Personvernerklæring

(Sist oppdatert 12.09.2024 @ 18:13 av Bjørn Roger Rasmussen.)

Personvernerklæring for blogg.brr.no / *.brr.no

Diverse gammelt «datadill».

Innledning

Først noen tørre fakta:

  • Betalt leverandør av domene, webhotell, databaser, PHP, e-post-tjenester, SFTP, DNS-pekere / www-vidersendinger og HTTPS-oppsett: Domeneshop.
  • Domeneshop er en helnorsk leverandør med servere i Norge, og de er hoved-databehandler for mine nettsider.
  • Mer om Domeneshop AS: Proff og Brønnøysundregistrene.
  • Adresse blogg: https://blogg.brr.no/ eller https://www.brr.no/wordpressbrr/
  • Bloggløsning: WordPress med diverse tillegg/innstikk (plugins).
  • Domeneshop tilbyr «Oneclick WordPress» (enkel og automatisert installasjon), men denne tjenesten har jeg ikke benyttet meg av (WordPress har jeg installert manuelt).
  • Sikkerhetstiltak i bruk (informasjonssikkerhet): Tofaktorautentisering for innlogging administrasjon webhotell og domene. SFTP filoverføring i stedet for den usikre FTP-protokollen, og https aktivert for tilgang nettsider. Videre har Domeneshop diverse sikringstiltak og logging på systemnivå (overordnet nivå).
  • HTTPS-oppsett (Let’s Encrypt) tatt i bruk.
  • Hovedadressen til mine nettsider og web-hotell: https://www.brr.no/
  • Diverse testsider lageret på lokal PC i eget hjem, hvor jeg selv (og delvis min ISP) er databehandler: https://web.brr.no/
  • Komplett oversikt over mine domener og nettsider: https://www.brr.no/www.html
  • Database-tjenester i bruk (MySQL / MariaDB / Percona).
  • Web-servere: Apache (Apache HTTP Server).
  • OS: Linux (Ubuntu) hos Domeneshop, Windows-plattform for mine testsider.
  • ISP (linje-/internettleverandør) privat: Enivest (fiberforbindelse).
  • Behandlingsansvarlig: Bloggen m. m. tilhører privatpersonen Bjørn Roger Rasmussen, Øvregardsbakkane 49, 6717 Flatraket, Norge. Mer kontaktinformasjon tilgjengelig på slutten av denne siden.
  • Ikke reklamefinansiert eller sponset, og personopplysninger fra bloggen deles eller selges ikke videre til andre (tredjepart).
  • Bloggen har en informasjonskapsel- og samtykkebanner nederst i skjermbildet under førstegangsbesøk.
  • Det er lite med personopplysninger som blir innsamlet, lagret og behandlet. Slike opplysninger forekommer kun i forbindelse med logging, besøksstatistikk, abonnement på bloggen, deling via sosiale medier og ved innlegging av kommentarer / innlegg i gjestebok.

Denne personvernerklæringen gjelder primært for bloggen, men den har også relevans for mine andre nettsider. Jeg har ikke utarbeidet egne erklæringer for de andre nettressursene mine, men prinsippene rundt personvern m. m. skissert for bloggen gjelder også for disse sidene. Andre nettsider tilhørende meg er en «salig blanding» av manuelle / gammeldagse HTML/PHP-nettsider og ferdige åpen kildekode-løsninger basert på PHP og SQL-databaser. Over hele linja er statistikkløsningen Google Analytics i bruk.

Generelt om personvern, behandlingsansvarlig og samtykke

Personvern omhandler vern og beskyttelse av våre personopplysninger (mot misbruk eller ikke-godkjent bruk), hvor personopplysninger er opplysninger eller vurderinger som kan knyttes til identifiserbare enkeltpersoner. Ifølge Datatilsynet om hva er personvern: «Personvern handler om retten til et privatliv og retten til å bestemme over egne personopplysninger.»

