Hjelpetjeneste for sårbare barn brøt loven

– De har sporingsverktøy som sender data videre til Meta og Snapchat. Det betyr at da får disse selskapene vite hvilke barn som har vært inne og lest, sier Tobias Judin.

Han er seksjonssjef i Datatilsynet og forteller at tilsynet har avdekket at alarmtelefonen «116 111» har brutt brukernes personvern på en rekke punkter.

De har ført tilsyn mot seks ulike nettsteder som brukersporingsverktøy de har.

Brukerne av alarmtelefonen ble lovet at de var anonyme da de tok kontakt.

– Her er det snakk om en nettside som har sagt at man kan få hjelp anonymt, og så viser det seg at dette ikke har vært anonymt i det hele tatt, sier Judin.

NRK har i en rekke saker avslørt at ulike hjelpetjenester har delt sensitiv informasjon om brukerne sine med Facebook.

Barn som er utsatt for vold

Alarmtelefonen «116 111» er en hjelpetjeneste for barn og unge som er utsatt for vold eller overgrep.

Hjelpetjenesten er rettet mot barn mellom 7 og 18 år, og er drevet en Kristiansand kommune. De tilbyr en døgnåpen telefon for samtaler og chattetjenester for barn, som har det vanskelig.

Datatilsynet har konkludert med at de har delt personopplysninger ulovlig uten et gyldig samtykke. Og at de heller ikke har informert brukerne om at personopplysningene deres ble delt videre.

– Begge deler er et brudd på personvernreglene. Vi synes det er veldig alvorlig.

– Når man besøker den type nettside, så har man en forventning om at det er privat og anonymt. Vi er særlig bekymra når det er snakk om barn, for de er mer sårbare. Og vi har alle sammen et ansvar for å beskytte deres personvern, sier Judin.

Kristiansand kommune har fått en bot på 250.000 kroner.

Gransket seks tjenester

Tilsynet mener også at det medisinske nettstedet NHI.no har brutt personvernreglene. De tilbyr informasjon og nyheter innenfor helsefeltet.

På deres nettside kan du finne informasjon om en rekke sykdommer, symptomer på sykdommer og ulike helsetilstander.

Datatilsynet hevder at de delte videre med Meta hvem som har vært inne på nettsiden og hvilke artikler på nettsiden de har lest.

Meta eier plattformene Facebook og Instagram.

– Vi mener at dette er sensitivt, for da kan man potensielt utlede hva slags symptomer eller diagnoser vedkommende kanskje har, sier Judin.

Ifølge Judin er det en fare for at informasjonen kan bli brukt til å profilere brukere.

Tilsynet konkluderte med at det er særlige kategorier personopplysninger som ble delt ulovlig uten gyldig samtykke. Det betyr at tilsynet mener at NHI brøt loven.

– Vi har registrert Datatilsynets vurderinger og har forståelse for deres synspunkter, men er uenig i enkelte av de vurderingene som legges til grunn for hva som utgjør behandling av såkalte særlige kategorier av personopplysninger, sier produktsjef Jørgen Kvam for NHI.

Nettstedet NHI benyttes i stor grad av helsepersonell som søker opp informasjon i faglig sammenheng, forteller Kvam.

– Noe som ville gjort det utfordrende å utlede noe om enkeltpersoners helseforhold ut fra bruken alene, sier han.

– Til tross for at vi er uenige i at nettsidebesøk i seg selv er å anse som helseopplysninger, tar vi Datatilsynets vedtak til etterretning.

Den aktuelle sporingsmekanismen ble midlertidig deaktivert i perioden april 2024 til oktober 2024, opplyser Kvam.

I februar i år fjernet NHI sporingsverktøyet permanent.

– NHI jobber kontinuerlig med å sikre at den teknologien vi til enhver tid benytter er i tråd med gjeldende personvernregler og ivaretar personvernet til våre besøkende.

Siden de ikke lenger bruker sporingsverktøyet fra Meta, har de ikke fått pålegg fra Datatilsynet om å gjøre endringer, forklarer Judin.

Stengte ned alarmsentralen

Kristiansand kommune stengte ned alarmtelefonen da de fikk vite at informasjonen, som de ikke hadde samtykke til å dele, ble delt videre med tredjeparter, opplyser Jon Wergeland.

Han er kommunalsjef for barn og familie i Kristiansand, og forteller at kommunen er opptatt av at de skal levere tjenester som er til å stole på.

– Vi sikret at vi fjerna alle sporingspikslene. Vi var helt trygge på at vi ikke delte informasjon før vi gjenåpnet nettsiden på nytt igjen, sier Wergeland.

Han erkjenner at kommunen ikke har vært godt nok opplyst til at de klarte å unngå å bryte loven.

– Personvernforordningen er viktig for oss, og vi er opptatt av at den ikke skal brytes.

– Hvor alvorlig synes du det er selv, at dere har delt den informasjon om at noen har oppsøkt nettsiden deres med Snapchat og Meta?

– Jeg må si at jeg synes det er veldig alvorlig, og at vi har tatt tak i det så fort vi er blitt kjent med at dette var et problem.

– Det er ikke aktivt delt med Snapchat og Meta, men det er rett og slett teknologi som er inkorporert eller bakt inn i pikslene som gjør at vi har delt uten vår viten, sier Wergeland.

Kristiansand Kommune har tre uker på å bestemme seg om de vil klage på Datatilsynets vedtak. Wergeland opplyser til NRK de vurderer å benytte klagemuligheten.

Gransket etter avsløringer

NRK har i en rekke saker avdekket at helsetjenester delte sensitiv informasjon om brukerne sine med Facebook og andre selskaper.

Et nettapotek delte med Facebook at kundene så på klamydiatester. Og tre hjelpetjenester delte informasjon om hva brukerne gjorde på deres nettsider.

Organisasjonene slo av den omtalte sporingsteknologien etter NRKs henvendelser.

Basert på NRKs funn varslet Datatilsynet at de ville granske flere nettsiders datadeling. De skulle undersøke nettsiders bruk av sporingsteknologi som Meta Pixel.

Slike verktøy brukes ofte av nettsider for å forbedre sin digitale markedsføring.

– Vi har valgt på bakgrunn av de avsløringene som NRK har gjort å følge opp disse sakene nærmere. Det gjør vi ved å gå på tilsyn, sa direktør i Datatilsynet, Line Coll til NRK den gang.