En rekke populære nettsteder har sendt informasjon om besøkende til markedsføringsselskaper, viser en test gjort av konsulentselskapet Conzentio. Flere hundretusen nordmenn er berørt.
Anders Willstedt i Conzentio forteller at de først kom over noe rart med Disqus da de undersøkte en svensk nettside. Der la de merke til at Disqus, en kommentarfeltmodul, kommuniserte med en rekke nettsteder under nesen på eieren av siden og brukerne.
I Norge benytter blant annet NRK P3, ComputerWorld, Rights, og Khrono modulen på sine nettsider. Alle disse nettsidene sendte inntil nylig brukernes data til en rekke tredjeparter. Det rammer flere hundretusen nordmenn som regelmessig besøker nettsidene.
Ifølge Willstedt kan Disqus kombinere kontekstuelle data (hvilke type nettside er brukeren på) med informasjon om brukeren (IP-adresse, tekniske detaljer om nettleseren, og en unik ID).
– De prøver å koble profilen til brukeren på tvers av enheter, sier Willstedt.
Rights kommer dårligst ut
Av de seks undersøkte nettsidene står Rights alene på den definitive sporingstoppen. Rights er nettstedet til Human Rights Service. Hele 81 ulike selskaper kan komme i kontakt med en nettbruker, viser en test gjort av Conzentio i juni. For de andre nettstedene var det snakk om 13 selskaper.
NRKbeta gjorde selv undersøkelser 12. til 14. november som bekreftet at situasjonen var den samme. Da ble det også klart at TV 2s bilvertikal Broom og Document.no benyttet seg av Disqus på en slik måte at tredjeparter ble kontaktet.
– Brukerdata sendes til alle tenkbare destinasjoner, sier Willstedt, om måten Rights har satt opp Disqus.
Flere av selskapene som mottar besøksdata lever av å videreselge eller foredle informasjon om nettbrukere, mener eksperter NRKbeta har snakket med.
Tester viste også at enda flere selskaper ble kontaktet om brukeren hadde en IP-adresse utenfor Europa.
Ekspert mener det bryter loven
Simen Sommerfeldt er teknisk sjef i Bouvet og medforfatter av en bok om de nye personvernlovene (GDPR).
Hans første reaksjon var «wow …», da han hørte at Disqus delte besøksdata med 81 selskaper på Rights.no.
– Det er sjokkerende. I hvert falt etter at det nå har gått ett og et halvt år etter de nye personvernreglene trådte i kraft. Nå som vi ser at bøtene har begynt å komme bør dette være en vekker.
Sommerfeldt kaller det «alvorlig», og mener det henger sammen med hvordan annonsenettverk lager profiler av nettbrukere for å tilby mer tilpasset reklame.
Han mener praksisen bryter med GDPR, og at det er problematisk at verken nettsidene eller brukerne har vært klar over datainnsamlingen.
Hvor mye skyld har nettsidene som gjør dette?
– Jeg tror vi skal være forsiktige med å dømme noen som kanskje ikke har skjønt hva som foregår. Det er noe med å forstå at det man gjør er feil. Det har vært vanskelig nok med hele GDPR. Jeg vil være forsiktig med å være hard, men jeg vil oppfordre til å stramme inn.
Daniel Johannsen i CookieBot undersøker regelmessig nettsider for personvernbrudd. Han kaller moduler som Disqus «trojanske hester».
– Det er ikke mange nettsider som er klar over dette, og det ser ut til å være tilfellet også her, sier Johannsen.
NRK vurderer å fjerne Disqus fra alle plattformer
NRKbeta har siden onsdag forsøkt gjentatte å komme i kontakt med Disqus, men har så langt ikke fått svar fra selskapet.
– Vi har nå sett på dette, og kan vel bare i realiteten takke for tips, sier daglig leder Rita Karlsen i Human Rights Service, som driver nettsiden Rights.
– Vår utfordring som en bitteliten organisasjon er at vi ikke rekker over alt, og kanskje ikke tidsnok. Vi har nå strammet inn informasjonsdeling via Disqus og lagt på et banner, sier Karlsen.
Det er Audun Aas, produktutviklingssjef for NRK.no, som svarer på vegne av P3 om Disqus. Han forteller at de har deaktivert «anonymous cookie targeting», angivelig den innstillingen som tillot delingen av data. Det samme oppgir Khrono, ComputerWorld, og Document.
– P3 benytter en rekke tredjepartsleverandører, men det skal ikke gå på bekostning av lesernes personvern, sier Aas.
– Nå går vi igjennom databehandleravtalen vår med Disqus og deres personvernsider. Vi må evaluere på nytt om de er gode nok. Hvis de ikke er det mener jeg at vi må fjerne Disqus fra alle våre plattformer inntil det foreligger en signert avtale vi kan stå for, sier Aas.
NRK Ytring benytter seg også av Disqus, men deres løsning delte ikke brukerdata, ifølge Conzentio.
– Under radaren
Digitaldirektør Christian Birkeland i TV 2 oppgir at de har slått av kommentarfeltet mens de jobber med å finne ut av om det strider mot GDPR.
Hva tenker dere om at dere ikke har vært klar over dette før nå?
– Vi har brukt mye tid og ressurser på personvern og vi tar GDPR alvorlig. Akkurat denne løsningen har gått under radaren, sier Birkeland.
Tips journalisten på martin.gundersen[at]nrk.no eller Signal (47 75 65 15) om du kjenner til lignende tilfeller eller personvernbrudd.
Tidligere artikler i sakskomplekset:
> Norges største helsenettsted på sporingstoppen
> Dette er de norske nettsidene som sporer deg mest
> Disse knappene kan avsløre om du søker psykisk helsehjelp