nrk.no

Trykker du «godta» kan mobilbevegelsene dine legges ut for salg

Kategori: Samfunn

SAMTYKKE: Huq Industries bruker dette samtykke selv som et eksempel i sin kommunikasjon med dansk Datatilsyn. Illustrasjon: Martin Gundersen / NRK

Dataforhandleren Huq Industries ville selge detaljert informasjon om nordmenns mobilbevegelser til NRK. Nå granskes selskapet av dansk datatilsyn etter et lignende datasalg.

– Jeg er sikker på at folk ikke vil forstå hva de sier ja til, sier Simen Sommerfeldt som er teknologidirektør i Bouvet.

Sommerfeldt advarer folk om å være forsiktige når de installerer gratisapper som ber om å få tilgang til mobilens GPS-posisjon. Det kommer etter han har sett hva det britiske selskapet Huq Industries bruker som et eksempel på samtykke. Godtar man et slikt samtykke kan selskapet spore mobilbrukeren.

I samtykket ber Huq Industries om å samle inn, bruke og videreselgere brukerens presise mobilbevegelser. Informasjonen skal brukes til å lage anonymiserte rapporter, trendanalyser, og markedsundersøkelser, ifølge selskapet.

Huq Industries selger også informasjon som kan brukes til å identifisere enkeltpersoner til andre selskaper.

VÆR FORSIKTIG: – Om det kommer opp en slik beskjed må du være veldig forsiktig, sier IT-ekspert Simen Sommerfeldt. Foto: Bouvet

– Man kan tolke mye ut av lokasjonsdata. For eksempel om man drar på jobbintervju eller er utro, sier Sommerfeldt.

Granskes i Danmark

I sommer avslørte danske TV2 at de hadde kjøpt detaljerte data om danskers mobilbevegelser via et analyseselskap. Slik kunne de spore over 60.000 danske mobiler og identifisere en rekke av eierne.

Det førte til at landets datatilsyn opprettet en granskning mot Huq Industries som solgte informasjonen.

– Vi vil finne ut om det er et lovlig grunnlag for å behandle personopplysninger, uttalte en av tilsynets jurister da granskningen ble kjent.

Dansk TV2 var inspirert av NRKs egne avsløringer i 2020 om bransjen. Selskapet som solgte NRK data er under etterforskning av det britiske datatilsynet ICO.

NRK var selv i kontakt med Huq Industries om kjøp av en datapakke med nordmenns presise mobilbevegelser. Da oppga selskapet at de hadde en «god dose» data om nordmenn.

11 APPER: NRK installerte en rekke mobilapper på en Android-telefon og sendte innsynsbegjæringer til en ulike selskaper. Innsynssvaret til Huq Industries viste at selskapet sporet mobilen via 11 apper, men selskapet oppga da at informasjonen ikke hadde blitt delt videre med andre tredjeparter. Illustrasjon: Martin Gundersen / NRK

Huq Industries ønsket ikke å gå ut med detaljerte tall før signering av en konfidensialitetsavtale, men oppga at det var snakk om færre enn 100.000 månedlige brukere for Norge.

Dansk datatilsyn opplyser til NRK at de basert på svarene Huq Industries allerede har gitt til tilsynet vil vurdere videre saksgang. Tilsynet kan på sikt utstede krav om stans av behandling av personopplysninger eller ilegge selskapet en bot.

Jurister mener samtykket er ulovlig

NRK har fått innsyn i dokumenter Huq Industries har sendt til det danske tilsynet. Det er her selskapet har delt et eksempel på hvordan de innhenter samtykker til å lovlig behandle personopplysninger.

– Totalt sett fremstår det for meg som klart at dette samtykket ikke er gyldig etter GDPR. Det betyr at Huq Industries har samlet inn og delt dataene uten rettslig grunnlag etter GDPR, noe som er ulovlig, sier Vebjørn Søndersrød som er partner i advokatfirmaet Ræder.

– Jeg mener at dette er ikke i overensstemmelse med GDPR, og jeg ville aldri gitt råd til en klient om å ha en slik løsning, sier advokat Jan Sandtrø.

