nrk.no

Nettsidene til 6 av 9 stortingspartier sender dine besøksdata til Facebook

Kategori: Samfunn

De seks partiene som benytter verktøy fra Facebook på sine hjemmesider. Illustrasjon: Martin Gundersen/Alex Haney

«Nærmest parodisk at man benytter seg av den typen sporingsteknologi», sier Gisle Hannemyr om partienes bruk av bedriftsverktøyene til Facebook.

Besøker du hoyre.no møtes du av en dialogboks hvor det står «Hei! Lurer du på noe? Send oss en melding!». Kanskje står det også «fortsett som [ditt navn]» like under.

Det betyr at Facebook, en av verdens største digitale annonseselskaper, gjenkjenner deg på hjemmesiden til et politisk parti i Norge.

Facebook Connect: Et samtaleverktøy Facebook tilbyr. Her er journalisten innlogget på Facebook og blir slik gjenkjent. Skjermbilde: Høyre

I Datatilsynets rapport Målretting av politiske budskap konkluderer tilsynet med at «det er generelt manglende bevissthet om hvilke informasjonskapsler som finnes på partienes nettsider».

I rapporten råder de partiene til å «få oversikt over og ta ansvar for hvilke opplysninger som samles inn fra nettsidene deres. Selv om partiene ikke selv benytter informasjonen som samles inn av sporingskapslene som er installert, videresendes personopplysninger til tredjeparterslik som Facebook og Google».

NRKbeta har gått de politiske partiene nærmere i sømmene og funnet ut at seks av ni stortingspartier (H, Ap, KrF, Sp, Frp, og MDG) benytter minst ett av bedriftsverktøyene Facebook tilbyr nettsteder.

H, Ap, Frp, KrF, og Sp benytter seg av Facebook Pixel, et verktøy for å kunne måle effekten av annonser og å kunne annonsere mot dem som tidligere har besøkt nettsiden.

Det disse verktøyene har til felles er at de lar Facebook få tilgang til informasjon om de som besøker nettsiden.

Slik beskriver Facebook det:

– Disse partnerne gir informasjon om aktivitetene dine utenfor Facebook, inkludert informasjon om enheten din, nettstedene du besøker, kjøp du foretar, annonsene du ser, og hvordan du bruker tjenestene deres, hvorvidt du har en Facebook-konto eller er logget inn på Facebook.

Det kan ifølge Facebook selv brukes til «å vise folk bedre annonser og innhold».

Overfor NRKbeta understreker selskapet at «du kan besøke nettsiden til et politisk parti, men Facebook konkluderer ikke dermed at du støtter dette partiet».

Partiene burde informert brukeren bedre

– Folk skal ikke være dataeksperter for å unngå å avlevere sensitive persondata, sier Gisle Hannemyr som er universitetslektor ved UiO og medlem av personvernnemda.

Han mener bestemt at nettbesøk til politiske partier skal beskyttes ekstra godt. Ifølge ham kan informasjon om hvilke nettsider vi besøker si noe om våre politiske preferanser.

Gisle Hannemyr. Foto: Gisle Hannemyr

«Det virker nærmest parodisk at man benytter seg av den typen sporingsteknologi», sier Hannemyr. Spesielt sett i lys av «Facebooks forhistorie på dette området».

De seks politiske partiene opplyste om sin bruk av Facebook-verktøy i sine personvernerklæringer, men Hannemyr mener flere av partiene underkommuniserer omfanget av Facebooks sporing og at «det virker ganske bevisstløst at man ikke er klar over hvor alvorlig det er for personvernet».

For ham er det også viktig at partiene i det minste lar brukeren selv velge om de vil laste inn verktøy fra Facebook. Det gjør kun Arbeiderpartiet i dag, de andre partiene har istedenfor opplyst om verktøyene i sine personvernsider som blant annet henvises til i en pop-up for førstegangsbesøkende.

Et eksempel på hvilke data som sendes til Facebook ved besøk av nettsidene til KrF, Ap, og Frp. Her antas det at man er innlogget på Facebook i nettleseren og at man har godtatt at Facebook Pixel lastes inn. Illustrasjon: Martin Gundersen

– Gjør persondata til politiske våpen

Cambridge Analytica-skandalen handler om at et lite selskap fikk hentet ut personlige opplysninger om 87 millioner Facebook-brukere, og at det ble benyttet i den amerikanske presidentvalgkampen.

