nrk.no

Datatilsynet varsler bot på 25 millioner mot amerikansk selskap

Kategori: Samfunn

SKJULT: – Det er en overvåkning og sporing som har pågått i det skjulte, uten at folk har visst om det, sier direktør Bjørn Erik Thon i Datatilsynet.


Hundretusener av nordmenn ble sporet i det skjulte mens de besøkte norske nettsteder. Nå varsler Datatilsynet en klekkelig bot mot selskapet bak.

I 2019 avdekket NRKbeta at kommentarfeltsystemet Disqus delte informasjon om nettbrukere med markedsføringsselskaper. Verken brukerne eller eierne av nettsidene var klar over praksisen.

Det førte til at Datatilsynet på eget initiativ åpnet en granskning av Disqus. Denne uken varslet tilsynet at de vil ilegge selskapet en bot på 25 millioner kroner. Det tilsvarer 15 prosent av Disqus antatte omsetning i 2018, ifølge Datatilsynet. Tilsynets vedtak er foreløpig og Disqus har mulighet til å komme med et tilsvar.

– Budskapet er at vi ser på dette som en alvorlig sak, sier direktør Bjørn Erik Thon i Datatilsynet.

Datatilsynets foreløpige konklusjon er at Disqus brøt norske personvernlover gjennom å spore, profilere, og dele informasjon om besøkende på flere norske nettsider.

– Vi er egentlig i kjernen av spørsmålet om ytringsfrihet, at du skal kunne orientere deg ganske fritt og at du skal kunne unngå, og kanskje slippe, å få annonsering som er basert på nettsteder som du har besøkt.

NRK har kontaktet Disqus gjennom deres morselskap Zeta Global, men de har ikke svart på vår henvendelse. Zeta Global har tidligere argumentert for at Datatilsynet ikke kan ilegge dem sanksjoner og at informasjonen kun ble delt med morselskapet.

Norske nettbrukere ble sporet av Disqus fordi selskapet ikke kjente til at Norge innførte den felleseuropeiske personvernreguleringen kalt GDPR i 2018. Det tok dermed 511 dager før nordmenn ble innlemmet i selskapets «personvernmodus» for GDPR-land og tidligere innsamlet informasjon slettet.

PERSONVERNMODUS: Disse boksene manglet inntil desember 2019 for brukere med norsk IP-adresse. Norske brukere må nå samtykke til at informasjon om dem kan brukes til markedsføringsformål. Illustrasjon: Martin Gundersen

Høy bot

Datatilsynet har kun en gang tidligere varslet en høyere bot. Det skjedde tidligere i år mot datingappen Grindr. Tilsynet har ikke kommet med et endelig vedtak i saken og om det blir stående vil Grindr måtte betale 100 millioner kroner.

Ifølge Thon er det en naturlig årsak er det er de utenlandske selskapene som får de strengeste sanksjonene:

– Mange av de store personvernbruddene vi har sett i Europa har vært gjort av utenlandske selskaper, særlig amerikanske selskaper.

Norske nettsteder går fri

Det var selskapet Conzentio som i sin tid tipset NRKbeta om at kommentarfeltene til Disqus oppførte seg mistenkelig. Tekniske analyser viste at NRK P3, TV2s bilvertikal Broom, Khrono, ComputerWorld, Rights, og Document delte informasjon om sine besøkende via Disqus.

Adresseavisen og NRK Ytring brukte også Disqus, men det skal ikke ha ført til at informasjon om brukerne ble delt videre. Det skyldes etter hva NRKbeta forstår at de hadde slått av en lite kjent innstilling.

SPORE BRUKERE: Eierne av nettsidene måtte selv sjekke at denne innstillingen var av. Internasjonalt var det flere store nettsteder som også hadde denne innstillingen påslått uten å vite det. Illustrasjon: Martin Gundersen

Datatilsynet har kun valgt å sanksjonere Disqus i denne omgang.

– Vi kunne gått på mange aktører nesten i enhver sak som har med internettrelaterte problemstillinger og spesielt når det gjelder markedsføring og innsamling av data. Det kan være mange hundre eller kanskje tusen aktører involvert, sier Thon.

– Sender dere et signal om at norske nettsteder og virksomheter ikke trenger å være så nøye med hvilke leverandører de bruker?

– På ingen måte. Det er ikke noe fritak for å bruke aktører som kanskje bryter loven. Det er veldig viktig at alle som bruker tredjepartstjenester sjekker grundig hva det måtte innebære av innsamling av data og hva disse dataene brukes til.

Hold deg oppdatert

Meld deg på det fyldige nyhetsbrevet vårt.