ULOVLIG: Advokatene Vebjørn Søndersrød (t.v.) og Jan Sandtrø (t.h.) mener samtykket Huq Industries legger frem for dansk datatilsyn ikke er lovlig. Foto: Martin Gundersen / NRK og Calle Huth / Studio Illegal

NRK har gjentatte ganger forsøkt å få Huq Industries i tale, men de har ikke besvart våre henvendelser.

– Alt vi gjør er tilgjengelig på våre nettsider, sa Huq-sjef Conrad Poulson til NRK da vi ved en tidligere anledning kontaktet selskapet om deres intensjon om å selge data om nordmenn.

I sitt svar til dansk Datatilsynet oppgir Huq Industries at deres prosesser har blitt «undersøkt og bestått inspeksjon av både CNIL i Frankrike og FTC i USA». Det franske datatilsynet CNIL oppgir til NRK at de ikke har gjennomført verken en undersøkelse eller inspeksjon av selskapet. I etterkant har Huq Industries oppgitt til NRK at dette ble gjort gjennom en kunde og at de ikke ønsket å oppgi kundens navn.

Huq Industries oppgir at de kun bruker personopplysninger samlet inn fra apper de har et direkte samarbeid med for å sikre at informasjonen de bruker er innhentet i tråd med europeiske personvernlover.

– Alle Huqs kunder er kontraktuelt forpliktet til å ikke forsøke å identifisere enkeltpersoner ved å analysere dataene.

Hva er et lovlig samtykke?

  • Norge innførte personopplysningsloven i 2018. Den viktigste delen av loven er det som kalles EUs personvernforordning (GDPR), et regelverk som dekker alle EØS-land.
  • Under personvernforordningen er det kun seks lovlige måter å behandle nordmenns personopplysninger. Personopplysninger kan være navn, fødselsnummer, seksuell orientering, og informasjon om hvor du befinner deg.
  • Å samtykke er en av de seks behandlingsgrunnlagene. Loven sier at et samtykke skal være «frivillig, spesifikk, informert og utvetydig».
  • Litt enkelt betyr det at man ikke kan tvinges til å samtykke, man må kunne forstå hva man sier ja til, og at det er tydelig avgrenset.

Android-brukere spores mer

Huq Industries samlet inn data fra minst 576 ulike apper, ifølge dansk TV2 som analyserte datapakken de fikk tilgang til. Analysen viste også at det var mye mer sannsynlig at Android-brukere ble sporet enn iPhone-brukere – bare 1,75 prosent av dataene stammet fra iPhone-brukere.

Ved hjelp av Sean O’Brien fra ExpressVPN’s Digital Security Lab og Esther Onfroy fra Defensive Lab Agency, har NRK identifisert at Huq Industries legger igjen kodesignaturen «io.huq.sourcekit» i appene de samarbeider med.

Ifølge appscanneren til Exodus Privacy er denne kodesignaturen til stede i minst 103 Android-apper. Verktøyet analyserer kun apper som har blitt innsendt av brukere så den tar ikke for seg alle apper i Googles appbutikk.

Det er mange forskjellige typer apper som samarbeider med Huq Industries og andre dataforhandlere. En av disse appene, Qibla Compass, hjelper muslimer å ha oversikt over bønnetider og viser retningen mot Mekka.

En annen, værappen Simple Weather, gir deg været akkurat der du er, men deler informasjon med Huq Industries og analyseselskaper om brukeren samtykker til det.

DELER: Mobilappen Network Signal Info samarbeider med Huq Industries. Appen hjelper deg å vite signalstyrken på mobilnettet og wifi. Foto: Martin Gundersen / NRK

NRK har gjentatte ganger forsøkt å komme i kontakt med apputviklerne, men kun lyktes å få svar fra Daniel Fortuna som står bak appen Simple Weather.

– Vi gjør alt vi kan for å være i henhold til prinsippene i GDPR og personvernreglene Google har for apper, skriver Fortuna.

Fortuna oppgir at hovedhensikten med å samarbeide med datapartnere er å «tilby anonym statistisk informasjon» for å vurdere kvaliteten på mobilnettverk. Dette er hovedformålet til tre av partnerne, men ikke Huq Industries. NRK har spurt Fortuna om dette, men foreløpig ikke fått noe svar.

