Karin Kristiansen, KPMG. (Foto: KPMG)

ADVARER: Karin Kristiansen, seniorkonsulent i KPMG, advarer norske forbrukere mot å stole for mye på landets nettbutikker. (Foto: KPMG)

Hva gjør norske nettbutikker med persondataene våre?

Ny norsk undersøkelse viser at ikke alle nettbutikker her til lands sletter persondataene, selv når vi sletter profilene våre.

Konsulenthuset KPMG har gjort en kartlegging av 40 av de mest populære nettbutikkene i Norge, med tanke på håndtering av persondata. Funnene selskapet har gjort viser at norske forbrukere burde være mer bevisste på hvilke opplysninger de gir fra seg når de handler på nett.

—Er det noen grunn til at nettbutikker trenger personnummeret ditt for å opprette en konto? Dette er en opplysning vi aldri ville oppgitt før vi gikk inn i en fysisk butikk, men på nettet tar vi gjerne lettere på det, forteller Karin Kristiansen, seniorkonsulent i KPMG, i en pressemelding.

40 av 50 analysert

Analytikerne i KPMGs cybersikkerhetsteam tok for seg de 50 største nettbutikkene i Norge. 40 av disse hadde en mulighet til å opprette en brukerkonto uten at en handel ble gjennomført først, og det er disse som danner grunnlaget for analysen.

KPMG samlet deretter opp en god del informasjon om hvordan disse nettbutikkene håndterer bruker- og persondata.

De registrerte hva slags persondata butikkene krevde for å registrere en konto hos dem; Hvordan butikkene bruker informasjonskapsler (cookies) i forbindelse med personvern; Rutiner rundt enumerering av brukernavn, altså om nettsiden opplyser om at et brukernavn eksisterer i systemet deres; Passordkrav og praksisen omkring tilbakestilling; Hvordan stenge en brukerkonto.

Mye data hentes inn

Det varierer noe hvilken informasjon nettbutikkene krever for å opprette en konto hos dem. Dette er resultatene som KPMG-analytikerne fikk, etter å ha talt opp alle de 40 butikkene, og:

  • 35 av 40 krever navn
  • fire av 40 krever kjønn
  • 16 krever adresse
  • 19 krever postnummer
  • 15 krever telefonnummer
  • åtte krever fødselsdag
  • tre krever personnummer.

I tillegg viser det seg at alle nettbutikkene i undersøkelsen har mulighet for enumerering, altså å oppgi om nettsiden har et gitt brukernavn eller epost-adresse i databasene sine. Fem av sidene oppgav at brukernavnet var feil ved innlogging, 27 oppgav at brukernavnet var gyldig ved tilbakestilling av passord, og resten gav mulighet til å sjekke om brukernavnet allerede er i bruk ved opprettelse av en ny konto.

Sikkerhet og personvern

Sikkerhetsanalytikerne forsøkte deretter å logge inn testkontoen sin med feil passord inntil nettbutikken gav en feilmelding for å finne ut hvor mange ganger det er mulig å prøve ut passord på kjente kontonavn.

Her ble resultatet at halvparten av nettbutikkene tillot et tilsynelatende ubegrenset antall innloggingsforsøk, her oppgir KPMG at de fikk lov til å teste mer enn 20 ganger uten at noe skjedde. Fem av de resterende bruker en captcha, programvare for å avgjøre om brukeren er menneske eller maskin, etter tre til fem feilete innloggingsforsøk. De siste 15 nettbutikkene låser kontoen for en periode etter for mange feilinnlogginger.

KPMG oppdaget også mange svake passordkrav. Fire av nettbutikkene aksepterte et passord på kun ett tegn. 13 av sidene godtok passord på fem eller færre tegn, mens 34 av sidene tillot passord bestående av kun små bokstaver. Det var bare ter av nettbutikkene som krevde passord med både store og små bokstaver, i tillegg til tall.

Alle nettbutikkene bruker informasjonskapsler som man implisitt aksepterer. De fleste hadde informasjon om bruken av informasjonskapsler, men det er vanskelig å si hvor utfyllende den er. 22 av nettbutikkene nevner tredjeparter i denne informasjonen.

KPMG-analytikerne fant alt fra en til 34 informasjonskapsler per side, der gjennomsnittet landet på voksne 15.

Blir data slettet?

Til sist i undersøkelsen forsøkte KPMG å slette testkontoen sin, for å se hvilke rutiner nettbutikkene har i forbindelse med dette, og for å se hva som skjer med persondataene i ettertid. Her kom det fram at:

  • på 16 av 40 sider ble kontoen stengt innen en dag, noe som ikke automatisk betyr at personopplysningene blir slettet
  • på kun to sider kunne man gjøre dette selv på nett, på de resterende måtte man i kontakt med kundeservice, enten via mail, chat eller telefon.
  • fire steder måtte en telefonsamtale til for å gjøre dette.
  • fem steder sa de at de kun sperret kontoen
  • ni sider har ikke svart etter en uke.

— Hos noen nettsteder fikk vi beskjed om at de stengte kontoen, men opplysningene ble ikke slettet. Med andre ord, de forblir liggende uten at man har visshet om videre bruk, kommenterer Kristiansen.  

Ikke godta det!

KPMG mener at norske forbrukere stoler for mye på nettbutikkene. De mener at vi må være mer årvåkne når vi handler på nett, og være mer bevisst på egen nettsikkerhet. Det er heller ingen grunn til å akseptere ting på nettet som vi aldri ville godtatt i den fysiske verden.

Selskapet illustrerer det ved å overføre nettbutikkenes atferd til den virkelige verden:

— La oss overføre det vi har gjør på nett til en ordinær butikkhandel: I butikkdøra blir du møtt av en person som ønsker deg velkommen. Du må oppgi navn, adresse og fødselsdato før du får komme inn. Vel inne, blir du fotfulgt av en person rundt i butikken, uten at du merker det. Kjøpsatferden din blir loggført og lagret - og opplysningene vil bli kunne solgt videre til andre butikker, skriver KPMG.  

Det er all grunn til å ta rådene til KPMG til følge i denne travle førjulstid, med høy aktivitet også på landets digitale shoppingsentre.

Netthandel