nrk.no

Norges største helsenettsted på sporingstoppen

Kategori: Samfunn

Forkjølet jente. Illustrasjonsfoto: Gorm Kallestad / NTB Scanpix


Mennesker i en sårbar situasjon utnyttes, mener Forbrukerrådet som kaller annonsepraksisen for et tillitsbrudd. NHI sender også besøksdata til Facebook.

Norsk Helseinformatikk (nhi.no) er en av de ti mest sporede norske nettstedene, ifølge en undersøkelse CookieBot har gjort for NRKbeta. De har telt opp antall informasjonskapsler (cookies) og identifisert selskapene som legger dem igjen på 1503 populære norske nettsider. Du kan lese mer om fremgangsmåten i bunnen av artikkelen.

NHI beskriver seg selv som et av «Skandinavias største helsenettsteder» med over 550.000 ukentlige brukere, hvorav 40 prosent er helsepersonell. Søker du på symptomer og sykdommer, er NHI en av de best rangerte på Google, noe som gjør nettsiden til en viktig informasjonskilde for hjelpetrengende i Norge.

Hvorfor er dette viktig: Personvernforkjempere mener måten personaliserte annonser leveres ikke er forenlig med å verne nettbrukeres privatliv. Spesielt kritiseres rammeverket til bransjeorganisasjonen IAB som NHI følger gjennom sin annonsepartner Smart Adserver.

Forbrukerrådet: – Tillitsbrudd

Fagdirektør i Forbrukerrådet, Finn Myrstad, er kritisk til manglende åpenhet om sporingsmengden og beskriver det som et tillitsbrudd.

Finn Myrstad i Forbrukerrådet. Foto: Martin Gundersen CC BY 4.0 SA

– Forbrukere er gjerne i en sårbar situasjon når de oppsøker medisinsk informasjon. Det handler om at man selv er syk eller besøker noen man er bekymret for. Da er man gjerne ikke så opptatt av å sjekke personverninnstillingene på en nettside, sier Myrstad, som reagerer på at markedsførere får overvåke brukerne også før de har samtykket på nettsiden.

Som en følge av spørsmål fra NRKbeta om samtykke endret NHI på innstillingene. Nå må brukerne godta at det settes cookies til markedsføringsformål for at de skal lastes inn.

Til informasjon: NHI benytter CookieBots samtykkeløsning – samme selskap som gjorde undersøkelsen for NRKbeta.

Deler med Facebook

Likerknappen NHI bruker på sine nettsider hjelper Facebook med å få vite mest mulig om internettbruk, også utenfor sitt eget økosystem.

I et blogginnlegg fra 2018 forteller Facebook selv at de innhenter data om besøkende via likerknappen. Blant annet får Facebook vite den besøkendes IP-adresse, nettsiden (URL), og tekniske detaljer om nettleseren.

Slik ser Facebooks knapp for å like og dele innhold. Skjermbilde: NHI

Om den besøkende er innlogget på Facebook, vil Facebook også ha mulighet til å matche nettbesøket opp mot brukerens profil.

Til NRKbeta sier en talsperson fra Facebook at «dette er en valgfri funksjon som har blitt satt inn av nettstedet selv» og at de «forhindrer applikasjoner og nettsteder fra å sende oss sensitiv informasjon, og vi ber dem om å være tydelig ovenfor sine brukere om hvilken informasjon de deler med oss. Vi tar også grep for å fange opp og fjerne data som ikke skulle vært delt med oss».

Omfattende sporing

– NHI har den mest utstrakte bruken av annonseteknologi jeg har sett, også i internasjonal sammenheng, sier advokatfullmektig Christian Werner Skovly ved Føyen Torkildsen.

Advokatfullmektig Christian Werner Skovly. Foto: Erik Burås / Studio B13

– Kombinert med det omfattende medisinske innholdet på nettsiden, fremstår det ganske tydelig at det her utleveres sensitive personopplysninger om de som besøker nettstedet, sier Werner Skovly, som arbeider med de juridiske sidene ved moderne annonseteknologi.

Både han og Forbrukerrådet tror de færreste er klar over at de utsettes for omfattende sporing ved å besøke en helsenettside. Spesielt er de bekymret for at unike ID-er vi gis kan sammenstilles til detaljerte profiler om hvem vi er.

Tenkt eksempel på hva en tredjepart kan skimte av et besøk. Illustrasjon: Martin Gundersen

NHI: Ikke sensitive opplysninger

– Hvorvidt et oppslag på en nettside om en sykdom eller et symptom kan regnes som «sensitive persondata» er høyst diskutabelt, skriver ledelsen i NHI i en epost.

