utdype akkurat det.

    Hittil i år er det foretatt dobbelt så mange ID-tyverier som i 2008. http://www.tv2nyhetene.no/innenriks/1808-personer-i-aar-har-blitt-frastjaalet-sin-identitet-2913478.html

    For å foreta et id-tyveri trenger man personnummer (de fem siste sifrenene). Det brukes f. eks. om man vil åpne en konto eller et mobilabonnement i en annen persons navn. Det å finne andres personnummer er skremmende enkelt når man har fødselsdato og år. De siste fem sifrene er laget med en sipel algoritme. Dvs. at hvis det er født 250 menn f. eks. 14.04.1989, så har disse kun 250 mulige personnummer. Se her for å finne ditt eget: http://ranvik.net/privat/fnummer/fnummer.html Se også denne mer utdypende artikkelen: http://linux1.no/artikkel/2773/personnummer-hvor-vanskelig-er-det-sjekke-250-mulige

    Hvis man vet fødselsdato og fødselsåret og kjønn på en person, er det med andre ord enklere å foreta et id-tyveri. Det “kan sette folk i fare”. Min oppfatning er at vi i allefall ikke trenger å gjøre det enklere enn det er og at vi bør se på sikrere måter å identifisere folk på.

    Blogginnlegget mitt ble langt, det er derfor begrunnelsene korte. Men jeg baserer dem på tilbakemeldinger fra folk i gruppa: det er 32 000 medlemmer og mange har kommet med tilbakemeldinger om meg. Men det er liten tvil om at det å sammenstille informasjon fra flere kilder fort blir en “lapskaus” av personopplsyninger, og at det er svært vanskelig å koble riktig informasjon og framstille dette i en profil. Jeg finner f. eks. min avdøde farmor på iam.no, det liker jeg dårlig. De melder om at “hun er bosatt i Oslo” og har stjernetgn vannmannen. Det finnes mange andre eksempler på profilene er uriktige, men ja, du har rett i at dette som regel skyldes at det ligger feil informasjon hos kildene (Easy Connect), men dette blir enda verre når det sammenstilles fra feil informasjon fra steder.

    “kampen mot IAM egentlig er kampen mot at fødselsdato (ja, først og fremst- siden de nå har fjernet sammenkoblingen med skattelistene) eller år (det har de allerede fjernet), samt den informasjon man kan skape som følge av dette? I så fall – hvorfor er IAM synderen når dette er gjort lovlig.” – Det er opp til Datatilsynet å vurdere lovligheten. Men som sagt har tjenesten allerede blitt “litt snillere” – det er bra!

    Takk for kommentaren!
    Mvh Christoffer

  3. Hei,
    Takk for godt svar – lengde betyr ofte også dybde!:) Bare for å få det klart og tydelig – betyr det at dersom IAM hadde fjernet fødselsdato og stjernetegn, så ville du akseptert tjenesten på lik linje med de øvrige nummeropplysningstjenestene?
    Eller ville da problemet vært andre elementer i tjenesten? Jeg bare lurer ettersom iam.no begynner å bli veldig lik alle andre tjenester – og dersom man ser på f.eks. finnfirma.no eller koblingene nettavisene gjør til skattelister – blir det som nå vises på iam.no relativt harmløst? Altså – konkret – dersom iam.no var uten fødselsdato og stjernetegn, ville du avsluttet ditt engasjement mot tjenesten iam.no ??

  4. Rune Sunde on November 10, 2009 at 4:30 pm said:

    Hei, bra skrevet, det er tydlig at de bryter loven, bare se på skriftlig svar jeg fikk fra Chess.no. Dette kan dokumenteres:

    Jeg spurte nettopp Chess hva de syntes om saken da jeg ville fjerne mitt eget nummer, her kan dere se hva de skrev:

    Chess har forøvrig stoppet overføring av kundedata til nummeroplysningsaktør EasyConnect fordi de har videresolgt denne informasjonen til iam.no som ikke driver nummeropplysningsvirksomhet. Det er brudd på retningslinjene gitt av Post- og Te…letilsynet og er brudd på vilkårene i avtalen mellom Chess og EasyConnect.
    I tillegg er det sendt brev til EasyConnect hvor vi krever at alle data om våre kunder blir slettet fra EasyConnects database og fra iam.no og eventuelt andre EasyConnect har videresolgt informasjon om våre kunder til. Sletting av data ved mislighold av avtalen er også ivaretatt i avtalen mellom EasyConnect og Chess.

    Vi vil vurdere rettslig skritt mot Easy Connect dersom de ikke etterkommer våre krav.
    Dette er under oppfølging.

