Selskapet Legevisitt driver to legetjenester, Maja og Hans, for nordmenn som vil gjøre konsultasjonen digitalt.
Menn kan «enkelt og trygt få informasjon og behandling mot tilstander som det kan være ubehagelig å ta opp på et fysisk legekontor», skriver selskapet om deres tjeneste kalt Hans.
På siden for å starte en digital konsultasjon om ereksjonssvikt loves kundene en «diskré og trygg tjeneste». Men NRKs analyser viser at Facebook fikk vite at brukeren oppsøkte nettopp denne siden.
Her kan du selv se et utdrag av dataene legetjenestene delte med Facebook:
Delte at kunden var på side om ereksjonssvikt
Legevisitt lovet kunder med ereksjonssvikt en «diskré og trygg tjeneste», men sendte Facebook informasjon om at de var interessert i en digital konsultasjon.
ev – PageView
dl – https://www.hanshelse.no/ereksjonssvikt/ereksjonsmidler
fbp – FJERNET AV NRK
Delte at kunden var på siden «Herpes i underlivet»
ev – PageView
dl – https://www.maja.no/underlivet/herpes-i-underlivet
fbp – FJERNET AV NRK
Delte at kunden startet en konsultasjon om klamydia
Dersom kunden trykket «Prøv klammasjekken nå» ble dette delt:
ev – AddToCart
cd[content_name] – Resept 107
d[value] – 349.00
cd[currency] – NOK
dl – https://bestilling.maja.no/klammasjekken
fbp – FJERNET AV NRK
Delte at kunden besøkte informasjonsside om å holde lenger
Dersom en kunde ville lese mer om å holde lenger, ville besøket bli delt.
ev – PageView
dl – https://www.hanshelse.no/ereksjonssvikt/hvordan-holde-lenger
fbp – FJERNET AV NRK
Delte at brukeren var på side for bakteriell vaginose
ev – PageView
dl – https://www.maja.no/seksualhelse/bakteriell-vaginose
fbp – FJERNET AV NRK
Dette betyr feltene
fpb – Facebooks ID på brukeren
ev – Typen hendelse Facebook informeres om
cd[content_name] – Navn på produkt eller tjeneste
dl – Nettadressen brukeren er på
NB! NRK har kun lagt ved utvalgte felter for alle eksempler
Legevisitt delte også at brukere tok «Klammasjekken» med Facebook.
Klammasjekken er et spørreskjema som gir kunden en anbefaling på om de bør teste seg for kjønnssykdommer. I etterkant av spørreskjemaet kan kunden bestille en hjemmetest til 349 kroner.
NRK har ikke observert at nettsidene sendte informasjon om at kundene startet andre konsultasjoner eller bestilte andre reseptbelagte legemidler.
Legevisitt stanset datadelingen med Facebook etter at NRK tok kontakt.
– I tilfellet NRK refererer til har det hengt igjen sporing fra et tidligere system, som ikke skulle vært i bruk, skriver personvernombud i Legevisitt Lise Ytreland.
– Informasjon om tjenester som bestilles, skal åpenbart ikke deles. Det er nå rettet opp i, og vi ser alvorlig på hendelsen.
Datadelingen skyldes bruken av markedsføringsverktøyet Facebook Pixel.
Facebook opplyser i sine bruksvilkår at de kan bruke informasjonen til egne formål som å «tilpasse funksjoner og innhold (inkludert annonser og anbefalinger)».
– Mest sannsynlig ulovlig
– Det overrasker meg at de som skal arbeide med sensitiv pasientinformasjon ikke er mer forsiktig med hvilken informasjon de deler med aktører som Facebook, sier advokat Jan Sandtrø.
Han ville aldri rådet et selskap som Legevisitt å bruke sporingsteknologi fra Facebook på sine nettsider.
Han mener at Legevisitt ikke har gitt brukerne god nok informasjon om at så detaljerte data vil deles med Facebook dersom brukeren trykket «godta alle» i samtykkeboksen.
– Dette er mest sannsynlig ulovlig siden samtykket som gis ikke er tilstrekkelig og det informeres ikke om at opplysninger sendes til Facebook, sier Sandtrø.
Han er samtidig kritisk til at Facebook ikke har advart nettsiden om at de har sendt dem slike data.
– Hvis de hadde hatt en person som passet på, ville de sagt: «Dette vil vi ikke ha». De er ingen ansvarlig aktør og jeg tviler på at de har kontroll over dataene de har.
Sandtrø ble ikke overrasket av Legevisitts forklaring om at det ikke var meningen å dele data med Facebook:
– De har tatt i bruk en løsning der man ikke har kontroll over informasjonen så fort den er delt med Facebook. Opplysningene går inn i et svart hull uten at nettsiden eller brukeren vet hva som skjer.
Lover opprydning
NRK har forelagt Legevisitt uttalelsene til Jan Sandtrø.
– Etter en ny gjennomgang har vi forsikret oss om at denne typen sporing ikke deles, og for å ytterligere forsterke personvernet fremover har vi valgt å fjerne all sporingsaktivitet til Facebook, skriver personvernombud Lise Ytreland.
– Det er vår klare oppfatning at lov- og regelverk følges, og vi har et kontinuerlig fokus på personvern i våre tjenester. Både hvilken informasjon vi henter, og hvordan denne brukes, skal fremkomme av vår «cookie-policy», og våre personvernvilkår.
Ytreland opplyser at de nå vil gjennomgå sine rutiner på nytt og at de har bestilt en ekstern gjennomgang av nettsidene.
Meta, selskapet som eier Facebook og Instagram, ønsker ikke å kommentere Sandtrøs uttalelser. I et tidligere svar til NRK har selskapet sagt at det er nettsidenes ansvar å ikke dele sensitive data.
– Vi har vært tydelige i våre retningslinjer på at markedsførere ikke skal sende oss sensitiv informasjon om folk gjennom våre bedriftsverktøy, skrev talsperson Emil Vazquez i Meta.
Selskapet har ikke svart på spørsmål om de nå vil slette informasjonen de har fått fra Legevisitt.
Datatilsynet tar grep etter NRK-saker
NRK har tidligere omtalt at et nettapotek delte med Facebook at kundene så på klamydiatester. Og at tre hjelpetjenester delte informasjon om hva brukerne gjorde på deres nettsider.
I etterkant av disse sakene gikk Datatilsynet ut med en oppfordring til alle nettsider om å rydde opp. Tilsynet har varslet at de i løpet av 2024 skal granske flere nettsiders bruk av sporingsverktøy.
– Å varsle tilsyn uten å konkretisere hvem eller i hvilke bransjer har en tydelig signaleffekt om at vi kommer til å gå bredt ut. Vi ønsker at så mange som mulig har ryddet opp før vi kommer, sa Datatilsynets direktør Line Coll.
I vår oppfordret tilsynet alle nettsider om å gjennomgå sin bruk av sporingsteknologi og i sommer la de ut en veileder om tematikken.