- Et nedslående resultat

- Vi har sveipet 222 norske og utenlandske nettsider for å finne ut om virksomhetene forteller hvordan de bruker folks personopplysninger. At nærmere 40 prosent av nettsidene mangler personvernerklæring, er et nedslående resultat, sier Datatilsynets direktør Bjørn Erik Thon.

Snittet fra det internasjonale sveipet i regi av Global Privacy Enforcement Network (GPEN), som består av personvernmyndigheter i flere land, viser at bare 2 av 10 nettsider mangler personvernerklæring. Norske nettbrukere stiller med andre ord svakere enn mange andre når det kommer til å ha kontroll over hvordan egne personopplysninger blir brukt, påpeker Datatilsynet.

- Folk har rett til å vite hvilke opplysningene en virksomhet bruker om dem. En forutsetning for at de kan benytte seg av innsynsretten er at virksomheten forteller hva de bruker opplysningene til. Alle behandlinger som en virksomhet gjør bør komme tydelig frem i en personvernerklæring på nettsidene, sier Thon.

Datatilsynet har sett på nettsidene som er mest brukt av innbyggerne i Norge, samt et utvalg av nettsidene til de største norske virksomhetene, og sydd sammen en rapport.

Kan være lovbrudd

Computerworld pratet med Kari Laumann, rådgiver ved tilsyns- og sikkerhetsavdelingen i Datatilsynet, like før sommerferien. Det var da sveipet, som er en del av et internasjonalt prosjekt, ble varslet.

- Hvis du samler informasjon om en annen person, må du si ifra. Hvis du bruker cookies eller webanalyse – som de fleste nettsider gjør – må siden informere om det via en personvernerklæring på siden, sa hun den gangen.

- Disse 40 prosentene med sider som mangler personvererklæring - er det snakk om lovbrudd, eller er det bare at det er teit?

- Det er i alle fall teit. Saken er at det er lovpålagt å si fra på nettsiden, hvis du samler inn informasjon om folk via nettsiden, slik mange gjør hvis de bruker webanalyse og andre verktøy. Ellers krever personopplysningsloven at virksomheter som behandler personopplysninger har oversikt over personopplysningene de behandler, og der sier vi at det er lurt å legge ut også denne informasjonen på nettsiden i en personvernerklæring, selv om akkurat dette ikke er lovpålagt, sier Laumann til Computerworld nå som rapporten ligger på bordet.

- Det er lurt fordi det skaper åpenhet og tillit fra kunder. De slipper å henvende seg til virksomheten for å spørre om hvilke personopplysninger virksomheten behandler, og virksomheten slippper å lage ny dokumentasjon hver gang noen spør, forklarer hun.

Det kan altså være snakk om lovbrudd, men det går ikke an å fastslå at 40 prosent av virksomhetene bryter norsk lov. Faktum er at de ulike landene som er en del av GEPN opererer med litt ulike lover på dette området.

Etterlyser åpenhet

Det norske sveipet inkluderte både norske og internasjonale nettsider. 67 prosent av nettsidene som Datatilsynet sveipet hadde .no-adresse og det er en tendens til at disse kom dårligere ut sammenlignet med nettsider med andre domener. 54 prosent av nettsidene med .no-adresse hadde personvernerklæring, mot 74 prosent av de med et andre domener.

Les rapporten her

- Datatilsynet etterlyser mer åpenhet fra norske virksomheter. Ikke bare for å tilfredsstille lovkrav, men også fordi folk blir mer og mer opptatt av at deres eget personvern ivaretas på en god måte. Åpenhet om behandling av personopplysninger vil bli et konkurransefortrinn for en virksomhet, sier Thon.

Resultatene viser at en høy andel av nettsidene i det norske sveipet har mangler knyttet til tilgjengelighet, lesbarhet og innhold. Hele 91 prosent av nettsidene i det norske sveipet fikk såkalte ”bekymringspoeng”, mens i det internasjonale sveipet var denne andelen på 50 prosent.

Finans for forsikring best

Mange av nettsidene i det norske sveipet har mangelfull informasjon om hva som er formålet med innsamling og bruk av personopplysninger, hvilket lands personvernregler som gjelder for virksomheten og hvilke rettigheter folk har. Manglende åpenhet om dette bryter med viktige personvernprinsipper.

- Personopplysninger er etter hvert blitt handelsvare, og i mange sammenhenger utleveres opplysningene til tredjeparter for videre behandling. Folk flest bruker tjenester og nettsider på tvers av landegrensene, og det er i mange sammenhenger umulig for dem å orientere seg om hvilke rettigheter som gjelder på hvilke nettsider, påpeker Thon.

Sektoren som inkluderer virksomheter innenfor bank, finans og forsikring kommer best ut. I denne kategorien hadde 83 prosent av nettsidene personvernerklæring. Industrisektoren som inkluderer virksomheter innenfor energi, ressursutvinning, bygg og anlegg, kommer dårligst ut. 42 prosent manglet personvernerklæring.