    Med vennlig hilsen

    Chess Kundeservie

  5. Christoffer Biong on November 10, 2009 at 4:49 pm said:

    Ja, langt på vei! Men da må de også sørge for at folk kan reservere seg mot tjenesten på en enkel måte, dvs. uten å måtte inngå et kundeforhold med dem eller få skjult nummer. Jeg må også legge til at jeg er skeptisk til denne måten å sammenstille forskjellige kilder og presentere det som at det er “din profil.” fordi det er vanskelig å kvalitetssikre, og om du velger å legge ut personopplysninger om deg selv på et sted bør det ikke være noen automatikk i at det er lov til å sammenstille dette med informasjon fra andre steder. Utgangspunktet mitt er at hver enkelt bør ha kontroll over sine personopplysninger.

    Jeg er ikke en prinsipiell motstander av nummeropplysniningstjenester. Men jeg mener at de kun bør ha lov til å legge ut basisinformasjon: navn, telefonnummer addresse, og at de må ha samtykke fra hver enkelt hvis de skal publisere informasjon som går ut over dette. Dette kommer neppe klart nok fram i Ekomforskriften i dag, men det er fordi vi står overfor en ny problemstilling fordi iam.no er en slags hybrid mellom nummeropplysning og søkemotor.

    “Nummeropplysningsvirksomhet omfatter ikke verdiøkende virksomhet i egen eller andres salgs- og markedsføringsøyemed til annen bruk enn nummeropplysning.” (Ekomforskriften § 6-3) Og videre: Plikter etter denne bestemmelsen innskrenker ikke sluttbrukers rettigheter fastsatt i eller i medhold av personopplysningsloven.

    Min konklusjon er at iam.no bruker personopplysningene til andre formål enn kun nummeropplysning (behandlingsformålet) ved å tilby “tilleggstjenestene”. Og uansett om iam.no er en søkemotor eller opplysningsstjeneste er denne “tjenesten” tvilsom i forhold til personopplysningsloven. Nå er det bare å vente på Datatilsynets avklaring i forhold til det juridiske. Følgende står i personopplysningsloven:

    Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for

    a) å oppfylle en avtale med den registerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, (det gjør ikke iam)
    b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse, (det gjør ikke iam, men dette gjelder teleselskapene som har plikt til å utlevere informasjon til nummeropplysning)
    c) å vareta den registrertes vitale interesser, (det gjør absolutt ikke iam)
    d) å utføre en oppgave av allmenn interesse, (det gjør ikke iam, de er en komersiell virksomhet)
    e) å utøve offentlig myndighet, eller
    f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. (Personvernet overstiger denne interessen)

    Det er bra at iam.no har blitt en “snillere” tjeneste. Men vi er fortsatt ikke helt i mål!

  6. Hei igjen,
    Beklager om dette blir veldig konkritisert – men jeg mener debatten bør materialisere seg i konkrete mål, og da aller helst gjennomførbare mål / krav. Dersom IAM.no hadde tatt bort fødselsdato, stjernetegn samt innført en reservasjonsløsning som ikke krever kundeforhold – vil du da si at dette er en grei tjeneste? Jeg antar at reservasjonsløsningen ville kompensere for evt negative konsekvenser i kombinasjon med at man kan endre innholdet i oppføringene i en “registrert” bruker login. Tjenesten er jo best tjent med at brukere opplever den som bra, ikke “ond” ?

    Dette virker som relativt fornuftige “krav” – kan man ikke ta opp dette med selskapet på en saklig og fornuftig måte, samt da gi noen gulrøtter dersom de faktisk gjennomfører tiltak? Det virker som om det pr dags dato er en skyttergrav mentalitet der fokus på “løsninger” ikke er særlig interessant for noen av partene?

  7. Lennart on November 10, 2009 at 5:13 pm said:

    Personlig synes jeg ikke fødselsår er noe problem i seg selv. Problemet oppstår på det tidspunktet man får alle 6 numrene, slik at disse kan kobles og i neste omgang konverteres til et personnummer. For meg er det slik at selv om alder i seg selv ikke har noe med nummeret til en person å gjøre, så vil det definitivt hjelpe meg å orientere meg frem til rett person dersom jeg fikk vite alderen, spesielt når det er vanlige navn. Fødselsdatoen og måneden er i så måte uinteressant.

    Jeg er enig i at man bør kunne reservere seg direkte og ikke måtte gå via via. Det er dessuten mitt valg hvorvidt jeg vil stå oppført hos Gulesider og ikke i Iam.

  8. Christoffer Biong on November 10, 2009 at 5:54 pm said:

    @Rune – Ja, det ser ut til at Chess mener at Iam.no ikke kan defineres som en “nummeropplysningstjeneste” siden de vurderer å gå til rettslige skritt. Teleoperatørene er pliktige til å utlevere informasjon til nummeropplsyningsvirksomhet.

    @Trygve – Godt forslag! Jeg synes at iam hadde vært en ok tjeneste om de hadde gjort som foreslått. Jeg har faktisk mottatt en henvendelse fra styreleder Odd Harald Hauge, der han er mer åpen for dialog. Jeg lurer på om jeg skal poste den som et eget innlegg. Men det er kanskje greit å vente til Datatilsynet også kommer med sin uttalelse.

