nrk.no

Kaller sjekkeapp «ute av kontroll» – Deler persondata med minst 20 selskaper

Kategori: Samfunn

Foto: Jan Kenneth Bråten

Forbrukerrådet går i strupen på markedsføringsbransjen og en rekke «verstingapper» i en fersk rapport. De mener auksjoner som gir brukere personalisert reklame bidrar til å bryte personopplysningsloven (GDPR).

– Hensikten med Grindr er å tilby kontakt mellom menn som ønsker å finne en seksuell partner. Vi kan både avlede seksuell legning og aktivitet siden også posisjonen til brukerne stadig blir delt av Grindr. Dette er svært sensitiv informasjon, sier Simen Sommerfeldt, teknisk sjef i konsulentselskapet Bouvet.

Sommerfeldt har lest Forbrukerrådets rapport, og mener funnene er oppsiktsvekkende.

– Grindr utgjør ikke bare en risiko for brukerne, men også for arbeidsgivere og nasjonalstater, sier Sommerfeldt.

Simen Sommerfeldt er medforfatter av «Personvern og GDPR i praksis» og teknisk sjef i Bouvet. Foto: Privat

Forbrukerrådet har analysert hvordan ti populære apper har delt persondata om sine brukere. De mener sjekkeappen Grindr skiller seg negativt ut: Data om brukerne ble delt med minst 20 selskaper.

De fleste av selskapene ble tilsendt en unik ID for mobilen og appens navn, noe som kan avsløre brukernes seksuelle preferanser. Ti selskaper fikk også tilsendt mobilens nøyaktige GPS-posisjon.

Seks partnerselskap ble også sendt nøkkelord som kan antyde at brukeren er homofil eller bifil, ifølge den tekniske analyse som ble gjennomført av Mnemonic.

– Selv om informasjonen ikke blir spredt i dag, kan en database bli hacket i fremtiden, eller informasjonen plutselig dukke opp av andre grunner. Det betyr at brukerne må leve i usikkerhet hele livet, sier Sommerfeldt.

At Grindr behandler sensitive data er også en av grunnene til at amerikanske myndigheter krever at de kinesiske eierne selger appen innen juni 2020.

Dette er heller ikke første gang Grindr er i hardt vær for sitt arbeid med personvern. I 2018 avslørte SVT at selskapet sendte brukeres oppgitte hiv-status til to amerikanske selskaper, noe de senere sluttet med.

Globalt har Grindr 1,7 millioner daglige brukere, ifølge analysetjenesten AppTopia.

Grindr ble torsdag tilsendt utdrag fra den tekniske analysen sammen med en rekke oppfølgingsspørsmål, men har valgt å svare med en uttalelse:

– Vi har ikke blitt tilbudt en kopi av rapporten og vi kan ikke kommentere spesifikt på innholdet. Vi kan si at personvernet og sikkerheten til våre brukeres personlige data er og alltid vil være en kjerneverdi for Grindr, skriver kommunikasjonsenheten i Grindr, som henviser til sin personvernerklæring for mer om hvordan de bruker persondata og hvilke valgmuligheter brukerne har. Du kan lese hele uttalelsen i bunnen av saken.

Forbrukerrådet: Tvinges til å la seg spore

For å bruke appen må brukeren akseptere at informasjon deles med en rekke tredjeparter, mener Forbrukerrådet.

Mange brukere av Grindr er ikke åpent homofile eller bifile. At de bruker appen deles likevel med en unik ID tilknyttet mobilen. Det er alvorlig, mener Foreningen for kjønns- og seksualitetsmangfold (FRI).

– Det mange som ikke viser ansiktet på Grindr og som bevisst gir lite informasjon om seg selv. For eksempel av sikkerhetsgrunner, sier leder Ingvild Endestad i FRI.

Ingvild Endestad er leder i Foreningen for kjønns- og seksualitetsmangfold. Foto: FRI

– Det er en grunn til at vi fortsatt har hemmelige medlemslister. Når vi sender ut post skal det ikke se ut som det kommer fra oss. Det gjelder også de som mottar Blikk (skeivt magasin, red.anm.). Man er forsiktig når man sender ut noe til en sårbar minoritetsgruppe.

– System ute av kontroll

De siste årene har en rekke forbrukerorganisasjoner og europeiske datatilsynet sett nærmere på hvordan markedsføringsbransjen deler persondata for å tilby personaliserte annonser.

– Det er umulig for meg å ta et informert valg når jeg ikke vet hvordan informasjonen om meg blir brukt, hvor den blir sendt, og hva slags informasjon den blir koblet sammen med, sier Blyverket.

Forbrukerrådet mener det er en rekke praksiser i markedsføringsbransjen som burde bli ulovlig.

– En app kan dele informasjon til kanskje fire-fem selskaper, som igjen deler informasjonen til ti nye selskaper. De deler den igjen med 168 selskaper, som igjen deler med fire tusen selskaper, sier Blyverket, som mener Grindr et godt eksempel på et «system ute av kontroll».

Dette er striden om personaliserte annonser:

  • Nettsider og apper viser oss «personaliserte annonser». Markedsføringsbransjen argumenterer for at de øker sannsynligheten for at du ser produkter du liker, og slik er et gode for alle.
  • Systemet baserer seg på såkalte sanntidsauksjoner der brukeres data deles med en rekke selskaper. Basert på informasjonen de får (og allerede har om brukeren) byr de på å få vise en annonse. Den som byr mest får vise annonsen.

Budrunde basert på persondata skaper et press om å samle inn informasjon om brukere, ifølge Forbrukerrådet. Nå klager de inn seks selskaper for Datatilsynet. De mener de har brutt personopplysningsloven (GDPR).

