NRK skulle kartlegge fra «åpne kilder på nett» – men falt for fristelsen til å gå utover dette

En kortere versjon av artikkelen er publisert hos Dagbladet.

Første nyttårsdag publiserte NRK en lengre artikkel om hvordan de «kartla livet til Marthe (27) på nett«, og at «Gjennom åpne, offentlige kilder og sosiale medier fikk NRK ut svært mye informasjon» om den tilfeldige personen som hadde meldt seg som frivillig prøvekanin. (Neste dag fikk de også korrigert Marthes alder fra 27 til 26 år- selvsagt bare en slurvefeil, men en litt uheldig start når hele artikkelens eksistensberettigelse er å vise frem hvor presist de klarte å kartlegge henne.)

Undertittelen på nrk.no-forsiden lover at man har klart å grave opp informasjon som ikke engang Marthe selv kjente til  («- Det visste jeg ikke selv engang, sier hun«). I artikkelen kommer det imidlertid frem at denne kommentaren (med et innskutt «det visste ikke jeg nesten» som NRK har utelatt fra sin sitering) refererer til opplysningene om hvor mye hun hadde hatt i inntekt og hvor mye skatt hun hadde betalt siste år.

Det er forsåvidt kurant nok at man ikke har i hodet nøyaktig hvor mye man ble trukket i skatt over hele fjoråret, og i en opplisting av hvor mye informasjon man kan samle om én person, hører søk i skattelistene selvsagt med. Men når dette er informasjon som staten sender ut til alle borgere i skattemeldingen – og som det er eksplisitt politisk bestemt at skal være søkbart for hvem som helst – så blir det en smule tabloid å løfte opp dette som informasjon som selv ikke søkeobjektet var kjent med.

Men NRK har selvsagt funnet frem til langt mer enn dette når de satte seg fore «å finne ut så mye som mulig om vedkommendes liv kun ved hjelp av åpne kilder på nett«:

NRK har blant annet kartlagt Marthes nettvaner, funnet ut hvordan hun prater til vennene sine på nett og sett hvor hun og familien bodde gjennom hele barndommen. Men alt dette er bare en liten del av informasjonen vi klarte å hente ut.

Ved hjelp av hennes Facebook-konto, andre sosiale medier og sider som seeiendom.no, skattelistene, Brønnøysundregistrene og Eiendomsregisteret, fylte NRK tre fulle A4-sider med informasjon om Marthe.

Men så kommer det en mer påfallende opplysning: NRK melder også at «Via Folkeregisteret fikk vi tilgang til personnummeret hennes» – til tross for at Folkeregisterlovens § 10-1 gjør det klart at dette ikke er noe som Folkeregisteret skal utlevere uten videre, men bare ved «begrunnet behov» – som igjen defineres som «at nummeret er nødvendig for å oppfylle en lovpålagt forpliktelse eller for å ivareta en lovmessig rettighet«.

Deretter forteller de at «Vi utførte også en kredittsjekk for å se om hun hadde noen betalingsanmerkninger» – noe som tilsvarende bare kan foretas gjennom et kredittvurderingsselskap, og bare dersom den som bestiller kredittsjekken har en saklig grunn til det (typisk at de skal selge deg en vare på kreditt eller gi deg lån, slik at de trenger å sjekke din betalingsevne).

Etter en henvendelse til NRK (og adskillig ventetid og purringer), bekrefter de etterhvert at når de fikk tak i hennes personnummer, så var dette takket være den særskilte tilgangen som pressen har (for å kunne drive «undersøkende journalistikk»). Og på oppfølgingsspørsmål om hvordan de fikk gjort kredittsjekk, viser seg at de hadde innhentet Marthes samtykke til å gjøre dette.

Disse to opplysningene (som må kunne sies å være de klart vesentlige/mest oppsiktsvekkende av alt de nevner), var altså aldeles ikke frembrakt gjennom noen «åpen, offentlig kilde» som hvem som helst kunne benyttet seg av, men takket være særegne tilganger som de hadde fått i kraft av sin rolle som «undersøkende journalister». (Til alt overmål har ordningen med pressens direktetilgang nå blitt strammet inn, slik at man i fremtiden (fra oktober 2018, og allerede nå for alle som innvilges nye tillatelser) må søke individuelt og begrunnet for å få tilgang til fødseslsnummer.)

Man kan selvsagt argumentere med at det vil være en hel del personer  og instanser som vil ha lov til å gjøre en slik kredittsjekk, eller som vil kunne manipulere frem en slik situasjon dersom man har uærlige hensikter. Og tilsvarende kan man også si (som sant er) at mange personer og instanser har for vane å være veldig slepphendte med både egne og andres personnummer, slik at det ikke hadde vært spesielt overraskende om NRK faktisk hadde klart å få tak i dette ved hjelp av «åpne kilder». Man kan også problematisere om det at Folkeregisteret utleverer personnummer til pressen så enkelt som de har gjort i dette tilfellet, i seg selv utgjør en sikkerhetsrisiko og et brudd på lovgivers intensjoner – IKT-Norges Torgeir Waterhouse er f.eks. sterkt kritisk til at pressen (enn så lenge) har tilgang til personnummer på denne måten.

