NRKbeta avslører: Selskap som leverer kommentarfelt på en rekke anerkjente nettsteder innrømmer å ha brutt norske personvernlover. Begrunnelse? De kjente ikke til regelverket.
I november omtalte vi at seks norske nettsider har delt informasjon om sine besøkende. Det gjorde de via kommentarfelt drevet av det amerikanske selskapet Disqus.
Slik ble personlig informasjon om flere hundre tusen nordmenn sendt til en rekke selskaper innen markedsføringsbransjen.
Det viser seg også at titalls millioner internettbrukere har blitt sporet av Disqus uten at de selv eller nettsidene de har besøkt, har kjent til selskapets andre inntektskilde.
For gjennom årene har Disqus bygget ut verktøy og forretningsforbindelser for å tjene penger på brukerne de er i kontakt med.
Ifølge Disqus er det globalt snakk om to milliarder månedlige brukere.
– De kan ikke drepe noen og så si at de ikke visste det var ulovlig
Med innføringen av nye europeiske personvernregler i 2018 måtte Disqus gjøre endringer for å være i tråd med et strengere lovverk.
Det var nemlig denne typen datainnsamling og -deling regelverket kalt personvernforordning (GDPR) skulle stoppe.
Blant annet må selskaper som samler informasjon om norske borgere ha en juridisk begrunnelse på hvorfor det er greit, et såkalt behandlingsgrunnlag.
Disqus løste det med å innføre «privacy mode» for alle brukere med IP-adresse fra et EU-land, ifølge et blogginnlegg.
Under kan du se at man må trykke på den nederste boksen for at dataene skulle deles videre:
Det er bare et problem: Tre europeiske land innførte GDPR i 2018, men de er ikke med i EU.
«Fordi Norge ikke er et medlemsland i EU ble de ikke inkludert i vårt GDPR-oppsett», skriver Megan Rose i Zeta Global, morselskapet til Disqus. Rose oppgir at Norge, Island, og Liechtenstein nå er inkludert.
Det betyr at nordmenn ble behandlet som resten av verden utenfor Europa i 16 måneder, selv om vi hadde fått et nytt regelverk.
Det får Datatilsynet til å steile.
– De kan ikke drepe noen og så si at de ikke visste det var ulovlig, sier seksjonssjef Tobias Judin i Datatilsynet.
At de ikke har hatt et gyldig behandlingsgrunnlag, hva betyr det?
– Å behandle personopplysninger uten behandlingsgrunnlag er automatisk et brudd på loven. Vi snakker om folk som har lest og kommentert nyheter. Det er virkelig i kjernen av ytringsfriheten og det å delta i samfunnsdebatten. Det er alvorlig og utrolig krenkende å dele slike data uten å følge GDPR, sier seksjonssjef Tobias Judin i Datatilsynet.
Konfrontert med Judins første uttalelse svarer Rose at: «Å sammenlikne deling av data med mord er skammelig og motbydelig.» Den andre uttalelsen om ytringsfrihet og å delta i samfunnsdebatten får stå for Judins egen regning, mener Rose.
– Vi skal slette data om nordmenn som var samlet inn med en feiltakelse. Det er en teknisk prosess som ikke kan gjennomføres med en gang, men det vil bli gjort snart. Fremover vil nordmenn ha den samme opplevelsen som innbyggere i andre EU-land, skriver Megan Rose.
Judin oppgir at denne typen lovbrudd kan føre til bøter, og at undersøker saken videre.
Et lovende teknologiselskap
I 2007 startet Daniel Ha og Jason Yan plattformen Disqus for å knytte lesere og publisister tettere sammen. På dette tidspunktet har iPhonen nettopp blitt lansert og de færreste nordmenn hadde fått seg Facebook-konto.
Selskapet sprang ut fra Y Combinator, en inkubator kjent for å ha avlet frem selskaper som AirBnB og Dropbox. Mulighetene var altså endeløse.
Ifølge en studie fra 2011 stod Disqus for 75 prosent av alle kommentarfelt levert av et eksternt selskap.
I 2014 oppga Disqus å være på tre millioner nettsider og ha 150 millioner innloggede brukere. Til Adweek sa David Fleck, selskapets strategisjef fra 2011 til 2018, at: «Når folk kommer til en side som har Disqus, da vet vi hva de leser.»
Det ble første forsøk på å tjene penger på hvem brukerne er og hva de gjør.
Ingen vei videre
Den evige veksten varte ikke. Andre selskaper fra Silicon Valley albuet seg frem. De sosiale plattformene Facebook, Instagram, og Twitter ble over i løpet av tiåret stadig mer dominerende.
– Å flytte debatten over på sosiale medier er en naturlig konsekvens av medieutviklingen nå. Det er der, og særlig på Facebook, at sakene kommenteres og debatteres. Vi tester nå mulighetene som ligger i et tettere samarbeid med Facebook, sa Dagbladets daværende ansvarlige redaktør i 2016.
Oppmerksomhet om den noen ganger hatske tonen gjorde også at flere bestemte seg for å stenge dem ned:
– Kommentarfeltet under innleggene var til tider så preget av avsporinger, usakligheter og krangling at de seriøse debattantene holdt seg unna, skrev Vårt Land-redaktør Alf Gjøsund, da avisen la ned sitt kommentarfelt.
Æraen for selskaper som Disqus gikk sakte, men sikkert over. I 2016 måtte 20 prosent av de ansatte forlate selskapet, ifølge en artikkel i TechCrunch, hvor journalisten spådde at selskapet skulle fokusere på «data services».
Det nye fokuset lønte seg – året etter ble Disqus solgt til Zeta Global. Anslått verdi var 740 millioner kroner. På LinkedIn-profilen til David Flick står det i dag at: «Investorer og aksjeeiere fikk en vesentlig avkastning».
Oppkjøper Zeta Global understrekte også verdien av Disqus evne til å innhente brukerdata. I en pressemelding sa administrerende direktør David A. Steinberg i Zeta Global at Disqus skal bidra til deres mål om å «redefinere» markedsføringssektoren.
I et intervju i november 2018 oppga Steinberg at 750 av verdens 1000 mest verdifulle selskaper er deres kunder.
Salgsvaren deres er sannsynlighet for at en forbruker vil avslutte et kundeforhold eller kjøpe en vare. Til det trengs det mye informasjon.
På med bryteren
I september 2017 la den amerikanske utvikleren Zach Edwards merke til noe rart da han besøkte en nettside. Data strømmet veier de ikke skulle, og han skjønte ikke helt hvorfor.
– Jeg husker jeg tvitret om det den måneden. Det var da alle disse nye partnerne startet å dukke opp, sier Edwards.
I en årrekke har Edwards administrert og laget nettsider, gjerne med kommentarfelt fra Disqus eller konkurrentene. Nå jobber han hos Metax med å utvikle et verktøy for å analysere datatrafikk.
I want to know what is going on with @disqus – they are obviously selling pixel space – piggybacking now ~40 other biz pixels through theirs
— ℨ𝔞𝔠𝔥 𝔈𝔡𝔴𝔞𝔯𝔡𝔰 (@thezedwards) September 28, 2017
For å komme til bunns i mysteriet satte Edwards opp en helt ren nettside. Hver eneste innstilling ble gjennomgått. Hver boks huket av og på for å finne ut hva som hadde skjedd.
– Det var en enkelt innstilling de bestemte seg for å slå på for alle kontoer, sier Edwards til NRKbeta i dag.
– Det er et gratis verktøy som det koster å utvikle og vedlikeholde. På et eller annet tidspunkt så de på regnestykket og bestemte seg for å tjene penger på brukerne, sier Edwards.
Nå kaller han Disqus et «sofistikert system for å dele brukerdata».
Disqus, gjennom morselskapet Zeta Global, bekrefter til NRKbeta at «datadelingen har vært aktiv i flere år». Zeta Global har ikke svart direkte på påstanden om å være et sofistikert system for å dele brukerdata, men henviser til en ressursside (Hvordan Disqus virker) som ikke nevner brukeres personvern.
De som ikke visste
NRKbeta har kontaktet 23 nettsider der datatrafikk tilsier at de deler data med tredjeparter via Disqus. Alle de 11 som har svart forteller at de ikke har kjent til innstillingen og at den nå er slått av.
