Internettsveip 2013

Datatilsynet har sveipet 222 norske og utenlandske nettsider for å finne ut om virksomhetene forteller hvordan de bruker folks personopplysninger. Sveipet viser at 4 av 10 nettsider mangler personvernerklæring.

Datatilsynets sveip av nettsider er del av et internasjonalt prosjekt i regi av Global Privacy Enforcement Network (GPEN) som er en sammenslutning av personvernmyndigheter i ulike land.

Resultatene fra det norske sveipet er vesentlig dårligere enn sveipet i de andre landene. Snittet fra det internasjonale sveipet viser at bare 2 av 10 nettsider mangler personvernerklæring. Det betyr at norske nettbrukere stiller svakere enn mange andre når det kommer til å ha kontroll over hvordan egne personopplysninger blir brukt.

- Folk har rett til å vite hvilke opplysningene en virksomhet bruker om dem. En forutsetning for at de kan benytte seg av innsynsretten er at virksomheten forteller hva de bruker opplysningene til. Alle behandlinger som en virksomhet gjør bør komme tydelig frem i en personvernerklæring på nettsidene, sier Thon.

Store mangler i innhold

Resultatene viser at en høy andel av nettsidene i det norske sveipet har mangler knyttet til tilgjengelighet, lesbarhet og innhold. Hele 91 prosent av nettsidene i det norske sveipet fikk såkalte ”bekymringspoeng”, mens i det internasjonale sveipet var denne andelen på 50 prosent.

Mange av nettsidene i det norske sveipet har mangelfull informasjon om hva som er formålet med innsamling og bruk av personopplysninger, hvilket lands personvernregler som gjelder for virksomheten og hvilke rettigheter folk har. Manglende åpenhet om dette bryter med viktige personvernprinsipper.

- Personopplysninger er etter hvert blitt handelsvare, og i mange sammenhenger utleveres opplysningene til tredjeparter for videre behandling. Folk flest bruker tjenester og nettsider på tvers av landegrensene, og det er i mange sammenhenger umulig for dem å orientere seg om hvilke rettigheter som gjelder på hvilke nettsider, påpeker Thon.

Etterlyser mer åpenhet

Datatilsynet har sett på nettsidene som er mest brukt av innbyggerne i Norge, samt et utvalg av nettsidene til de største norske virksomhetene. Det norske sveipet inkluderte både norske og internasjonale nettsider. 67 prosent av nettsidene som Datatilsynet sveipet hadde .no-adresse og det er en tendens til at disse kom dårligere ut sammenlignet med nettsider med andre domener. 54 prosent av nettsidene med .no-adresse hadde personvernerklæring, mot 74 prosent av de med et andre domener. Dette kan bety at norske virksomheter har et forbedringspotensial.

- Datatilsynet etterlyser mer åpenhet fra norske virksomheter. Ikke bare for å tilfredsstille lovkrav, men også fordi folk blir mer og mer opptatt av at deres eget personvern ivaretas på en god måte. Åpenhet om behandling av personopplysninger vil bli et konkurransefortrinn for en virksomhet, sier Thon.

Datatilsynet har publisert en rapport som oppsummerer og analyserer resultatene fra sveipet, samt en sjekkliste for hva som bør være med i en personvernerklæring.

Fakta om Datatilsynets sveip av norske og utenlandske nettsider:

  • Datatilsynet har sveipet 222 norske og utenlandske nettsider. Dette er nettsider som er mye brukt i Norge, og representerer de største norske virksomhetene.
  • 4 av 10 av nettsidene i sveipet mangler personvernerklæring.
  • Sektoren som inkluderer virksomheter innenfor bank, finans og forsikring kommer best ut. I denne kategorien hadde 83 prosent av nettsidene personvernerklæring.
  • Industrisektoren som inkluderer virksomheter innenfor energi, ressursutvinning, bygg og anlegg, kommer dårligst ut. 42 prosent manglet personvernerklæring.
  • 91 prosent av nettstedene som Datatilsynet sjekket, fikk bekymringspoeng. Det ble gitt bekymringspoeng dersom nettsiden ikke hadde personvernerklæring, hvis den var vanskelig tilgjengelig eller manglet viktig innhold.
  • Kun 53 prosent av personvernerklæringene Datatilsynet fant hadde informasjon om hvem som var ansvarlig for å behandle personopplysningene i virksomheten og hva formålet med behandlingen var.
  • 50 prosent av personvernerklæringene hadde informasjon om den registrertes rett til innsyn i egne opplysninger.