Då staten gav telefonnummeret mitt til Norsk Gallup

Det offentlege har eit kontakt- og reservasjonsregister med private e-postadresser og telefonnummer til innbyggarane i landet. Å ikkje stå i registeret, eller å reservere seg mot kommunikasjon med det offentlege på nett, har store konsekvensar, i verste fall også for kontakt med helsevesen. Men skal ein stå i det registeret, må ein òg samtykkje til m.a. SMS-spam, det har eg blogga om før. Og skal ein reservere seg mot SMS-spam, som var temaet den gongen, så reserverer ein seg også mot normal kontakt med det offentlege.

Denne gongen har det skjett noko anna. Eit tilfeldig statleg direktorat, Bufdir, har henta ut private e-postadresser og private telefonnummer som finst i kontakt- og reservasjonsregisteret, og har formidla desse til Norsk Gallup.

Formålet med overleveringa var å gi Norsk Gallup adresser og telefonnummer så dei kunne gjennomføre ei undersøking om «upassende oppførsel og hendelser som kan oppstå på arbeidsplassen, i forbindelse med fritidsaktiviteter, eller ute i det offentlige rom». Undersøkinga var kjøpt av nettopp Bufdir. No kan ein sjølvsagt lure på om slik bruk av privat kontaktinfo er i samsvar med formålet med registeret og med eForvaltningsforskrifta § 29. Men det er visst tillate (sjå under), så uavhengig av dette: Er det greitt å distribuere privat kontaktinfo på denne måten, og med eit slikt formål, når konsekvensane av å reservere seg er så store? Då eg gav frå meg e-postadresse og telefonnummer, var det under andre vilkår og med andre formål.

E-posten frå Norsk Gallup med undersøkinga landa i ei privat innboks i sommar. Dette er ei adresse som eg har klart å halde bortimot fri for spam i alle år, men no hadde altså Norsk Gallup fått adressa. Seinare mottok eg purring frå Norsk gallup på den same e-postadressa. Deretter kom det purring på SMS til mitt private nummer, som eg har klart å halde bortimot fritt for marknadsføring og liknande.

Eg kontakta Kantar (som Norsk Gallup er ein del av), som kunne stadfeste at dei hadde fått den private kontaktinfoen frå Bufdir. Kantar fortalde òg at Bufdir har «tilgang til offentlige register som inneholder din epostadresse og ditt mobilnummer», medan Norsk Gallup opplyste at «utvalget er hentet fra folkeregisteret». Dette tyder ikkje anna enn at kontaktinfoen er henta frå kontakt- og reservasjonsregisteret.

Og slik bruk av registeret er visst lovleg. Men bruken skal vurderast på førehand av Digdir, og mottakargruppa skal vere «begrenset ut fra en vurdering om relevans», sjå avsnitt 4.1.1.5 i dette dokumentet. Så eg kontakta Digdir og bad om å få sjå vurderinga. Dessverre svarer ikkje Digdir på den førespurnaden, heller ikkje etter purring, så dermed er det ukjent om Bufdir har handla på eiga hand eller ikkje.

Kantar opplyser elles i e-post at ein kan reservere seg mot slike undersøkingar ved å be anten kvar einskilde offentlege etat om dette, eller ved å kontakte kvar einskilde marknadsundersøkingsleverandør.

Ein må altså registrere seg hjå Norsk Gallup dersom ein ikkje vil at dei skal bruke kontaktinfoen. I sjølve kontakt- og reservasjonsregisteret kan ein ikkje reservere seg mot slik spreiing og bruk av kontaktopplysningar frå registeret. Ikkje utan å samstundes avslutte normal kontakt med det offentlege.

Eg fekk forresten heile to svar frå Kantar, med to månaders mellomrom, med den same «beklager at du ikke har fått et svar tidligere» (variert med «før nå»), med den same juridiske utgreiinga om kvifor dette er lovleg, og med til dels heilt identiske formuleringar, m.a. om måten å reservere seg på mot spørjeundersøkingar frå det offentlege. Skal vi tippe at eg ikkje er den einaste som har kontakta dei om dette?

Oppdatering 30.1.2024: Digdir har svart. Dei seier seg leie for at det tok tid å svare, og fortel: «Vi kan diverre ikkje sjå at vi har vurdert bruken i dette tilfelle du viser til. Av kapasitetsmessige årsaker er vi avhengige av at verksemdene som nyttar registeret i hovudsak gjer denne vurderinga sjølv.»

Read Full Post »

Offentleg SMS-spam

Eg har mobiltelefon, men ikkje fordi eg vil vere umiddelbart tilgjengeleg for alle som har eitt eller anna på hjartet. Som døme kan eg nemne at for ei tid sidan fekk eg SMS frå Trondheim parkering med melding om at appen deira hadde kome i ny versjon. Eg har hundrevis av appar. Eg vil ikkje ha SMS kvar gong det kjem ei oppdatering.