Fortuna oppgir at det er deres partneres ansvar å operere i henhold til personvernregler og å gjøre grep for å anonymisere informasjonen.

Usikker på om du har en av appene? Dansk TV2 har en liste over 58 mobilapper som samarbeider med Huq Industries og du kan sjekke Android-apper hos Exodus Privacy.

Undersøkes av Google

Google har tydelige retningslinjer for apper i deres nettbutikk som behandler «personlig og sensitiv brukerdata». Der fremgår det at mobilbevegelser ikke kan selges videre.

Fortuna, som utvikler appen Simple Weather, oppgir på sin side at de ikke har fått noen negative tilbakemeldinger fra Google om deres datapartnere eller personvernpraksiser.

NRK kontaktet Google allerede 7. juni om Huq Industries og deres app-partnere opererer i strid med deres retningslinjer. Google bekrefter overfor NRK at de undersøker selskapet, men at de ikke har konkludert i saken.

Google har tidligere fjernet tre andre liknende selskaper – Safegraph, Outlogic (tidligere X-Mode), og Predicio – fra sin appbutikk. Det er 47 selskaper innen lokasjonsdataindustrien, ifølge det amerikanske nettstedet The Markup.

De siste årene har Google og Apple også strammet inn hvor enkelt det er for mobilapper å samle inn og videredele brukernes presise mobilbevegelser.

Saken er oppdatert 16. november med mer informasjon fra selskapet. Les også neste artikkel.

LES OGSÅ: NRK viste i desember 2020 hvordan Venntel, et selskap med amerikanske myndigheter på kundelisten, fikk tilgang på lokasjonsdata fra blant annet Predicio gjennom en rekke mellomselskaper.

22 kommentarer

  1. Frode Fredriksen

    Jeg har måttet stikke fingeren dypt i jorden og investert i en flat telefon for å ha internett tilgjengelig hjemme. Grunnlaget er at Telenor ble for dyrt selskap å ha noe med å gjøre. Så nå surfer jeg med ICE+ som er raskere enn den forbindelsen jeg hadde med Telenor via kobbernettet. Fordelen er at jeg kan ta med meg internettet overalt selv om mange steder mangler +dekning som gjør at jeg har ubegrenset datamengde. MEN 10GB, som er den måndtlige mengden data jeg kan laste når jeg ikke har +tegnet tilgjengelig, holder i massevis til en tur på hytten og vel så det. Og så lenge jeg ikke bruker noe av de 10GB blir de lagt til neste måned som hos de fleste andre telefonoperatørene jeg har sjekket.

    Nok om det. Apper jeg bruker får ikke tilgang til min GPS-posisjon, den har jeg rett og slett slått av fordi jeg ikke engang stoler på Googles eller noen andre internettaktører.

    Jeg er forsynt med det man kaller sunn skepsis, noe som tydeligvis er mangelvare hos nordmenn i sin omgang med internett.

    Mitt råd er: Skjerp dere folkens. Dere er selv ansvarlig for deres personvern i omgang med internettet.

    Svar på denne kommentaren

    • i 2010 prøvde jeg å kontrollere en såkallt smart-telefon. Det jeg fant ut var at det hjelper ikke å skru av enkelte funksjoner på telefonen fordi det finnes andre apper (programmer) på telefonen som igjen har tilgang til disse funksjonene. Hvis du gir den aktuelle appen tillgang til noen av disse andre, så vil de igjen kunne åpne de funksjonene som du prøver å styre unna (f.eks. GPS).
      Det endte til slutt opp med at jeg måtte skru av ringefunksjonen på telefonen for å ha full kontroll. Men hva skal man da med en telefon?
      Nå kjører jeg «burner».

    • Enda bedre. Slå på alt av sensorer på telefonen, – deretter fest telefonen til katta med en sele før du slipper den ut om natta. +Bonus, hvis du slår på maps lagring av GPS-data, finner du også ut hvor katta har vært.

