nrk.no

Facebook og Google manipulerer og villeder deg til å dele privatlivet ditt, mener Forbrukerrådet

Kategori: Samfunn

Finn Myrstad i Forbrukerrådet. Foto: Martin Gundersen / NRK


Forbrukerrådet i Norge mener Facebook og Google bruker uetiske metoder for å få deg til å se målrettede annonser og å gi fra deg personlige informasjon.

Onsdag publiserte Forbrukerrådet i Norge rapporten «Deceived by Design» som tar for seg hvordan de mener Facebook og Google benytter tvilsomme designteknikker til å få mest mulig informasjon om brukerne sine.

Fagdirektør for digitale tjenester i Forbrukerrådet, Finn Myrstad, forteller at de nå vil be det norske Datatilsynet vurdere om Google og Facebook bryter med de nye personvernreglene (GDPR) som har trådt i kraft i EU.

For Norge trer regelverket i kraft en gang etter 20. juli under navnet personvernforordningen.

Forbrukerrådets rapport er den siste i rekken av undersøkelser gjort på IT-sikkerhet og personvern. Foto: Martin Gundersen CC BY 4.0 SA

Aksjonen er koordinert med 23 europeiske søsterorganisasjoner i 16 land. Av disse opplyser Forbrukerrådet at 12 organisasjoner kommer til å levere brev til sine respektive datatilsyn. Minst seks amerikanske forbrukerorganisasjoner stiller seg også bak rapporten.

Sleipe triks

Undersøkelsen ble utført i mai og juni 2018 ved å benytte seg av brukerkontoer opprettet i april. Forbrukerrådet gikk her igjennom menyene Google, Facebook, og Microsoft benyttet for å informere brukere om nye personvernretningslinjer samt selskapenes tilknyttede kontrollsentre for personvern.

Blant annet så de etter det som kalles «dark patterns», eller mørk mønstre, et begrep for bevisste designvalg som dytter brukere til å ta beslutninger som ikke er til nytte for dem selv.

Begrepet ble etablert i 2010 Harry Brignull og har ført til større oppmerksomhet om hvordan banker, nettbutikker, og telefonselgere opererer.

Forbrukerrådet mener flere av disse teknikkene er benyttet av Google og Facebook, og at de potensielt bryter både de nye personvernlovene (GDPR) og markedsføringsloven.

Myrstad beskriver praksisen som de har avdekket som «villedende og manipulerende».

– Det er ikke tilfeldighet eller udugelighet som gjør at du som forbruker sier ifra deg rettigheter og dyttes til å dele så mye informasjon om deg selv, sier Myrstad, om hvordan Google og Facebook har designet sine personvernløsninger.

Blant annet trekker han fram hvordan Google i sin tid testet 41 nyanser av blå for å se hvilken brukerne likte best.

Den lange omveien

Da Forbrukerrådet kartla hvordan Google og Facebook designet GDPR-beskjeden sin fant de ut at veien var mer kronglete om man ønsket de strengeste personverninnstillingene.

Faktisk krevde Google hele 9 klikk for de mest restriktive innstillingene, og bare 2 for de mest åpne. For Facebook var det henholdsvis 13 og 5.

Grønt viser ruten med mest åpne personvernsinnstillinger.

Googles GDPR-beskjed

Grønne bokser er korteste rute. Blå bokser er ekstra skjermer som må besøkes for å endre innstillinger. Figur: Forbrukerrådet

Facebooks GDPR-beskjed

Grønne bokser er korteste rute. Blå bokser er ekstra skjermer som må besøkes for å endre innstillinger. Oransje er ekstra klikk. Figur: Forbrukerrådet

I tillegg er det visuelle markører som gjør det mer sannsynlig for deg å trykke på «aksepter alt» istedenfor å besøke undermenyer hvor innstillingene kan endres.

Kombinasjonen av disse tiltakene mener Forbrukerrådet sannsynligvis er et brudd på GDPRs prinsipp om at det som utgangspunkt skal deles minst mulig personlig informasjon.

