Saken er oppdatert: Ifølge Høyre fikk underleverandøren tilgang på deler av medlemsregisteret i 2013, ikke hele. Saken er oppdatert med denne informasjonen etter publisering.

– Det kan være ulovlig, og det kan være ulovligheter i mange ledd Jon Wessel-Aas, høyesterettsadvokat

Etter åtte år i opposisjon kjempet Høyre på alle fronter i jakten på regjeringsmakt i ukene før valget 9. september 2013. Så også på internett og i sosiale medier.

Et av virkemidlene Høyre håpet skulle gjøre dem synlige der, var applikasjonen «Badget picker» ment for Facebook. Appens funksjon var enkel: Å sette Høyres logo på profilbildet til de som lastet den ned.

Et lite IT-selskap fikk i oppdrag å utvikle selve appen og skulle sammen med Høyre sørge for at den nådde ut og ble tatt i bruk.

På veien havnet det Datatilsynet kaller sensitive opplysninger, medlemsdata om opptil 25-30.000 Høyre-medlemmer, hos kommersielle Facebook. Det kommer frem i en avviksmelding Høyre har sendt Datatilsynet etter at NRK begynte å jobbe med denne saken.

Facebook har som kjent hovedkvarter i California i USA, langt unna norsk og europeisk personvernlovgivning.

Høyre understreker at opplastningen skjedde i kryptert form, at de er usikre på det reelle antallet medlemmer som ble berørt, men mener at det bare dreier seg om deler av medlemslisten.

Dette skjedde:

1. Høyres underleverandør får sommeren 2013 tilgang på deler av Høyres medlemsregister.

2. Når utrullingen av appen starter i august, blir medlemsdata lastet opp kryptert til Facebook. Det dreier seg om e-postadresser og telefonnummer til partimedlemmene, ifølge avviksmeldingen Høyre nå, fem år senere, har sendt Datatilsynet. Dette er det første avviket som er meldt Datatilsynet.

3. Det etableres et såkalt «Custom audience» på bestilling fra Høyre. Ifølge Facebook «et kraftig verktøy som tillater at du lager lister med mennesker du ønsker å treffe målrettet». Identifikatorer som telefonnummer eller e-postadresse blir kryptert lokalt i nettleseren, før det lastes opp en såkalt hash som nettstedet så kan koble til spesifikke Facebook-ID'er.

Høyre-medlemmer som også er registrert på Facebook, får så tilsendt hver sin annonse med oppfordring om å ta i bruk bilderamme-appen.

4. Når folk tar i bruk appen samtykker de samtidig til å gi appen tilgang til blant annet vennelistene sine. I en testperiode blir denne profilinformasjonen inklusive overskuddsinformasjon sendt til og mellomlagret hos Høyres databehandler i minst tre dager, ifølge avviksmeldingen fra Høyre. Høyre opplyser at mellomlagringen omfatter maksimalt 100 personer og blir slettet så raskt underleverandøren oppdager feilen. Dette er det andre avviket som er meldt Datatilsynet.

Datatilsynet: – Sensitive opplysninger

Etter at NRK begynte å se på denne saken i mai, har Høyre valgt å rapportere seg selv inn til myndighetene gjennom å sende to avviksmeldinger til Datatilsynet.

UNDERSØKER: Direktør for Datatilsynet, Bjørn Erik Thon. Foto: Mariam Butt / NTB scanpix

Tilsynsdirektør Bjørn Erik Thon fikk avviksmeldingene for to uker siden. Han bekrefter overfor NRK at medlemslister i et politisk parti er definert som sensitive opplysninger.

– Det vi vet så langt, er at dette er sensitive opplysninger og så må vi sjekke nærmere hva som har skjedd i denne saken.

– Kan man være trygg på at Facebook har slettet det de fikk i 2013 og ikke bruker personopplysninger om Høyres medlemmer i andre sammenhenger?

– Det kommer an på hvilke avtaler som har vært inngått. Det kan jeg ikke svare på. Hvordan Facebook har behandlet disse dataene er også av interesse, for her er det ganske mange parter som kan være inne i bildet.

På spørsmål fra NRK om hvordan opplastning av slike medlemsdata blir brukt i ettertid, svarer Facebook at den krypterte informasjonen blir slettet etter 48 timer og ikke brukt i andre aktiviteter.

