Det står en-og-førti øl
 

Personvern for bloggen

Gå til avsnitt for: Lokalisering; Cookies; Webtjener; Sosiale medier; Bruksstatistikk; Leserkommentarer; Eposttjenere; Sletting; Tidligere data: Abonnering; Stemming; Avatarer

Dette er en gjennomgang av hva jeg lagrer av personrelatert informasjon i forbindelse med denne bloggen. Dersom du er interessert, kan du lese mer om mine vurderinger rundt personvern i dette innlegget.

Sammendrag

Bloggen lagrer personinformasjon relatert til logging i webtjener. Dette gjøres for å understøtte feilsøking og for kunne gi meg som står bak blogen innsikt i hva som er populært stoff. Informasjon om enkelthenvendelser kan lagres i inntil én måned, mens anonymisert aggregering av slike data lagres permanent.

Bloggen lagrer personinformasjon ifm innlogging/autentisering som tillater leserne å kommentere på innlegg på bloggen. Autentisering gjør at leseren kan knytte seg til sine tidligere innlegg, og det hjelper til å bekjempe spam. Informasjonen som lagres er navn, bruker-id og avatar dersom det er autentisert mot sosiale medier, og navn, hashet epostadresse og avatar fra Gravatar dersom det er autentisert via epost.

Autentisering kan gjøres via et engangspassord (token) som sendes pr epost, eller via autentisering mot OAauth-tjeneste hos sosiale medier, så som Github, Twitter og Facebook. Utover selve gjennomføringen av autentiseringen deles det ikke data med disse sosiale mediene. Informasjonskapsler (cookies) brukes for å ta vare på informasjon om innlogging fra en sesjon til neste, frem til kapslen utløper 200 timer etter den ble opprettet.

Alle data som er knyttet til bloggen ligger lagret lokalt på samme datamaskin, som befinner seg i Norge. Backup som inkluderer aggregerte bruksdata og leserkommentardata kan fjernlages utenfor denne datamaskinen, men da fremdeles i Norge og i kryptert form. Loggdata tas ikke backup av.

Fysisk lokalisering

Bloggen kjører på en virtuell tjener som er lokalisert hos en kommersiell norsk leverandør av VPS (Virtual Personal Server), og der operativsystemet er installert og hel-administrert av meg. Den aktuelle fysiske datamaskinen og tilhørende disklager befinner seg i Oslo-området.

Backup tas jevnlig av dataene på bloggen, inkludert databasen over leserkommentarer. Backup lagres dels på den samme tjeneren der bloggen ligger, og dels på andre datamaskiner lokalisert i Norge og heladministrert av meg på operativsystemnivå.

Webtjenerens loggdata og andre driftstekniske logger tas ikke backup av.

Bruk av informasjonskapsler (cookies)

Bloggen bruker to informasjonskapsler i forbindelse med kommentarsystemet Remark42. Det blir ikke opprettet noen kapsler fra Remark42 før du logger deg inn for å kunne skrive i kommentarfeltet. Ingen cookies settes eller brukes av Remark42 dersom du kun leser kommentarer, men ikke selv skriver dem. Dersom du eksplisitt logger ut, blir de to slettet.

I tillegg brukes kode og cookies fra cookieBAR, for å styre om cookies skal brukes eller ikke. Denne oppretter en informasjonskapsel for å holde styr på om ditt valg rundt informasjonskapsler.

Følgende cookies brukes, de er alle begrenset til domenet beerblog.no med feltet «SameSite» satt til «Lax»:

Navn Formål Valgfrihet Lagringstid Mottaker SameSite
cookiebar Adm av samtykke Nødvendig 30 dager beerblog.no Lax
JWT Autentisering Valgfri 8 dager beerblog.no Lax
XSRF-TOKEN Sikkerhet Valgfri 8 dager beerblog.no Lax
  • cookiebar sporer om du har valgt å akseptere cookies, og settes til enten CookiesAllowed eller CookiesDisallowed. Om du sletter den blir den opprettet på ny neste gang du går viser en side på bloggen og svarer på spørsmålet i «cookie-banneret».
  • JWT (JSON Web Token) er en cookie som dokumenterer at du har autentisert deg mot en gyldig OAuth-tjeneste når du kjører på beerblog.no. Levetid er 200 timer, som er ca 8 dager. Se også RFC-7519.
  • XSRF-TOKEN er en tilfeldig verdi som brukes for å hindre «seasurf»-angrep. I kontekst av beerblog.no vil det hindre en ondsinnet webside du måtte lese annetsteds i blant annet automatisk å kunne legge inn kommentarer på beerblog i ditt navn dersom du allerede er autentisert på beerblog.no.