Verning av privatlivets fred er sentralt og ønskelig for bloggens eier. Personvernet blir respektert, og informasjon blir ikke delt med uvedkommende tredjepart. Bloggen og bloggløsningen (WordPress) har ikke til hovedformål å samle inn, behandle eller selge personopplysninger om identifiserbare personer. Det er helt frivillig om man vil besøke bloggen min eller ei, hvor besøk vil medføre noe loggføring ut fra statistiske formål.

Denne bloggen er en privat (personlig) blogg som tilhører Bjørn Roger Rasmussen (behandlingsansvarlig). Da ingen virksomhet står bak bloggen er det vel strengt tatt ikke påkrevd å ha en personvernerklæring, men jeg har likevel prøvd å utforme et lite forsøk på en slik erklæring.

Jeg har ikke inngått en egen databehandleravtale med Domeneshop, men jeg har i sin tid samtykket til deres standard avtalevilkår, som også har en databehandleravtale-bit. Domeneshop tar både informasjonssikkerheten og personvernet på alvor. Deres tekniske løsninger består av Linux-basert web-servere (Debian GNU/Linux) og Percona Server (GPL) for MySQL / MariaDB / Percona databaseservere som befinner seg i Norge, med naturlige / nødvendige sikkerhetstiltak. Domeneshop behandler naturligvis tekniske logger og loggføring, som indirekte inneholder personopplysninger.

Den som velger å besøke bloggen samtykker med sitt besøk at de aksepterer denne personvernerklæringens innhold. Ved førstegangsbesøk i bloggen kommer det opp en informasjonskapsel- og samtykkebanner nederst i skjermbildet som må/kan aksepteres og lukkes, og som har direkte lenke til denne personvernerklæringen. Det er høyst frivillig å oppsøke bloggen, og de som velger å besøke den gjør det ut fra interesse for å lese det jeg skriver.

Bruken av informasjonskapsler (cookies)

Besøk av bloggen medfører at digitale spor etterlates. Bloggen benytter seg av informasjonskapsler (cookies) i forbindelse med trafikkmålinger / besøksstatistikk / bruksstatistikk (nettanalyse, analysere trafikken), optimalisering av nettsidevisning og innlegging av kommentarer. Se eventuelt Nettvett sin guide rundt administrering av informasjonskapsler, jf. Ekomloven § 2-7 b. Analysesystemer i bruk pr. dags dato:

Bruken av en «harmløse» tjeneste slik som besøksstatistikk via Google Analytics er ikke rett fram når det gjelder personvern og håndtering av personopplysninger. Muligens kanskje bør jeg på sikt vurdere å kutte ut bruken av denne tjenesten? Mer om dette i artikkelen / innlegget «Personvern, informasjonssikkerhet, internkontroll«. Google Analytics er visstnok en versting når det gjelder personvern (mangel på), men enn så lenge har jeg denne løsningen i bruk.

Bruken av Google Analytics har vært – og er – delvis noe problematisk, i og med at personopplysninger overføres til USA. Pr. sommeren 2023 er det en (midlertidig) løsning på denne juridiske floken, slik at det igjen er lovlig (for en stund?) å benytte seg av dette analyseverktøyet.

Statistikkløsningene samler inn informasjon om hvilke nettsider man kommer fra, nettsider som blir besøkt, søkeord, IP-adresse, land basert på IP-adresse, operativsystem, nettleserinformasjon (brukeragent), tidsinformasjon, lenker som blir trykket på osv. Spesielt IP-adresser er å regne som personopplysninger (alminnelige personopplysninger). Kun bloggeier har tilgang på denne detaljerte informasjonen, og ingen former for sensitive personopplysninger blir samlet inn. Av sikkerhetsrelaterte hensyn (eventuelt behov for sporing av lovbrudd, stopping av useriøse kommentarer osv.) vil IP-adressen til den besøkende bli registrert, sjekket mot ekstern database, lagret og logget i forbindelse med innlegging av kommentarer.

