Ikke-personlig informasjon, hva er det?

I forbindelse med lanseringen av iOS6 har vi tatt en kjapp gjennomgang av Apple sine retningslinjer for personvern.
Som de fleste lisensavtaler inneholder disse retningslinjene mer eller mindre konkret informasjon om hva personopplysninger kan brukes til, for eksempel tilpasset markedsføring, produktutvikling eller forskning (se tidligere blogg-post: Vi vil muligens nesten aldri selge din informasjon…). Det vi reagerer spesielt på hos Apple er deres definisjon av ikke-personlig informasjon – data i en form som ikke åpner for direkte assosiering med en spesifikk person. I retningslinjene fra Apple står det at vi kan samle, bruke, overføre og gjøre tilgjengelig ikke-personlig informasjon til ethvert formål, her er det altså snakk om fint lite begrensninger. Norge er et relativt lite land som i år passerte 5 millioner innbyggere, og det er ikke så mange opplysninger man trenger før man kan finne ut hvilken person det er snakk om. Det er derfor tankevekkende at følgende informasjon regnes som ikke-personlig:

Yrke
Språk
Postnummer
Identifikasjon av enheter (for eksempel PC, Mac, iPhone, iPad)
Sted og tidssone hvor et Apple-produkt blir brukt

Besøker du i tillegg en av Apple sine nettsider, benytter deg iCloud, MobileMe eller iTunes logges disse opplysningene:

IP-adresse
Nettlesertype (og språk)
Internettleverandør (ISP)
Henvisnings- og utgangsside
Operativsystem
Dato/tid
Clickstream data (det vil si opptak av hvor på Web-siden du klikker)

Denne listen er kun eksempler på hva som regnes som ikke-personlig informasjon, og kan dermed ikke regnes som uttømmende. Vår mening er at dersom du sitter på alle disse opplysningene har man mer enn nok informasjon til å assosiere en god del data til spesifikke personer (hvis man vil). Kombineres dette med andre data man lett kan finne åpent tilgjengelig på nettet (for eksempel i telefonkatalogen, sosiale medier, skattelister, osv) kan man bygge ganske detaljerte profiler om alle og enhver. I verste fall kan dette igjen føre til ID-tyveri og andre ubehagelige overraskelser, noe som i dag rammer flere og flere (les mer om dette hos ID-tyveriprosjektet ledet av NorSIS). I beste fall kan du bli gjest hos Dave the Incredible Mindreader 😉

Vi vil for ordens skyld presisere at flere enn Apple benytter seg av lignende definisjoner av ikke-personlig informasjon, for eksempel.

HTC: http://www.htc.com/no/terms/privacy/ (som også har med kjønn og retningsnummer i sin definisjon)
GE: http://www.ge.com/no/privacy.html

08 apr

Utfordringer med kunstig intelligens og sikkerhet

I de siste årene har det vært en dramatisk økning i interessen for kunstig intelligens, ikke minst etter lanseringen av store språkmodeller som ChatGPT for mindre enn to år siden. Kunstig intelligens har blitt tatt i bruk mange aspekter av…

11 mar

Nytt møte i toppsjiktet

Det blir et nytt fellesmøte i regi av Dataforeningen, ISF, ISACA og CSA onsdag etter påske! Vi sees på Kantega 3. april kl. 16:30 (NB: Ny tid!)! Som alltid spanderer vi mat og drikke, og det blir påfølgende sosialisering et…

05 feb

Tre ikke-tekniske hovedutfordringer innen cyber-hendelseshåndtering som oljenæringen står ovenfor

Cybersecurity Barrier Management-prosjektet har som mål å integrere operasjonelle, organisatoriske og tekniske barriereelementer innen cybersikkerhet med safety-barrierer. I dette prosjektet utfører jeg mitt PhD-prosjekt som fokuserer på å kartlegge de ikke-tekniske (operasjonelle og organisatoriske) barrierene som finnes innen cybersikkerhet. Igjennom…

16 jan

Slik sikrer du bedriften mot cyberangrep

Hvem av oss kommer til å bli angrepet av hackere i morgen? Eller – hvem av oss er allerede under angrep? Hvis du har en litt defensiv, strutsehode-i-sanda-tilnærming til sikkerhetstrusselen, så håper jeg med denne teksten å snu tankegangen din…

12 jan

Meetup om sikkerhet i medisinteknisk utstyr 31. januar

Nytt år og nye muligheter! Vi inviterer til meetup om sikkerhet i medisinteknisk utstyr hos Vital Things i Trondheim 31. januar.