Bilder viser Datatilsynets medarbeidere som sjekket til sammen 222 nettsteder på leting etter en påkrevet informasjonsplakat i mai måned. Rapporten som forelå onsdag var nedslående, ifølge direktør Bjørn Erik Thon. (Bilde: Marius Jørgenrud)

4 av 10 nettsteder får stryk

– Nedslående, sier Datatilsynet.

Datatilsynet gjennomførte i mai en sjekk av over 200 nettsteder for å se om de tilbyr en såkalt personvernplakat.

Alle nettsteder plikter å informere klart og tydelig om hvilke personopplysninger de behandler.

Hele 40 prosent av nettstedene som ble sjekket mangler erklæringen. Det fremgår av rapporten Datatilsynet nå legger frem.

– Vi har sveipet 222 norske og utenlandske nettsider for å finne ut om virksomhetene forteller hvordan de bruker folks personopplysninger. At nærmere 40 prosent av nettsidene mangler personvernerklæring, er et nedslående resultat, sier direktør Bjørn Erik Thon i en melding.

Verre enn før

Datatilsynet har all grunn til å være skuffet. Sist de sjekket i 2010 var tilstanden faktisk noe bedre med tilfredsstillende informasjon fra 3 av 10.

Resultatet denne gangen er også vesentlig dårligere for norske aktører enn i andre land. Undersøkelsen var del av et internasjonalt prosjekt i regi av Global Privacy Enforcement Network. Snittet fra andre lands datatilsyns sjekk viste at 2 av 10 manglet erklæring.

SKUFFET: Datatilsynets direktør Bjørn Erik Thon etterlyser mer åpenhet fra norske nettstedeiere.
SKUFFET: Datatilsynets direktør Bjørn Erik Thon etterlyser mer åpenhet fra norske nettstedeiere. Bilde: Per Ervland

Hele 91 prosent av norske nettsider fikk såkalte «bekymringspoeng», mens i det internasjonale sveipet var denne andelen på 50 prosent.

Slike poeng er gitt på bakgrunn av manglende tilgjengelighet, lesbarhet og innhold. Mange av de norske sviktet også på informasjonskravet om hva som er formålet med innsamling og bruk av persondata, hvilke rettigheter brukerne har og hvilket lands personvernregler som gjelder.

I realiteten er så godt som alle virksomheters nettsteder omfattet av informasjonskravet, enten de bedriver webanalyse, setter informasjonskapsler, tar i mot webskjema og så videre. Datatilsynet regner IP-adresser som en personopplysning.

– Folk har rett til å vite hvilke opplysninger en virksomhet bruker om dem. En forutsetning for at de kan benytte seg av innsynsretten er at virksomheten forteller hva de bruker opplysningene til. Alle behandlinger som en virksomhet gjør bør komme tydelig frem i en personvernerklæring på nettsidene, sier Thon.

Han påpeker at personopplysninger er blitt en handelsvare, som i mange sammenhenger blir utlevert til tredjepart. Nettets natur med netttjenester på tvers av landegrenser gjør det vanskelig å orientere seg om hvilke rettigheter som gjelder.

Undersøkelsen har vært av det uformelle slaget, men nettsteder som strøk testen trenger ikke føle seg helt trygge av den grunn. I verste fall risikerer man tilsyn og straffereaksjoner fra personvernmyndighetene.

Rapporten kan lastes ned i sin helhet her (pdf).

    Les også:

Til toppen