Informasjonskapsler (cookies) i bruk på brr.no

Informasjonskapsler (cookies) i bruk på brr.no pr. 15.11.2018

 

En noe mer oppdatert rapport i PDF-format over informasjonskapsler (cookies) i bruk kan lastes ned via denne lenken (lenke), og en oppdatert rapportversjon pr. 27.02.2021. Tjeneste brukt for å generere rapportene: «Cookieserve – Free online cookie checker for websites«.

Nettleseren DuckDuckGo og dens vurdering av personvernet til blogg.brr.no. (Klasse D, med forbedring til B+ via de tiltakene nettleseren gjør for å stoppe sporinger osv.)

 

Sporinger og sporingsnettverk, hvor personlige dataprofiler blir bygget på grunnlag av nettaktivitet er også en faktor. Hvis nettleseren DuckDuckGo benyttes mot min blogg blir 6 kjente sporinger blokkert / stoppet. Sporinger: Google, Facebook, Automattic (WordPress.com-statistikk) og AddToAny (addtoany.com, delingsknapper).

Noe av informasjonen ovenfor om informasjonskapsler (cookies) er litt foreldet. Beklageligvis var det vanskelig å finne en tjeneste for å skanne for informasjonskapsler som VIRKELIG var gratis – og som ikke krevde registrering – pr. januar 2024. I stedet sjekket jeg opp statusen direkte via Edge nettleser:

Cookies (informasjonskapsler) knyttet opp mot min blogg ifølge Edge nettleser pr. januar 2024. (I Edge: InPrivate-vindu/modus, F12 utviklingsverktøy og Cookies.)

 

De to informasjonskapslene som starter på _ga har å gjøre med Google Analytics statistikk-løsning, mens eucookielaw er aksept-knappen for at det er ok for besøkende at bloggen har sine informasjonskapsler.

Jeg gjorde også en sjekk via nettleseren DuckDuckGo:

Tredjepartsforespørsler lastet inn (viderekoblinger) ifølge nettleseren DuckDuckGo via min blogg, pr. januar 2024.

 

«Third-Party Requests Loaded» blir direkte oversatt med Google translate til «Tredjepartsforespørsler lastet inn». Det omhandler viderekoblinger fra min blogg til diverse tjenester, hvor blant annet «Google Analytics» selvsagt inngår. «Google Ads»-koblingen var noe mer overraskende, da jeg slettes ikke driver med reklame i min blogg. Facebook inngår nok pga. lenke videre til min Facebook-profil, og Automattic har å gjøre med Jetpack-innstikket. AddToAny har å gjøre med mulighetene for å dele mine innlegg via sosiale medier.

I tillegg til vanlige cookies (informasjonskapsler) er også PHP-sesjoner i bruk her i bloggen samt på noen av mine andre PHP-sider / PHP-løsninger. En PHP-sesjon (økt) er en måte å lagre informasjon på (variabler, f. eks. besøkendes preferanser, IP-adresse, nettleserversjon osv.), hvor informasjonen blir midlertidig lagret og brukt på kryss og tvers mellom ulike nettsider / undernettsider innenfor mitt domene. I motsetning til vanlige cookies blir dataene lagret på server og ikke på klient.

Jeg er så absolutt ikke fan av Opera og/eller Vivaldi nettlesere, men jeg måtte bare se hva sistnevnte mente om mine nettsider i og med at produsent hevder at de har personvernet i fokus:

Vivaldi personvernstatistikk med «Blokker sporing og reklame» aktivert, og med besøk av diverse nettsider under brr.no-domenet (*.brr.no) pr. januar 2024.

Hvilke data samles inn og besøkendes rettigheter

Detaljopplysninger slettes i henhold til standardfunksjonaliteten og standardinnstillingene til løsningene som benyttes. Innsamlet informasjonen benyttes i forbindelse med generering av besøksstatistikk / trafikkmålinger og ikke for å identifisere den enkelte besøkende. Endelig statistikk i form av akkumulerte data er selvsagt anonymisert.

