Kommune-Norge lekker informasjon om dine mest personlige nettbesøk, viser en undersøkelse gjort på vegne av NRKbeta. Det hele skyldes en «uskyldig plugin».
Rask psykisk helsehjelp (RPH) er et tilbud til personer over 16 år med symptomer på angst og depresjon av lett til moderat grad, skriver Kristiansand kommune på sine nettsider. Kommunen tilbyr også informasjon om hva du kan gjøre i barnevernssaker, om du sliter med rus, eller søker informasjon om hjemmehjelp til et familiemedlem.
At du besøker disse informasjonssidene deler Kristiansand kommune med det amerikanske IT-selskapet Oracle, noe de ikke opplyser om på sine personvernsider.
I 2016 kjøpte Oracle opp AddThis, et selskap som leverer noen knapper som gjør det enklere å dele en nettside med venner på Facebook, Twitter, og epost. Det er også mulig å trykke på utskriftsikonet som tar deg til en utskriftsmeny.
– AddThis tjener sine penger på å selge dataene de får av å overvåke nettbrukeres ferd på tvers av nettsider som bruker pluginen, sier Daniel Johannsen, som er sjef for Cybot. Selskapet leverer tjenester innen personvern.
9. april analyserte Cybot nettsidene til norske kommuner på vegne av NRKbeta. Det viste at 70 av 422 kommuner lot AddThis hente ut data om deres brukere på minst en underside. I tillegg til Kristiansand avslørte stikkprøver at også kommuner som Fredrikstad, Nittedal, og Hamar tillater Oracle å spore sine innbyggere på svært personlige informasjonssider.
En av verdens største dataforhandlere
Oracle har med sine oppkjøp av Datalogix, BlueKai, og AddThis blitt en av verdens største dataforhandlere, ifølge en rapport av den østerriske personvernforskeren Wolfie Christl.
I 2016 oppga Oracle selv at AddThis sporet 900 millioner brukere på 15 millioner domener.
Conzentio, en annen tjenestetilbyder innen personvernorienterte løsninger, undersøkte AddThis august 2018. Der fant de at Oracle, i sitt eget informasjonsmateriell, oppgir å ha 4,4 millioner unike ID-er i Norge fordelt på 48.100 annonsegrupper.
– De som bruker dette i sine nettsteder blir lurt av AddThis. Det er ikke tydelig for dem at den brukes til å stjele brukernes data, sier teknisk sjef Anders Willstedt i Conzentio.
Egne tester gjennomført av NRKbeta viser at AddThis kan hente ut IP-adresse, et estimat for lokasjon, informasjon om nettleseren, og nettadressen brukeren surfer på.
Trykker man på en av knappene laget av AddThis vil brukeren også få en unik ID. Den vil følge brukeren på alle nettsider med en AddThis-plugin.
Oracle bruker data høstet fra AddThis til å lage unike brukerprofiler som man kan rette annonser mot. Etter at nye personvernlover ble innført i Europa har Oracle i det stille sluttet å tilby brukersegmentering basert på data fra AddThis, ifølge Ad Exchanger.
Oracle oppgir til NRKbeta at de ikke ønsker å stille til intervju om AddThis. I Oracles personvernsretningslinjer for AddThis står det at selskapet kan samle inn informasjon som indirekte kan identifisere brukere og at informasjonen kan brukes til målrettet reklame.
Datatilsynet
Juridisk seniorrådgiver i Datatilsynet, Tobias Judin, mener det kan være et «svært alvorlig lovbrudd» om beskyttelsesverdig informasjon har lekket til «uvedkommende».
I 2018 innlemmet Norge et nytt lovverk for personvern (GDPR) som inneholder regler for når og hvordan personopplysninger kan behandles. Enkelte informasjonskategorier, såkalte «særlige kategorier av personopplysninger» har strengere krav til beskyttelse. Dette gjelder informasjon om blant annet helse, religiøs overbevisning, og politisk oppfatning.
– Hvis mine surfevaner belyser noen trolige sammenhenger om disse punktene kan det regnes under «særlige kategorier av personopplysninger», og det er veldig strengt å behandle dem, sier Judin, som mener det er «ekstra graverende» om en kommune har latt denne typen informasjon komme på avveie.
Judin beskriver det som et demokratisk problem om innbyggere ikke kan få informasjon om kommunale tjenester uten å overvåkes av kommersielle aktører.
– Om jeg har nedsatt funksjonsevne må jeg kunne lese om å få hjelp i hjemmet uten at det går videre til noen andre.
– Uheldig situasjon
Da NRK kontaktet Kristiansand kommune om deres bruk av AddThis ble pluginen fjernet umiddelbart.
– For oss er dette en uheldig situasjon. De som har vært inne på våre nettsider har lagt igjen informasjon om seg selv som de ikke har vært klar over at de har lagt igjen, sier kommunens IT-sjef, Ingunn Kvivik.
Hun sier det er særlig alvorlig for personer som har vært inne på sider med sensitiv informasjon.
Har dere vurdert lovligheten av det?
– Vi har ikke vurdert lovligheten av dette internt i kommunen. Vi har stolt på leverandøren vår i denne saken, påpeker hun.
Leverandøren er IT-selskapet Prokom. De har nå gått ut med en anbefaling til alle kommuner som benytter deres løsning om å fjerne AddThis-komponenten fra sine hjemmesider. Det bekrefter administrerende direktør i Prokom, Halvor Jordbakke.
AddThis fjernes fra flere kommuner
– Uten å gå detaljrikt inn på teknologien, synes det rett å fjerne løsningen, da en offentlig nettside ikke bør ha slike relasjoner til kommersielle tredjeparter, sier digitaliseringssjef Ketil Johansen i Fredrikstad kommune.
Kommunikasjonssjef i Nittedal kommune, Kristian Westgård, forteller at de ikke har grunnlag for å «konkludere med at plugin AddThis er lovstridig», men at de for sikkerhetsskyld har fjernet den fra nettsidene. Marianne Bjønness opplyser at Hamar kommune ikke har vurdert lovligheten av pluginen, men at den nå er fjernet.
Oppdatering: Etter at artikkelen ble publisert har en rekke kommuner tatt kontakt for å informere om at de har fjernet elementer på deres nettsider som legger igjen cookies fra AddThis.
*Kommunenes nettsider ble undersøkt 9. april. Det holder at AddThis har lagt igjen en cookie på minst en underside for at en kommune er ført opp på listen.