Et av Norges største nettapotek har delt informasjon om hva du kikker på, legger i handlekurven, og skal kjøpe med Facebook.
Det viser en analyse NRK har gjort av Farmasiets nettside.
– Rett og slett veldig ekkelt, sier fagdirektør Finn Myrstad i Forbrukerrådet.
For når en bruker titter på et produkt, si en klamydiatest, så sendes detaljert informasjon som pris og produktnavn til Facebook.
I mange tilfeller vil teknologikjempen også vite hvem brukeren er.
– Jeg tror ingen ville likt om de var på på apoteket, og masse mennesker stod og kikket dem over skuldrene, sier Myrstad.
– Det er i praksis det som skjer når Farmasiet sender så sensitiv helseinformasjon til blant annet Facebook.
Når denne informasjonen forlater Farmasiet og blir delt med Facebook, vet du ikke hvordan den kan brukes mot deg i fremtiden, påpeker fagdirektøren.
– Skandale på skandale har jo vist at Facebook selv ikke har kontroll på disse dataene, sier Myrstad.
Her kan du selv hvilke type data Farmasiet har delt om sine kunder:
Graviditetstest legges i handlekruv
cd[content_name] – Clearblue Graviditestest Tidlig Deteksjon, 1 stk
cd[content_category] – Selvtester
cd[value] – 119
cd[currency] – NOK
cd[content_type] – product
ev – AddToCart
id – 1960657090882762
Ser på klamydiatest
cd[content_name] – Dynamic Code Klamydia kvinne, 1 stk
cd[content_category] – Selvtester
cd[value] – 348
cd[currency] – NOK
ev – ViewContent
dl – https://www.farmasiet.no/catalog/hjelpemidler-og-utstyr/selvtester/dynamic-code-klamydia-kvinne,5033309
ts – 1699966505776
Ser på viagra-tabletter
cd[content_name] – Viagra Reseptfri® 50 mg tabletter, 8 stk.
cd[content_category] – Mannens underliv
cd[value] – 689
cd[currency] – NOK
ev – ViewContent
dl – https://www.farmasiet.no/catalog/intim-og-underliv/mannens-underliv/viagra-reseptfri-tab-50mg-8,5009375?searchQuery=ereksjons
Nødprevensjon legges i handlekurven
cd[content_name] – Norlevo Tablett 1,5mg, 1 stk.
cd[content_category] – Prevensjon og nødprevensjon
cd[value] – 200
cd[currency] – NOK
cd[content_type] – product
ev – AddToCart
ts – 1699966551249
Ser på selvtest for sædkvalitet
cd[content_name] – SwimCount Sædkvalitetstest, 1 stk
cd[content_type] – product
cd[contents] – [{"id":"891456"}]
cd[value] – 419
cd[currency] – NOK
ev – ViewContent
ts – 1699966447506
fbp – fb.1.1698148282641.1181035640
Kjøper tre reseptbelagte legemidler
cd[contents] – [{"id":"c7e3e5b8-FJERNET AV NRK","quantity":1},{"id":"fdb350de-FJERNET AV NRK","quantity":1},{"id":"86e5c831-FJERNET AV NRK","quantity":1}]
cd[content_type] – product
cd[value] – 238.3
cd[currency] – NOK
cd[num_items] – 3
ev – InitiateCheckout
dl – https://www.farmasiet.no/checkout
Hva betyr feltene?
id – Facebooks ID for nettsiden
fpb – Facebooks ID på brukeren
ts – Dato og tidspunkt for hendelsen
ev – Typen hendelse Facebook informeres om
cd[content_name] – Hva produktet heter
dl – Nettadressen brukeren er på
NB! NRK har kun lagt ved utvalgte felter for alle eksempler
Kan være ulovlig
– Jeg har problemer med å se at dette er lovlig, sier Naomi Lintvedt om datadelingen.
