nrk.no

Nettstedet deres sendte besøksdata til 81 selskaper

Kategori: Samfunn

Rita Karlsen (t.v.) og Hege Storhaug driver organisasjonen Human Rights Service. Det er deres nettsted Rights.no som lekker mest personinformasjon. Foto: NRK, Håkon Mosvold Larsen/Scanpix

En rekke populære nettsteder har sendt informasjon om besøkende til markedsføringsselskaper, viser en test gjort av konsulentselskapet Conzentio. Flere hundretusen nordmenn er berørt.

Anders Willstedt i Conzentio forteller at de først kom over noe rart med Disqus da de undersøkte en svensk nettside. Der la de merke til at Disqus, en kommentarfeltmodul, kommuniserte med en rekke nettsteder under nesen på eieren av siden og brukerne.

I Norge benytter blant annet NRK P3, ComputerWorld, Rights, og Khrono modulen på sine nettsider. Alle disse nettsidene sendte inntil nylig brukernes data til en rekke tredjeparter. Det rammer flere hundretusen nordmenn som regelmessig besøker nettsidene.

Slik ser kommentarfelt fra Disqus ut. Foto: Skjermbilde

Ifølge Willstedt kan Disqus kombinere kontekstuelle data (hvilke type nettside er brukeren på) med informasjon om brukeren (IP-adresse, tekniske detaljer om nettleseren, og en unik ID).

– De prøver å koble profilen til brukeren på tvers av enheter, sier Willstedt.

Rights kommer dårligst ut

Av de seks undersøkte nettsidene står Rights alene på den definitive sporingstoppen. Rights er nettstedet til Human Rights Service. Hele 81 ulike selskaper kan komme i kontakt med en nettbruker, viser en test gjort av Conzentio i juni. For de andre nettstedene var det snakk om 13 selskaper.

NRKbeta gjorde selv undersøkelser 12. til 14. november som bekreftet at situasjonen var den samme. Da ble det også klart at TV 2s bilvertikal Broom og Document.no benyttet seg av Disqus på en slik måte at tredjeparter ble kontaktet.

– Brukerdata sendes til alle tenkbare destinasjoner, sier Willstedt, om måten Rights har satt opp Disqus.

Anders Willstedt i Conzentio. Foto: Conzentio

Flere av selskapene som mottar besøksdata lever av å videreselge eller foredle informasjon om nettbrukere, mener eksperter NRKbeta har snakket med.

Tester viste også at enda flere selskaper ble kontaktet om brukeren hadde en IP-adresse utenfor Europa.

Ekspert mener det bryter loven

Simen Sommerfeldt er teknisk sjef i Bouvet og medforfatter av en bok om de nye personvernlovene (GDPR).

Hans første reaksjon var «wow …», da han hørte at Disqus delte besøksdata med 81 selskaper på Rights.no.

– Det er sjokkerende. I hvert falt etter at det nå har gått ett og et halvt år etter de nye personvernreglene trådte i kraft. Nå som vi ser at bøtene har begynt å komme bør dette være en vekker.

Simen Sommerfeldt. Foto: Privat

Sommerfeldt kaller det «alvorlig», og mener det henger sammen med hvordan annonsenettverk lager profiler av nettbrukere for å tilby mer tilpasset reklame.

Han mener praksisen bryter med GDPR, og at det er problematisk at verken nettsidene eller brukerne har vært klar over datainnsamlingen.

Hvor mye skyld har nettsidene som gjør dette?

– Jeg tror vi skal være forsiktige med å dømme noen som kanskje ikke har skjønt hva som foregår. Det er noe med å forstå at det man gjør er feil. Det har vært vanskelig nok med hele GDPR. Jeg vil være forsiktig med å være hard, men jeg vil oppfordre til å stramme inn.

Daniel Johannsen i CookieBot undersøker regelmessig nettsider for personvernbrudd. Han kaller moduler som Disqus «trojanske hester».

– Det er ikke mange nettsider som er klar over dette, og det ser ut til å være tilfellet også her, sier Johannsen.

NRK vurderer å fjerne Disqus fra alle plattformer

NRKbeta har siden onsdag forsøkt gjentatte å komme i kontakt med Disqus, men har så langt ikke fått svar fra selskapet.