Se forøvrig hva Datatilsynet skriver om cookies i kontekst av norsk lovgivning.

Logging av trafikk på webtjener

Det som logges av webtjeneren, er for hver lesing/nedlastning følgende: nettadresse (IP), dato, klokkeslett, hvilken URL som ble lastet ned, sluttstatus for forespørselen, refererende nettside (dersom det er oppgitt) og hvilke kapabiliteter og egenskaper som webleserens oppgav da den tok kontakt. Disse dataene tas vare på i inntil åtte dager før de slettes automatisk.

Jeg logger slik trafikk rundt bloggen for å ha oversikt over bruken, statistikk over bruk (leses automatisk av AWStats, se under), forstå typiske bruksmønstre, og for å få innsikt i hvilket stoff som treffer best. I tillegg kan disse loggene brukes for teknisk feilsøking relatert til bloggen. Informasjon på brukernivå deles ikke med andre.

Deling til sosiale medier

Fra sommeren 2023 har jeg lagt på knapper for sosial deling, og disse er hentet og tilpasset fra sharingbuttons.io. Fordelen med disse er:

  • Det er kun passiv HTML og CSS, og ingen JavaScript el.l.
  • Logoene er kodet inline i SVG, så ingen eksterne filer som skal lastes.
  • De er passive så lenge du ikke trykker på dem.

Det vil si at de gir deg muligheten til å dele innlegg på sosiale medier på en enkel måte – klikk og del. Men selve delingsmekanismen lekker eller avslører ikke noen personinfo som kan knyttes til deg – i hvert fall frem til du tar den i bruk ved å klikke på den. Først da vil du autentisere deg overfor det aktuelle sosiale mediet. Det eneste som «lekkes» fra bloggens side er at du ønsker å dele linken via akkurat dét sosiale mediet.

Det sosiale mediet vil ikke en gang få info om at du kom fra beerblog.no ... vel, bortsett fra at det er nærliggende å anta når du tross alt deler en URL som peker til det beerblog.no.

For lenge siden – flere år før 2023 – hadde bloggen noen andre ikoner for å dele til sosiale medier som Facebook og Twitter, og disse mekanismene brukte JavaScript. Jeg fjernet alt slikt da det ikke var kompatibelt med personvern og GDPR.

Problemet er kort og godt at ved å kjøre et script som kontakter f. eks. Facebook, har man allerede avgitt persondata til Facebook: de får blant annet vite hvilke sider du surfer på. I et slikt oppsett skjer det selv om du ikke trykker på linken. Strengt tatt er det nok bare å hente et ikon som ligger på websidene til Facebook eller Twitter. Konsekvensen av det i et GDPR-perspektiv er at ølbloggen og jeg blir en slags «med-databehandlere» til informasjonen som samles inn. Med andre ville jeg blitt med-ansvarlig for informasjon som Facebook og Twitter hadde samlet inn, uten å ha noen form for innvirkning.

De nye delingsknappene omgår dette problemet. Dersom du trykker på delingsikonet, så åpnes en side på det aktuelle sosiale mediet, der du evt må logge inn dersom du ikke allerede er autentisert. Linken som skal deles sendes med i URL. Trykker du ikke på ikonene for å dele til sosiale medier, så blir heller ingen info delt.

Bruksstatistikk fra webtjeners logg

Jeg bruker AWStats for å generere månedsstatistikk ut fra de normale loggene fra web-tjeneren (se over). Målet med slik statistikk er å få en mer lettlest presentasjon av dataene, samt å aggregere data for perioder. Aggregert informasjon kunne bli delt med andre, inkludert på bloggen, men vil ikke inneholde konkret informasjon om den enkelte lesing på bloggen. Det brukes ikke javascript eller «cookies» for slik statistikkgenerering. AWStats leser dataene fra webtjener-loggen, enten fortløpende eller jevnlig for et visst tidsintervall.