Ansiktsgjenkjenning

En av punktene Forbrukerrådet reagerer mest på er hvordan de mener brukere utsettes for ladede ord og uttrykk som gjør det vanskelig å gå mot selskapets favoriserte innstillinger.

Da Facebooks brukere ble bedt om å tillate ansiktsgjenkjenning på tjenesten ble kun positive eksempler trukket fram. Forbrukerrådet er bekymret for hva selskapet kan benytte av dine
biometriske kjennetegn.

– Facebook bruker teknologi som gjenkjenner ditt ansikt som er helt unikt i hele verden – så unikt som et fingeravtrykk. De unnlater samtidig å si at de bruker ansiktsgjenkjenning til å kartlegge hvem vennene dine er, til å måle følelsene dine, og om du er trist eller glad.

Facebook bruker ifølge Forbrukerrådet ladet språk, mange skritt, og en bortgjemt «lagreknapp» for å slå av ansiktsgjenkjenning på tjenesten. Illustrasjon: Martin Gundersen; Skjermbilder fra Facebook via Forbrukerrådet

Dette og flere andre eksempler gjør at Forbrukerrådet mener det er grunn til å tro at selskapene ikke gir brukerne nok innsikt i hva de aksepterer, noe som er et brudd med GDPR.

– Googles kontrollsenter er en labyrint

Ifølge Forbrukerrådet gis brukere en illusjon av kontroll over hvilke innstillinger de kan endre.

Da de testet om ulike brukere klarte å slette sin lokasjonshistorikk hos Google brukte en av testerne over 20 museklikk før vedkommende ga opp.

Det er ikke tilfeldig ifølge Myrstad:

– Du kommer inn i en lang labyrint du ikke kommer deg ut av. Brukere gis så mye og dårlig informasjon at de fleste vanlige brukere sannsynligvis vil gi opp.

I Forbrukerrådets rapport velger de å trekke fram at Facebook kun gir brukere mulighet til å velge mellom å se annonser basert på data innhentet fra tredjepartet (ikke Facebook selv), men ingen mulighet til å stoppe innsamlingen av data på Facebook i GDPR-menyene.

Flere GDPR-klager

Klagene flommer inn, skriver nettstedet Politico, om hvordan det nye regelverket har blitt mottatt i Europa.

Allerede er det over 29 saker som etterforskes over landegrensene, og det franske datatilsynet CNIL rapportere om 50 prosent flere klager enn året før.

En av dem er fra Max Schrems som skal ha levert de fire første klagene etter GDPR mot Google og Facebook for å tvinge brukerne til å samtykke til de nye brukervilkårene. Vinner Schrems fram kan selskapene få en bot på flere milliarder norske kroner.

Schrems har blant annet anklaget Facebook for å lure brukere med falske varsler for å presse dem til å godta selskapets nye vilkår. Også Forbrukerrådet kritiserer Facebook for dette i den ferske rapporten.

Er man i gang med å slette Facebook-kontoen dukker det opp to røde «varselprikker» selv når du det ikke er varsler på Facebook. Foto: Forbrukerrådet

– Det er på ingen måte greit at de gir et inntrykk av at jeg har masse beskjeder bare for å stresse meg gjennom en ganske viktig beslutningsprosess, sier Finn Myrstad.

Facebook har tidligere uttalt at de røde varselikonene er ment å forsikre brukere om at vilkårene de skal godta, faktisk kommer fra selskapet selv.

Facebook og Google svarer

Ingen representanter fra verken Google eller Facebook ønsket å stille til intervju om Forbrukerrådets rapport eller svare på spørsmål relatert til personverninnstillingene.

Pressesjef i Google Norge, Helle Skjervold, oversendte en generell kommentar:
– Vi bygger personvern og sikkerhet inn i våre produkter fra første stund. I løpet av de siste 18 månedene, som en forberedelse på EUs nye forordning for personvern, har vi tatt flere skritt for å oppdatere våre produkter, retningslinjer og prosesser for å gi alle våre brukere meningsfylt innsyn i egne data og enkel kontroll på tvers av alle våre tjenester.