– Vi har nå sett på dette, og kan vel bare i realiteten takke for tips, sier daglig leder Rita Karlsen i Human Rights Service, som driver nettsiden Rights.

Rita Karlsen er daglig leder i Human Rights Service, en organisasjon hun driver sammen med Hege Storhaug. Foto: NRK

– Vår utfordring som en bitteliten organisasjon er at vi ikke rekker over alt, og kanskje ikke tidsnok. Vi har nå strammet inn informasjonsdeling via Disqus og lagt på et banner, sier Karlsen.

Det er Audun Aas, produktutviklingssjef for NRK.no, som svarer på vegne av P3 om Disqus. Han forteller at de har deaktivert «anonymous cookie targeting», angivelig den innstillingen som tillot delingen av data. Det samme oppgir Khrono, ComputerWorld, og Document.

– P3 benytter en rekke tredjepartsleverandører, men det skal ikke gå på bekostning av lesernes personvern, sier Aas.

– Nå går vi igjennom databehandleravtalen vår med Disqus og deres personvernsider. Vi må evaluere på nytt om de er gode nok. Hvis de ikke er det mener jeg at vi må fjerne Disqus fra alle våre plattformer inntil det foreligger en signert avtale vi kan stå for, sier Aas.

NRK Ytring benytter seg også av Disqus, men deres løsning delte ikke brukerdata, ifølge Conzentio.

– Under radaren

Digitaldirektør Christian Birkeland i TV 2 oppgir at de har slått av kommentarfeltet mens de jobber med å finne ut av om det strider mot GDPR.

Hva tenker dere om at dere ikke har vært klar over dette før nå?
– Vi har brukt mye tid og ressurser på personvern og vi tar GDPR alvorlig. Akkurat denne løsningen har gått under radaren, sier Birkeland.

Tips journalisten på martin.gundersen[at]nrk.no eller Signal (47 75 65 15) om du kjenner til lignende tilfeller eller personvernbrudd.

Tidligere artikler i sakskomplekset:
> Norges største helsenettsted på sporingstoppen
> Dette er de norske nettsidene som sporer deg mest
> Disse knappene kan avsløre om du søker psykisk helsehjelp

32 kommentarer

  1. Disqus ble i desember 2017 kjøpt opp av «Zeta Global» som er et «customer lifecycle management marketing company». Disqus er vel også det eneste stedet man har kunne være nonlunde anonym de senere år, bruke nick og alias, og det er nok mange interesenter på disse opplysningene. Kanskje spesielt på steder som Dokument, Rights og Resett, mm

    Svar på denne kommentaren

    • Einar Skovly (svar til Johanna)

      Det er nesten umulig for hvermannsen å være anonym på nettet med så mange muligheter for å ta fingeravtrykk av besøkende. Det handler ikke bare om å selge reklame, men også om overvåkning. Disqus vet alle artikler du leser på nettsider med Disqus, og dermed hva du er interessert i, hvor du står politisk. Det er verdifull informasjon også for andre enn markedsførere.

      Nettet er fullt av små spioner som følger med på alt vi gjør. Proffene anbefaler å bruke Firefox med minimum uBlock Origin og HTTPS Everywhere installert. Det hjelper litt, men selv det er ikke nok. Kanskje Zuck hadde rett da han sa at personvernet er dødt. Med smarttelefon i lomma og smarte dingser i hjemmet er det ikke mye igjen av livene våre som ikke er overvåket.

    • Martin Gundersen (NRK) (svar til Johanna)

      Takk for denne. Ble klar over linken etter publisering. Dette kommer kanskje med i en eventuell oppfølger.

    • Martin Gundersen (NRK) (svar til Rolf Nilsen)

      Hei!

      NRK, TV 2, og alle andre som har hatt sendt data til andre via Disqus har blitt behandlet på samme måte.

      Rights (HRS) dukket i testene opp med langt høyere antall selskaper enn de andre selskapene. Derfor fokuserte vi på det høye antallet.

      Nå er det også tydelig at NRK nevnes flere ganger i teksten.