Når eg får slike ubedne tekstmeldingar, særleg frå gjengangaren kabelselskapet Get (som ikkje lèt folk reservere seg enkelt, og som sender SMS-spam trass i registrert reservasjon), har eg byrja å be om mobilnummeret til dei som er ansvarlege for utsendinga, slik at eg kan sende dei ein SMS når eg har noko på hjartet som eg synest er viktig. Eg bruker ikkje å få mobilnummeret. Forstå det den som kan.

Det offentlege

Også det offentlege har kasta seg på denne bylgja. Den 9. september i fjor, nokre dagar før valdagen, kom denne tekstmeldinga på bokmål akkurat kl. 19:00, også kjent som «hysj, no byrjar Dagsrevyen»-klokkeslettet:

Eg hadde aldri gjeve nokon noko samtykke til å sende sånt til mobilen min. Dilemmaet som melde seg, kan kanskje oppfattast humoristisk, men det inneheld eit alvorleg element: På den eine sida er eg for demokrati, men på den andre sida vil eg ikkje støtte spammarar. Hadde det ikkje vore for at eg spurde spammaren om kva dette var for noko, så kunne denne meldinga ha fått utilsikta konsekvensar for stemmegjevinga her i huset.

Men eg spurde, altså, og spammaren viste seg å vere Kommunal- og moderniseringsdepartementet. SMS-en var del av eit forskingsprosjekt, og ein byråkrat i departementet kunne mellom anna fortelje dette på e-post:

Valstyresmaktene vil med prosjektet kunne få meir sikker kunnskap om visse måtar å informere veljarane på har noko å seie for valdeltakinga. […] Telefonnummeret ditt er henta frå offentlege register. […] Samtykke før valet ville gitt mindre truverdige resultat.

Så dei skulle altså forske på effekten av samtykkefri SMS-spam. Dette var eit dårleg teikn. På bakgrunn av desse opplysningane forstod eg metoden for datainnsamlinga i prosjektet, men eg forstod også framtidsutsiktene: Har du mobil, skal vi sende deg tekstmeldingar om valet anten du vil eller ikkje.

Men framtida skal verte verre enn som så.

Vilkåra for digital postkasse

No i mars fekk ein eg e-post frå Difi (Direktoratet for forvaltning og IKT), den same instansen som står bak den offentlege innloggingsløysinga MinID. Eg har registrert e-postadresse og telefonnummer der, opphavleg var det vel for å kunne bruke miside.noreg.no (Wikipedia). Difi fortel at eg må skaffe meg digital postkasse, for no skal det offentlege byrje å kommunisere med folket primært på elektronisk vis fordi dette er billigare enn papirpost.

Så eg klikka meg inn på den informasjonen som eg kunne finne, og fann mellom anna dette:

Når det offentlege sender ei melding via digital postkasse, kjem det e-post og SMS om det. Det offentlege vil også sende andre påminningar via e-post og SMS, mellom anna meldingar om snømoking, lækjaravtale eller at det er eitt og eit halvt år sidan sist du oppdaterte kontaktinformasjonen.

Det går an å reservere seg mot digital post frå stat, fylkeskommune og kommune. Då vil alt kome på papir. No har eg ikkje noko imot å kommunisere elektronisk, men så fann eg vilkåra for reservasjon. Dersom ein reserverer seg mot «kommunikasjon på nett» med det offentlege, som det heiter, så vil dette skje (lenkje):

Dersom du reserverer deg, vil reservasjonen gjelde

• enkeltvedtak
• forhåndsvarsel etter forvaltningsloven § 16
• meldinger som har betydning for din rettsstilling eller for behandlingen av saken
• meldinger som det av andre grunner er av særlig betydning å sikre at du mottar

Du vil fremdeles få servicemeldinger, informasjon og liknende på SMS eller e-post, for eksempel påminning om legeavtale og varsel om stenging av vann, eller brev digitalt som ikke faller inn under punktene over.

Det offentlege har altså tenkt å spamme mobilen min med tekstmeldingar kvar gong dei har noko på hjartet, anten eg reserverer meg eller ikkje? Kunne dette stemme? Det er greitt nok å få ein e-post av og til (med det atterhaldet at ein aldri veit kor mykje dette vert misbrukt av instansar som fyrst har fått kloa i adressa mi), men SMS er ei svært invaderande kommunikasjonsform. Den som sender ein SMS, inviterer seg sjølv heim i sofaen min og ber om mi umiddelbare merksemd. Eg vil ikkje ha éin slik eigeninvitert gjest, og eg vil i alle fall ikkje ha hundre.