Effekten av mikromålrettingen til Cambridge Analytica er omdiskutert, men en ting er sikkert: Det utsprang fra Facebook-data.

– Bør de politiske partiene medvirke til å gi Facebook besøksdata fra sine hjemmesider, spør Hannemyr, før han fortsetter med å si at «da medvirker de til å gjøre persondata om til politiske våpen».

Han sammenlikner det med norske våpenlover:

– De fleste går ikke rundt og skyter folk, likevel er det klare begrensninger på tilgang til, og bruk av våpen. Dette gjelder uavhengig av om partiet selv benytter seg av mikromålretting eller andre tvilsomme metoder. Man bør ikke medvirke til å gi Facebook den typen ammunisjon dersom man er et ansvarlig politisk parti.

De politiske partiene er forelagt Hannemyrs kritikk. Du kan lese partienes svar i bunn av artikkelen.

Uenighet om hvem som har ansvaret

Blant advokater og teknologer er det ulike oppfatninger om bruken av Facebooks verktøykasse. For virkelig interesserte handler det om hvem en nettbruker forholder seg til.

Høyre argumenterer blant annet for at Facebook har et direkte forhold med brukeren på hoyre.no, og at det reguleres etter avtalevilkår brukeren har akseptert med Facebook.

Dere forteller bare om informasjonskapslene på personvernsidene deres. Hvorfor forteller dere ikke om omfanget av data som hentes inn av Facebook via verktøyene Pixel og Connect?

– Vi mener personvernsidene tar høyde for denne bruken, og nevner også «Pixel» og «Connect» eksplisitt, sier Sveen.

– Høyre videreformidler ikke personopplysninger eller andre opplysninger som identifiserer brukeren, sier IT-sjef Kim Are Sveen i Høyre.

Kim Are Sveen. Foto: Høyre

I hvilken grad har Høyre noen etiske betenkeligheter med å dele besøksdata med Facebook?

– Igjen, Høyre deler ingen data med Facebook. Det er brukerne av Facebook som eventuelt velger å gjøre dette. Men: Høyre har mulighet til å markedsføre seg overfor de brukerne som har akseptert Facebooks avtalevilkår. Den muligheten benytter vi, men vi markedsfører oss ikke mot enkeltpersoner eller bedriver mikromålretting av budskap. Vi markedsfører kun mot større grupper.

– Det er også viktig å tillegge at vi i Høyre jobber kontinuerlig med våre tekniske løsninger, og har blant annet sett på teknologi hvor brukeren selv kan separere hva slags informasjonskapsler vedkommende tillater brukt, men vi har foreløpig ikke funnet noen løsning som vi mener ivaretar dette godt nok.

Høyre viser til at alle kan se hvilke annonser Høyre kjører og målgruppene de retter seg mot.

Denne oversikten som synliggjør politiske annonser på Facebook er obligatorisk for politiske partier, og er et av tiltakene Facebook har igangsatt etter det store omfanget av påvirkningsoperasjoner i forbindelse med en rekke demokratiske valg.

Hannemyr mener Høyre skyver fra seg ansvaret:

– Uansett hvem som er behandlingsansvarlig har partiene full kontroll over hva deres egne nettsider inneholder av script og piksler. Denne redaksjonelle kontrollen bør de benytte seg av.

– Når man i egne hjemmesider har bakt inn verktøy som tillater Facebook å hente ut slike opplysninger fra brukeren, er det ganske opplagt at man aktivt medvirker til å forsyne Facebook med særlige kategorier av personopplysninger om de personene som besøker partiets nettsider.

Facebook: – Vi mottar ikke sensitive data

Facebook oppgir gjennom PR-byrået Släger at de kun ønsker å stille til intervju over epost.

Ifølge Facebook har de krav om at partnernettsider må overholde gjeldende personvernlover (GDPR og ePrivacy) og at de mener besøksdata fra politiske partier ikke kan regnes som sensitive data.

