Postens nye "Digipost" bryter med god markedsskikk ved å lure deg til å skrive under på uakseptable Avtalevilkår som går alt for langt i forhold til hvilke data de vil samle på. Kundevilkårene kan få det til å gå kaldt nedover ryggen på selv de mest systemtroe borgere. Dette går mye lengre enn bare å skulle reservere seg mot reklame. Posten legger vekt på din rett til å reservere deg mot reklame, men retten til å begrense deling av sensitiv informasjon ser jeg ikke at man kan reservere seg mot.
Avtalevilkårene godtar man automatisk første gang logger på Digipost. Der andre tilbydere ville gitt brukeren en opsjon til å sjekke av hvis de VILLE motta reklame og aksepterte at Posten kan dele ALT med hvem de vil, har Posten gjort det motsatte: De har gjort jatakk-reklame og jatakk-personnummer-til-hvemdevil til en opt-out, altså, du må foreta deg en aktiv handling for å IKKE automatisk akseptere en etter mitt skjønn ganske drøy kontrakt. I punkt 4.3. går du med på at Posten kan spamme epostadressen din (noe de bedyrer at de ikke kommer til å gjøre selv om de insisterer på å få tillatelse til å gjøre det) - mine uthevinger i dette sitatet (tekst som er strøket ut har blitt rettet etter at denne blogposten ble skrevet men det spiller lite rolle, det samme dekkes i pkt 8.):
Brukeren gir videre Posten tillatelse til å benytte Digipost og den e-postadresse som Brukeren har oppgitt ved registrering, til å rette markedsføringshenvendelser og andre henvendelser til Brukeren, og til å utlevere grunndata (navn, adresse, telefonnummer og fødselsdato) til tredjepart for bruk ved markedsføringshenvendelser (adressemekling). Brukeren kan stenge for andre brukeres og kunders søk etter Brukerens adresse i Digipost eller reservere seg mot markedsføringshenvendelser fra Posten eller tredjepart, ved å endre innstillingene for dette i Digipost. (dette er ikke mulig i dagens løsning - Carls anmerkning).
Man blir altså avkrevet en blankofullmakt som gjør Posten istand til å overlevere dine "grunndata" - les adresse, navn, telefonnummer og fødselsdato og en masse annet -- til en hvilken som helst tredjepart.
I pkt. 8 tar det helt av. Der fremgår det at Posten kan samle data om deg -- personopplysninger -- inklusive vurderinger. Når de snakker om "behandling" av dine persondata, mener de innsamling, registrering, sammenstilling, lagring og ikke minst, utlevering av slike persondata. Dette kan du IKKE reservere deg mot, men du kan få sjekke at opplysningene stemmer. Jeg lurer på hvor tilgjengelige Postens egne vurderinger av deg som kunde blir for den det gjelder.
Hold deg fast. Persondata som kan behandles og deles inkluderer navn, kontaktinfo, fødselsnummer (!!!), profilinformasjon (som du velger å gjøre tilgjengelig), cookies (som du ikke kan slå av når du er på Digipost), din bruk av Digipost, trafikkdata, dine adresseliste (!!!), samt kredittkort - og annen betalingsinformasjon (mine uthevinger):
8.1. Samtykke og behandlingsgrunnlag.
Ved bruk av Digipost vil det bli behandlet personopplysninger om Brukeren. Med personopplysninger menes opplysninger og vurderinger som kan knyttes til en enkeltperson. Hvilke opplysninger som behandles, er inntatt i punkt 8.2 nedenfor. Med behandling menes enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
Personopplysninger i Digipost vil bli behandlet for å oppfylle rettigheter og plikter etter disse Vilkårene, jf. personopplysningsloven § 8 a). I tillegg vil personopplysningene bli benyttet blant annet for å forbedre Digipost og rette markedsføringshenvendelser til Brukeren, jf. personopplysningsloven § 8 f). Brukeren samtykker med dette til behandling av samtlige personopplysninger som er omhandlet under punkt 8.2 nedenfor.
8.2 Personopplysninger som behandles
Det samles inn informasjon om Brukeren og kunder i forbindelse med opprettelse av bruker/konto i Digipost og videre bruk av Digipost. Følgende personopplysninger samles inn og behandles om Brukeren og kunder:
• Navn
• Kontaktinformasjon: Adresse, telefonnummer, e-postadresse
• Organisasjons- og fødselsnummer
• Profilinformasjon: Alder, kjønn og annen informasjon Brukeren eller kunden velger å gjøre tilgjengelig
• Elektronisk identifikasjon (IP-adresse, cookies)
• Informasjon om Brukerens og kundens bruk av Digipost-løsningen
• Trafikkdata
• Adresseliste
• Kredittkort- og annen betalingsinformasjon i tilfeller hvor dette er nødvendigAll opplysninger som er innhentet fra Brukeren, vil være tilgjengelige for Brukeren via Digipostkontoen, og kan rettes av Brukeren via Digipostkontoen eller Postens tjeneste for adresseendring. Det tas forbehold om at enkelte endringer kan kreve godkjenning før de aktiveres i Digipost.
8.4 Utlevering av personopplysninger til tredjepart
Dersom det er en forutsetning for å sende, motta eller arkivere Meddelelser, eller utføre andre tjenester i Digipost, vil personopplysninger som er nødvendig for å utføre slik tjeneste bli utlevert til tredjepart.
Med unntak som følger av Vilkårene, vil ikke personopplysninger bli utlevert til tredjepart for kommersielt bruk. Posten deler informasjon som ikke er identifiserbar på personnivå med tredjeparter for å hjelpe til å bedre kunne forstå bruksmønster for ulike typer Meddelelser, tilbud, annonsering og annen tjenester/funksjonalitet knyttet til Digipost.