– Kan være ulovlig i mange ledd

Datatilsynet har allerede svart på Høyres avviksmeldinger ved å sende partiet en rekke spørsmål i retur.

Datadirektør Thon mener det er for tidlig å konkludere juridisk:

– Grunnen til at vi går inn og sjekker disse sakene er for å se om det er lovbrudd. Når et politisk parti sender et avvik til oss, og sier at noe har skjedd som kanskje ikke skulle skjedd, så kan det være en indikasjon på at også Høyre ser at det kan ha skjedd uregelmessige ting her. Så vil vi sjekke det. Vi har stilt mange spørsmål til Høyre, blant annet om hva slags risikovurderinger de gjør og hvor mange som er berørt.

KRITISK: Personvernekspert og advokat med møterett for Høyesterett, Jon Wessel-Aas. Foto: Gorm Kallestad / NTB scanpix

En av Norges mest profilerte og erfarne advokater med personvern som spesialfelt, Jon Wessel-Aas, mener det er bra at Datatilsynet går inn i saken:

– Dette kan være ulovlig, og det kan være ulovligheter i mange ledd. Det grunnleggende er at hvis medlemslister skal brukes på denne måten, altså bli lastet opp på serveren til en kommersiell aktør, attpåtil utenfor EU, da må man ha et tydelig samtykke fra det enkelte medlem, sier Wessel-Aas.

Høyre: – Ville ikke gjort dette i dag

– Du må huske at i 2013 så var Facebook nybrottsarbeid for alle og jeg tror det er riktig å se det i lys av dette. Og vi har på eget initiativ meldt dette til Datatilsynet, sier Dag Terje Klarp Solvang til NRK.

SVARER FOR HØYRE: Markeds- og kampanjesjef Dag Terje Klarp Solvang. Foto: Anders Fehn / NRK

Han er avtroppende markeds- og kampanjesjef i Høyre, og gift med Høyres helseminister og nestleder Bent Høie.

– Høyres medlemsinformasjon har ingen ting på Facebook å gjøre. Vi har avviksmeldt dette fordi vi er usikre på omfanget av opplastningen og tredjepartsdelingen. Vi har avviksmeldt fordi vi er usikre på om det er skjedd innenfor eller utenfor den gjeldende lovgivning, sier Solvang.

– Hva mener du med at Høyres medlemsdata ikke har noe på Facebook å gjøre?

– Høyres medlemsinformasjon har ingenting på Facebook å gjøre, sier Solvang, og legger til at det gjelder uavhengig av om det skjer i kryptert eller ukryptert form.

– Men dere har lastet det opp?

– Vi er usikre på omfanget av det. Vi har meldt det som et avvik og vi vil gjerne samarbeide med Datatilsynet for å få full oversikt.

– Var medlemmene klar over at dere lastet opp dataene til Facebook?

– Vi vil gjerne gi svar på det når vi har full oversikt.

– Har dere behandlet de sensitive personopplysningene i henhold til norsk lov?

– Det er en grunn til av vi har meldt dette som et avvik til Datatilsynet. Så vil vi avvente samarbeidet og svarene vi finner ut av sammen med Datatilsynet. Vi ville ikke gjort dette i dag, sier Dag Terje Klarp Solvang.

– Det vi vet er at det kun gjaldt deler av medlemslisten, og at dataene ble kryptert før opplastning og deretter slettet av Facebook, legger Solvang til.

NRK har også vært i kontakt med Høyres databehandler som sier at han ikke vet hvor mange navn som ble lastet opp, men at det trolig ikke var alle partimedlemmene.

Bruker store beløp

Målrettet annonsering og betalte budskap i sosiale medier har på få år vokst til å bli en av de største utgiftspostene når Høyre driver valgkamp.

I 2013 opplyser Høyre at de brukte 150 000 kroner på Facebook. Ved neste stortingsvalg, i 2017, brukte Høyre sentralt 2.460.675 kroner på Facebook, ifølge partiets pressesjef Peder Weidemann Egseth. I tillegg kommer fylkeslagenes egne budsjetter, noen av de på flere hundretusen kroner.