  9. Lennart on November 10, 2009 at 6:06 pm said:

    Svar meg også da Christoffer :)

  10. Christoffer Biong on November 10, 2009 at 6:26 pm said:

    Ok Lennart! I dag kan man få fødselsdatoen til folk på iam.no og finnfirma.no (birthday.no er visst nede). Godt mulig det er flere steder også. På skattelistene finner man fødselsåret til samtlige nordmenn som leverer inn likning.

    Kun Norge har fødselsnummer, andre land har lignende systemer som ikke er fødselsnummer da de har andre navn. Sverige har Personnummer, Danmark har CPR-nummer, Finland har Personbeteckning, Storbritannia har National Insurance number, USA har Social Security number, Island har Kennitala, Italia har Codice fiscale, og så videre.

    Den beste løsningen var om vi fant andre sikrere måter å identifisere folk på, men det er jo en litt annen debatt.

    Men et sted må man jo trekke en grense mellom det som bør være privat, og det det er ok at allmennheten vet. Hvor den grensen går kan man jo diskutere. Jeg mener at det i utgangspunktet kun børe være nødvendig med navn, addresse og telefonnummer i nummeropplysningstjenester, og så må de som selv ønsker å stå oppført med mer enn dette gjerne gjør det.

    Men Datatilsynet har egentlig sagt det samme som deg. Senest i mars i år påpekte de dette overfor finnfirma.no: “Datatilsynet har vurdert publiseringen av fødselsdag (dvs. dag og måned) til å være tillatt etter personopplysningslovens § 8 bokstav f. Tilsvarende vil gjelde for alder, men ikke fødselsdag med år/alder.”

    http://www.datatilsynet.no/upload/Microsoft%20Word%20-%2009-00032-6%20Tjenesten%20persons%C3%B8k%20p%C3%A5%20finnfirma.no%20446285.pdf

    Jeg vil bare være enda litt strengere enn Datatilsynet :)

    Her er definisjonen av sensitive personopplysninger:
    a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning,
    b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling,
    c) helseforhold,
    d) seksuelle forhold,
    e) medlemskap i fagforeninger.

  11. Lennart on November 10, 2009 at 6:59 pm said:

    Takk takk, nå kjenner jeg meg ikke mindreverdig lengre :).

    Jeg er relativt godt kjent med nettets mekanismer og -kultur og derfor rimelig sikker på at den fremtidige løsningen for å hindre ID-tyveri, ikke ligger i å holde skjult fødselsdato og -år. Det meste av tannkremen er allerede ute av den tuben. (Jeg tror således at Iam ikke var noen åpenbaring for ID-tyver, ettersom dette har ligget åpent til samling tidligere.)

    Løsningen mener jeg bestemt ligger i hvordan man identifiserer seg hos instanser som har en eller annen form for betydelig verdihåndtering. Bruk av personnummer som identifisering bør erstattes med alternative løsninger så fort som mulig. Det er i realiteten her problemet ligger. Mange forslag har vært oppe og prosessen for å komme frem til en alternativ løsning vil det på alle måter være nyttig å fremskynde. Jeg håper at debatten rundt Iam hvor du som politiker har vært sentral, kan brukes for alt det er verdt til det formålet.

  12. Hei, jeg syntes også alder egentlig er relevant for en nummeropplysningstjeneste – dette da man faktisk kan bruke det som filter på hvem man leter etter. Fødselsdag er jo noe man ikke kan bruke i den sammenheng, dog som et interessant element i en adresseliste eller noe – altså for de man kjenner. Jeg syntes derfor at en endring vekk fra fødselsdato åpent for alle, visning av alder i et segment (30-35 år f.eks) samt en god reservasjonsløsning hadde gjort jobben mht iam.no – enig?
    Mvh
    Trygve

  13. Ikke nice, jeg fant mitt personnummer i den algoritmen, satan så dritt..

    • Christoffer Biong on November 16, 2009 at 10:18 am said:

      Rols: Jeg er enig med deg. Det er derfor det er så viktig å ha klare rammer for hva en nummeropplysningstjeneste kan publisere av personopplysninger.

      Mikkel: ja, det er egentlig skremmende enkelt å finne ut av personnummeret til noen.

  14. Bruk av fødselsnummer som ID er det faktiske problemet.

    Algoritmen for utregning er gjengitt i Norges lover! Det jo tross alt ikke bare i opplysningstjenestene man finner fødselsdatoer. Ganske ofte er det gjengitt i avisartikler – og for flere og flere også på Wikipedia. Det tar akkurat 2 minutter å finne ut av dette med.

    Christoffer. Det er her skoen trykker. (Jeg ser forøvrig at Iam har gått bort fra fødselsdato og over på alder)

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation