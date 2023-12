«Trenger du noen å snakke med?»

Kirkens SOS er en hjelpetjeneste for folk i livskrise.

Du kan ringe, sende melding eller chatte med en frivillig hvis du føler behov for å snakke med noen. Uten å måtte fortelle hvem du er.

Men tjenesten var ikke så anonym som den ga inntrykk av.

Kirkens SOS har nemlig delt både hvem du er og sensitiv informasjon med Facebook.

Etter NRK tok kontakt, stanset hjelpeorganisasjonen delingen.

– Det skulle ikke ha skjedd, og det er vi lei oss for, sier generalsekretær Lasse Heimdal i Kirkens SOS.

– Personvern er noe vi jobber med hele tiden, men at dette hullet fantes, var nytt for meg.

TAR GREP: Kirkens SOS skal ta flere grep etter at de ble gjort kjent med NRKs undersøkelser, forteller generalsekretær Lasse Heimdal. Foto: Martin Gundersen / NRK

Nå vil han på bakgrunn av NRKs undersøkelser invitere over 30 ideelle organisasjoner til å drøfte bruken av sporingsteknologi fra Facebook.

Kirkens SOS har også bedt et eksternt selskap undersøke nettsiden deres.

– Dette er en viktig tjeneste, derfor er det viktig for oss å opprettholde trygghet og tillit på den for våre brukere, sier Heimdal.

Delte e-postadressen med Facebook

Den døgnåpne krisetjenesten hjelper folk i nød over telefon, chat og meldinger.

Når man oppretter en bruker på «SOS Melding» er det frivillig å oppgi en e-postadresse. Det gjør det blant annet mulig å få tilsendt et nytt passord og brukernavn dersom brukeren skulle glemme dem.

NRKs analyser viste at dersom brukeren fylte inn en e-postadresse ble den delt med Facebook.

Her kan du selv se hvilke type data Kirkens SOS har delt om sine brukere:

NRK sendte også en melding «test – ikke les» for å se hva som skjedde.

Resultatet var at Kirkens SOS delte at vi hadde trykket «send» med Facebook og at dette var tilknyttet et nettskjema med tittel «SOS meldinger».

Det vil si at Kirkens SOS ga Facebook beskjed hver gang en bruker sendte en melding. Facebook fikk ikke vite innholdet i meldingene.

NRKs analyser viser også at deling med Facebook skjedde selv om brukeren svarte «ikke tillat» informasjonskapsler. Kirkens SOS opplyser om at dette skyldes en feil hos underleverandøren da nettsiden ble satt opp.

Generalsekretær Lasse Heimdal sier Kirkens SOS tar datadelingen på høyeste alvor.

– For oss så er alt som handler om tillit, trygghet og anonymitet alltid alvorlig.

BRØT LØFTE: Når en bruker første gang landet på nettsiden til Kirkens SOS vil de få opp en samtykkeboks om bruk av informasjonskapsler. Her skriver hjelpetjenesten at de «bruker informasjonskapsler for å innhente anonymisert informasjon» og at å tillate disse ikke vil gå «utover din anonymitet». NRKs analyser viser at nettsiden deler data med Facebook uavhengig av hva brukeren svarer på samtykkeboksen. Foto: Martin Gundersen / NRK

Ville nå frivillige

Delingen har skjedd gjennom sporingsteknologien Facebook Pixel. Kirkens SOS har brukt dette i håp om å bli synligere for frivillige på Facebook, forklarer Heimdal.

– Vi er avhengige av å nå mange mennesker gjennom sosiale medier. Først og fremst fordi vi trenger å rekruttere mange frivillige, sier han.

I noen tilfeller delte Kirkens SOS med Facebook hvilke sider brukeren var inne på. For eksempel at brukeren var på en informasjonsside om selvmordsforebygging.

ENDRING: Heimdal håper NRKs undersøkelse fører til en bevisstgjøring blant alle hjelpetjenester om bruk av sporingsteknologi og hva det kan føre til. Foto: Martin Gundersen

Heimdal understreker at «SOS meldinger» var en av deres mindre brukte tjenester og at de har vurdert å fase den ut.

Hjelpetjenesten står for omtrent 3 prosent av de totale henvendelsene Kirkens SOS svarer på. Det er derfor et begrenset antall e-postadresser som har blitt delt.

Teknologisjef i Bouvet, Simen Sommerfeldt, mener nettsiden ikke burde delt disse dataene. Samtidig er det viktig for ham å få frem:

– Folk må ikke slutte å bruke dem. Og at det blir satt fokus på personvernet, gir jo også grunn til å tro at tjenestene blir bedre.

Datatilsynet: – Grovt

Seksjonsleder Tobias Judin i Datatilsynet reagerer når han ser resultatene av NRKs analyser.

– Det er både overraskende og svært skuffende. Det som kommer fram her, er rett og slett ganske dramatisk. Dette er tjenester man stoler på, og som man snakker med i konfidensialitet. At de deler disse datene, det er grovt, sier Judin.

SKRUDDE AV: Datadelingen ble skrudd av etter at NRK tok kontakt med Kirkens SOS. Foto: Frode Fjerdingstad / NRK

Tidligere i år oppfordret tilsynet å gjennomgå bruken av sporingsteknologi på nettsider. Ifølge tilsynets egen veileder bør noen nettsider «unngår sporings- og analyseverktøy som behandler personopplysninger» fordi det skal lite til å bryte loven.

Judin mener det er vanskelig å se for seg at datadelingen NRK har beskrevet, er lovlig.

– I utgangspunktet er dette data som ikke skal deles, sier Judin.