NRK beklager

– Det vi gjorde når vi oppdaget denne feilen var at vi avsluttet avtalen med Disqus og at vi fjernet kommentarfeltene fra sidene våre, sier teknologidirektør Heidrun Reisæter i NRK.

Som følge av NRKbetas artikler valgte også Adresseavisen, Khrono, TV2, og ComputerWorld å fjerne Disqus fra sine nettsider.

BEKLAGER: – Det var veldig uheldig, sier teknologidirektør Heidrun Reisæter, om at NRK bidro til at nordmenn ble sporet mens de surfet på nett. Foto: Ola Kaland

– Vi vil at det skal være trygt å bruke tjenestene til NRK. Det er bare å beklage at vi var i den situasjonen, sier Reisæter.

Siden har NRK styrket arbeidet på personvern og fått på plass et personvernombud, oppgir Reisæter.

– Vi hadde ikke god nok oversikt da, men vi gjør vårt ytterste for å ha kontroll i et ganske krevende landskap. Vi jobber veldig grundig med nye avtaleinngåelser, men også med å gjennomgå de eksisterende, sier Reisæter.

Oppdatert 5. mai 06:50: Tekniske analyser viste at også ComputerWorld delte informasjon om sine brukere via Disqus, noe vi ikke nevnte tidligere.

19 kommentarer

  1. GDPR ble innført i mai 2018, problematisk bruk av Disqus platformen ble oppdaget i november 2019. Så til tross for at innføring av GDPR førte til massiv oppmerksomhet rundt personvern og det selvstendige ansvaret som enhver behandlingsansvarlig (nettsted som brukte Disqus) har, kan vi slå fast at flere store aktører (f.eks. NRK) i minst 18 måneder ikke har utført en praktisk sjekk om det som var avtalt med underleverandør Disqus angående personvern faktisk var implementert i praksis. At NRKs teknologidirektør sier «Vi jobber veldig grundig med nye avtaleinngåelser, men også med å gjennomgå de eksisterende» betrygger lite; det er tross alt ikke i de juridiske avtalene den tekniske realiteten på bakken er beskrevet. I GDPR-prosessen til Adresseavisen var det noen som gikk gjennom Disqus instillingene og slo av «del personopplysninger». Kanskje var det på grunn av en systematisk prosess, kanskje var det fordi det var noen som brydde seg og skjønte at en slik praktisk gjennomgang måtte gjøres. Hos NRK og andre var det i alle fall ikke noe prosess for å sjekke om den praktiske virkeligheten gjenspeilet det som sto i avtalene. Jeg lurer på om det har endret seg, men holder ikke pusten.

    Svar på denne kommentaren

    • Tobias M (svar til Jan Meijer)

      Nå er jeg egentlig enig med det du sier, men å kontrollere om leverandører gir data til andre krever både teknisk analyse og gjennomgang av verktøyene og avtalene. Om man gjorde dette en gang i året så hadde man kanskje fått bedre oversikt, men jeg tviler på at det blir en praksis.

      Det er ikke så lett å se om en leverandør deler data med hverandre. Om dette skjer i nettleseren direkte så kan man teknisk følge sporene til mottageren, men om overføringen skjer server-side så er dette mye vanskeligere å merke.

    • Martin Gundersen (NRK) (svar til Jan Meijer)

      Jeg kan utdype noe hvordan NRK og andre store selskaper jobber med leverandørproblemet.

      Det er vanlig å inngå såkalte databehandleravtaler som regulerer hva partene for lov å gjøre med informasjon de får tilgang til. Et problem kan være at avtalene er vage eller gir rom for tolkning, noe som kan gjøre at kunden tror alt er OK uten at det er tilfellet.

      Så har du problemet hvor det finnes innstillinger som er veldig enkle å slå på / eller vanskelige å vite om – f.eks. er det lett å slå på demografiske data i Google Analytics, noe som gjør at Google får mye mer data via analysetjenesten.

      Dernest har man dette med tekniske analyser – av ulike grunner kan man sette opp systemer slik at de deler data de ikke skal, har sikkerhetshull etc. Store selskaper gjør regelmessige undersøkelser, men med flere hundre leverandører og tekniske systemer er det stor sannsynlighet for at noe kan gå uoppdaget.

    • olejohnny (svar til Jan Meijer)

      Når vil NRK få tilbake kommentarfelt?

      Nå kan de som er så «uheldige» å ha FB kommentere alt de vil på kommentarer ,nyhetssaker eller kronikker.

      Vi som ikke har FB har ikke denne muligheten på NRK.no sine sider.

      Uten en kommersiell aktør kan du altså ikke benytte deg av alle NRK sine tjenester – selv om du betaler.