Men ingen av disse poengene blir tatt opp i NRKs oppslag: Deres fokus er på hvordan enkeltpersoner bør tenke over hva de gir omverdenen tilgang til – selv om Marthe altså ikke hadde gjort noenting som ga utenforstående tilgang til personnummeret hennes. og det var NRK selv som hadde fått henne til å aktivt gi dem tilgang til hennes kredittopplysninger.

Når NRK lager et oppslag der hele poenget er hvor mye informasjon det er mulig å hente ut «kun ved hjelp av åpne kilder på nett» (eller «bare gjennom spor [journalisten] fant om henne på nett», som TV-innslaget ble annonsert med), så må det være lov å forvente at de faktisk holder seg til sine egne kjøreregler – ikke at de sper på informasjonstilfanget ved å også ta i bruk andre metoder som ikke er tilgjengelige for hvem som helst. Artikkelen hadde åpenbart fått adskillig mindre slagkraft dersom de hadde tilkjennegitt at de hadde benyttet seg av sine særegne presseprivilegier – og det blir regelrett absurd når NRK gjør et poeng av at de har skaffet seg informasjon om betalingsanmerkninger, uten å nevne at testobjektet har aktivt innvilget dem innsyn i dette. (Da kunnet man like gjerne fått henne til å utstede en fullmakt om journalinnsyn, og så slått stort opp at de hadde lest hele hennes medisinske historikk.)

At NRK også innser dette selv, blir ytterligere tydeliggjort av hvordan man har dratt føttene etter seg når det gjelder å korrigere artikkelen: Etter mine henvendelser ble formuleringen om at de skulle samle informasjon «kun ved hjelp av åpne kilder på nett» endret til «ved hjelp av tilgjengelige kilder på nett» (uten noe «kun»), og setningen om personummeret til «Gjennom en søknad til Folkeregisteret fikk vi tilgang til personnummeret hennes«. Dagen etter gikk man en ny runde, slik at man snakker om at man har benyttet «ulike nettkilder og sosiale medier» og «ulike kilder på nett og sosiale medier«. (Setningen om kredittsjekken står fortsatt i sin opprinnelige form, uten noe hint om at man måtte ha hennes samtykke til dette – og på Facebook har man ikke endret noenting.)

Man har altså gått fra en formulering som var kategorisk usann, til noe som det går an å kverulere på at er formelt gyldig, men som er helt soleklart villedende (ingen leser kan skjønne av seg selv at «ulike nettkilder» inkluderer ‘Folkeregisterets elektroniske søketjeneste som NRK er innvilget tillatelse til å bruke i kraft av å være et mediehus, men som ikke er tilgjengelig for allmennheten’). Man skjønner åpenbart utmerket godt at store deler av artikkelen ville falt pladask til jorden dersom man hadde vært åpne og ærlige om hvilke metoder man hadde brukt.

Og mens NRKs retningslinjer for endringer i nettartikler uttrykkelig sier at alle vesentlige presiseringer/rettelser skal angis med en egen tekst i starten av artikkelen, er det ikke tilføyd noen som helst slik kommentar i dette tilfellet – til tross for at man altså har fjernet en direkte usannhet i selve artikkelens bærende premiss. Og de som nøyer seg med å se på videoinnslaget om saken, blir fortsatt fortalt av journalisten at «Det eneste jeg visste om henne på forhånd var navnet hennes» – uten å tilføye at han dessuten har innhentet hennes skriftlige samtykke til å kredittvurdere hennes økonomi.

Hvor lett er det å misbruke personopplysninger?

De andre opplysningene som NRK har fått kloa i, er tross alt noen hakk mindre invaderende eller oppsiktsvekkende: Inntekt og skatt for fjoråret (hentet direkte fra de åpne skattelistene), navn på aller nærmeste familie, nåværende og tidligere bosted (inkl. gårds- og bruksnummer) og flyttetidspunkter, hvor og når hun giftet seg (og når hun og ektemannen først ble sammen), hvor hun har vært på ferie, og litt om hennes «nettvaner». (Hun siteres på at «Det var veldig rart at du visste hva søsknene mine og mamma het«- men denne reaksjonen virker litt pussig når man ikke trenger å gjøre annet enn å klikke seg på «Om» => «Familie» på hennes åpne Facebook-profil for å få denne informasjonen servert opp i fanget.)

NRK medgir selv at mye av dette «kan høres ut som triviell informasjon» – men fremholder at «mange bruker slik informasjon for å lage passord til ulike påloggingssider på nett. (…) Vi nordmenn velger gjerne personlige passord som er enkle å huske, og bruker samme passord på flere påloggingssider, for det er jo tross alt lett å glemme. Det gjør oss også sårbare» – og siterer en NORSIS-rådgiver på at man bør «lage lange passord som ikke kan kobles til personlige opplysninger«.