SMS-gissel

Dette måtte undersøkjast nærare. Premissane var altså at når det offentlege sender noko til digital postkasse, men også elles når dei har eitt eller anna på hjartet, så kjem det ein SMS til meg. Så eg sende ein e-post til Difi og spurde:

Er det mogeleg å reservere seg isolert mot varsel på SMS, sånn at varsel om meldingar kjem berre på e-post?

Svaret var nei.

Det vil seie, ein kan reservere seg selektivt mot SMS-spam ved å slette mobilnummeret sitt frå kontaktregisteret i MinID-profilen på Dine kontaktopplysningar, altså det som elles er omtalt som ID-porten. Framgangsmåten er, her sitert frå e-posten eg fekk frå dei (det er altså framleis mogeleg å kommunisere elektronisk med det offentlege utan SMS):

• Klikk på «slett» bak mobilnummer
• Tast inn korrekt e-post
• Klikk på lagre

Då melde det seg eit nytt spørsmål: Dersom ein slettar mobilnummeret sitt frå kontaktregisteret, vil det føre til at ein ikkje lenger kan få tilsendt eingongskode på SMS når ein skal logge inn med MinID?

Svaret var at dette stemmer.

Dette er altså alt eller inkje. Har det offentlege telefonnummeret ditt, så vert det SMS-spam. Og vil du ikkje ha SMS-spam, så skal du sanneleg ikkje få logge inn med MinID når du skal sjekke skatten.

Helsekontaktopplysningar

I mellomtida hadde eg oppdaga at det endeleg hadde vorte mogeleg å logge på helsenorge.no også for oss som berre har BankID på mobil. Ein er litt sårbar når ein ikkje har flust med alternative innloggingsmetodar (jf. dilemmaet over med å fjerne mobilnummeret sitt). På helsenorge.no fungerer nemleg ikkje MinID. Men i alle fall, eg logga inn, sjekka kjernejournalen min og sånne ting, og der fann eg sanneleg både e-postadresse og mobilnummer (innsanka via Difi/MinID), saman med denne teksten:

Vær oppmerksom på at mange behandlere fortsatt benytter kontaktopplysninger de har lagret lokalt. Hvis du endrer dine kontaktopplysninger her, bør du også kontakte behandlere som du ønsker skal komme i kontakt med deg, for eksempel sykehus og fastlegen din.

Det er viktig å ha korrekte kontaktopplysningar i helsesamanheng. Av og til kan det stå om livet, sjølv om eg håper at eg aldri vil hamne i den situasjonen. Og kontaktopplysningane, står det, kan endrast via digitalt kontaktregister, også kjent som ID-porten. Hm, vent litt. ID-porten og denne nettadressa hadde eg jo sett berre nokre minutt tidlegare. Men i all verda.

Neste spørsmålet gjekk dermed fort av garde til Difi:

Eg ynskjer altså å reservere meg selektivt mot den invaderande kommunikasjonsforma som det er når alle som har noko på hjartet, vil sende meg SMS. SMS krev umiddelbar merksemd, og er ikkje ei allmenn postkasse. Eg forstår at for å reservere meg selektivt mot slike SMS-ar må eg slette mobilnummeret mitt frå brukerprofil.difi.no.

Dette vil då føre til at eg ikkje lenger kan få MinID-eingongspassord på SMS.

Vil det også føre til at helsepersonell ikkje lenger vil finne mobilnummeret mitt i kjernejournalen (helsenorge.no)?

Og svaret var: Ja. (Svaret var eigentleg lengre, men eg oppsummerer det med «ja».)

Det er dårleg gjort, det. Det er veldig dårleg gjort å kople innloggingstenester og potensielt livsviktig helsekontaktinformasjon med eit samtykke til SMS-spam. Skal ein kunne kontaktast av helsevesenet, må ein samstundes samtykkje til SMS-varsel om vegarbeid.

Kva gjer vi?

Hadde dette vore marknadsføring frå næringslivet, ville vi hatt Marknadsføringslova § 15 til å hjelpe oss. Men her er det altså nokre glupingar i det offentlege som har bestemt at det å ha registrert mobilnummeret sitt som innloggingsinformasjon er ein invitasjon til å sende hastemeldingar på SMS kvar gong ein eller annan i kommunen, fylkeskommunen eller staten har noko på hjartet.

Det kunne ha vore så enkelt å la folk få bestemme sjølve kva for nokre kanalar dei vil la det offentlege nå ein på, og det kunne ha vore så enkelt å halde innloggingsportal og helsekontaktopplysningar åtskilde frå slike utsendingslister. Men nei då.