– Vi utvikler stadig disse kontrollmekanismene basert på brukernes tilbakemelding, og bare de siste to ukene har vi gjort ytterligere forbedringer av informasjonen og kontrollen brukerne får når de besøker Annonseinnstillinger og Google-konto.

På spørsmål om Google ønsker å svare på anklagene eller svare på NRKbetas spørsmål om utforming av sine personvernløsninger svarer Skjervold:
– Takk igjen for spørsmålene, vi har vurdert dem nøye og dette er vår kommentar til denne saken. Vi kommer naturligvis til å studere rapporten nøye når den publiseres. Vi er alltid åpne for innspill fra brukere, og utvikler stadig våre kontrollmekanismer og brukerinnstillinger.

Facebook svarer via i kommunikasjonsselskapet Släger:
– Vi har forberedt oss de siste 18 månedene for å påse at vi oppfyller kravene til GDPR. Vi har gjort retningslinjer tydeligere, gjort personverninnstillingene enklere å finne, og vi har introdusert bedre verktøy for at folk kan å få tilgang til, laste ned, og slette sin informasjon.

– I foranledningen til at GDPR ble introdusert har vi fått folk til å gjennomgå informasjon om personvern som var skrevet i et enkelt språk. Vi har også lagt til rette for å gjøre valg på tre viktige tema. Vår fremgangsmåte er i henhold til loven, følger retningslinjene til privatrett- og designeksperter, og er utviklet for å hjelpe folk å forstå valgene deres og hvordan teknologien fungerer.

*Artikkelen er oppdatert med korrekt dato for når personvernforordningen antas å tre i kraft som er en gang etter 20. juli, ikke 1. juli.

Synes du «dark patterns» er interessant bør du også lese: En brannslukker, sju lodd og en karaokeapp til besvær.

Du kan lese rapporten i sin helhet her (engelsk)

29 kommentarer

  1. Petter Pettersen

    Fint at Forbrukerombudet er med på å ta de store, men hva med å ta en titt i sin egen bakgård? Er det for eksempel greit at en mengde norske bedrifter, innkludert banker, gir sine kundelister til Facebook? Hva med å ta en titt på Schibstedt/finn.no sine vilkår, de har vært like ille som de store internasjonale i mange år?

    Svar på denne kommentaren

    • Erik Svendsen (svar til Petter Pettersen)

      Nå er snakker vi om Forbrukerrådet, ikke Forbrukerombudet. Særdeles viktig distinksjon mellom disse. Når det gjelder Schibstedt/Finn.no så har faktisk Datatilsynet i sin ombudsrolle sett på hva F.eks Schibstedt/finn.no lagrer, datatilsynet.no/aktuelt/aktuelle-nyheter-2018/hva-vet-de-om-deg/.

      Ser ikke nødvendigheten av at Forbrukerrådet skal gjøre det arbeidet på nytt.

      Nå har heller ikke poenget i det arbeidet Forbrukerrådet har gjort i stor grad på vegne av sine europeiske samarbeidspartnere å se på vilkår eller hva som lagres, men hvilke metoder som brukes for å få oss til å gjøre gitte valg og hvordan personvern på mange måter hindres. Og da er det faktisk korrekt å begynne på toppen, fordi de endringene man vil klare å presse gjennom for Facebook og Google vil bli det bedrifter ellers forholder seg til.

      Og påstanden om at norske bedrifter gir sine kundelister til Facebook, den må du underbygge. Om du mener/vet f.eks DnB sender hele sitt kunderegister til Facebook (altså data om alle sine kunder) – så bør du komme med dokumentasjon.

      Og det er ikke greitt med vilkårene til Finn.no, eller at norske bedrifter trolig deler for mye eller lagrer for mye.

    • Petter Pettersen (svar til Petter Pettersen)

      Skriveleif om Forbrukerombudet der. Problemet er mye det samme med finn.no, det er vanskelig å finne ut hvordan man blokkerer deling.