      NRK.no må ha alt som NRK publiserer tilgjengelig, alt fra instagram kontoer knyttet opp til programmer,twitter osv dette må ligge tilgjengelig på NRK sine egne sider.

    • Tor Gundersen (svar til Jan Meijer)

      Dette handler åpenbart om å stilne røstene til det norske folk som faktisk betaler for NRK, mer enn å være bekymret for personvernet. Husk også alle sakene NRK lagde om «nettroll», samtidig som NRK fjernet kommentarfeltene. Det var ingen tilfeldighet, skal du vite.

      Det skjer svært mye problematisk med tek-industrien i USA for tiden tilknyttet liknende utfordringer (personvern, ytringsfrihet, politisk innblanding osv.), og NRK viser minimalt med interesse for de sakene. Sannsynligvis fordi de konservative er mest skadelidende for tiden, og NRK bedriver klipp-og-lim fra den demokratiske parti-pressen (NYT, CNN, WP og co), men ignorerer konservative røster.

  2. Borgar Port

    Morosamt at dykk tørr å skrive om dette, når NRK enda ikkje har fått på plass ein arvtaker til kommentarfeltet, utenom NRKbeta. Skulle skjølvsagt ikkje vera ein permanent slukking av kommentarfeltet dette nei, ikkje eit snikmord av motstemmene under ytringene, heilt klart ikkje.

    Kan like godt legge ned NRK, dykk fortjen ikkje skattepengene mine.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Borgar Port)

      Hei! Jeg vet at NRK jobber med å få på plass noe, men vet ikke helt hvor det er i løypa.

      Når det er sagt – alle kan sende inn kronikker til NRK Ytring og kontakte våre journalister dersom de har redaksjonelle tips.

    • Borgar Port (svar til Borgar Port)

      @Martin Gundersen (NRK)
      No, ja. «Alle kan» senda inn kronikkar til NRK Ytring, akkuratt som alle kan søka på alle utlyste jobbar. Men ikkje alle verken kan eller vil komme på trykk, og da var svara frå allmunen, og dei korte svara som ikkje var på lengda med ein longdryg 17-mai tale som forsvant med kommentarfeltet.

      Treng verkeleg NRKalpha å bruka så mykje tid på å få fatt i eit nytt kommentarfelt, når dei både har eit fungerandes eit innanhus via NRKbeta, og kommersielle norske alternativ ala diskusjon.no? Luktar litt evigheitsprosjekt får å ha noko å unnskylda seg med spør du meg.

  3. Bård Eikin

    Hvor er NRK sitt ansvar her ? DIsqus var jo i denne sammenheng en underbehandler av NRK og det juridiske ansvaret ligger jo da på NRK. Det er de som har tilrettelagt at Disqus fikk tilgang til dataene som brukerene la igjen. Enten så har ikke NRK en god nok databehandler avtale med Disqus som har tillat de å benytte dataene selv, Artikkel 28 eller så har de ikke fulgt opp sine ansvar som behandlings ansvarlige. Merkelig at Datatilsynet ikke følger opp NRK med tilsynn ? eller tør de ikke lettere å jakte på utenlandske aktører en innenlands medier ?

    Her må NRK ta større ansvar det er dere og ikke Disqus som er ansvarlig for at person opplysninger er på avveie. Dersom leverandøren er for komplisert til å følge opp så kan de ikke brukes da har ikke Behandlings ansvarlig gjort jobben sin, de kan ikke bruke en leverandør som de ikke forstår benytter dataene sine til. De skal ha full kontroll over dataene sine, og ikke lene seg på at de ikke kunne forstå.

    Jeg vil anta at personer som har fått dataene på avveie kan rette kravet til NRK ikke Disqus men men håper i det minste NRK har lært nå

    Svar på denne kommentaren

  4. Man er ikke så glad i ytringsfrihet i Norge. Det var yrende liv i nettavisene og på andre steder for 10 år siden, men alt snudde etter 22 juli 2011. Det resulterte også i at nettavisene får så få klikk at de måtte låse seg inne med abonenter og jeg som leste minst 5 nettaviser daglig leser i dag bare nrk.no.

    Da muligheten for anonyme ytringer forsvant så forsvant også de interessante debattene og igjen stod en fordummende debatt, ofte med en masse kommenarer slettet. Moderatorer drev heksejakt og de viktige stemmene forsvant.

    NRK med unntak av nrk.beta har aldri hatt kommentarer på sine artikler og på nrk ytring fjernet man kommentarene med bakgrunn i disqus, men var det ønskelig med ytringer fra leserne finnes det mange alternativer slik vi ser her på nrk beta

    Verdidebatt.no og dagsavisen har også fjernet kommentarfeltene og facebook vil kontrollere alt så der må man være helt mainstream.

