Mener sjekkeappen Grindr bryter personvernloven: – Ute av kontroll

I mai 2017 uttalte The Economist at verdens mest verdifulle ressurs ikke lenger var olje, men data. Om vi skal tro det britiske ukemagasinet (og det hender det vi skal), blir evnen til å samle og prosessere data avgjørende for hvem som kommer til å lykkes i den nye digitale økonomien.

Det finnes knapt en bedre illustrasjon på betydningen av personlige data enn veksten til Google og Facebook, hvis forretningsmodell er nettopp å samle og prosessere borgernes data. Men de er langt fra alene. I den nye dataøkonomien har det vokst frem tusenvis av såkalte «data-brokers» som omsetter enorme mengder data hvert sekund 24 timer i døgnet 365 dager i året.

Men hvordan står det til med personvernet i møte med den nye digitale økonomien?

Ganske ille, om vi legger Forbrukerrådets nylig publiserte «Out of control» til grunn. I rapporten, som har fått omfattende internasjonal pressedekning i b.la New York Times og The Guardian, dokumenterer de omfattende brudd på personvernloven.

– For oss i Forbrukerrådet var det viktig å forstå datastrømmen. Vi vet at mye data deles, men vi mangler teknisk forståelse av hvordan data deles. Det var bakgrunnen for hvorfor vi begynte på rapporten, og konklusjonene er nedslående for personvernet, sier Finn Myrstad, fagdirektør for digitale tjenester i Forbrukerrådet.

– På hvilken måte?

– Veldig mange selskaper samler inn store mengder sensitiv informasjon for å lage digitale profiler som brukes i målretting av reklame og andre budskap. Dette kan de gjøre gjennom appene. Innsamling og bruk av persondata skjer uten kontroll, og av selskaper de færreste har hørt om. Som forbrukere har vi ingen mulighet til å sjekke hva som samles inn, hvem informasjonen deles med og hvordan den benyttes.

Myrstad forteller at selskapene øremerker brukerne, slik at de kan spores på tvers av plattformer. Informasjonen settes sammen bit for bit til selskapene har oversikt over hva vi liker, hva vi kjøper, vår fysiske og psykiske helse, seksuelle legning og vårt politiske ståsted.

– Din «digitale tvilling» selges til høystbydende på digitale reklamebørser, hvor vinnerne får vise deg målrettet reklame. Det er tilnærmet umulig å få oversikt over hvem som vet hva, og hvordan informasjon blir benyttet.

For å illustrere problemet kan vi bruke sjekkeappen Grindr som eksempel (se illustrasjon under). Dersom du bruker appen ved å legge inn personlig data kan Grindr dele disse dataene med 19 partnere. En av disse partnerne er Mopub, som igjen har 170 partnere som kan få tilgang på de originale dataene du la inn i appen. Blant annet AppNexus, som igjen har 4259 partnere med tilgang til dine personlig data.

Som følge av funnene har Forbrukerrådet bestemt seg for å klage inn Grindr, og de fem tilknyttede selskapene MoPub (eid av Twitter), AppNexus, OpenX, AdColony og Smaato til Datatilsynet for brudd på personvernlovgivningen. Mer enn 20 forbrukergrupper verden over følger også opp klagene, og varsler sine myndigheter om funnene med krav om at praksisen må opphøre.

Men hvor sikre er Forbrukerrådet på jussen?

– Vi er veldig sikre, og mener å ha dokumentert bruddene på personvernlovgivningen i rapporten. Da vi ble intervjuet i New York Times, dobbeltsjekket avisen alle påstandene våre om datastrømmen, og kom frem til de samme resultatene som oss. Vi har også samarbeidet med organisasjonen noyb, som ledes av personvernaktivisten Max Schrems, om de juridiske vurderingene og utformingen av klagene, og vi er sikre på at vi har en solid og veldokumentert sak, sier Myrstad.

– Veldig mange borgere har få eller ingen problemer med å dele sine personlig data. Det er jo et velkjent faktum at når tjenester er «gratis» så er det du (dine personlig data) som er valutaen?

– Jo, borgerne har selvsagt lov til å dele data. Men det forutsetter informert samtykke. Det er ikke tilfelle i disse sakene. Forbrukerne har ingen forutsetning for å forstå eller gi informert samtykke i noen meningsfull forstand av begrepet. I tillegg er det klare brudd på prinsippet om dataminimering, altså den regelen som sier at du ikke skal samle inn mer data enn man behøver for å levere tjenesten.

– Men hvis selskapene er helt tydelig på hvilke betingelser som gjelder, eksempelvis at dine data kan deles med alle. Har ikke selskapene da fått tillatelse til å dele dine data med dem de ønsker?

– Nei. Selskapene er fremdeles underlagt markedsføringsloven og det er ikke tillatt å tilby åpenbart urimelig vilkår som i praksis gjør informert samtykke umulig. Vi skal også huske på at måten Facebook og Google opererer, er å praktisere manipulasjon «by design». Tjenestene er helt bevisst utformet på måter som gjør det vanskelig eller umulig for brukerne å ta informerte valg, understreker Myrstad.

En vanlig innvending til problemstillingene som Myrstad og Forbrukerrådet reiser, er at vanlige borgere i begrenset grad er bekymret. Det er i alle fall lite ved atferden til brukerne som endrer seg.

– Så hva er egentlig problemet med at vi deler så mye personlige data?

– En rekke undersøkelser viser at dette ikke stemmer. Ni av ti svarte for eksempel at de ikke ønsker at apper skal dele informasjonen deres med andre selskaper (Norsk regnesentral). Samtidig er det opplagt en utbredt avmaktsfølelse blant folk.

Ikke uten grunn, mener Myrstad.

– Det er svært vanskelig å både forhindre deling og i det hele tatt forstå hvordan det skjer. Årsaken til at vi i begrenset grad kan observere endringer i atferd skyldes det såkalte «privacy paradox»: fordi vi i liten grad kan påvirke eller endre tjenester som vi uansett er avhengige av, gir det liten mening å forsøke å endre atferd ved ikke å dele data. Det må vi gjøre noe med. Vi viser i rapporten at det finnes alternative måter å drive reklame- og annonsebaserte tjenester på, som ikke innebærer at så mye data kommer på avveie.

– EU har nylig innført GDPR som skal beskytte borgernes privatliv. Men trenger vi enda sterkere lovgivning?

– Lovgivningen er forsåvidt god. Det vi i første omgang trenger, er sterkere håndheving av gjeldende regelverk.

For ordens skyld: Artikkelforfatter Eirik Løkke kjenner Finn Myrstad fra før. Løkke fikk blant annet innspill fra Myrstad under arbeidet med boken Personvern etter Snowden.