Der legger de frem et eksempel: Det siste året har artikkelen om «Crohns sykdom» fått 281.631 oppslag, men det er bare omlag 5-10.000 mennesker i Norge med tilstanden. Gitt at alle med Crohns sykdom leser denne artikkelen i året, er det bare 2,7 prosent sannsynlighet for at en leser har sykdommen.

– Det å ha lest artikkelen er altså en veldig dårlig indikator på om man har sykdommen eller ikke, mener NHI.

Myrstad i Forbrukerrådet reagerer når han får gjengitt eksempelet:

– Det er overraskende at NHI ikke har reflektert mer over hvilken informasjon de gir fra seg om brukerne sine, spesielt siden de har så mange aktører inne og sporer aktiviteten på sidene sine.

Hvem har ansvaret?

På spørsmål om hvorfor NHI laster inn fra så mange tredjeparter henviser de til samarbeidet med annonsepartneren Smart Adserver. Det er dette selskapet som gir andre markedsførere tilgang til brukeren.

Ifølge NHI vil det være et brudd på GDPR og deres databehandleravtale hvis Smart Adserver, eller øvrige partnere i annonsenettverket, henter ut informasjon og prosesserer denne slik at resultatet blir sensitive personopplysninger.

Smart Adserver oppgir at de gjør dette i tråd med regelverket fra bransjeorganisasjonen IAB og at de forholder seg til at samtykkeplattformen CookieBot har videreformidlet korrekt samtykke for hver enkelt bruker.

Michael Nevins i Smart Adserver sier:
– Hver aktør må respektere brukernes valg og de kan kun prosessere data for bestemte formål. IAB Europa gjør noen tiltak for at alle parter skal respektere regelverket.

Tips journalisten om personvern og IT-sikkerhet på telefon eller Signal: (+47) 47 75 65 15 eller martin.gundersen@nrk.no

Fremgangsmåten forklart:
Internasjonalt er det flere rangeringslister over populære nettsider. NRKbeta benyttet Tranco, en sammenstilling av rangeringer fra Alexa, Cisco Umbrella, Majestic, og Quantcast, til å hente ut populære .no-domener.

For hvert nettsted har CookieBot scannet 1000 undersider for de ulike informasjonskapslene og rapportert hvor de først ble observert. Totalt ble 1506 .no-domener undersøkt.

Basert på dette har vi gjort stikkprøver av ulike nettsteder som peker seg ut positivt eller negativt. En liknende undersøkelse av nettsidene til Kommune-Norge viste at en rekke kommuner lekket informasjon om sensitive nettbesøk.

23 kommentarer

  1. Dette husker jeg svenske TV4 også prøvde på. Henge ut og «avsløre» en helt uskyldig og ellers rettskaffen tjeneste for noe som DE SELV også driver. I bunnen av hver eneste NRK-artikkel er det en FB-share knapp som gjør akkurat det samme som dere shamer noen andre for å gjøre. Fei for egen dør først!
    Her er et screenshot fra min maskin, der en Facebook container plugin blokkerer scriptet: https://i.imgur.com/AyVoTLe.jpg

    Svar på denne kommentaren

    • John Arne S. Pedersen (svar til Ola M)

      Nja, det du peker på er kun en ordinær lenke, lastes ikke noe Facebook-script eller sendes noe til Facebook før du ev. klikker på lenka. Altså ikke en dele-knapp som omtalt i artikkelen, som er et script fra Facebook som bygger en knapp og dermed deler data med dem.

    • Geir H (svar til Ola M)

      NRK.no har sporingsystemer fra Google, Linkpulse, Chartbeat, Scorecard Research, samt Kantar TNS. De deler altså data med blant annet Google. De bruker også Aksimet som Spamfilter som har hatt store sikkerhetshull.

    • Jeg kjenner ikke til problemene med Askimet, men det er noe vi kan se på. Takk for at du sier ifra.

      Om sporing for analyseformål: Dette er for de fleste ok. Rekker ikke å gå i dybden på hva det innebærer, men jeg har blitt fortalt at NRK har sitt på det rene her.

    • Olav Guttorm (svar til Ola M)

      Påpekte at NRK selv er veldig flinke til å bruke mange sporingssytemer ved forrige artikkel om sporing på helsesider. Det gjelder forsåvidt både NRK og NRK Beta. De gjemmer seg bak at det kun er for brukeropplevelsesformål. Men hvem vet hva disse utenlandske selskapene som tilbyr disse tjenestene bruker informasjonen til, og hvem de selger den videre til.