Det er selvsagt mulig for den enkelte å få utøvet sine rettigheter innenfor innsyn, korrigering, sletting osv. av personopplysninger relatert til bloggen. Bloggeier kan kontaktes hvis f. eks. en innlagt kommentar ønskes slettet eller endret, noe som selvsagt vil bli respektert og utført.

Informasjonssikkerhet og personvern. Kilde: Pixabay.

Besøkende i bloggen blir loggført i henhold til de innebygde mekanismer til bloggløsningen og installert tillegg. Domene- og webhotell-leverandør (Domeneshop AS, min databehandler for bloggen og andre nettsider) har også en del loggføring ut fra tekniske og driftsmessige hensyn. Domeneshop på sin side er en norsk aktør som tilbyr domener, webhotell, e-post m. m. med tilholdssted og lagring på servere i Norge. Domeneshop opererer i henhold til norsk regelverk, og de tar på alvor hensynet til personvernet, jf. deres personvernerklæring.

Selv for de beste (høsten 2022) kan det innimellom beklageligvis glippe:

Digi.no: Domeneshop «snakker ut» om hackerangrepet og hvorfor de selv brukte toveis kryptering av passord | – Det er klart vi tar selvkritikk for det som har skjedd.

Tilpassede konkrete og individuelle databehandleravtaler har ikke blitt inngått. Jeg har ved å ta i bruk bloggløsningen og diverse innstikk / utvidelser valgt å «gå god for» (godta) standardbetingelsene / avtalene som foreligger for de enkelte komponenter. Noen av innstikks-leverandørene kan ses på som databehandlere.

Noen data havner også ut i «skyen» (lagres og behandles), blant annet pga. bruk av innstikket Jetpack. Imidlertid ser det ut fra Automattic sin «Privacy Policy» at de tar personvernet på største alvor. Den ene etter den andre av innstikkenes utviklere har kommet med oppdateringer og uttalelser relatert til tilpasninger mot GDPR (GDPR-klare, reglene skal blir etterlevde), noe som også gjelder for Jetpack.

Noen risikovurdering – eller ROS-analyse (Risiko- og sårbarhetsanalyse) – rundt personvernet har ikke blitt foretatt, da det er snakk om en personlig blogg der behandling av personopplysninger ikke har en framtredende rolle (ikke det primære).

Bruken av innsamlede data

Personopplysninger som kan identifisere enkeltpersoner blir ikke brukt, bearbeidet eller benyttet til andre formål enn de tiltenkte (loggføring, statistikk, kommentarer, abonnement, delinger mot sosiale media). I forbindelse med innleggelse av kommentarer og gjestebok-innlegg (basert på kommentarsystemet) blir eventuelt navn og adresse til nettside liggende ute allment tilgjengelig, frivillig oppgitt av den som kommenterer. Administrator kan i tillegg se IP-adressen og vedkommende sin e-post adresse (loggføring). Innsamlede e-post adresser blir ikke benyttet som mottakere av uønskede e-poster fra undertegnede eller andre.

Akkumulerte statistikkdata tilgjengelig for besøkende er som allerede nevnt selvsagt anonymisert. Innsamlede e-post adresser, IP-adresser, delinger og tegnede abonnementer på oppdateringer blir selvsagt IKKE delt med eksterne tredjepartsaktører.

Det er mulig å abonnere på bloggen og dens oppdateringer (helt frivillig, krever at man registrerer seg). I den forbindelse må e-post adresse registreres for å automatisk kunne sende ut oppdateringer via e-post.

Bildestrømmen min fra Instagram er tilgjengelig i bloggen, og jeg har knapper som gjør det mulig å dele innleggene jeg publiserer via diverse sosiale medier. Det er også noen lenker rundt forbi mot mine sider og profiler hos utvalgte sosiale medier (Facebook, Instagram og Spotify). Imidlertid har jeg ikke andre koblinger eller overføringer av informasjon og personopplysninger fra mine nettsider til sosiale medier.