Lintvedt er stipendiat ved UiOs senter for rettsinformatikk og tidligere personvernombud for Skatteetaten.
NRKs analyser viser at Farmasiet ikke har delt med Facebook hvilke reseptbelagte legemidler en kunde har sett på eller lagt i handlekurven.
Men nettapoteket har likevel delt informasjon om at brukere ser på flere typer intime og reseptfrie produkter, som klamydiatester, Viagra og nødprevensjon.
Lindtvedt mener derfor at også dette telles som helseopplysninger, selv om de ikke er reseptbelagte.
FORVENTER DISKRESJON: – Når man går til et apotek, enten om det er fysisk eller på nett, så forventer man diskresjon og konfidensialitetm sier Naomi Lintvedt.
Foto: Martin Gundersen / NRK– Uansett om det er en klamydiatest eller noe mer vanlig som en pakke med Paracet, så er det snakk om legemidler. De sier noe om min helsetilstand og helseopplysninger er særlig vernede personopplysninger fordi de er så intime og så personlige.
Deling av denne typen informasjon er også alvorlig fordi ansatte i apotek faktisk har taushetsplikt, påpeker Lintvedt.
Personopplysningsloven krever at brukeren gir et «uttrykkelig samtykke» dersom det er snakk om deling av helseopplysninger.
Lintvedt mener at samtykket Farmasiet har innhentet, ikke er godt nok for å dele helseopplysninger.
SAMTYKKEBOKS: Dersom du trykker «Tillat alle cookies» vil Farmasiet ha mulighet til å sende data til selskaper som Facebook.
Grafikk: Martin Gundersen / NRK– Her er det ikke gitt god nok informasjon og det er ikke bedt om et faktisk samtykke. De setter opp som standard at du sier ja til all sporing og deling, gjerne med liten skrift, som gjør det vanskelig å se hvilke opplysninger som faktisk blir delt.
Fjernet sporing
Samme dag som NRK tok kontakt, valgte Farmasiet å fjerne sporingsteknologi fra Facebook, Pinterest, TikTok, og Snapchat.
Ifølge NRKs analyser fikk også Pinterest detaljert informasjon om brukerens atferd, mens TikTok og Snapchat kun fikk vite at brukeren besøkte selve nettsiden.
– Jeg forstår at kundene setter høyere krav til oss som et apotek enn det de har gjort til andre aktører, sier markedsføringssjef Hanne Kjærnes i Farmasiet.
TAR SELVKRITIKK: – Jeg forstår at kundene nok ikke opplever at dette etterlever behovet de har for diskresjon, sier kommunikasjonssjef Hanne Kjærnes.
Foto: Martin Gundersen / NRKKjærnes er nøye med å understreke at Farmasiet har loven på sin side fordi de ikke har delt informasjon om reseptbelagte produkter med Facebook eller andre tredjeparter.
Derfor kan informasjonen som er delt, heller ikke defineres som helseopplysninger, mener hun.
– Det er viktig å påpeke er at dette ikke har handlet om deling av helseopplysninger i lovens forstand. Delingen har vært knyttet til produkter som sjampo, hudkrem og andre reseptfrie legemidler. Så det har aldri vært noe deling av det som er reseptbelagte medisiner i det hele tatt, sier Kjærnes.
– Men dere har jo også delt informasjon om intime produkter som Viagra, Vaginal Mousse og klamydiatester. Mener du at dette ikke er helseopplysninger?
– Vurderingene fra våre advokater er at samtykkene som er hentet inn, har vært lovlige. Men uansett hva jussen sier, så skjønner vi at mange kan reagere på opplysningene som har blitt delt. Alt du kjøper på et apotek handler om helse. Derfor kommer vi til å gjøre endringer i praksisen vår fremover.
FYSISK TILSTEDE: Her, i et digert lagerbygg i Vestby, pakker Farmasiet-ansatte produktene, før de sendes i posten til kunder landet over.