For Facebook, og noen av partiene, har det vært viktig å understreke at Facebook ikke deler identifiserbar informasjon med sine partnere. Facebook oppgir også å ha rutiner for å slette «visse kategorier sensitiv informasjon» som fødselsnummer, fødselsdato, og passord.

– Når våre systemer registrerer identifiserbare sensitive data, sletter vi det før lagring og informerer virksomheten, sier Facebook.

Under GDPR kan besøksdata beskrives som «avledete data» som kan antyde politiske preferanser. Hvis Facebook mener dette ikke går under «særskilte kategorier», hvorfor det?

– Vi behandler data fra partnere, for eksempel pixel-data, for å vise folk bedre annonser og innhold. Vi er helt transparente om interessekategorier som er knyttet til hver bruker: De kan se og redigere disse interessekategoriene direkte i annonseinnstillinger. Kategoriene vi behandler er kun indikasjoner på interesse, og uavhengig av emnet, utgjør ikke en konklusjon om personen, og forblir kun et potensielt interessepunkt.

Facebook utdyper at «hvis du for eksempel liker siden til et idrettslag, kan du bli lagt til i en kategori for sportsinteresserte».

Facebook: Du styrer selv

Facebook oppgir til NRKbeta at brukerne selv kan oppsøke verktøyet «annonseinnstillinger» som «tydelig forklarer hvordan annonsering fungerer på Facebook».

Trykk på denne lenken for å ta deg til Facebooks samleside for annonser. Skjermbilde: Facebook

Der kan brukere se hvem som har lastet opp kontaktinformasjon som epostadresse og telefonnummer, og hvilke nettsider du kan ha besøkt som benytter Facebooks verktøy.

Det er også mulig å endre om man ønsker å bli eksponert for «annonsert basert på data fra partnere»:

Trykk på denne lenken for å ta deg til Facebooks samleside for annonser. Skjermbilde: Facebook

De politiske partiene svarer:

Markedssjef i Fremskrittspartiet, Helge Fossum, skriver at de benytter seg av Facebook Pixel «i noe grad» for å lage annonser på Facebook mot dem som har besøkt deres nettsider.

– Vi er svært opptatt av at personvernet skal ivaretas. Derfor er vi også nøye med at våre personvernerklæringer skal være oppdatert og åpne om hvilke data vi benytter. Når besøkende på våre nettsider første gang entrer våre nettside får de et varsel som henviser til denne erklæringen. På denne måten opplyser vi tydelig om vår tilnærming til dette og vår databruk før man benytter web ytterligere.

Arbeiderpartiet benytter seg av Facebook Pixel for statistikk, å se trafikken mellom Facebook og deres egne nettsider, og annonsere på Facebook til dem som har besøkt nettsidene, opplyser kommunikasjonsrådgiver Bjørn Tore Hansen.

– Dersom brukeren ikke aksepterer informasjonskapsler på nettsiden trigges heller ikke Facebook Pixel. Brukeren kan også velge bort kategorier av informasjonskapsler, i dette tilfellet «Markedsføring», dersom det er enkelte informasjonskapsler brukeren ikke ønsker. Vi er alltid åpne for å ta imot råd på hvordan vi kan best mulig kan ivareta personvernet, sier Hansen.

KrF benytter seg av Facebook Pixel, noe de opplyser om i sin personvernerklæring, forteller kommunikasjonssjef Mona Høvset i KrF:

– Slik vi oppgir i vår personvernerklæring, bruker vi begge som analyseverktøy for å samle inn webanalyse og besøksstatistikk. Cambridge Analytica-saken viste imidlertid hvordan data kan misbrukes, samtidig som både Facebook og Google lever av at folk har tillit til selskapene, og det er således i deres interesse å forhindre at data misbrukes.

Rådgiver i Senterpartiet, Tone Høiland, forteller at de benytter seg av Facebook Pixel til å måle konverteringer, bygge publikum (remarketing) og optimalisere annonsekampanjer på Facebook.

– Vår vurdering er at det er tilstrekkelig å informere om at denne type sporing brukes i vår personvernerklæring, slik vi har gjort på nettsidene, skriver Høiland.

