Teknologirådet har i to omganger undersøkt offentlige nettsteder for å kartlegge bruk av sporingsteknologi. Den første rapporten ble publisert i 2021, og kartla 41 nettsteder. Vi har nå utvidet undersøkelsen til 156 nettsteder innen stat og kommune.
– En del offentlige virksomheter har begrenset den kommersielle sporingen på nettstedene sine siden forrige gang vi gjorde undersøkelsen, og det er positivt. Likevel er det mye mer sporing i Norge enn i Sverige og Danmark. Det tyder på at bevisstheten rundt problemene fremdeles er for lav, sier Tore Tennøe, direktør i Teknologirådet.
Sporing på offentlige nettsteder - omfang og ny regulering
Den nye undersøkelsen ble utført i tidsrommet september–oktober, og viser blant annet at:
- Omfattende sporing: Over halvparten av de undersøkte nettsidene har sporingsverktøy aktivert.
- Google dominerer: 4 av 10 offentlige nettsteder bruker sporingsverktøyet Google Analytics. I tillegg deler 17,9 prosent av nettstedene data med annonsebørsen Doubleclick, mens 14,7 prosent bruker Remarketing Audiences, som gjør det mulig å følge dem som har vært på nettstedet ditt rundt på nett og vise dem annonser for dine produkter. Av nettstedene som bruker Doubleclick (omtrent én av fem) er det ingen som informerer om det i personvernerklæringene sine.
- Færre bruker sporingsverktøy fra Meta (Facebook): Kun 9 av de 156 nettstedene i undersøkelsen bruker Meta Pixel.
- Tastelogging: 19 nettsteder bruker verktøy for tastelogging som lagrer alt som skrives, både det som sendes inn og det som slettes. 17 av disse er kommuner eller fylkeskommuner.
- Personvernerklæringene er mangelfulle. Mange offentlige nettsteder opplyser verken om funksjonene til sporingsverktøyene eller hva dataene som samles inn brukes til. Flere opplyser heller ikke om hvilke verktøy de har aktivert på nettsidene. Bare en håndfull oppgir at de bruker tastelogging til å forbedre brukervennligheten, men beskrivelser av hva verktøyet gjør og hva det brukes til, er stort sett fraværende.
- Staten har blitt bedre, men kommunene sporer fortsatt mye. Ringsaker kommune og Viken og Nordland fylkeskommune bruker både Meta Pixel og alle Google-verktøyene.
– Det er urovekkende at sporing er så utstrakt i kommunesektoren. Kommunene har for eksempel ansvar for krisesentre, barnevern, psykisk helse og rus, noe som kan innebære deling av sensitive data. Her har kommunene en jobb å gjøre, sier Hanne Sofie Lindahl, prosjektleder i Teknologirådet.
Hvorfor gjør offentlig sektor dette?
I etterkant av første rapport om kommersiell sporing på offentlige nettsider, har Teknologirådet fått en rekke henvendelser og tilbakemeldinger som kan gi en pekepinn på hvorfor sporingsteknologiene er så utbredt. Blant annet har vi fått høre at:
- Google Analytics er det vanligste og beste verktøyet for analyse av nettrafikk.
- De ansvarlige var ikke klar over hvor mye data som samles inn, og på noen nettsteder skjer deling med f.eks. annonsebørser ved en feiltakelse.
- Det er lav kjennskap til mulige alternativer som ikke sporer brukerne.
Blant nettsidene vi undersøkte i 2021 var det 36 av 41 som brukte Google Analytics. Nå har 24 av disse sluttet å bruke sporingsverktøyet.
– Nedgangen i bruk av Google Analytics har vært særlig stor det siste året, noe som trolig skyldes at det har vært juridisk usikkerhet om det er lovlig å bruke dette verktøyet. Men økt kunnskap og bevissthet har antakelig også noe å si, sier Lindahl.
Flere virksomheter har opplyst at oppmerksomheten rundt sporing på nett gjorde at de endret praksis. Likevel viser årets undersøkelse at noen nettsider også sporer mer enn ved forrige undersøkelse.
Er det så farlig, da?
Mange kommersielle aktører på nett samler inn data for å påvirke oss gjennom persontilpasset reklame. Men det gjelder ikke bare kjøp og salg av varer og tjenester: de samme teknikkene har blitt brukt til å spre målrettet desinformasjon i forbindelse med politiske valg, under koronapandemien og i forbindelse med Russlands invasjon av Ukraina.
– Data på avveie kan få store konsekvenser for de berørte. Flere saker de siste årene har vist at den digitale annonseindustrien er utsatt fordi de sitter på store mengder privat og sensitiv informasjon om enkeltpersoner, og forretningsmodellen med kjøp og salg av data gjør at dataene sprer seg fort, forklarer Lindahl.
I USA har data fra datingappen Grindr blitt brukt til å avsløre en prests seksuelle orientering. I Norge har NRK demonstrert hvor enkelt det er å identifisere personer i store datasett, og hvordan nettapoteket Farmasiet har delt data om hvilke produkter du ser på med Facebook og andre sosiale medier.
Undersøkelser av den digitale annonseindustrien har vist at enkelte livshendelser, som graviditet, skilsmisse eller bryllup gjør brukerne mer ettertraktet hos annonsører. Dette er informasjon som kan utledes av vår kontakt med offentlig sektor.
– Den utstrakte bruken av sporingstjenester på offentlige nettsider fører til at kommersielle aktører kan bruke data om trafikk på disse nettstedene til å bygge opp digitale profiler om norske innbyggere, sier Lindahl.
Fakta om undersøkelsen
- Teknologirådet har i to omganger undersøkt en rekke offentlige nettsteder for å kartlegge bruk av sporingsteknologi. Den første rapporten ble publisert i 2021, og kartla 41 nettsteder. I denne rapporten har vi utvidet undersøkelsen til 156 nettsteder fra stat, kommune og fylkeskommune. Selve undersøkelsen av nettstedene ble gjennomført i perioden september-oktober 2023.
- For å undersøke bruk av sporingsverktøy har vi brukt verktøyet Blacklight. Ved å taste inn en nettadresse i verktøyet, undersøker Blacklight det aktuelle nettstedet og ser etter prosesser som kan identifiseres som sporing av nettbruken, samt hvilke selskaper som mottar informasjon om brukerens aktivitet. Verktøyet undersøker forsiden på nettstedet, pluss en tilfeldig valgt side.
- Teknologirådet har undersøkt om nettstedene bruker sporingsverktøy fra eller deler data med Google, bruker sporingsverktøy fra Meta, og om nettstedene deler data med selskaper som utfører tastelogging eller gjør opptak av nettsidebesøk.