    • Vebjørn Loen (svar til Rolf Nilsen)

      Nå synes jeg vi bør roe med offerkortet litt her. Klart at NRK også er sjekket, og hos NRK P3 fant de denne problematikken, som nevnt i artiklen. HRS var tilfeldigvis de verste i dette tilfellet, og ser ut til å nå ha håndtert dette på bra vis. Bra at dette undersøkes slik at man kan rydde opp.

    • Rolf Nilsen (svar til Rolf Nilsen)

      @Martin Gundersen (NRK)

      NRK har et budsjett på 5 milliarder, mens dere velger å fremheve medier som er miniputter økonomisk og kontrære til NRKs politiske vinklinger i tilfellet HRS. Klart en politisert artikkel dette da saken handler om Disqus og ikke HRS – men dere vinkler det til å handle om HRS.

  2. Egil Ingebrigtsen

    Og hvorfor ligger det igjen på min pc 21 informasjonskaplser hvorav 6 fra kommersielle aktører, etter et besøk på denne websiden?

    Akkurat der har NRK et aldri så lite forklaringsproblem.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Egil Ingebrigtsen)

      Det er stor forskjell på hva cookies brukes til. Noen til analyse, andre til å huske hvilket språk du har, og atter andre til lage brukerprofiler.

      Våre cookies brukes til analyse (Google Analytics, Chartbeat, Scoreboard Research) og essensielle cookies.

      Om vi baker inn en YouTube-video vil YT kunne settes informasjonskapsler, men vi unngår selv å bruke moduler eller verktøy som deler data videre.

  3. Dette her er dessverrre ingen stor nyhet. Det fins knapt en nettavis, nyhetsportal eller underholdigstilbud som ikke er spikket med informasonskapsler og profileringsinnhold fra Google, Facebook og en hundretall reklamenettverk. De logger hvilke politiske artikel vi leser, hvilke produkter vi ser på og hvilke reportasjer vi deler med våre venner.

    Test det selv: bruk Webbkollen på din egen nettavis, dating-portal eller skoleweb. Webkollen viser hvile tredjeparter er med på nettsider, og til hvilke land personopplysningene sendes:

    https://webbkoll.dataskydd.net/

    Det er viktig å sende tilbakemelding til avisenes politiske redaksjoner am at man ikke liker at avisen man leser er hovleverandør til alle typer «Cambridge Analytica»-virksomhet. Det samme gjelder for offentlige nettsteder i helse, velferd osv. der bruk av Google Analytics er veldig utbredt. lik gjør at Google vet først om hvem som har hvilken sak med NAV, sykehuset eller barnevern.

    Svar på denne kommentaren

    • Lothar Fritsch (svar til Morten Skogly)

      Dette betyr at organisasjoner om bruker Disqus eller andre leverandører skal hå en databehandleravtale. Det er jo platformen som exponerer kundene for profilering som sitter igjen med databehandleransvaret etter GDPR uansett.

      ntens bruk av poringsmekanismer i nettmedier er veldig utbredt. Jeg har tittet på Aftenposten med webbkoll, der er det 145 tredepartsmekanismer. På NRK er det bare 7. Foxnews.com har 188. NPR.com har 0(!) når man velger «plain site». I Sverige ser det ut å være en liknende forskjell mellom offentlig finanserte og private medier. Så kankjke er dagens formål med «public service» den at de ikke har behov for å spionere på sine kunder for å så selge dem videre til utenlandske dataselskaper. Altså en spørsmål om en form for suverenitet.

  4. Rikard S. Larsen

    Det er relativt lett å blokkere tredjeparts sporing. For å forhindre nettsporing av tredjeparter, som nettsideeiere, søkemotorer, internettilbydere, etc. Slik at du kan surfe på nettet uten å bli overvåket av de ulike tredjepartene så kan man benytte seg av VPN. Det finnes flere ulike, og de beste er nok da de som tilbyr NO LOGGING – altså ingen logg føring av din nett aktivitet.

    Svar på denne kommentaren

    • Du hindrer ikke sporing ved bruk av VPN. Fordelene med VPN er at en unngår at bl.a. ISP og ev. myndighet får tilgang til hvilke nettsider du besøkert. Geoblocking-unngåelse er også kult å ha.