      En del av denne trafikken vil gå til utlandet, med en header som inneholder en såkalt «HTTP-referer» som peker til hvilken artikkel du leser på NRK, og andre norske nettaviser. Som er problematisk hvis Digital Grenseforsvar blir vedtatt. Da E-tjenesten dermed kan logge hvilke aviser en norsk innbygger leser. Har vi da pressefrihet hvis hvilke aviser og artikler en leser kan havne i statens registere?

    • Ola M (svar til Ola M)

      Martin Gundersen, det er jo akkurat denne dobbeltmoralen vi sikter til. Du synes NRKs egen bruk er ok, men du synes ikke andres bruk er ok, selv om motivene er helt like i begge tilfeller. Jeg synes ikke det er et stort problem, men jeg synes heller ikke at å sende sporingsdata til en privat amerikansk aktør for å se hvor mange som klikket på en bløtkakeoppskrift er viktig eller verdt det, selv om dere synes det er kjekt å ha internt.
      Utfordring: Publiser en undersøkelse på NRK.no der du spør publikum om de visste at de blir sporet og om de synes det er greit.

  2. At det er mulig å rette en så lang pekefing uten samtid å gjøre oppmerksom på at det faktisk er mulig å beskytte seg, vitner om en aldri så liten arroganse. kanskje fordi NRK også driver med den slags sporing?
    ihvertfall appen «Ghostery» beskytter deg mot slikt.

    Svar på denne kommentaren

    • Alex Krycek (svar til Vidar Haga)

      Ghostery er et dårlig eksempel, de selger dataen din. Bruk heller uBlock Origin i kombinasjon med Privacy Badger.

    • Hei Vidar,

      Jeg arbeider med en artikkel om hvordan man kan beskytte seg, men jeg ønsker å gjøre det skikkelig. De ulike tilleggene og verktøyene har fordeler og ulemper, og noen er vanskelige å bruke.

      Jeg kan si at Privacy Badger, Ghostery, Disconnect løser noen av problemene, men de er ingen sølvkule. Og som noen har påpekt har de to siste også en forretningsmodell jeg vil undersøke nærmere før jeg eventuelt anbefaler dem på redaksjonell plass.

  3. Dette er jo bare tull. Er man sånn passelig oppegående og ikke vil at nettbruk kan misbrukes på denne måten, så kan man veldig enkelt og helt gratis skjule sin IP-adresse når man selv mener det er på sin plass.

    Svar på denne kommentaren

    • Kenneth (svar til HJT)

      Litt av problemet er vel at de uten noen kompetanse om IT ikke vet hvordan de kan bli sproret, hvordan de kan beskytte seg og generelt hvordan informasjonen kan bli brukt.

      Det er veldig enkelt å si at man skal benytte proxy eller VPN løsninger, men det er jo da snakk om sikkert 0.1% av befolkningen som vet hva dette er.

      Syntes kommentaren din er litt lite reflektert.

    • PW (svar til HJT)

      Din kommentar er bare tull 🙁
      Man kan ikke forvente at hvermansen vet hvordan de skal sikre seg på internett, og iallefall ikke når det gjelder cookies og annen sporing av tredjeparter.

      Dette er en flott artikkel som belyser problemet, og de har brukt et godt eksempel på dette.

    • Victor (svar til HJT)

      Går vel også såpass dypt at kun skjult IP-adresse hjelper lite. Du er nødt til å slå av såpass mye funksjonalitet i nettleseren at mye en ønsker å benytte slutter å virke.

    • HJT, det holder ikke å endre IP-adresse. Facebook vil bla kjenne deg igjen om du er innlogget og flere av annonsepartnerne har andre måter å gjenkjenne seg på. De bruker bla unike ID-er til å kjenne deg igjen på tvers av nettsider.

      NoScript + VPN tar deg langt på vei, men NoScript knekker funksjonaliteten på de fleste nettsider.

  4. Viktig og bra av NRK å rette lupen mot denne utleveringen av nordmenn. NHI bedriver «cherry picking» og velger et eksempel som Crohns sykdom for å vise til at søkere der sannsynligvis ikke har sykdommen, foruroligende dårlig forsvar av NHI!

