«Nærmest parodisk at man benytter seg av den typen sporingsteknologi», sier Gisle Hannemyr om partienes bruk av bedriftsverktøyene til Facebook.
Besøker du hoyre.no møtes du av en dialogboks hvor det står «Hei! Lurer du på noe? Send oss en melding!». Kanskje står det også «fortsett som [ditt navn]» like under.
Det betyr at Facebook, en av verdens største digitale annonseselskaper, gjenkjenner deg på hjemmesiden til et politisk parti i Norge.
I Datatilsynets rapport Målretting av politiske budskap konkluderer tilsynet med at «det er generelt manglende bevissthet om hvilke informasjonskapsler som finnes på partienes nettsider».
I rapporten råder de partiene til å «få oversikt over og ta ansvar for hvilke opplysninger som samles inn fra nettsidene deres. Selv om partiene ikke selv benytter informasjonen som samles inn av sporingskapslene som er installert, videresendes personopplysninger til tredjeparterslik som Facebook og Google».
NRKbeta har gått de politiske partiene nærmere i sømmene og funnet ut at seks av ni stortingspartier (H, Ap, KrF, Sp, Frp, og MDG) benytter minst ett av bedriftsverktøyene Facebook tilbyr nettsteder.
H, Ap, Frp, KrF, og Sp benytter seg av Facebook Pixel, et verktøy for å kunne måle effekten av annonser og å kunne annonsere mot dem som tidligere har besøkt nettsiden.
Det disse verktøyene har til felles er at de lar Facebook få tilgang til informasjon om de som besøker nettsiden.
Slik beskriver Facebook det:
– Disse partnerne gir informasjon om aktivitetene dine utenfor Facebook, inkludert informasjon om enheten din, nettstedene du besøker, kjøp du foretar, annonsene du ser, og hvordan du bruker tjenestene deres, hvorvidt du har en Facebook-konto eller er logget inn på Facebook.
Det kan ifølge Facebook selv brukes til «å vise folk bedre annonser og innhold».
Overfor NRKbeta understreker selskapet at «du kan besøke nettsiden til et politisk parti, men Facebook konkluderer ikke dermed at du støtter dette partiet».
Partiene burde informert brukeren bedre
– Folk skal ikke være dataeksperter for å unngå å avlevere sensitive persondata, sier Gisle Hannemyr som er universitetslektor ved UiO og medlem av personvernnemda.
Han mener bestemt at nettbesøk til politiske partier skal beskyttes ekstra godt. Ifølge ham kan informasjon om hvilke nettsider vi besøker si noe om våre politiske preferanser.
«Det virker nærmest parodisk at man benytter seg av den typen sporingsteknologi», sier Hannemyr. Spesielt sett i lys av «Facebooks forhistorie på dette området».
De seks politiske partiene opplyste om sin bruk av Facebook-verktøy i sine personvernerklæringer, men Hannemyr mener flere av partiene underkommuniserer omfanget av Facebooks sporing og at «det virker ganske bevisstløst at man ikke er klar over hvor alvorlig det er for personvernet».
For ham er det også viktig at partiene i det minste lar brukeren selv velge om de vil laste inn verktøy fra Facebook. Det gjør kun Arbeiderpartiet i dag, de andre partiene har istedenfor opplyst om verktøyene i sine personvernsider som blant annet henvises til i en pop-up for førstegangsbesøkende.
– Gjør persondata til politiske våpen
Cambridge Analytica-skandalen handler om at et lite selskap fikk hentet ut personlige opplysninger om 87 millioner Facebook-brukere, og at det ble benyttet i den amerikanske presidentvalgkampen.
Effekten av mikromålrettingen til Cambridge Analytica er omdiskutert, men en ting er sikkert: Det utsprang fra Facebook-data.
– Bør de politiske partiene medvirke til å gi Facebook besøksdata fra sine hjemmesider, spør Hannemyr, før han fortsetter med å si at «da medvirker de til å gjøre persondata om til politiske våpen».
Han sammenlikner det med norske våpenlover:
– De fleste går ikke rundt og skyter folk, likevel er det klare begrensninger på tilgang til, og bruk av våpen. Dette gjelder uavhengig av om partiet selv benytter seg av mikromålretting eller andre tvilsomme metoder. Man bør ikke medvirke til å gi Facebook den typen ammunisjon dersom man er et ansvarlig politisk parti.