      Nettsider kan fortsatt lage en skremmende sann profil av deg, på tross av at du skjuler IP-adressen din. Man kan lett finne ut av bl.a. hvilken nettleser, skjermstørrelse og operativsystem du bruker. Tjenester som er installert på mange nettsider, i dette tilfellet Disqus, kan fortsatt lage en profil på deg, ved å sammenstille data fra mange nettsider. I tilfeller ved Facebook og Google mfl. kobles dette også opp mot din profil.
      Også videre, også videre.

      VPN gjør intet annet enn å flytte deg fra ett sted til et annet.

      Når det er sagt, er det likevel mulig å blokkere tredjepartsskript og kjeks, bl.a. gjennom blokkeringsprogram i nettleseren.

  5. Ja, når dere først går gjennom slike tillegg og rutiner, så hadde det vært flott om dere også sluttet med embed av twitter-poster. Det er jo ikke tvil om at dette også fører til mer tracking. Man kan jo bare legge til et skjermbilde av posten og den direkte linker rett under.

    Det er også et problem for fremtiden. Om man embedder alt mulig, så kan alt bli borte i fremtiden, mens skjermbilde forsvinner aldri. Man kan jo også fjerne tracking innebygget i YouTube-embed når man limer den inn.

    Jeg håper at dere kan få inn noen rutiner for dette, som gjelder alle subdomener til nrk.no
    For å si det sånn, det er en grunn til at firefox sin nye tracking-funksjon (som har blitt standard/opt out) blokkerer twitter-embed på nrk.no

    Svar på denne kommentaren

  6. Er nesten litt rart at disqus osv ikke samler inn denne dataen direkte til seg selv for så å videreformidle den til disse eksterne aktørene direkte fra sin egen server, da blir det jo langt vanskeligere å oppdage.

    Svar på denne kommentaren

  7. Har noen i det hele tatt prøvd å skru av personlig sporing på forskjellige norske nettsteder? Man må lete seg gjennom side opp og side ned med tekst og lenkenivåer, og når man først finner det kan det være 100+ nettsteder, der man må gå inn manuelt for hvert enkelt på en stor andel av dem. Selv hos store Schibsteds nettsteder krever det mye jobb, så det er vanskelig å ikke mistenke at det er med vilje.

    Jeg ser derfor ingen grunn til å henge ut små nettsteder som har brukt Disqus spesielt i denne sammenhengen. Så enkelt har andre gjort det: https://www.techradar.com

    «Avslå alt» etter ett klikk.

    Svar på denne kommentaren

  8. Kan NRK kanskje få en «plain site» uten masse videoer som spiller av automatisk, analytics, eller artikler med masse animasjoner hvor man må bla i timevis for å komme frem til en liten boks med tekst som sakte ruller over et bilde?

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til mina)

      Det er en bevegelse mot mer «plain» nettsider med mindre tredjeparter. Jeg kan ikke snakke på vegne av NRK, men jeg vet det jobbes med personvern på mange plan både her og andre steder.

    • Petter S (svar til mina)

      Uff, ja. Jeg har knapt giddet å lese til slutten på en eneste av artiklene i det formatet. Sikkert morsomme å lage, men et mareritt å lese.

    • André Berger (svar til Fredrik Sten)

      Gravatar eies av Automattic, selskapet bak WordPress som brukes av Nrkbeta og en stor andel av verdens nettsider. Siden WordPress er gode på sikkerhetsoppdateringer så føler jeg personlig at Gravatar også bør være en trygg tjeneste ettersom den brukes av svært mange.

    • Martin Gundersen (NRK) (svar til Fredrik Sten)

      Vi bruker Gravatar til et formål som er å vise bilder. Om det skulle være et problem med det på sikt vil vi fjerne det.

  9. Åsmund Agdestein

    Jeg har forøvrig blitt utestengt fra HRS, Rights, fordi det jeg skriver ikke passer inn i nettstedets (rasistiske) «Nasjonal-narsissisme»…
    Søk på som ett ord: JensStoltenbergsKriminelleCV
    PolitikerforaktMeTooBarn
    «Vi klarer ikke å poste kommentaren din fordi du har blitt utestengt av Human Rights Service. Finn ut mer.»

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.