Lovet anonym meldingstjeneste – delte med Facebook at du tok kontakt

«Trenger du noen å snakke med?»

Kirkens SOS er en hjelpetjeneste for folk i livskrise.

Du kan ringe, sende melding eller chatte med en frivillig hvis du føler behov for å snakke med noen. Uten å måtte fortelle hvem du er.

Men tjenesten var ikke så anonym som den ga inntrykk av.

Kirkens SOS har nemlig delt både hvem du er og sensitiv informasjon med Facebook. Hjelpeorganisasjonen har ikke delt innholdet i samtaler.

Etter NRK tok kontakt, stanset hjelpeorganisasjonen delingen.

– Det skulle ikke ha skjedd, og det er vi lei oss for, sier generalsekretær Lasse Heimdal i Kirkens SOS.

– Personvern er noe vi jobber med hele tiden, men at dette hullet fantes, var nytt for meg.

Nå vil han på bakgrunn av NRKs undersøkelser invitere over 30 ideelle organisasjoner til å drøfte bruken av sporingsteknologi fra Facebook.

Kirkens SOS har også bedt et eksternt selskap undersøke nettsiden deres.

– Dette er en viktig tjeneste, derfor er det viktig for oss å opprettholde trygghet og tillit på den for våre brukere, sier Heimdal.

Delte e-postadressen med Facebook

Den døgnåpne krisetjenesten hjelper folk i nød over telefon, chat og meldinger.

Når man oppretter en bruker på «SOS Melding» er det frivillig å oppgi en e-postadresse. Det gjør det blant annet mulig å få tilsendt et nytt passord og brukernavn dersom brukeren skulle glemme dem.

NRKs analyser viste at dersom brukeren fylte inn en e-postadresse ble den delt med Facebook.

Her kan du selv se hvilke type data Kirkens SOS har delt om sine brukere:

NRK sendte også en melding «test – ikke les» for å se hva som skjedde.

Resultatet var at Kirkens SOS delte at vi hadde trykket «send» med Facebook og at dette var tilknyttet et nettskjema med tittel «SOS meldinger».

Det vil si at Kirkens SOS ga Facebook beskjed hver gang en bruker sendte en melding. Facebook fikk ikke vite innholdet i meldingene.

Heimdal understreker at «SOS meldinger» var en av deres mindre brukte tjenester og at de har vurdert å fase den ut.

Hjelpetjenesten står for omtrent 3 prosent av de totale henvendelsene Kirkens SOS svarer på. Det er derfor et begrenset antall e-postadresser som har blitt delt.

Hjelpetjenesten har ikke delt med Facebook at folk ringer dem eller innholdet i telefonsamtalene. Det er heller ikke delt hva brukerne skriver i chattetjenesten.

NRKs analyser viser også at deling med Facebook skjedde selv om brukeren svarte «ikke tillat» informasjonskapsler. Kirkens SOS opplyser om at dette skyldes en feil hos underleverandøren da nettsiden ble satt opp.

Generalsekretær Lasse Heimdal sier Kirkens SOS tar datadelingen på høyeste alvor.

– For oss så er alt som handler om tillit, trygghet og anonymitet alltid alvorlig.

Heimdal forteller til NRK at de har forsøkt å be om samtykke i beste mening.

– Vi har vært av overbevisning om at vi ikke har lurt noen, sier Heimdal.

Ville nå frivillige

Delingen har skjedd gjennom sporingsteknologien Facebook Pixel. Kirkens SOS har brukt dette i håp om å bli synligere for frivillige på Facebook, forklarer Heimdal.

– Vi er avhengige av å nå mange mennesker gjennom sosiale medier. Først og fremst fordi vi trenger å rekruttere mange frivillige, sier han.

I noen tilfeller delte Kirkens SOS med Facebook hvilke sider brukeren var inne på. For eksempel at brukeren var på en informasjonsside om selvmordsforebygging.

Teknologisjef i Bouvet, Simen Sommerfeldt, mener nettsiden ikke burde delt disse dataene. Samtidig er det viktig for ham å få frem:

– Folk må ikke slutte å bruke dem. Og at det blir satt fokus på personvernet, gir jo også grunn til å tro at tjenestene blir bedre.

Datatilsynet: – Grovt

Seksjonsleder Tobias Judin i Datatilsynet reagerer når han ser resultatene av NRKs analyser.

– Det er både overraskende og svært skuffende. Det som kommer fram her, er rett og slett ganske dramatisk. Dette er tjenester man stoler på, og som man snakker med i konfidensialitet. At de deler disse datene, det er grovt, sier Judin.