De politiske partiene er forelagt Hannemyrs kritikk. Du kan lese partienes svar i bunn av artikkelen.
Uenighet om hvem som har ansvaret
Blant advokater og teknologer er det ulike oppfatninger om bruken av Facebooks verktøykasse. For virkelig interesserte handler det om hvem en nettbruker forholder seg til.
Høyre argumenterer blant annet for at Facebook har et direkte forhold med brukeren på hoyre.no, og at det reguleres etter avtalevilkår brukeren har akseptert med Facebook.
Dere forteller bare om informasjonskapslene på personvernsidene deres. Hvorfor forteller dere ikke om omfanget av data som hentes inn av Facebook via verktøyene Pixel og Connect?
– Vi mener personvernsidene tar høyde for denne bruken, og nevner også «Pixel» og «Connect» eksplisitt, sier Sveen.
– Høyre videreformidler ikke personopplysninger eller andre opplysninger som identifiserer brukeren, sier IT-sjef Kim Are Sveen i Høyre.
I hvilken grad har Høyre noen etiske betenkeligheter med å dele besøksdata med Facebook?
– Igjen, Høyre deler ingen data med Facebook. Det er brukerne av Facebook som eventuelt velger å gjøre dette. Men: Høyre har mulighet til å markedsføre seg overfor de brukerne som har akseptert Facebooks avtalevilkår. Den muligheten benytter vi, men vi markedsfører oss ikke mot enkeltpersoner eller bedriver mikromålretting av budskap. Vi markedsfører kun mot større grupper.
– Det er også viktig å tillegge at vi i Høyre jobber kontinuerlig med våre tekniske løsninger, og har blant annet sett på teknologi hvor brukeren selv kan separere hva slags informasjonskapsler vedkommende tillater brukt, men vi har foreløpig ikke funnet noen løsning som vi mener ivaretar dette godt nok.
Høyre viser til at alle kan se hvilke annonser Høyre kjører og målgruppene de retter seg mot.
Denne oversikten som synliggjør politiske annonser på Facebook er obligatorisk for politiske partier, og er et av tiltakene Facebook har igangsatt etter det store omfanget av påvirkningsoperasjoner i forbindelse med en rekke demokratiske valg.
Hannemyr mener Høyre skyver fra seg ansvaret:
– Uansett hvem som er behandlingsansvarlig har partiene full kontroll over hva deres egne nettsider inneholder av script og piksler. Denne redaksjonelle kontrollen bør de benytte seg av.
– Når man i egne hjemmesider har bakt inn verktøy som tillater Facebook å hente ut slike opplysninger fra brukeren, er det ganske opplagt at man aktivt medvirker til å forsyne Facebook med særlige kategorier av personopplysninger om de personene som besøker partiets nettsider.
Facebook: – Vi mottar ikke sensitive data
Facebook oppgir gjennom PR-byrået Släger at de kun ønsker å stille til intervju over epost.
Ifølge Facebook har de krav om at partnernettsider må overholde gjeldende personvernlover (GDPR og ePrivacy) og at de mener besøksdata fra politiske partier ikke kan regnes som sensitive data.
For Facebook, og noen av partiene, har det vært viktig å understreke at Facebook ikke deler identifiserbar informasjon med sine partnere. Facebook oppgir også å ha rutiner for å slette «visse kategorier sensitiv informasjon» som fødselsnummer, fødselsdato, og passord.
– Når våre systemer registrerer identifiserbare sensitive data, sletter vi det før lagring og informerer virksomheten, sier Facebook.
Under GDPR kan besøksdata beskrives som «avledete data» som kan antyde politiske preferanser. Hvis Facebook mener dette ikke går under «særskilte kategorier», hvorfor det?
– Vi behandler data fra partnere, for eksempel pixel-data, for å vise folk bedre annonser og innhold. Vi er helt transparente om interessekategorier som er knyttet til hver bruker: De kan se og redigere disse interessekategoriene direkte i annonseinnstillinger. Kategoriene vi behandler er kun indikasjoner på interesse, og uavhengig av emnet, utgjør ikke en konklusjon om personen, og forblir kun et potensielt interessepunkt.
Facebook utdyper at «hvis du for eksempel liker siden til et idrettslag, kan du bli lagt til i en kategori for sportsinteresserte».
Facebook: Du styrer selv
Facebook oppgir til NRKbeta at brukerne selv kan oppsøke verktøyet «annonseinnstillinger» som «tydelig forklarer hvordan annonsering fungerer på Facebook».