Om Hannemyrs kritikk:
– Vi har ingen innsyn i de dataene som Facebook Pixel generer, og kan derfor vanskelig se at akkurat de kan misbrukes.

Kommunikasjonssjef i MDG, Nils Mørk, opplyser om at de er i sluttfasen av å utvikle ny nettside. Han forteller at de har valgt å ikke benytte Facebook Pixel «blant annet fordi vi er utrygge på behandlingen av dataene», men at de benytter andre Facebook funksjoner. Per 9. juli satt Facebook informasjonskapselen kalt «fr» som brukes for å gjenkjenne brukere på MDGs nettsider.

– Selv om vi ikke samler inn og behandler data gjennom informasjonskapslene vil tredjepartene få tilgang til noen typer data. Vi vil vurdere om vi kan forbedre informasjonen om informasjonskapslene vi gir til brukeren, og om vi bør innhente samtykke.

Om Hannemyrs kritikk:
– Vi er fullt klar over at Facebook og Google er blitt en integrert og dominerende del av norsk offentlighet, og er dermed også blitt plattformer som kan brukes av folk med uærlige hensikter. Vi er derfor varsomme med å dele besøksdata med tredjeparter. Takket være GDPR, som de europeiske grønne var sentrale i å innføre, har vi fått en helt ny bevissthet rundt dette i samfunnet, og tydeligere skillelinjer. Vi oppfatter at MDG og de andre norske partiene er veldig opptatt av å gjøre dette riktig og at vi gjennom arbeid med felles standard og kjøreregler ligger i forkant på dette området.

Til informasjon: Journalisten var ordstyrer for en debatt i regi av av Datatilsynet etter fremleggelsen av deres rapport om politisk målretting. Journalisten kjenner også nevnte rådgiver i Sp gjennom felles arbeid i studentavisen Under Dusken.

14 kommentarer

  1. Jamil Dybwad

    Takk for denne konkrete gjennomgangen! Kan ikke huske å ha sett dette før. Det er helt ubegripelig at partiene godtar lagring av dataene og videresending til 3. parter. Etter GDPR må man godta alt mulig, men det er omtrent ingen tjenester å få på nett uten at informasjonen flyter ut. Tror det er første gang jeg leser en artikkel der fokus er på den politiske påvirkningen – for privatlivet mitt kan de gjerne ha. Men systematisk å påvirke min jevnaldrende nikkedokker er for galt.

    Svar på denne kommentaren

  2. Kjell Mathiesen

    Det hadde vært nyttig om artikkelen hadde sagt noe om i hvilken grad denne loggingen også gjelder folk som ikke er på Facebook og for den saks skyld folk som er på Facebook, men ikke er innlogget.

    Svar på denne kommentaren

  3. For oss som ikke har Facebook-konto, prøver å unngå nettsteder som krever innlogging så langt det er mulig, og dessuten sletter cookies fra alle andre nettsteder enn en liten håndfull vi kjenner, er vel neppe problemet så veldig stort.

    Men det er jo en grunn til at vi er så paranoide: Slike problemstillinger som tas opp i denne artikkelen. Det er et valg vi gjør, å gi avkall på det FB og diverse andre innloggings-steder kan gi oss, den nytteverdi cookies kan ha etc.

    Vil du ha alle FB-gevinstene, vil du alltid være online uanset hvor i verden du er, da må du være forberedt på at bordet fanger.

    Svar på denne kommentaren

    • Torkild A. (svar til keal)

      Det skulle man tro, men dessverre er det nok slik at fb har data om deg likevel. Søk opp «fb shadow profile».

    • keal (svar til keal)

      Jeg kan ikke hindre andre i å røpe til FB at mitt navn eksisterer, og at de vet om det. Det er i og for seg ikke hemmeligstemplet – FB kunne funnet både telefonnumer og adresse på gulesider.no uten noe trøbbel.

      Men så lenge ikke jeg selv logger inn noe nettsted som FB har kontroll over, får de ikke koblet mine nett-aktiviteter opp mot mitt personnavn. De kan vite at en uidentifisert person har besøkt sånne og slike nettsteder over en periode på X timer. Så sletter jeg cookiene, og det jeg gjør de neste Y timene vil ikke cookiene avsløra at er samme person. Eller navn/identitet.