Delte at brukeren booket tid for hivtest

NRK har kartlagt hvilken informasjon en rekke hjelpetjenester deler med Facebook. Tre av åtte nettsider delte detaljert informasjon om deres brukere med Facebook, ifølge NRKs analyser.

Slik har vi jobbet Ekspander/minimer faktaboks NRK har undersøkt hva som skjer når en bruker besøker en nettside. Det har vi gjort ved å analysere nettrafikken fra nettleseren.

Åtte hjelpetjenester har blitt kartlagt: detfinneshjelp.no; ungerelasjoner.no; ung.no; amathea.no; helseutvalget.no; mentalhelse.no; hivtest.no; og kirkens-sos.no.

Kun kirkens-sos.no, ungerelasjoner.no, og helseutvalget.no brukte sporingsteknologi fra Meta.

Det er viktig å understreke at NRKs undersøkelser ikke viste at hjelpetjenestene delte hva du skriver til dem.

viste at hjelpetjenestene delte du skriver til dem. NRK har tidligere omtalt at nettapoteket Farmasiet delte hvilke produkter brukerne så på og la i handlekurven.

En av dem er Helseutvalget. Hjelpetilbudet ble stiftet i 1983 som et svar på hiv-epidemien.

NRKs analyser viste at Helseutvalget delte med Facebook at en brukeren trykket «book tid» hos deres psykologtjeneste og deres testtilbud for hiv kalt Sjekkpunkt. Sjekkpunkt er et drop in-tilbud hvor en anonymt kan hurtigteste seg for kjønnssykdommene hiv og syfilis.

Her kan du se mer om hva som ble delt:

Ikke hatt nok kunnskap

– Vi har ikke hatt all den kunnskapen vi hadde trengt for å vurdere hvilke spor som legges igjen hos Facebook, sier daglig leder Rolf Martin Angeltvedt i Helseutvalget.

Angeltvedt forteller at de nå har stoppet delingen med Facebook. Det samme gjorde hjelpetjenesten Unge relasjoner.

– Vi tar personvern veldig alvorlig, og vi forstår at det kan oppfattes som utrygt å dele informasjon til Metas Facebook, skriver Astrid Dyson i design- og innholdsbyrået Vild.

Nettsiden delte informasjon om hvilke handlinger brukeren gjorde på landingssiden, men ingenting om hva de skrev eller gjorde i chattetjenesten ble delt.

ØKENDE ETTERSPØRSEL: I fjor besvarte Kirkens SOS 168.000 henvendelser fra nordmenn rundt om i landet. Kirkens SOS rapporterer om at behovet for noen å snakke med, er økende. Derfor er det viktig at ingen kvier seg for å ta kontakt, påpeker Heimdal. Foto: Frode Fjerdingstad / NRK

Uenig om hvem som har skylda

Meta, selskapet som eier Facebook og Instagram, mener nettsidene har ansvaret.

– Vi har vært tydelige i våre retningslinjer at markedsførere ikke skal sende oss sensitiv informasjon om folk gjennom våre bedriftsverktøy, sier talsperson Emil Vazquez i Meta i en skriftlig uttalelse.

– Å sende slik informasjon er ikke lov etter våre retningslinjer og vi veileder markedsførere til å sette opp bedriftsverktøyene på en skikkelig måte for å unngå at dette skjer, utdyper Vazquez.

Vazquez opplyser også at de har et system som er designet for å oppdage og filtrere ut potensielt sensitiv informasjon.

Meta har ikke besvart NRKs spørsmål om hvor gode de er på å oppdage og slette sensitive data.

Selskapet har heller ikke svart på hva de vil gjøre med data de har mottatt fra Kirkens SOS, Unge relasjoner, og Helseutvalget.

VIRKER UFARLIG: Simen Sommerfeldt i Bouvet mener Meta må ta mer ansvar for å forklare ulike tjenester hvordan de skal forholde seg til datadeling. Foto: Bouvet

Teknologisjef i Bouvet, Simen Sommerfeldt, mener at Meta ikke kan skylde på andre. Han mener at selskapet gjør det for enkelt å bruke deres sporingsteknologi og at selskapet kunne gjort mer for å lære opp nettsidene.

– Det er noe som virker ufarlig, sier Sommerfeldt, som også stedfortreder i Personvernnemnda og har skrevet bok om personvern.

– Det er ikke nødvendigvis sikkert at de skjønner helt hva de gjør. Og det er det som er det farlige her.

Meta opplyser i sine vilkår til bedrifter at de kan bruke informasjonen til egne formål som å «tilpasse funksjoner og innhold (inkludert annonser og anbefalinger)». Samtidig er det viktig å understreke – selskapet selger ikke informasjonen de får tilgang til.

Vurderer å opprette sak

SER PÅ SAKEN: Datatilsynet vurderer for tiden hva de skal gjøre med at flere helsetjenester har delt data med Facebook, opplyser seksjonssjef Tobias Judin. Foto: Martin Gundersen / NRK

– Jeg tenker at dette er veldig alvorlig. Her har vi å gjøre med sensitive personopplysninger, opplysninger om helse, opplysninger om seksuell orientering – noen av de mest private opplysningene vi har. Det er veldig bekymringsverdig at de deles på denne måten, sier Judin i Datatilsynet.

– Kommer Datatilsynet til å opprette en sak?

– Vi får se. Akkurat nå har vi en del diskusjoner internt om hvordan vi skal følge opp dette. De eksemplene som NRK har avdekket, er ekstra grelle og bekymringsverdige. Vi diskuterer nå hvordan vi best kan gjøre noe med dette, fordi dette er utrolig alvorlig.