Samlet ser det ut til at 12 nettsteder med et internasjonalt publikum på mer enn fem millioner månedlig besøk har delt mer brukerdata enn nødvendig, ifølge trafikkmåletjenesten SimilarWeb.
Det som kjennetegner flere av dem er at de retter seg mot politikk (Breitbart, The Gateway Pundit, Daily Wire) eller teknologi (9to5mac, ZDNet, PC Gamer, How-To Geek)
I New York Times har personvern blitt et prioritert område. 10. april skrev publisher A.G. Sulzberger selv at: «Også vi undersøker våre retningslinjer og arbeidsmåter rundt data».
Det betyr likevel ikke at New York Times fanget opp at Disqus i en årrekke har videresendt data om de som besøker en av nettsidene de eier.
– Takk for at du gjør oss oppmerksom på denne standardinnstillingen, som nå er avslått, skriver Danielle Rhoades Ha i New York Times kommunikasjonsavdeling, om nettstedet Wirecutter. Brukerne ble ikke ikke informert om datadelingen i deres personvernerklæring.
NYT har det siste året prioritert å redusere hvor mye data om brukerne de deler videre, men på direkte spørsmål om hva hendelsen betyr for Disqus svarer Ha at de ikke diskuterer enkelttjenester.
En nettside som i dag setter opp Disqus vil ha deling av brukerdata påslått. Nettsidene kan selv slå av denne delingen. Slik ser menyen flere internasjonale nettsteder ikke visste om:
Hvor alvorlig der denne datadelingen? Vi spør Bennett Cyphers i den digitale rettighetsorganisasjonen Electronic Frontier Foundation (EFF).
– Via Disqus deles det data med flere av de mest notoriske overvåkerne i industrien. Det påvirker mange av de største politiske nettsidene i verden, svarer Cyphers over Signal.
Hos EFF utvikler han verktøy som gjør vanlige folk sikrere og mindre overvåket på nett.
– Brukerne får ingenting igjen av sporingen og det er ingen måte for dem å samtykke til det (utenfor Europa, red.anm.). At New York Times slo av sporingen bare du spurte burde være bevis nok i seg selv.
Teknisk sjef i konsulentselskapet Bouvet, Simen Sommerfeldt, mener det er problematisk at verken brukere eller nettsider har vært klar over praksisen.
– Skulle dette vært ordentlig måtte de være helt åpne med nettstedene. Det er de ikke, sier Sommerfeldt, som mener det er tydelig at «brukerne inngår i en pengestrøm».
Ifølge ham er forretningspraksisen til Disqus uetisk ettersom få nettsider har vært klar over data delingen, eller muligheten til å slå den av.
Konfrontert med uttalelsene til Cyphers og Sommerfeldt svarer Megan Rose i Zeta Global på vegne av selskapene at: «Alle publisister har vært forelagt Disqus sine bruksvilkår og de har alltid hatt mulighet til å slå av datadelingen etter eget ønske». Brukere kan også melde seg ut av datadelingen på deres nettsider.
Rose understreker også at de tar personvern «svært alvorlig» med en henvisning til deres blogginnlegg om de nye europeiske personvernlovene fra 2018.
Les også Computer Worlds selvreflekterende nyhetssak om hvorfor de og andre nettsider bidro til å dele persondata. (Bak betalingsmur)
– Vi kjente ikke til denne innstillingen i Disqus (som tillot deling, journ.anm.) siden den er nokså gjemt. Vi har slått den av nå, sier Rory McCafferty, på vegne av The Hill.
– Vi slo den av, takk for at vi ble gjort oppmerksomme på det, sier publisher Seth Weintraub i 9to5mac.
– IGN Nordic og IGN Benelux har undersøkt innstillingene i Disqus. Vi vil slå av enkelte innstillinger i Disqus, skriver Nick Nijland, redaktør i IGN Benelux.
– Vi tar all unødvendig sporing alvorlig og vi er takknemlige for alle tips og løsninger som beskytter brukerne våre bedre. Vi har nå slått av den aktuelle innstillingen, skriver Markus Andersson, sjefredaktør i Nya Dagbladet.