I tillegg til den informasjonen som står direkte i loggene, vil AWStats analysere seg frem til informasjon som blogsidenes hyppighet som innfallsside og sluttside, besøkets lengde i antall sider og tidsrom (dersom man leser mer enn en side i løpet av et besøk). Den vil også vise en geografisk fordeling av brukerne pr land, stedsbestemt utfra nettadresse (IP).

Statistikken vil også inneholde aggreggert oversikt over de besøkende operativsystem og nettleser, slik det er egenrapportert av de deres nettlesere da de koblet seg opp. Videre inneholder den oversikt over nettsiden de kom fra, i den grad den besøknedes nettleser rapporterer dette. Det lages to statistikker utfra dette: aggregert oversikt over henvisning fra søkemotorer (men uten søketermene), og en aggregert oversikt over nettsider som har linker som besøkende har fulgt for å ende på beerblog.no

Leserkommentarer

Leserne av bloggen har muligheter for å legge inn kommentarer knyttet til de fleste av innleggene på bloggen. For å unngå spam er det satt opp krav om autentisering. Det er også satt enkelte begrensninger på antall kommentarer som kan postes over et kort tidsrom, samt at en mekanisme à la «captcha» periodevis kan være aktivisert.

Bloggen bruker kommentarsystemet Remark42. All informasjon om og prosessering av leserkommentar gjøres lokalt på den samme virtuelle maskinen der også bloggen kjøres og lagres.

(Tidligere ble annet system – Blosxom Writeback – brukt for kommentarer. Kommentarene i dette systemet ble ved inngangen til 2022 konvertert over til Remark42. På tilsvarende måte vil kommentarer også senere kunne bli konvertert til nytt lagrings- og formateringssystem ved at eksisterende informasjon flyttes til tilsvarende felter i en ny database, for bruk på tilsvarende måte på bloggen. Det forutsettes da at kommentarene fortsatt blir lagret lokalt på tjenermaskinen der bloggen kjører, eller på en funksjonelt tilsvarende løsning.)

Knyttet til hver leserkommentar er det personinformasjon om en brukeridentitet, personnavn og en grafisk avatar samt dato som kommentaren ble lagt inn.

  • Dersom det autentiseres via epost er epostadressen «enveiskryptert» via algoritmen SHA1 som blir identiteten. Det er da generelt ikke mulig å «dekryptere» dette, men gitt en mulig kandidat for den krypterte epostadressen kan man «enveiskryptere» også den og se om resultatet ble det samme. Det er i så fall en tilstrekkelig sterk indikator på at det er samme epostadresse. Samtidig brukes den verdien som ble tastet inn ved autentisering som personnavn, og avataren hentes fra Gravatar.com.
  • Dersom det autentiseres mot sosiale medier etc via OAuth-tjener, er det tilknyttet en identifikator til brukeren der, og det er denne som er utgangspunktet for identifikator i Remark42. Også her blir den enveiskryptert med SHA1 før den brukes som brukeridentitet for Remark42. Personnavnet og avataren hentes fra det sosiale mediet.

Sammen med den enveiskrypterte epostadressen eller brukeridentiteten lagres det også informasjon om det er brukt epostautentisering eller sosiale medier (og i så fall hvilket).

Kommentarsystemet Remark42 bruker cookies for å ta vare på informasjon om at en leser har logget inn, se avsitt over.

Merk at også innholdet i leserkommentaren kan inneholde identifiserende eller andre personopplysinger, avhengig av hva leseren selv taster inn i kommentarfeltet.

Logging hos eposttjenere

Dersom det autentiseres via epost, sendes det en epostmelding til den aktuelle epostadressen med en engangskode som må limes inn på bloggen for å logge inn. En slik epost vil føre til logging i epostsystemet lokalt på tjeneren og på eventuelle tjenere som eposten er innom på vei frem til mottakeradressen. Personrelatert informasjon som lagres lokalt av epostsystemet på bloggens tjenermaskin er: mottakeradresse, tidspunkt og en implisitt kobling mot at brukeren av denne epostadressen hadde intensjon om å kommentere eller stemme på kommentarer på bloggen. Det lagres ikke her informasjon om hvilke innlegg etc, og typisk vil det ikke logges inn igjen før etter en uke.

Informasjonen som lagres i epostsystemets logger på maskinen der bloggen kjører, lagres i inntil åtte dager før den slettes, og det tas ikke backup av den.