      Dokumentasjon på at bedrifter sender sine kundelister er ikke vanskelig; de bruker det som Facebook kaller «Customed Audience». Jeg har vært i kontakt med flere bedrifter. Det tar gjerne litt tid før de innrømmer at de gjør det, men litt masing gir deg etterhvert kontakt med personvernombudet. Sbanken er en av de som har innrømt at de gjør dette, med følgende argumentasjon: «Når det gjelder det at Facebook (via «hashing») får tilgang til kundens e-postadresse er det noe vi kan og har valgt å gjøre, fordi Facebook er vår databehandler etter personopplysningsloven – og overføring av personopplysninger til våre databehandlere ikke anses som utlevering (ref. f.eks. bankens personvernregler punkt 6 første avsnitt). I tillegg er en e-postadresse ansett som en nøytral personopplysning som vi dermed kan benytte, som beskrevet under bankens konsesjon fra Datatilsynet.»

      Her er et annet, konkret eksempel fra TV2Sumo sine brukervilkør: » Vi vil også kunne vaske din kontaktinformasjon mot kunderegistrene til Facebook, Google og andre digitale aktører, slik at vi og våre samarbeidspartnere kan kommunisere med deg og andre brukere som deg gjennom disse kanalene.»

    • Erik Svendsen (svar til Petter Pettersen)

      Petter! Takk for utdypningen. Bra med konkret metode, fordi begrepet overføring av data kan være så mye. I dette tilfellet overføres egentlig ikke data, men det gjøres en datakobling. Ikke at det er mindre ugreitt.

      Det er helt rett at den «overføringen» som Sbanken gjør var OK – etter det regelverket som var. Om den er grei etter etter personvernsforordningen tviler jeg på.

      Men igjen viser dette tydelig hvor viktig det er å gå på Facebook og Google – da det er disse som tilgjengeliggjør verktøyene. Så lenge verktøyene finnes vil de bli brukt.

      Men – vi er uten tvil i hovedsak enige om det meste.

      Men Sbanken får ikke meg som kunde, og vilkårene til TV2 Sumo fikk meg til å droppe tjenesten.

    • På Schibsted kan vi i det minste velge fra alle 3.parter. Men de gjør det også like vanskelig. Så mange gir opp.
      Når det gjelder Sandnesposter og andre som har samme publiser så er det verre. Det må mn godta alt eller slutte å abonnere.

  2. Bra og aktuell sak! Dette er en evig runddans, og kanskje er vi ekstra «utsatt» her i Norge/Norden fordi vi lett har tiltro til tilsynelatende seriøse tilbydere/apper, ispedd lett aversjon mot dypdykk i teknologisk «tung» materie.

    Ta f.eks posisjonsfunksjonen på smarttelefoner, hvor jeg kun kjenner til Android: her må man bevisst endre fra «høy nøyaktighet», som innebærer innsamling av omkringliggende Wifi- og bluetooth-nettverk, til «ren» GPS. På en Samsung Galaxy S8 med Oreo vil ikke posisjonslagring i kameraappen fungere om man ikke har høyeste GPS-nøyaktighet aktivert.

    Men ikke nok med dette, det finnes også en separat innstilling for om telefonen får sanke inn informasjon om Wifi-nett, selv når Wifi er slått av. Denne ligger under «Forbedre nøyaktighet». Antar de færreste sjekker disse innstillingene når man får ny telefon. Og man har lite man skulle ha sagt for å «verne» seg mot wifi-innsamling i eget hjem, alle forbipasserende og naboer vil jo kunne sanke inn info om dette. Med mindre man skjuler SSID osv, med de ulemper det medfører. Hadde vært bra med større bevissthet rundt disse sakene.

    Svar på denne kommentaren

  3. skremmende at når jeg logger på nettbankene mine så ligger det flere 3 part trackers på hovedsidene og samler info om hvor ofte jeg besøker bankene mine.

    Dette bør bankene få vekk.
    I dnb nekter til og med ghostry/adblocker å åpne nettbank innloggingen grunnet trackers.

    Svar på denne kommentaren

    • Øyvind (svar til fyfyfan)

      Bytt bank!
      Scandiabanken lar meg logge på med alt det der.
      Men de vasker da tydeligvis kunderegistere mot facebook (der jeg ikke har bruker) så hvem vet.