Foto: Martin GundersenReagerte ikke tidligere
I vår opplyste nettapoteket til Shifter at de ville se nærmere på bruken av Facebooks sporingsteknologi. Det kom etter at Sveriges Radio omtalte at over 100 nettapotek delte kundenes kjøp med selskapet.
Likevel gjorde Farmasiet ingen endringer før NRK tok kontakt i november.
– Vi har fulgt bransjestandarder. Vi var klare over at dataen ble delt på denne måten fordi da vi satte det opp fulgte vi bransjestandarder, sier Kjærnes.
– Dere har visst om dette i syv måneder. Hvorfor gjør dere ikke endringer før nå?
– Meta er en plattform vi bruker mindre og mindre, og derfor burde vi bare ha gjort det vi har gjort nå, og det er å skru av delingen med Meta, sier Kjærnes.
PINNED: Også Pinterest fikk detaljert informasjon om brukere fra Farmasiet.
Foto: Skjermdump / PinterestSelv om Farmasiet slo av datadelingen med flere sosiale medier, vil de likevel fortsette å dele hvilke produkter kundene legger i handlekurven med Google.
– Det er stor forskjell på aktørene vi deler data med. Når vi samarbeider med Google så er det allerede satt veldig strenge retningslinjer for data som deles når du er et apotek. Det gjør at vi forholder oss til ganske andre retningslinjer, sier Kjærnes.
Farmasiet utelukker likevel ikke at de kan stanse deling til Google eller andre aktører på sikt:
– Vi kommer til å gjøre en vurdering av deling mot alle plattformer.
Meta: Nettsidene har ansvaret
– Vi har vært tydelige i våre retningslinjer at markedsførere ikke skal sende oss sensitiv informasjon om folk gjennom våre bedriftsverktøy, sier talsperson Emil Vazquez i Meta i en skriftlig uttalelse.
– Å sende slik informasjon er ikke lov etter våre retningslinjer og vi veileder markedsførere til å sette opp bedriftsverktøyene på en skikkelig måte for å unngå at dette skjer, utdyper Vazquez.
DELTE DATA: Nettapoteket Farmasiet delte detaljert informasjon om sine brukere med Facebook.
Foto: Martin Gundersen / NRKI retningslinjene oppgir Meta at det er forbudt å sende dem informasjon om «medisiner og kosttilskudd (reseptfrie og reseptbelagte)» og medisinske lidelser.
I retningslinjene opplyser Meta at: «Å dele denne typen informasjon er et brudd på betingelsene for Meta-bedriftsverktøy og kan resultere i handlinger, inkludert, men ikke begrenset til databegrensninger og suspendering av kontoen din.»
Meta har et system for å fange opp og slette informasjon som kan være sensitivt. Men det er ikke kjent for godt systemet fungerer i Norden. I en rapport fra amerikanske tilsynsmyndigheter fra 2021 fremgår det at Metas system kun så etter engelske ord, men at Facebook har indikert at de planlegger å tilrettelegge for andre språk.
Da Sveriges Radio i 2022 opprettet et fiktivt nettapotek fant de ut at Meta hadde lagret informasjon om blant annet reseptbelagte medisiner.
NRK har ikke fått svar på hva Meta gjør for å håndheve sine retningslinjene eller hvor bra systemet for å oppdage sensitiv informasjon fungerer på norsk.
Saken ble oppdatert 12. desember med en uttalelse fra Meta.
Sveip for å se hvordan du endrer innstillingene selv i nettleseren:
1. Trykk på de tre prikkene i øverst høyre hjørne. 2. Trykk så på «innstillinger».
3. Trykk på «Personvern og sikkerhet» i fanen til venstre. Du vi så få flere valgalternativer i hovedmenyen. 4. Velg «Tredjeparts informasjonskapsler».
5. I hovedmenyen velg alternativet «Blokker informasjonskaplser fra tredjeparter».
Slik går du frem for å endre denne innstillingen: