Mennesker i en sårbar situasjon utnyttes, mener Forbrukerrådet som kaller annonsepraksisen for et tillitsbrudd. NHI sender også besøksdata til Facebook.
Norsk Helseinformatikk (nhi.no) er en av de ti mest sporede norske nettstedene, ifølge en undersøkelse CookieBot har gjort for NRKbeta. De har telt opp antall informasjonskapsler (cookies) og identifisert selskapene som legger dem igjen på 1503 populære norske nettsider. Du kan lese mer om fremgangsmåten i bunnen av artikkelen.
NHI beskriver seg selv som et av «Skandinavias største helsenettsteder» med over 550.000 ukentlige brukere, hvorav 40 prosent er helsepersonell. Søker du på symptomer og sykdommer, er NHI en av de best rangerte på Google, noe som gjør nettsiden til en viktig informasjonskilde for hjelpetrengende i Norge.
Hvorfor er dette viktig: Personvernforkjempere mener måten personaliserte annonser leveres ikke er forenlig med å verne nettbrukeres privatliv. Spesielt kritiseres rammeverket til bransjeorganisasjonen IAB som NHI følger gjennom sin annonsepartner Smart Adserver.
Forbrukerrådet: – Tillitsbrudd
Fagdirektør i Forbrukerrådet, Finn Myrstad, er kritisk til manglende åpenhet om sporingsmengden og beskriver det som et tillitsbrudd.
– Forbrukere er gjerne i en sårbar situasjon når de oppsøker medisinsk informasjon. Det handler om at man selv er syk eller besøker noen man er bekymret for. Da er man gjerne ikke så opptatt av å sjekke personverninnstillingene på en nettside, sier Myrstad, som reagerer på at markedsførere får overvåke brukerne også før de har samtykket på nettsiden.
Som en følge av spørsmål fra NRKbeta om samtykke endret NHI på innstillingene. Nå må brukerne godta at det settes cookies til markedsføringsformål for at de skal lastes inn.
Til informasjon: NHI benytter CookieBots samtykkeløsning – samme selskap som gjorde undersøkelsen for NRKbeta.
Deler med Facebook
Likerknappen NHI bruker på sine nettsider hjelper Facebook med å få vite mest mulig om internettbruk, også utenfor sitt eget økosystem.
I et blogginnlegg fra 2018 forteller Facebook selv at de innhenter data om besøkende via likerknappen. Blant annet får Facebook vite den besøkendes IP-adresse, nettsiden (URL), og tekniske detaljer om nettleseren.
Om den besøkende er innlogget på Facebook, vil Facebook også ha mulighet til å matche nettbesøket opp mot brukerens profil.
Til NRKbeta sier en talsperson fra Facebook at «dette er en valgfri funksjon som har blitt satt inn av nettstedet selv» og at de «forhindrer applikasjoner og nettsteder fra å sende oss sensitiv informasjon, og vi ber dem om å være tydelig ovenfor sine brukere om hvilken informasjon de deler med oss. Vi tar også grep for å fange opp og fjerne data som ikke skulle vært delt med oss».
Omfattende sporing
– NHI har den mest utstrakte bruken av annonseteknologi jeg har sett, også i internasjonal sammenheng, sier advokatfullmektig Christian Werner Skovly ved Føyen Torkildsen.
– Kombinert med det omfattende medisinske innholdet på nettsiden, fremstår det ganske tydelig at det her utleveres sensitive personopplysninger om de som besøker nettstedet, sier Werner Skovly, som arbeider med de juridiske sidene ved moderne annonseteknologi.
Både han og Forbrukerrådet tror de færreste er klar over at de utsettes for omfattende sporing ved å besøke en helsenettside. Spesielt er de bekymret for at unike ID-er vi gis kan sammenstilles til detaljerte profiler om hvem vi er.
NHI: Ikke sensitive opplysninger
– Hvorvidt et oppslag på en nettside om en sykdom eller et symptom kan regnes som «sensitive persondata» er høyst diskutabelt, skriver ledelsen i NHI i en epost.
Der legger de frem et eksempel: Det siste året har artikkelen om «Crohns sykdom» fått 281.631 oppslag, men det er bare omlag 5-10.000 mennesker i Norge med tilstanden. Gitt at alle med Crohns sykdom leser denne artikkelen i året, er det bare 2,7 prosent sannsynlighet for at en leser har sykdommen.
– Det å ha lest artikkelen er altså en veldig dårlig indikator på om man har sykdommen eller ikke, mener NHI.
Myrstad i Forbrukerrådet reagerer når han får gjengitt eksempelet:
– Det er overraskende at NHI ikke har reflektert mer over hvilken informasjon de gir fra seg om brukerne sine, spesielt siden de har så mange aktører inne og sporer aktiviteten på sidene sine.
Hvem har ansvaret?
På spørsmål om hvorfor NHI laster inn fra så mange tredjeparter henviser de til samarbeidet med annonsepartneren Smart Adserver. Det er dette selskapet som gir andre markedsførere tilgang til brukeren.
Ifølge NHI vil det være et brudd på GDPR og deres databehandleravtale hvis Smart Adserver, eller øvrige partnere i annonsenettverket, henter ut informasjon og prosesserer denne slik at resultatet blir sensitive personopplysninger.
Smart Adserver oppgir at de gjør dette i tråd med regelverket fra bransjeorganisasjonen IAB og at de forholder seg til at samtykkeplattformen CookieBot har videreformidlet korrekt samtykke for hver enkelt bruker.
Michael Nevins i Smart Adserver sier:
– Hver aktør må respektere brukernes valg og de kan kun prosessere data for bestemte formål. IAB Europa gjør noen tiltak for at alle parter skal respektere regelverket.
Tips journalisten om personvern og IT-sikkerhet på telefon eller Signal: (+47) 47 75 65 15 eller martin.gundersen@nrk.no
Internasjonalt er det flere rangeringslister over populære nettsider. NRKbeta benyttet Tranco, en sammenstilling av rangeringer fra Alexa, Cisco Umbrella, Majestic, og Quantcast, til å hente ut populære .no-domener.
For hvert nettsted har CookieBot scannet 1000 undersider for de ulike informasjonskapslene og rapportert hvor de først ble observert. Totalt ble 1506 .no-domener undersøkt.
Basert på dette har vi gjort stikkprøver av ulike nettsteder som peker seg ut positivt eller negativt. En liknende undersøkelse av nettsidene til Kommune-Norge viste at en rekke kommuner lekket informasjon om sensitive nettbesøk.