    Slik jeg ser det lever vi i en verden hvor ytringsfriheten ses på som en trussel og da bør det ringe noen bjeller

    Svar på denne kommentaren

    • Alf P. Steinbach (svar til Ola)

      Når Usenet ble spammet til døden på 200x-tallet forsvant også de frie ytringene og gode diskusjonene.

  5. Med hode under armen og armen i bind går vi som bruker nettet i fella hver gang. Litt idiotisk å skylle på NRK når man ikke gidder å gjøre egene tiltak. Slå av cookies tilgang. Bruk automatisk tømming av data i nettleseren. Drop FB og andre «kjekke» «sosiale» medier. Det er vi som bruker nettet som kan styre retningen ved å si nei takk til alt som lukter av sporing og overvåking. Det er ikke lett å si nei, det kan jeg skrive under på.

    Svar på denne kommentaren

  6. Det tar tid å få ryddet opp i nett-anarkiet. Neste punkt på programmet bør kanskje være «norske» nettsider med utelandske versting-eiere?

    Schibsted eier Finn, Prisjakt, VG, Aftenposten og en drøss med lokalaviser, og går direkte etter å skaffe seg en sentral maktposisjon i det norske samfunnet. Selskapet er deleid av samme type eiere som Disqus. Det ligger i kortene at Schibsted bygger opp en database over norske borgere og deres gjøren og laden, og at denne databasen også er i eiernes interesse.

    Når man også ser den nedbrytende sosiale agendaen de fremmer i Norge, kan man lure på hvor det blir av ikke bare Datatilsynet, men også PST.

    Svar på denne kommentaren

    • Tor Gundersen (svar til Martin Gundersen)

      Etter å ha lest gjennom artikkelen, så blir det nødvendig å peke på elefanten i rommet. Det som skjedde med Disqus er lett å forstå. NRK vet at stadig flere lesere/seere er lei av den svært venstrevridde og tidvis kulturradikale nyhetsdekningen. NRK preges av journaiister som oppfører seg mer som aktivister, og kapper om å promotere mest mulig korttenkt og idealistisk luftslott-politikk (inkludert klimahysterier, svært liberal innvandringspolitikk, identitetspolitikk, anti-vestlige narrativ og annet splittende tankegods fra ytre venstre osv.), på bekostning av norsk samfunn, økonomi og kultur.

      Det finne nok av gode alternativer for diskusjonsfelt under nyhetssaker og kronikker (f.eks. Schibsted), men NRK fjernet nesten alle kommentarfeltene (utenom NRKbeta) for et par år siden – slik at dere kan kontrolle informasjonsstrømmen, og slippe å møte motstand fra andre røster som påpeker svakheter og feil i nyhetsdekningen deres. Hvis NRK virkelig ønsket å finne en ny løsning, så kunne dere ha gjort dette for lenge siden.

      Her er et utdrag fra NRK-plakaten, som viser at NRK svikter når de fjerner kommentarfeltene:

      «§ 13 NRK skal ivareta ytringsfrihet og ytringsvilkår for borgerne. NRK skal være redaksjonelt uavhengig og være balansert over tid. NRK skal bidra til å fremme den offentlige samtalen og medvirke til at hele befolkningen får tilstrekkelig informasjon til å kunne være aktivt med i demokratiske prosesser.»

      Det er fristende å komme med å lang liste med konkrete eksempler på misvisende og tendensiøse nyhetssaker fra NRK, men da er vel sikkert mitt innlegg ikke «interessant» nok.

      NRK misbruker sin rolle som rikskringkaster, og skader vårt samfunn og nasjonale interesser ved å bidra til å tvinge gjennom naive, uinformerte og korttenkte politiske løsninger.

      Dere slipper nesten utelukkende til kun de kronikør-røstene dere ønsker å høre selv (med unntak av noen sentrale maktpersoner på høyresiden), og nå har dere også fjernet kommentarfeltene. Strengt tatt fortjener dere ikke skattebetalernes penger lenger.

Vil du kommentere? Svar på en quiz fra saken!

Vi er opptatt av kvaliteten på kommentarfeltet vårt. Derfor ønsker vi å sikre oss at alle som kommenterer, faktisk har lest saken. Svar på spørsmålene nedenfor for å låse opp kommentarfeltet.

Hva er fornavnet til Thon?

Hva gjør Disqus?

Hvor høy er den varslede boten?

Legg igjen en kommentar til Jan Meijer Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.