      Jeg håper det blir slutt på denne vaskingen for jeg vil ikke ha min info opp der.

      aid.no (avisenes id sak) krever også en bruker for å skru av personlige reklame/datafangst selv om dette skal være default og det burde kreves en bruker + samtykke inne på kontoen ikke motsatt.

      Det hadde vært fint med en uavhengig webside over norske bedrifter og hva de gjør med personopplysningene.

    • Kjetil BM (svar til fyfyfan)

      Ja både Ghostery og EFF’s Privacy Badger viser at Facebook og Google har script på Sbanken.

  4. Tusen takk for god og opplysende artikkel! Jeg har i tillegg lurt på om google lytter til samtaler? Tror ikke det forekommer på norsk, men når vi har snakket engelsk kommer det opp reklame på mobilen av det vi snakket om. Kan dette være tilfelle eller er det bare innbilning?

    Svar på denne kommentaren

  5. Håvard Karlsen

    Bra artikkel! Jeg fikk nylig en lånetelefon da jeg måtte levere min gamle på reparasjon. Installerte Facebook-appen, og blei konfrontert med masse skjermer hvor jeg kunne påvirke hvilken informasjon de kunne bruke i markedføring. Jeg krysser alltid av for minst mulig på slikt, og leser det så nøye jeg kan. Likevel, da jeg sjekka instillingene på appen i dag, var det kryssa av for at de kunne dele mer enn det jeg hadde lyst til.

    Svar på denne kommentaren

  6. Hehe, jeg håper jeg har lov til å være litt stolt over at den nevnte artikkelen «Deceived by design», har kommet helt til topps på Hacker News!

    PS til nettutviklerne: Markdown tilgjengelig her i kommentarseksjonen hadde vært fint.

    Svar på denne kommentaren

  7. Et like stort problem er foto/Galleri på Android. Fjerner tilgang posison og kalender. Får da ingen tilgang til egne bilder. Ok gir tilgang posisjon, får forsatt ingen tilgang uten at også kalender tilgang Ergo du blir tvunget å gi fra seg ufrivillig overvåking. I appstrying må jeg til stadig fjerne lagret av Google tilgang og MB lagring…sjekker blir overstyrt. Her bør Norske myndigheter gjøre noe.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Marianne)

      Dette hørtes ikke helt heldig ut nei. Det er mulig vi ser nærmere på app-tilganger framover.

  8. God artikkel, men dere kan godt skrive en egen artikkel om Amazon, som krever et helt hinsides system for å kunne slette kontoen sin. Hint: du må gå gjennom mange undermenyer og deretter snakke med support via chat, fordi de er de eneste som kan slette kontoen….

    Videoen under viser dette, samt andre sider og versjoner av Dark patterns

    Link:

    youtube.com/watch?v=kxkrdLI6e6M

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Luuni)

      Hei! Det er en hel skog av selskaper som gjør diverse ulike oppgaver vanskelig. Godt mulig Amazon blir de neste vi skriver om, men kan ikke love noe 🙂

    • Martin Gundersen (NRK) (svar til Per)

      Hei, det kommer tydelig fram i tittelen at dette handler om Google og Facebook både på NRK.no og her i saken.

      Akkurat hvorfor dette bildet er valgt er jeg ikke helt sikker på.

  9. Det er nesten umulig å unngå fellene, og noen kan du ikke klikke nei til, da sparkes du ut. men, de fleste av disse kan en slå av i etterkant på en mobil. På PC er det nok verre.

    Men, samme skjer hvis du nekter på norske avissider. Faktisk skjer det samme i en del tilfeller på Alt Inn.

    Alt Inn deler intime opplysninger med kreti og pleti som har koblet seg på, uten din tillatelse. Og der kommer mye falske eposter og det jeg absolutt kalle SPAM. Meningsløse uforståelige brev som en tulling har skrevet for å dekke seg bak sendes til hundretusener uten grunn. De maser på selvangivelser som er levert.

    Selv på denne siden krever de din epost, for å legge inn, og du kan være sikekr på at den brukes på en helt annen måte enn du ønsker…og de sender fra «ikkesvar» epost.

    Svar på denne kommentaren

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.