Hundretusener av nordmenn ble sporet i det skjulte mens de besøkte norske nettsteder. Nå varsler Datatilsynet en klekkelig bot mot selskapet bak.
I 2019 avdekket NRKbeta at kommentarfeltsystemet Disqus delte informasjon om nettbrukere med markedsføringsselskaper. Verken brukerne eller eierne av nettsidene var klar over praksisen.
Det førte til at Datatilsynet på eget initiativ åpnet en granskning av Disqus. Denne uken varslet tilsynet at de vil ilegge selskapet en bot på 25 millioner kroner. Det tilsvarer 15 prosent av Disqus antatte omsetning i 2018, ifølge Datatilsynet. Tilsynets vedtak er foreløpig og Disqus har mulighet til å komme med et tilsvar.
– Budskapet er at vi ser på dette som en alvorlig sak, sier direktør Bjørn Erik Thon i Datatilsynet.
Datatilsynets foreløpige konklusjon er at Disqus brøt norske personvernlover gjennom å spore, profilere, og dele informasjon om besøkende på flere norske nettsider.
– Vi er egentlig i kjernen av spørsmålet om ytringsfrihet, at du skal kunne orientere deg ganske fritt og at du skal kunne unngå, og kanskje slippe, å få annonsering som er basert på nettsteder som du har besøkt.
NRK har kontaktet Disqus gjennom deres morselskap Zeta Global, men de har ikke svart på vår henvendelse. Zeta Global har tidligere argumentert for at Datatilsynet ikke kan ilegge dem sanksjoner og at informasjonen kun ble delt med morselskapet.
Norske nettbrukere ble sporet av Disqus fordi selskapet ikke kjente til at Norge innførte den felleseuropeiske personvernreguleringen kalt GDPR i 2018. Det tok dermed 511 dager før nordmenn ble innlemmet i selskapets «personvernmodus» for GDPR-land og tidligere innsamlet informasjon slettet.
Høy bot
Datatilsynet har kun en gang tidligere varslet en høyere bot. Det skjedde tidligere i år mot datingappen Grindr. Tilsynet har ikke kommet med et endelig vedtak i saken og om det blir stående vil Grindr måtte betale 100 millioner kroner.
Ifølge Thon er det en naturlig årsak er det er de utenlandske selskapene som får de strengeste sanksjonene:
– Mange av de store personvernbruddene vi har sett i Europa har vært gjort av utenlandske selskaper, særlig amerikanske selskaper.
Norske nettsteder går fri
Det var selskapet Conzentio som i sin tid tipset NRKbeta om at kommentarfeltene til Disqus oppførte seg mistenkelig. Tekniske analyser viste at NRK P3, TV2s bilvertikal Broom, Khrono, ComputerWorld, Rights, og Document delte informasjon om sine besøkende via Disqus.
Adresseavisen og NRK Ytring brukte også Disqus, men det skal ikke ha ført til at informasjon om brukerne ble delt videre. Det skyldes etter hva NRKbeta forstår at de hadde slått av en lite kjent innstilling.
Datatilsynet har kun valgt å sanksjonere Disqus i denne omgang.
– Vi kunne gått på mange aktører nesten i enhver sak som har med internettrelaterte problemstillinger og spesielt når det gjelder markedsføring og innsamling av data. Det kan være mange hundre eller kanskje tusen aktører involvert, sier Thon.
– Sender dere et signal om at norske nettsteder og virksomheter ikke trenger å være så nøye med hvilke leverandører de bruker?
– På ingen måte. Det er ikke noe fritak for å bruke aktører som kanskje bryter loven. Det er veldig viktig at alle som bruker tredjepartstjenester sjekker grundig hva det måtte innebære av innsamling av data og hva disse dataene brukes til.
Hold deg oppdatert
Meld deg på det fyldige nyhetsbrevet vårt.
NRK beklager
– Det vi gjorde når vi oppdaget denne feilen var at vi avsluttet avtalen med Disqus og at vi fjernet kommentarfeltene fra sidene våre, sier teknologidirektør Heidrun Reisæter i NRK.
Som følge av NRKbetas artikler valgte også Adresseavisen, Khrono, TV2, og ComputerWorld å fjerne Disqus fra sine nettsider.
– Vi vil at det skal være trygt å bruke tjenestene til NRK. Det er bare å beklage at vi var i den situasjonen, sier Reisæter.
Siden har NRK styrket arbeidet på personvern og fått på plass et personvernombud, oppgir Reisæter.
– Vi hadde ikke god nok oversikt da, men vi gjør vårt ytterste for å ha kontroll i et ganske krevende landskap. Vi jobber veldig grundig med nye avtaleinngåelser, men også med å gjennomgå de eksisterende, sier Reisæter.
Oppdatert 5. mai 06:50: Tekniske analyser viste at også ComputerWorld delte informasjon om sine brukere via Disqus, noe vi ikke nevnte tidligere.