      FB kan ha litt informasjon om meg, f.eks. fra gulesider.no. De kan vite at person x kjenner meg; mitt telefonnummer er i x sin telefonliste. Det er et stykke igjen til å kunne overvåke mitt privatliv.

      Det finnes teknikker for å profilere maskinen jeg sitter på, når cookies ikke virker, men alle likt konfigurerte maskiner har samme profil – det er langt fra noen entydig maskin-person-binding. Ressurs-kostnaden er ganske høy for å få tak i så mye mer informasjon om meg at det blir nyttig til noe; jeg tviler sterkt på at det er kost-effektivt.

      Det viktigste de selger er grunnlag for reklame. Jeg bruker AdBlock+, og ser ikke mye reklame på nett – og det jeg ser, rister jeg som regel på hodet av, har ingen interesse av produktene. (Amazon treffer iblant på sine «du vil kanskje like…» – men de behøver ikke FB til å fortelle hva jeg tidligere har kjøpt på Amazon :-))

      Musikken jeg kjøper ser jeg aldri reklame for – den er for sær! Filmer ser/kjøper som regel etter å ha lest grundige kritikker i ulike fora, og de fleste filmene i hylla mi var flere år gamle før jeg kjøpte dem; det skjedde ikke pga. reklame på nettet, men at filmen hadde fått et godt ry. Prøver jeg ut noe nytt i matveien, er det gjerne at en kollega har servert det, eller jeg ser noe totalt ukjent i ei innvandrersjappe (eller for den saks skyld i hylla på Rema). Klær? At noe er «mote» får piggene mine til å stritte ut; jeg er anti-moteløve. Min forrige bil hadde jeg i 21 år. Mobilen min er snart fire år gammel; jeg har ingen grunn til å skifte den ut på en stund. Jeg har et skikkelig videokamera som er seks år gammelt. Da FM ble erstattet av DAB var mottakeren i HiFi-anlegget 39 år gammel.

      Det er ikke lett å fange meg med reklame…

      En annen bruk kunne være å overvåke privatlivet mitt: Hvor jeg jobber og tilbringer fritiden, hvilket tannpastamerke jeg foretrekker og hvor jeg drar på ferie, hvilke filmer jeg strimer. Mobiloperatørene kjenner mobilens bevegelser, FB får neppe tak i de dataene. Coop visste hva slags tannpasta jeg kjøpte på Obs! så lenge jeg brukte plastkort for medlemsrabatt / betaling, men det er historie. Køfri kjenner til alle bompasseringer med min bil, og vet når jeg er på reise, men heller ikke det vet FB. Jeg vil ha filmene i hylla så jeg se dem igjen om fem år; strimer ikke film/musikk.

      Norske myndigheter har langt mer opplysninger om meg enn FB, og særlig om vi regner med alt de kan kreve utlevert fra andre når de måtte ha lyst til det. Og de har diverse mekanismer for å bruke informasjonen om meg, på måter som ikke alltid er til min fordel. Det er ikke opp til meg om jeg vil reagere på det de gjør, slik det er med reklame.

      Jeg ser på FB/Google/… som «frivillig overvåking» som jeg i all hovedsak kan velge bort. Jeg føler meg langt mer utrygg på all informasjonen myndighetene (ikke bare de norske!) sitter på, som jeg ikke har noen mulighet for å velge bort, og som jeg ikke vet hvordan framtidas myndigheter vil kunne bruke i framtida.

    • Anonym (svar til keal)

      Syns din tolkning og tanker er helt korrekte. Takk for at du påpekte dem, meget godt formulert må jeg si. Dette burde stått i artikkelen.

  4. Hei alle,

    Jeg mener artikkelen ikke er tilstrekkelig med dyp informasjon. Det er en vesentlig forskjell mellom å ha tilgang til Rådata og til Targeting innstillinger i en platform. Svært få parter har tilgang til Rådataen som Facebook innehar. Det er ca 3+ stk selskap som har tilgang til denne informasjonen (dette kan dere finne mer info om gjennom å google selv…).

    The big giants (facebook, google, amazon osv) samler inn all tenkelig informasjon om oss – uavhengig om vi er pålogget eller ikke.