Andre eposttjenere vil typisk kunne lagre det samme. Disse eposttjenerne kan omfatte eposttjener hos den norske leverandøren av den virtuelle tjeneren der bloggen kjører eposttjener på andre maskiner jeg administrerer, samt en eller flere eposttjenere på vei til eller hos de som driver mottakerens eposttjeneste. Jeg, bloggen eller tjeneren som bloggen kjører på har ingen kontroll over informasjonen på disse andre eposttjenerne, men i den grad det går via eposttjenere jeg ministrerer, slettes disse loggene etter 8 dager.

Tilvarende logging vil skje dersom du ber om å slette alle data (se under) eller du ber om å abonnere på kommentarer via epost.

Sletting av alle brukerdata

Leserne kan selv etter autentisering velge å be om å få slettet alle sine innlegg og andre data knyttet til identiteten/epostadressen som det er autentisert mot. Dette er en forespørsel som går via epost til meg som administrator for bloggen. Slik sletting kan ikke reverseres. For å be om slik sletting, klikk på navnet ditt etter autentisering. Et vindu åpner seg og viser alle innleggene dine. Nederst er det en knapp med merkelapp «Request my data removal». Dersom du klikker på den får du muligheten til å sende en epost som spesifiserer hva som skal slettes.

Selve utførelsen av slettingen er halvautomatisk.

Dersom du har lagt inn kommentarer der du har autentisert deg via ulike sosiale medier eller via ulike epostadresser – eller via både epost og sosiale medier, så må du sende én slettemelding for hver av disse identitetene, siden de oppfattes som ulike identiteter i Remark42.

Konvertering av gamle kommentarer

Ved overgangen fra gammelt til nytt kommentarsystem ble de gamle kommentarene konvertert. I det gamle systemet var det frivillig å oppgi navn, epost eller URL. I den grad epost er oppgitt, er disse kommentarene koblet til enveiskryptert id for denne epostadressen, slik at disse kommentarene kobles sammen med personens nye kommentarer somer gjort med autentisering fra samme epostadresse.

Abonnering på kommentarer

Abonnering på kommentarer kan settes opp av den enkelte leser som har autentisert seg. Den adressen som man ønsker kommentarene sendt til må også autentiseres – selv om det skulle være samme epostadresse som man allerede har autentisert mot.

Da vil svar på kommentartrådene man selv har deltatt i bli sendt til den epostadressen man oppgir, når man slår slik epost-abonnering på. Det forutsetter at man bruker epost-autentisering med kode i tillegg til eventuell annen autentisering. Den oppgitte og autentiserte epostadressen lagres i det aktuelle innlegget som man ønsker svar for. Når man bruker dette vil det logges at det sendes utgående epost.

Stemming på andres kommentarer

Det er mulig å stemme opp eller ned andres kommentarer, dersom man er autentisert. Om man gjør det, lagres det informasjon om at man har stemt, og om det er opp eller ned. Videre lagres IP-adressen man har stemt fra – enveiskryptert med SHA1 – for å sikre at det bare stemmes en gang fra hver IP.

Det er mulig at det vil åpnes for anonym stemming senere.

Avatarer fra Gravartar og andre

Til kommentarene brukes avatarer hentet fra Gravatar.com. Det fungerer slik at enveiskrypteringen av epostadresse er den samme som brukes av Gravatar. Dermed kan brukerens gravatar hentes og brukes i forbindelse med kommentaren.

Dersom du har en konto hos Gravatar, vil den avataren som er koblet til denne kontoen brukes. Hvis ikke vil gravatar.com ikke være i stand til å dekode forespørselen til hvilken epostadresse det gjelder. De vil da gi deg en tilfeldig men konsistent avatar, utledet av den SHA1-hashverdien de fikk oppgitt.

Avatarer som hentes fra gravatar.com eller fra OAuth på sosiale medier blir mellomlagret lokalt på den tjenermaskinen der bloggen kjører for senere bruk. Hensikten med dette er å unngå å utløse båndbreddebegrensninger som følge av at slike avatarer hentes for hyppig. Avataren blir oppdatert ved hver ny innlogging.

©2023 Anders Christensen <anders@geekhouse.no> - Creative Commons BY-NC-ND 4.0
Utskrift fra bloggen «Det står en-og-førti øl…»
URL: https://beerblog.no/meta/Personvern.html
Kontakt: Anders Christensen <anders@beerblog.no>