Følg Personverdagen direkte på nett mandag 31. januar kl. 9-11. Denne undersøkelsen er et av temaene.
Blant de 157 nettstedene Teknologirådet har undersøkt, er Stortinget.no, regjeringen.no, alle direktoratene og fylkeskommunene, og kommuner med over 20 000 innbyggere.
Mer enn åtte av ti av disse nettstedene bruker ulike verktøy fra Google og Facebook/Meta som sporer hvor brukeren kommer fra og hva som leses, formidler informasjon til annonsebørser, og gjør opptak av hva innbyggeren gjør og skriver inn på nettsiden. Dette bidrar til å bygge omfattende digitale profiler av innbyggerne i regi av teknologiselskapene.
– Teknologirådet har i flere år vært kritisk til offentlig sektors bruk av gratisverktøy fra teknologi-gigantene. Nå er det på tide at det offentlige slutter å betale med data om oss. Vi trenger kraftige kutt i digitale utslipp, sier Tore Tennøe, direktør i Teknologirådet.
Felles europeisk innsats
European Data Protection Supervisor (EDPS) sanksjonerte nylig Europaparlamentet for bruk av Google Analytics, og en fersk avgjørelse fra det østerrikske datatilsynet slår fast at måten Google Analytics og andre sporingsteknologier fungerer på, bryter med EUs personvernforordning GDPR. Hvis avgjørelsen blir stående, betyr det at det er ulovlig også i Norge.
– Innbyggerne kan ikke velge bort offentlige nettjenester, og deler uten å vite det informasjon om helse, familieliv og privatøkonomi med annonseindustrien. Teknologirådet har tidligere argumentert for at offentlig sektor bør ta et særskilt ansvar for ikke å dele data om brukerne sine. Nå viser det seg at dagens praksis antakelig også er ulovlig, sier Tennøe.
Tidligere ble bruk av Google Analytics tolerert så lenge nettside-tilbyderen anonymiserte IP-adressene til brukerne. Dette holder ikke lenger. Det østerrikske vedtaket er det første av 101 liknende saker om ulovlige dataoverføringer fra EU til Facebook og Google i USA som NOYB, organisasjonen til personvernaktivisten Max Schrems, har klagd inn for europeiske datatilsyn. I Norge er blant annet Telenor og SBanken meldt inn til Datatilsynet.
Like utfall er forventet i alle sakene, ettersom en «task force» hos Det europeiske datatilsynet har koordinert de europeiske datatilsynenes respons på disse sakene siden i fjor. Utfallet av den norske saken som Datatilsynet jobber med, er forventet i første kvartal i år. Allerede nå har Datatilsynet gått så langt som å anbefale norske nettsteder å se etter alternativer til Google Analytics.
Sannsynligvis vil det samme gjelde for andre sporingsteknologier Teknologirådet har kartlagt, blant dem Google Tag Manager, Remarketing Audiences, Doubleclick og Facebook Pixel. Disse har ingen egne vedtak mot seg ennå, men går ut på det samme: Å identifisere brukere basert på hva de gjør på nett.
Sporingen gjør det mulig å gjenkjenne akkurat deg
Når man besøker en nettside med Google Analytics installert, blir man tildelt et unikt nummer. Nummeret sendes fra nettleseren, via Google Analytics, til Google, og gjør det mulig for Google å skille ulike brukere av nettsiden fra hverandre og se om brukeren har besøkt nettsiden før.
Google Analytics lar også Google finne ut av hvilken nettleser, operativsystem, språkvalg, fargedybde og skjermoppløsning brukeren har, og hvilke nettsider og undernettsider brukeren besøker. Analyseverktøyet gjør det også mulig for Google å vise brukeren målrettet reklame.
Alt dette kvalifiserer som personopplysninger, sier den østerrikske avgjørelsen, ettersom informasjonen kan sammenstilles til å identifisere enkeltpersoner. Samtidig beskytter ikke Google disse personopplysningene godt nok, siden de overføres til USA, der personvernlovgivningen er svakere enn i Europa.
EU og USA er langt unna en løsning
EU og USA forsøker å enes om en avtale som sikrer europeiske personopplysninger bedre beskyttelse i USA enn tidligere avtaler. Google etterspør selv fremgang i disse forhandlingene. Skal Google Analytics bli lovlig igjen, må en slik avtale på plass.
Det er imidlertid langt fra sikkert at forhandlingene vil lykkes. Etterretningslovene i USA vil forbli strenge, og gjør det vanskelig for selskaper som opererer både i EU og USA å komme med garantier. Microsoft har for eksempel sagt at de ikke kan garantere mot at data lagret i deres datasentre i Europa ikke kan bli krevd utlevert i USA.
Slik blir du sporet på 157 offentlige nettsider:
- 124 av de 157 undersøkte nettsidene bruker Google Analytics som analyserer trafikk på nettsider
- 56 lar Google følge deg videre på nett med funksjonen «remarketing audiences»
- 58 av nettsidene deler data med Googles annonsebørs Doubleclick
- 21 bruker verktøy for å gjøre opptak av nettsidebesøk, som «filmer» alt du klikker på og skriver inn
- 15 bruker Facebook Pixel, som gjør at Facebook kan følge med på hva du gjør på andre nettsteder enn Facebook
Om undersøkelsen:
- Teknologirådet har undersøkt 157 offentlige nettsteder med verktøyet Blacklight
- Vi undersøkte nettsidene til alle direktorater, fylkeskommuner og kommuner med over 20 000 innbyggere, i tillegg til sentrale offentlige nettsider som regjeringen.no og altinn.no.
- Undersøkelsen kartla bruken av Google Analytics, Remarketing Audiences, Doubleclick, Facebook Pixel og Hotjar, som tar opptak av nettsidebesøk. Alle verktøyene har store personvernutfordringer.
- Kartleggingen ble gjennomført 10.–21. januar 2022.
- Undersøkelsen er en oppfølging av en tilsvarende undersøkelse i 2021. Resultatene ble gjengitt i rapporten «Kommersiell sporing i offentlig sektor», publisert i mars 2021.