Der kan brukere se hvem som har lastet opp kontaktinformasjon som epostadresse og telefonnummer, og hvilke nettsider du kan ha besøkt som benytter Facebooks verktøy.
Det er også mulig å endre om man ønsker å bli eksponert for «annonsert basert på data fra partnere»:
De politiske partiene svarer:
Markedssjef i Fremskrittspartiet, Helge Fossum, skriver at de benytter seg av Facebook Pixel «i noe grad» for å lage annonser på Facebook mot dem som har besøkt deres nettsider.
– Vi er svært opptatt av at personvernet skal ivaretas. Derfor er vi også nøye med at våre personvernerklæringer skal være oppdatert og åpne om hvilke data vi benytter. Når besøkende på våre nettsider første gang entrer våre nettside får de et varsel som henviser til denne erklæringen. På denne måten opplyser vi tydelig om vår tilnærming til dette og vår databruk før man benytter web ytterligere.
Arbeiderpartiet benytter seg av Facebook Pixel for statistikk, å se trafikken mellom Facebook og deres egne nettsider, og annonsere på Facebook til dem som har besøkt nettsidene, opplyser kommunikasjonsrådgiver Bjørn Tore Hansen.
– Dersom brukeren ikke aksepterer informasjonskapsler på nettsiden trigges heller ikke Facebook Pixel. Brukeren kan også velge bort kategorier av informasjonskapsler, i dette tilfellet «Markedsføring», dersom det er enkelte informasjonskapsler brukeren ikke ønsker. Vi er alltid åpne for å ta imot råd på hvordan vi kan best mulig kan ivareta personvernet, sier Hansen.
KrF benytter seg av Facebook Pixel, noe de opplyser om i sin personvernerklæring, forteller kommunikasjonssjef Mona Høvset i KrF:
– Slik vi oppgir i vår personvernerklæring, bruker vi begge som analyseverktøy for å samle inn webanalyse og besøksstatistikk. Cambridge Analytica-saken viste imidlertid hvordan data kan misbrukes, samtidig som både Facebook og Google lever av at folk har tillit til selskapene, og det er således i deres interesse å forhindre at data misbrukes.
Rådgiver i Senterpartiet, Tone Høiland, forteller at de benytter seg av Facebook Pixel til å måle konverteringer, bygge publikum (remarketing) og optimalisere annonsekampanjer på Facebook.
– Vår vurdering er at det er tilstrekkelig å informere om at denne type sporing brukes i vår personvernerklæring, slik vi har gjort på nettsidene, skriver Høiland.
Om Hannemyrs kritikk:
– Vi har ingen innsyn i de dataene som Facebook Pixel generer, og kan derfor vanskelig se at akkurat de kan misbrukes.
Kommunikasjonssjef i MDG, Nils Mørk, opplyser om at de er i sluttfasen av å utvikle ny nettside. Han forteller at de har valgt å ikke benytte Facebook Pixel «blant annet fordi vi er utrygge på behandlingen av dataene», men at de benytter andre Facebook funksjoner. Per 9. juli satt Facebook informasjonskapselen kalt «fr» som brukes for å gjenkjenne brukere på MDGs nettsider.
– Selv om vi ikke samler inn og behandler data gjennom informasjonskapslene vil tredjepartene få tilgang til noen typer data. Vi vil vurdere om vi kan forbedre informasjonen om informasjonskapslene vi gir til brukeren, og om vi bør innhente samtykke.
Om Hannemyrs kritikk:
– Vi er fullt klar over at Facebook og Google er blitt en integrert og dominerende del av norsk offentlighet, og er dermed også blitt plattformer som kan brukes av folk med uærlige hensikter. Vi er derfor varsomme med å dele besøksdata med tredjeparter. Takket være GDPR, som de europeiske grønne var sentrale i å innføre, har vi fått en helt ny bevissthet rundt dette i samfunnet, og tydeligere skillelinjer. Vi oppfatter at MDG og de andre norske partiene er veldig opptatt av å gjøre dette riktig og at vi gjennom arbeid med felles standard og kjøreregler ligger i forkant på dette området.
Til informasjon: Journalisten var ordstyrer for en debatt i regi av av Datatilsynet etter fremleggelsen av deres rapport om politisk målretting. Journalisten kjenner også nevnte rådgiver i Sp gjennom felles arbeid i studentavisen Under Dusken.