    Svar på denne kommentaren

  5. Hendrik Halsne

    Bruk av VPN, Disconnect og Ccleaner bør hjelpe noe. I det minste slipper jeg å lese de annonsene jeg ikke ønsker å se. Og Ccleaner sletter mange cookies og spionfiler hver gang jeg kjører den. Og VPN hindrer sporing av lokasjonen.

    Svar på denne kommentaren

  6. Bruk AdGuard AdBlocker til å fjerne uønsket reklame.
    Den kan også brukes til å fjerne artikler med åpenbar ideologisk propaganda. Suveren for fjerning av politisk svada og indoktinering.

    Svar på denne kommentaren

  7. Hei, jeg lurer på om nettsider kommer til å samle inn alle typer informasjonskapsler og ikke bare de såkalte «Nødvendige» informasjonskapslene hvis jeg bare fortsetter å surfe nettsiden uten å verken ha akseptert eller nektet for noe?

    Svar på denne kommentaren

    • Når du trykker aksepter på noen nettsider der alle feltene er markert ink. markedsføring osv. Vil nettsiden som oftest ikke oppdatere seg, det betyr at med en gang du besøker nettsiden så er det akkurat som om du har akseptert alle informasjonskapsler helt frem til du faktisk endrer på noe selv. Jeg lurer selv på om dette bryter med GDPR/PVF. Det burde også stilles et krav i GDPR/PVF om at alle nettsider må ha en «Aksepter alle informasjonskapsler» og en «Avvis alle informasjonskapsler»-knapp sånn at de som ikke vil styre med innstillingen bare kan akseptere eller avvise uten å gå dypt inn å skurre med innstillingene

  8. Ulla Gundersen

    Jeg svarer ja på spørsmål om jeg er helsepersonell. Da får jeg opp grundigere informasjon. Jeg søker også på mange forskjellige sykdommer og lidelser.. dermed vil det være vanskeligere å utlede sikker info om min helsesituasjon. I tillegg bruker jeg ofte søk på engelsk, igjen for mer presis og nyere informasjon

    Svar på denne kommentaren

    • Varsomhet anbefales!

      Først: Det er velkjent at legestudenter som lærer om ulike plager har en markert tendens å bli smittet av læreboka: De får de plagene som de leser om. Ihverfall tror de det: NÅr de kjenner etter og undersøker sin egen kropp, har de en rekke av symptomeme som kjennetegner plagen. Naturligvis ikke alle plagene (f.eks. er det få gutter som blir bekymret for om de er gravide :-)), men det skjer i så stor grad at det er et svært velkjent fenomen. Naturlivis er ikke «vi vanlige folk» mye bedre: Vi kjenner også etter, om vi har plagene vi leser om, og ofte tror vi at vi har det, fullstendig uten medisinsk grunnlag.

      Punkt to: Med mindre du er svært god i engelsk er risikoen for misforståelser stor, særlig i «tung» faglitteratur. Ikke sjelden har fagfolk en annen bruk av ord og begreper enn hverdags-betydningen. Et typisk eksempel: En generell regel er for de fleste av oss en hovedregel, men det kan finnes en god del unntak. For en matematiker er en generell regel absolutt, helt uten unntak. Du har også en rekke «falske venner»: «Eventual» på engelsk betyr ikke «eventuell» på norsk, men heller «uunngåelig».

      Hvert fagfelt har sitt språk, med både eksakte faglige definisjoner og uformell sjangong. Fra mitt eget fag kunne jeg lett nevne et dusin begreper som ikke-IT-folk som regel har en mer eller mindre feilaktig tolking av. (I flere tilfeller har en teknologi som har nådd ut til massene måtte endre sin etablerte terminologi, slik at tolkingen kommmer i samsvar med hvordan 99% prosent av kundene bruker begrepet … Internett er ikke egentlig et internett, og bredbånd er ikke bredbånd!) Forskjellen mellom hverdags- og fag-terminologi krever dyp kjennskap til språket!

      For det tredje: Du finner mer komplett informasjon på engelsk – og mer «komplett» desinformasjon! I engelsk språkdrakt er «markedet» betydelig mye større for sjarlataner, enten det gjelder vaksinemotstand, kald fusjon, miljørealisme, raseteorier eller strålingsfølsomhet. En del av dette materiellet er pakket inn i kompliserte formuleringer at du må selv være innen faget for avsløre det som reinspikka svada. Følger du linker til mer informasjon, ender du lett opp med seks ulike svada-kilder som støtter hverandre, og fullstendig overdøver den sjuende, seriøse.

      Så jeg må bare gjenta det jeg startet med: Vis varsomhet! Ikke minst i helse-relaterte ting.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.