Nokre dagar tidlegare hadde Judith fått SMS frå Trondheim renholdsverk klokka 7 på sundagsmorgonen fordi dei gjerne ville informere om at dei skulle hente spesialavfall nokre dagar seinare. Då bad eg henne om å blogge om det. Så skjedde dette i mellomtida. No har ho blogga. Les bloggposten hennar her. Les bloggposten hennar! Gjer det! Der fortel ho også om vår kontakt med kabelselskapet Get, og dessutan mange andre ting som vedkjem nettopp denne konkrete saka som eg har blogga om her. Nemnde eg at du skal lese bloggposten hennar?

Vil du ha eit samfunn der ein offentleg byråkrat plutseleg og ubeden troppar opp på kjøkenet eller stova eller soveromet når som helst, dag som natt, for å seie ifrå om at «vi, det offentlege, har noko som er så viktig å seie at vi må avbryte deg her og no: det vert henting av spesialavfall i overimorgon»?

Korleis kan vi få stoppa denne galskapen?

(Ja, og så må du lese Judiths bloggpost.)

Read Full Post »

Norsk, sertifisert spam

Kva skal du gjere for å framstå som ein seriøs produktleverandør som har noko viktig å tilby? Lat oss sjå på korleis to norske firma har løyst den oppgåva.

Fyrst har me Aftenposten. Plutseleg her ein dag fekk eg spam frå dei via ein rumensk server, med klar beskjed om at eg burde verte abonnent. Så eg sende ein e-post tilbake til Aftenposten og spurde etter kva kjelda deira til e-postadressa mi er. Svaret kom kjapt:

Hei.
Takk for din henvendelse.
Vennligst send oss din adresse og vi vil hjelpe deg så snart vi kan.

Ja takk. Eg sende dei ein ny e-post og gjorde dei merksame på at dei nettopp hadde sendt meg ein e-post. Då kom det i retur ei utførleg orsaking frå Unified Messaging Systems AS på vegner av Aftenposten. Dei nemnde på eige initiativ at dersom dette var ei privat e-postadresse (og det var det), så er dette i strid med marknadsføringslova. Dei la til at adressa mi no er sletta frå databasen, og at dei bruker ein «sertifisert emailserver».

Dette var jo hyggjeleg. Så eg spurde no for tredje gong om kvar den rumenske reklameutsendaren deira hadde e-postadressa mi frå, og eg hekta også på eit spørsmål om kva som ligg i «sertifisert emailserver». Tyder det rett og slett at serveren fylgjer dei aktuelle RFC-ane, eller kanskje berre at serveren ikkje er svartelista?

Det kom ikkje noko nytt svar.

Nokre dagar seinare kom det spam frå eit firma i Harstad som kallar seg Apro Norge, med reklame for noko dei kallar Offitec Gelehåndstøtte. Spammen var utsend via serveren til Idium AS i Oslo. Nedst i utsendinga las eg at eg kunne få lov til å slutte å abonnere på nyhendebrevet dersom eg fortel dei kva for eit fylke eg bur i, og dessutan:

NB! Dette nyhetsbrevet er sendt til bedriftsadresser.
E-postlisten er hentet fra bedriftsdatabaser og Brønnøysundregistrene.

Dette var jo ei slags kjelde. Problemet er at den private e-postadressa mi vart sletta frå Brønnøysundregistra for fire år sidan. Kva for ein bedriftsdatabase som har fått tak i adressa mi, kan eg ikkje forstå. Så eg skreiv tilbake og spurde etter den konkrete kjelda til adressa mi, slik at eg kan få gjort noko med det. Eg understreka at eg ikkje ynskte å vere «abonnent».

Svaret eg fekk, var:

Vi fortsetter suksessen, gjør et kupp nå!

Ja takk, vi bestiller:
…. Stk håndspritdispenser kr 1.499,- pr stk

Kundenavn:……………………………………………
Postadresse:…………………………………………….
Leveringsadresse:…………………………………………….

Då takkar me Aftenposten, Unified Messaging System AS og Apro Norge for ordskiftet. Dette har vore interessant, og eg trur nok eg kjem til å hugse det.

Read Full Post »

Faks fungerer

På jobb har me ein skrivar som òg er faks. Kvar morgon ligg det noko nytt og meiningslaust der. Til dømes reklame for datamaskiner som jobben same kva ikkje kan kjøpe, fordi slikt skal kjøpast inn via dataavdelinga og dei som me har avtale med. Eller noko anna som jobben korkje er målgruppe for eller har interesse av eller i det heile teke kan kjøpe frå den kjelda. At desse firmaa bruker vårt papir til slikt, er ikkje anna enn frekt.

Her om dagen kom det ein reklame for «Fax Broadcasting». «Har du et salgbart produkt eller tjeneste?» spør reklamen, presiserer at det berre kostar 25 øre pr. faks, og legg til med feite typar på skråstilt, svart bakgrunn: «Faks fungerer!»

Eg hengde faksen opp på oppslagstavla og skreiv over: Spam fungerer.

Read Full Post »