På direkte spørsmål til kundesenter, får jeg beskjed om at man kan reservere seg i løsningen. Da jeg gikk tilbake til løsningen for å reserverer meg, oppdaget jeg en liten detalj: Opt-out knappen finnes ikke. Den er ikke implementert, men kommer "i god tid" før de "eventuelt" starter med reklame, noe de sier de kun vil gjøre "hvis kundene ønsker det." Spørsmålet er jo om man kan reservere seg mot at Posten sparer på all den informasjonen som nevnes i 8.2.
Og i tilfelle id-tyveri, har Posten begrenset sitt ansvar til kr. 30.000.
Er det noe jeg ikke har fått med meg?
Les også Postens svar med mine kommentarer og en god diskusjon.
Pnk. 8 i brukeravtalen:
8.3
Bruk av fødselsnummer
For at Brukeren skal kunne logge seg på sin personlige Digipostkonto, må Brukeren benytte sitt fødselsnummer (11 siffer) samt et selvvalgt passord. For å få tilgang til Meddelelser hvor avsender har stilt høyere krav til sikkerhet må Brukeren logge på med sitt fødselsnummer og sin valgte autentiseringsløsning (BankID utsendt av hvilken som helst bank i Norge, eller annet tilsvarende sikkerhetsinstrument godkjent av Posten). Brukeren forplikter seg til å holde sine personlige opplysninger hemmelig for andre (jf. punkt 4.1 ovenfor). Posten er ikke ansvarlig for feil eller mangler med autentiseringsløsningen.
Digipost registrerer og oppbevarer Brukerens fødselsnummer i forbindelse med opprettelsen av Digipostkasse. Brukers fødselsnummer behandles utelukkende for autentisering av Brukeren og for å sikre at Brukeren er rett mottaker (identifisering) av Meddelelser fra offentlige myndigheter, virksomheter og organisasjoner som har tillatelse til å sende Meddelelser knyttet opp mot fødselsnummer som identifiseringsnøkkel.
Brukerens fødselsnummer vil ikke videreformidles, utleveres eller anvendes til andre formål enn Digipost med mindre den offentlige myndigheten, virksomheten eller organisasjonen har tillatelse til dette på annet grunnlag. Fødselsnummeret videresendes elektronisk i de tilfeller hvor en via en link i Digipost kan komme til en annen nettside og automatisk logges på.
Digipost benytter Posten Norge AS' adresseregister for å kunne koble Brukeren opp mot en fysisk adresse. Endrer Brukeren adresse hos Posten Norge AS, vil den fysiske adressen Brukeren knyttes opp mot i Digipost automatisk oppdateres.
Posted by: Carl Størmer | Wednesday, April 13, 2011 at 11:00 AM
Ja, du har bl.a. ikke fått med deg hele kontraktens punkt 8.3 som spesifiserer behandling av fødselsnummer.
Posted by: Kari Lindberg | Wednesday, April 13, 2011 at 09:31 AM
Hei!
Vi har forståelse for at avtalevilkårene kan skape grobunn for skepsis. De må sees i lys av hensynet til brukeren og utviklingen av Digipost. Vi vil gjerne gjøre dem tydeligere der det er nødvendig. Foreløpig har vi laget følgende betraktninger: http://bit.ly/gVbuOk
Posted by: Digipost_no | Tuesday, April 12, 2011 at 02:23 PM
Fødselsnummeret skal være safe. Det skriver de jo i klartekst:
"Brukerens fødselsnummer vil ikke videreformidles, utleveres eller anvendes til andre formål enn Digipost med mindre den offentlige myndigheten, virksomheten eller organisasjonen har tillatelse til dette på annet grunnlag. Fødselsnummeret videresendes elektronisk i de tilfeller hvor en via en link i Digipost kan komme til en annen nettside og automatisk logges på."
Hvis noen skal bruke fødselsnummeret må de altså ha tillatelse til dette via andre kanaler, og de må være offentlige (ser for meg Skatteetat, NAV og den typen virksomheter).
Posted by: Oivindi | Tuesday, April 12, 2011 at 10:03 AM
Takk for en veldig god og opplysende artikkel.
Angående Opt-out knappen så spurte jeg i går hvordan vi vil få beskjed fra digipost når den er implementert, men har fremdeles til gode å få et svar på det.
Posted by: Arild Strømhylden | Tuesday, April 12, 2011 at 09:22 AM
Jeg forhørte meg ang kryptering i løsningen. Svaret var at det var sikker protokoll mellom avsender og digipost samt digipost og mottaker.
Når jeg spør om hvordan krypteringen er internt var det et meget diffust svar som jeg fikk.
Leser man under "Hvordan er jeg forsikret mot at ansatte i Digipost får innsyn i mine dokumenter?" i FAQ så står følgende:
"Ansatte i Digipost har verken adgang til dine dokumenter eller personopplysninger. Et fåtall, sikkerhetsklarerte medarbeidere er autorisert til å vedlikeholde og korrigere kundeopplysninger."
Tja... dette kan tolkes flere veier, men så lenge det ikke er snakk om public/private key nøkler her (RSA) - og det er kun JEG som har den private nøkkelen - kan jeg anta at informasjonen som sendes ligger pip åpent for postens ansatte, begrenset til "Et fåtall, sikkerhetsklarerte medarbeidere".
Om jeg finner det aktuelt å sende pinkoder, poliser, og annen sensitiv informasjon?
Aldri i verden.
Posted by: Mteinum | Tuesday, April 12, 2011 at 08:34 AM