Delinger av artikler (frivillig) i sosiale media (Facebook etc.) blir registrert av bloggløsningen. Bloggen benytter seg ikke av sporing i forbindelse med annonser og reklame, da bloggen ikke er reklamefinansiert. Bloggen er helt ikke-kommersiell. Ta gjerne en titt på undersiden «Om bloggen» for å få mer innsikt i bloggens misjon og virkemåte.

Heldigvis har bloggen min og mine andre nettsider minimalt med personopplysninger i forhold til kategorier med slike opplysninger gjengitt i figuren nedenfor:

Ulike former for personopplysninger (tjenesten Wordclouds.com benyttet til framstillingen av figur).

 

Sensitive personopplysninger (kalt særlige kategorier i personopplysningsloven) blir ikke i det hele tatt samlet inn eller behandlet av meg. Også en god del andre personopplysninger er helt irrelevante for meg og mine nettsider.

Bloggen har hatt noen mindre havarier (krasj), men disse har vært uten fare for store / alvorlige datatap eller personopplysninger på avveie.

For å beskytte blogg mot uønskede kommentarer (spam, reklame osv.) benyttes løsningene Akismet Anti-Spam og Antispam Bee. I tillegg benyttes moderering, slik at ingen kommentarer eller gjestebokinnlegg går ut i bloggen på direkten uten godkjenning.

https

Bloggen (og andre av mine nettsider med adressen *.brr.no) har tatt i bruk https i stedet for http. Dette gir surfingen på min blogg en ekstra trygghet ved at kommunikasjonen mellom server og klient er kryptert.

Sikker tilkobling (Chrome nettleser, Windows), https, sertifikat og informasjonskapsler i bruk – blogg.brr.no.

 

Ytringsfrihet, religionsfrihet og lover

Ytringsfriheten og religionsfriheten er sentrale verdier for meg. Imidlertid ønsker jeg ikke å misbruke denne til å komme med hatefulle ytringer, hets, mobbing og stygge personangrep. Det strebes mot at bloggen befinner seg på innsiden av det lovlige ifølge lovverket, jf. blant annet § 185 om Hatefulle ytringer i Straffeloven. Likeså prøver jeg å etterleve reglene relatert til opphavsrett.

Bloggen ønskes drevet i samsvar med norske lover og regler, inkludert lovgivning og forskrift på området personopplysninger/personvern. God «folkeskikk» og «sunt bondevett» ønskes fulgt og etterlevd, og sitatretten benyttes innenfor lovlydige former. Jeg PRØVER selv å følge de spillereglene jeg har satt opp for andre i forbindelse med innlegging av kommentarer og innlegging av hilsener i gjesteboka.

Dette at jeg er arbeidstaker og har en jobb / arbeidsplass å tenke på setter noen naturlige begrensninger for mine ytringer. Jeg streber etter å etterleve underskrevet taushetsplikt, interne etiske retningslinjer (bruken av sosiale medier og Internett generelt, generell oppførsel) og interne kommunikasjonsstrategier. Ytringene mine skal heller Ikke gå ut over familien og/eller vennskap. Se ellers bloggens bunntekst rundt dette.

Avsluttende kommentarer

Alt i alt: Personvernet og privatlivets fred tas på alvor. Loggførte/innsamlede persondata/opplysninger som kan benyttes til å spore opp identifiserbare enkeltpersoner vil ikke bli solgt, misbrukt, brukt til andre formål eller delt med uvedkommende tredjeparter.

Kontaktinformasjon til bloggeier

Kontaktinformasjon Bjørn Roger Rasmussen.

Interne relevante lenker

Besøksstatistikk: Totalt antall besøk på 76 stk., 1 besøk i dag. (Teller satt i drift 14.09.2023.)
Del dette:

Comments are closed.