Sveriges Radio avdekket nylig at en lang rekke europeiske nettapoteker har delt kundenes personopplysninger gjennom sporingspiksler. Saken bør være en vekker også for norske nettsteder.
I verste fall kan sensitive opplysninger om helse blitt delt og brukt til markedsføring. Ifølge Sveriges Radio har over 100 apotek delt kundenes kjøp med Facebook (sverigesradio.se).
Sporingspiksler er en teknologi som kan brukes til å kartlegge brukernes bevegelser på et nettsted i detalj, for eksempel hvilke artikler de leser og hvilke produkter de legger i handlekurven. Formålet er ofte å nå brukerne med markedsføring på sosiale medier eller andre plattformer, der markedsføringen tilpasses til hva brukerne har foretatt seg på nettstedet. Teknologien kan også brukes til å analysere hvor godt nettsteder eller markedsføring fungerer.
– Sporingspiksler kan true personvernet på flere måter fordi de innebærer usynlig sporing og overvåkning av brukerne, og personopplysningene vil ofte deles videre med andre aktører, sier sjef for internasjonal seksjon i Datatilsynet, Tobias Judin.
På noen nettsteder – slik som nettapoteker – kan brukernes bevegelser dessuten avsløre sensitiv informasjon, slik som helseopplysninger. Det er i utgangspunktet ikke lov å dele slike opplysninger eller bruke dem til markedsføring uten samtykke.
Datatilsynet er generelt bekymret over uansvarlig bruk av sporingspiksler og andre sporingsteknologier.
Sannsynligvis er det mange norske nettsteder som bruker sporingspiksler eller andre sporingsteknologier uten å være oppmerksomme på hva slags informasjon sporingsteknologiene avdekker eller hvem informasjonen deles med. Alle virksomheter må ha et bevisst forhold til personvernregelverket når de implementerer analyse- og markedsføringsløsninger på nettstedene sine, men det er det nok en del som dessverre ikke har. For brukerne av nettstedet er dette potensielt en stor personvernrisiko, mens for virksomhetene utgjør det en betydelig risiko både juridisk risiko og omdømmemessig.
– Datatilsynet oppfordrer nå alle norske virksomheter til å gjennomgå nettstedene sine for sporingspiksler og andre sporingsteknologier. Med mindre virksomheten har gjort gode vurderinger, har oversikt over dataflyt og er trygge på at bruken av verktøyene er i tråd med personvernreglene, bør verktøyene rett og slett fjernes, sier Judin.
Dette er særlig viktig på nettsteder der brukernes bevegelser direkte eller indirekte kan avsløre sensitiv informasjon, slik som helse, religion, legning eller politisk ståsted.
Datatilsynet er også svært bekymret for sporing på offentlige nettsteder. I 2021 undersøkte Teknologirådet hvordan et utvalg statlige og kommunale virksomheter sporer sine nettbrukere, og fant at 38 av 41 virksomheter deler data om brukere med kommersielle aktører (teknologiradet.no).
– Innbyggerne må fritt kunne oppsøke informasjon fra, og kommunisere med, det offentlige uten å bli sporet. Oppfordringen gjelder derfor også offentlige virksomheter, avslutter Judin.