Deretter advarer NRK oss om at

Summen av all informasjonen vi finner om Marthe, kan brukes til å gjøre ting som

  • Ta opp et lån i hennes navn
  • Tømme sparekontoen hennes
  • Stjele identiteten hennes

På direkte spørsmål om hvordan konkret man kan gjøre disse skumle tingene med denne informasjonen, presiserer NRK at alt dette bygger på premisset om at offeret har valgt seg så elendige passord at man kan knekke dem ved å kjenne til relativt triviell informasjon som hvor du har bodd eller hvem du er i familie med.

I videoinnslaget nevnes det imidlertid ikke et kvidder om denne temmelig vesentlige og innsnevrende forutsetningen – her konstaterer journalisten uten forbehold at:

«Med denne informasjonen er det nesten ubegrenset hva jeg kan gjøre med livet ditt. Jeg kan ta opp et lån i ditt navn, jeg kan tømme sparekontoen din, jeg kan stjele identiteten din, og jeg kan gjøre mye, mye mer.»

Når han ble utfordret på Twitter på hvordan man kunne dette med bare de nevnte opplysningene, modererte han seg imidlertid (etterhvert) vesentlig, til at når «jeg har samlet så mye så kan en kompetent person skaffe så utrolig mye mer» (altså noe helt annet enn det som sies i videoen).

Også artikkelen formidler et soleklart budskap om at NRKs innsamlede informasjon er tilstrekkelig for slik svindel: IKT-Norges Torgeir Waterhouse siteres på at «Det er sikkert flere banker som sier at du ikke får gjort disse tingene hos dem» – men fastholder at «med den informasjonen du har samlet inn er det nesten ingen begrensing på hva en med litt kompetanse kan gjøre«.

På henvendelse fra meg modererer derimot også Waterhouse dette betydelig, til at personnummer i utgangspunktet ikke i seg selv muliggjør slik svindel. men kan være et viktig første skritt på veien mot å tilrane seg ytterligere sensitiv informasjon. Dette er selvsagt en gyldig og viktig advarsel om betydningen av å verne om eget (og andres) personnummer, men er noe ganske annet enn hans/NRKs fremstilling om at deres opplysninger om Marthe gjør det fritt frem for å tømme hennes sparekonto.

Tilsvarende er det absolutt verdifullt og på sin plass å heve folks bevissthet omkring hva de deler av personlige opplysninger (både på nettet og andre steder), og hvilke konsekvenser det potensielt kan få – og ikke minst å innprente dem at de uansett ikke bør bruke slike personlige opplysninger til å lage passord (særlig med tanke på alle de tjenestene som direkte oppfordrer deg til å legge inn sikkerhetspørsmål av typen «Hva var din mors pikenavn» – informasjon som det åpenbart er potensielt mulig for uvedkommende å grave opp, uansett hvor forsiktig du er). (Behovet for slik folkeopplysning blir også understreket av at intervjuobjektet sier at hun « skjønner hvorfor man blir oppfordret til ikke å bruke tidligere adresser og andre personlige ting som passord«, og uttrykker forbauselse over at NRK har fått fatt i informasjon som ligger åpent på hennes egen Facebook-profil.)

Men slik advarende folkeopplysning må åpenbart ta utgangspunkt i en redelig og noenlunde nøktern fremstilling – ikke hausse opp temaet med overdrevne skremmebilder og utelate helt sentrale premisser, slik NRK valgte å gjøre. Og man bør også ha i bakhodet at dersom man tegner et altfor dystopisk bilde av påtrengende trusler, så vil det fort ha stikk motsatt effekt, ved at folk blir demotiverte fra å gjøre noe og inntar en fatalistisk holdning om at det ikke nytter uansett hva man gjør.

Det er for eksempel relevant å oppfordre folk til å være mer forsiktige med eget (og andres) personnummer – men lesere blir snarere påvirket i retning av å konkludere med at det ikke har noen hensikt å ta slike forholdsregler, når de fortelles at dette er noe som hvemsomhelst uansett kan få tak i «via Folkeregisteret». Og når denne feilinformasjonen om tilgangen på personnummer blir kombinert med urealistiske skremmebilder om at dette alene er nok til å stjele alle sparepengene dine, beveger NRK seg milelangt utenfor det å sette en legitim og berettiget støkk i publikum, og ut i det uredelig tabloide.

Reklamer

2 kommentarer om “NRK skulle kartlegge fra «åpne kilder på nett» – men falt for fristelsen til å gå utover dette

  1. Det er her vesentlig å påpeke at NRK journalister er ikke eksperter på dette. Og det er helt riktig å påpeke at de går langt over streken med å påstår at dette er enekelt og alle kan får det til. Men det er ikke å unngå at, med en snev av kompetanse, så er det skremmende lett å stjele identiteten til folk. Ikke minst er det lett å lure de fleste til å oppgi sensitiv informasjon til ukjente! (ref forsøk da tenåringer ga bort sin FB passord mot godteri!)

    Liker

Kommentér gjerne, selv om du ikke har noe spesielt dypsindig å komme med. E-post adresse er ikke påkrevet.

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.