De håper klagen kan få slutt på at nettsider og apper deler informasjon om brukere hver eneste gang de ser en annonse, eller installerer en app.

Behov for felles regelverk

Bransjeorganisasjonen INMA representerer markedsførerne i Norge. Camilla Grund oppgir til NRK at det er en kjent problemstilling at persondata deles med flere aktører.

Camilla Grund. Foto: Martin Gundersen

I appen Grindrs tilfelle er det MoPub, et selskap eid av Twitter, som videreformidler kontakt med 11 selskaper. I tillegg har en rekke selskaper installert sin egen programkode (SDK) som gir dem informasjon om Grindr-brukere.

Bransjen jobber med et felles rammeverk som vil gi forbrukere mer kontroll over hvordan de deler blant annet lokasjonsdata, i tillegg vil lokasjonen være mindre nøyaktig.

– Dette illustrerer behovet for en felles bransjeløsning som i praksis gir større kontroll gjennom hele verdikjeden. Bransjen må ta et felles grep. Det holder ikke at aktørene hver for seg overholder en gitt standard eller forskrift, sier Grund.

I løpet av 2020 skal de starte dialog med myndigheter og brukere i Norge om det nye rammeverket.

Etter at saken ble publisert uttalte Twitter til New York Times at de vil deaktivere Grinders MoPub-konto inntil de har undersøkt om Grindr i tilstrekkelig grad oppfyller deres krav til samtykke.

Grindr svarer gjennom deres pressemail at:
«Vi har ikke blitt tilbudt en kopi av rapporten og vi kan ikke kommentere spesifikt på innholdet. Vi kan si at personvernet og sikkerheten til våre brukeres personlige data er og alltid vil være en kjerneverdi for Grindr. Grindr bruker rammeverket «privacy by design», og vår personvernerklæring forklarer hvordan Grindr bruker persondata som mottas og hvilke muligheter brukerne har. Dette, sammen med andre sikkerhetstiltak, hjelper våre brukere å kommunisere trygt, og de viser at vi respekterer våre brukeres personvern.»

– Takk for at du har gjort oss oppmerksom på dette. Vi har ikke vært kjent med dette forholdet og vi skal nå undersøke det nærmere, sier Emily Riley på vegne av Saamto, en av selskapene som mottok data om Grindr-brukere, som fortsetter:

– Gitt at rapporten i sin helhet ikke er tilgjengelig for oss, inkludert hvordan testingen er gjort kan vi ikke svare grundigere på nåværende tidspunkt.

Alexis Roberts i PR-byrået Blas PR skriver på vegne av AdColony at: «De har vært et foregangsselskap innenfor positive mobilopplevelser» fra starten av.

– Vi fortsetter å støtte forbrukeres personvern og respekterer alles rett til å utøve det samtidig som mobilappindustrien fortsetter å vokse. Vi er sertifisert av ePrivacy og andre industriordninger.

– Jeg vil komme tilbake om vi har noe å bidra med, skriver Caroline Smith i Xandr, som eier AppNexus.

MoPub og OpenX har også bli klaget inn til Datatilsynet, men de har ikke ønsket å svare på NRKbetas henvendelser.

9 kommentarer

  1. En god tilnærming til all aktivitet en har på internett er den gamle vitsen «Selv om du er paranoid så betyr det ikke at de ikke er ute etter deg».

    Forvent alltid at alt du sier og gjør på Internett kan og vil bli brukt mot deg. Forvent alltid at noen knytter sammen data på tvers av plattformer for å kunne sett deg i et dårlig lys når de ønsker det.

    Krev et lovverk som straffer de som gjør dette hardt. Krev et lovverk der spesielt forsikringsbransjen skal kunne straffes i stykker ved misbruk av data på dette viset. (Som for eksempel at du avkreves høyere premie på grunn av din seksuelle legning eller politiske tilhørighet).

    Svar på denne kommentaren

    • Tom Larsen (svar til Jo Øiongen)

      Ingen tvil om at dette trenger en sterkere regulering og at brukerne trenger bedre beskyttelse, med tanke på hva maskin læring og Big Data kan gjøre.

    • La oss si at du har rett når du skriver: «Forvent alltid at alt du sier og gjør på Internett kan og vil bli brukt mot deg.»

      Problemet er at Internett i så fall ikke går an å bruke. Da må vi over på en annen type infrastruktur.

      Det finnes nemlig ingen teknologisk løsning på dette problemet innenfor Internett-paradigmet. Infrastrukturen til Internett har alltid vært basert på gjensidig tillit. Og den tilliten er jo beviselig brutt.

      Det vi sitter igjen med ligner på et dysfunksjonelt forhold, der den sterke parten driver med utbredt psykologisk utpressing mens sluttbrukeren blir trakket ned i dritten.

      Hvor lenge orker vi å være i dette dysfunksjonelle forholdet til Internett? For min del er det på høy tid at det kommer et paradigmeskifte, for dette gidder jeg ikke mer.

  2. Hvorfor fjernet dere NRK-arkivets «notater»? Før kunne man se notatene som dere hadde skrevet da det ble laget, som f.eks info om kameravinklene, regissører og sånt. Syntes dette var veldig interessant. 🙂

    Svar på denne kommentaren

  3. Land som har forbud mot homofili trenger ikke hacke brukerdatabasen. De kan jo bare kjøpe dataene av Grindr gjennom stråmenn for å få fatt i det de trenger.

    Eierselskapet burde være sitt ansvar bevisst, og ha det klart for seg at personvernutfordringene er langt mer pikante enn med de fleste andre sosiale medier.

    Svar på denne kommentaren

Legg igjen en kommentar til Jonas Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.