Tidligere i år oppfordret tilsynet å gjennomgå bruken av sporingsteknologi på nettsider. Ifølge tilsynets egen veileder bør noen nettsider «unngår sporings- og analyseverktøy som behandler personopplysninger» fordi det skal lite til å bryte loven.

Judin mener det er vanskelig å se for seg at datadelingen NRK har beskrevet, er lovlig.

– I utgangspunktet er dette data som ikke skal deles, sier Judin.

Delte at brukeren booket tid for hivtest

NRK har kartlagt hvilken informasjon en rekke hjelpetjenester deler med Facebook. Tre av åtte nettsider delte detaljert informasjon om deres brukere med Facebook, ifølge NRKs analyser.

En av dem er Helseutvalget. Hjelpetilbudet ble stiftet i 1983 som et svar på hiv-epidemien.

NRKs analyser viste at Helseutvalget delte med Facebook at en brukeren trykket «book tid» hos deres psykologtjeneste og deres testtilbud for hiv kalt Sjekkpunkt. Sjekkpunkt er et drop in-tilbud hvor en anonymt kan hurtigteste seg for kjønnssykdommene hiv og syfilis.

Her kan du se mer om hva som ble delt:

Ikke hatt nok kunnskap

– Vi har ikke hatt all den kunnskapen vi hadde trengt for å vurdere hvilke spor som legges igjen hos Facebook, sier daglig leder Rolf Martin Angeltvedt i Helseutvalget.

Angeltvedt forteller at de nå har stoppet delingen med Facebook. Det samme gjorde hjelpetjenesten Unge relasjoner.

– Vi tar personvern veldig alvorlig, og vi forstår at det kan oppfattes som utrygt å dele informasjon til Metas Facebook, skriver Astrid Dyson i design- og innholdsbyrået Vild.

Nettsiden delte informasjon om hvilke handlinger brukeren gjorde på landingssiden, men ingenting om hva de skrev eller gjorde i chattetjenesten ble delt.

Uenig om hvem som har skylda

Meta, selskapet som eier Facebook og Instagram, mener nettsidene har ansvaret.

– Vi har vært tydelige i våre retningslinjer at markedsførere ikke skal sende oss sensitiv informasjon om folk gjennom våre bedriftsverktøy, sier talsperson Emil Vazquez i Meta i en skriftlig uttalelse.

– Å sende slik informasjon er ikke lov etter våre retningslinjer og vi veileder markedsførere til å sette opp bedriftsverktøyene på en skikkelig måte for å unngå at dette skjer, utdyper Vazquez.

Vazquez opplyser også at de har et system som er designet for å oppdage og filtrere ut potensielt sensitiv informasjon.

Meta har ikke besvart NRKs spørsmål om hvor gode de er på å oppdage og slette sensitive data.

Selskapet har heller ikke svart på hva de vil gjøre med data de har mottatt fra Kirkens SOS, Unge relasjoner, og Helseutvalget.

Teknologisjef i Bouvet, Simen Sommerfeldt, mener at Meta ikke kan skylde på andre. Han mener at selskapet gjør det for enkelt å bruke deres sporingsteknologi og at selskapet kunne gjort mer for å lære opp nettsidene.

– Det er noe som virker ufarlig, sier Sommerfeldt, som også stedfortreder i Personvernnemnda og har skrevet bok om personvern.

– Det er ikke nødvendigvis sikkert at de skjønner helt hva de gjør. Og det er det som er det farlige her.

Meta opplyser i sine vilkår til bedrifter at de kan bruke informasjonen til egne formål som å «tilpasse funksjoner og innhold (inkludert annonser og anbefalinger)». Samtidig er det viktig å understreke – selskapet selger ikke informasjonen de får tilgang til.

Vurderer å opprette sak

– Jeg tenker at dette er veldig alvorlig. Her har vi å gjøre med sensitive personopplysninger, opplysninger om helse, opplysninger om seksuell orientering – noen av de mest private opplysningene vi har. Det er veldig bekymringsverdig at de deles på denne måten, sier Judin i Datatilsynet.

– Kommer Datatilsynet til å opprette en sak?

– Vi får se. Akkurat nå har vi en del diskusjoner internt om hvordan vi skal følge opp dette. De eksemplene som NRK har avdekket, er ekstra grelle og bekymringsverdige. Vi diskuterer nå hvordan vi best kan gjøre noe med dette, fordi dette er utrolig alvorlig.

Endringslogg: NRK har gjort endringer for å tydeliggjøre at innholdet i samtaler fra Kirkens SOS ikke er blitt delt og at Kirkens SOS har forsøkt å be om et samtykke i beste mening . Oppdatert: 15. desember klokken 10:25