    Jeg tenker det viktige å få frem her er. Hvilke muligheter har partiene (andre selskaper) til å analysere/påvirke/målrette data og annonser til oss brukere av internett. I realiteten har partiene SVÆRT lite informasjon om oss, kontra hva som ligger tilgjengelig i Facebook (i dette tilfellet) sine databaser (Rådata).

    Vil du ha målrettede og tilpasset annonser? Eller annonser som er totalt irrelevante og ikke gir noen merverdi enn en sann klage for det blotte øyet? Jeg vil heller ha målrettede og tilpassede annonser som er laget til meg, hvor jeg kan fortelle platformen om annonsene er relevante eller ikke – basert på mine handlinger, interesser og ønsker.

    Spørsmålet som må stilles er da:
    Hvem har tilgang til rådataen
    – Kan rådataen identifisere Ola Nordmann i Ola Nordmanns gate 6b, leilighetsnr h0403, Oslo?
    … og …
    Hvem kan bruke rådataen og hva kan rådataen brukes til? Målretting/Analysering? Om ja, hvilken stor grad osv osv..

    Syns artikkelen mangler flere fundamentale informasjon til at artikkelen skal gi noen mening. Føler artikkelen forklarer saken og ett etisk spørsmål uten å gå dypt nok ned i purra.

    Jeg er dog enig i at Partiene og alle andre selskaper bør stille dypere spm ift sikkerhet av brukerenes informasjon. Så fremst sikkerheten er på plass, hvorfor ikke da benytte informasjonen – hvor brukeren selv kan velge hva den enkelte ønsker å dele av informasjon?

    Brukerene er for dårlig opplært til å styre hva de ønsker å dele. De store selskapene er for dårlige til å lære opp brukerene om deres brukeres sikkerhet og mulighet for deling av privat informasjon. Dette blir bedre i tiden som kommer. Nye lover som GDPR, ePrivacy osv vil gjøre at Cookies / Informasjonskapsler går tilsynelatende bort eller minskes i veldig stor grad. Det vil dog gå over til at brukerens informasjon anonymiseres og sikres i mye større grad hvor en unik bruker vil få en unik id hvorav det vil være flere sikkerhetslag i forskjellige ledd som vil gjøre det umulig å finne den unike brukerens originale informasjon. pga informasjonen er splittet på forskjellige servere. Denne unike id’en vil fremover kunne bli benyttet i digital markedsføring og gi MYE mer relevant markedsføring og ha en matchrate mellom unik bruker og «interesser» opptil 90-100%. Dette gjennomføres allerede i praksis, hvor flere uavhengige teknologipartnere samarbeider (du kan Google, ID5).

    Gir brukere en aksept på å benytte en platform, gir du platformen aksept på å benytte informasjonen du legger igjen. Hvordan skal ellers platformene overleve? Vil du gi 10kr til Facebook for å ikke gi bort din private informasjon? Eller vil du dele noe informasjon gratis og få bruke platformen gratis (hvor du får relevante annonser). Om du ikke ønsker å dele informasjon med platform bør du derfor ikke bruke den.

    Jeg er enig for mer transparens og åpenhet, men vil med denne kommentaren også påpeke at artikkelen er meget mangelfull i informasjon om hvordan økosystemet faktisk fungerer. Det må vi ha større fokus på. Opplæring i hvordan økosystemet fungerer og hvordan brukeren selv kan ta større kontroll over hvilken informasjon den enkelte deler videre. Det er faktisk tilgjengelig idag igjennom alle platformer. Alle platformer jobber med å gjøre dette enklere. Men du som bruker har faktisk krav og kan stille en platform tilrette ved å hjelpe deg om det ikke finnes tilstrekkelig informasjon.

    Vi brukere er for late, passive og naive. Stiller brukere krav, så vil platformene følge etter. Tracking av hva du gjør på nettet har blitt gjort i over 2 tiår. Du bruker er selv ansvarlig for hva du gjør på internett, derav ansvarlig for hvem du deler informasjonen med. Det er selvfølgelig partene som mottar den informasjonen som må beskytte den type informasjon, men da må det stilles krav.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.