  2. Det nevnes sjelden PC-spill i slike sammenhenger, men dette er også apper, eller applikasjoner.

    Jeg spiller ikke online-spill, men jeg har sett mange på Steam (spill-plattform for PC) reagere på slike nye Privacy Statements. Det ser ut som om enkelte utgivere av online-spill nå kan selge all info som brukerne legger inn om seg selv til andre aktører også der, inkludert navn, betalingsmetoder, type abonnement, hvor mye penger de bruker osv.

    Nå er det jo vanligvis ganske turbulent og fullt av troll på Steam-fora, men det er greit å sjekke litt ekstra hva man ‘signerer’ på også der.

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Bjørn O.)

      Ikke sett på spill, men lagt merke til samme trend om at det er en personvernerklæring i mange moderne spill.

    • Frode Taule (svar til Bjørn O.)

      Mener å huske at det er nesten identisk samtykke etter at Civilization 6 spillet fikk siste dlc. Fikk med meg at det var en hel del spillere som avinstallerte spillet da.

    • Bjørn O. (svar til Bjørn O.)

      Svar til Frode Taule: Det var et snurrig sammentreff, siden jeg nylig passerte 1000 timer i Civ 6 og spiller nærmest daglig for tiden! Og ja, der har det vært mye baluba på forumet, etter at spillet begynte å bruke en ny launcher fra utgiver (2K) i tillegg til Steams egen. Veldig mange har problemer, mens for meg fungerer det knirkefritt, bank i pulten.

      Men jeg ser at det er liten hake der man kan ‘Link accounts’ eller lignende til 2K, noe jeg ikke har gjort, så kanskje det har reddet meg. Og som sagt spiller jeg aldri multiplayer, så det er kanskje noe der også.

      Beklager sidesporet, og takk for interessante artikler, Martin.

  3. 8 av de 58 appene danske TV2 lister opp, er tilknyttet islam/Koranen. Ingen andre religioner er representert på lista, så vidt jeg kan se. Det slår meg som ganske påtakelig. Noen som har tanker om mulige årsaker?

    Svar på denne kommentaren

    • Martin Gundersen (NRK) (svar til Silja)

      Det henger ofte sammen med at disse appene brukes til å finne retningen til Mekka. Jeg tror det spiller en sterk rolle.

      Vi ser også at værapper og navigasjonsapper ofte dukker opp.

    • Kanskje vi hadde sett flere av de andre religionene representert hvis vi hadde SIAN-lignende grupperinger mot disse?

      Eller kanskje bildet hadde vært annerledes hvis demografien hadde vært snudd opp-ned? (Størstedelen var muslimer).

      Kanskje de som tror på denne religionen føler at det de kjenner som trygt og godt er truet?

      Ja, kanskje de også lider av fremmedfrykt, slik som SIAN folket. Felles årsak burde føre til felles løsning. Og det gjør det heldigvis i de aller fleste tilfeller der man konfronterer denne frykten. Men da må man møtes ansikt til ansikt og ikke sitte på hver sin kant av landet å kaste dritt til hverandre gjennom internett. Å rope på gatehjørnene er sjelden en god ide heller.

  4. «Lever man digitalt» blir man sporet, logget og kartlagt, og appene er bare en bitteliten del av det. Man kan være så restriktiv man bare vil, det hjelper ikke ettersom plattformene er et enda større problem enn appene.

    Det er ingen gode grunner til å anta at Bil, TV eller alle andre «smarte» enheter ivaretar personvern.

    Det er heller ingen som snakker om hvilke inntekter allskens teleselskaper har fra identifikasjon av brukere mm.

    At det er slik skyldes at «alle» stater har felles interesser av å innhente og bearbeide informasjon med de kommersielle aktørene.

    Dumb people use smart devices, smart people use dumb devices.

    Men dette har jo en svært positiv side også: Ganske vanskelig å kreere konspirasjonsteorier om det her ;o))

    Svar på denne kommentaren

  5. Det er laget programmer en kan surfe med uten å bli sporet. Flere faktisk. Kan googles. Jeg har prøvd en av de som er mest profilerte. Men det blir til så enormt mye bry, fordi de kræsjer med det meste annet av programmer. Hver gang en skal lese noe / logge seg inn, så nekter denne programvaren tillatelse pga personvern og sporing. For noen måneder siden kom jeg allikevel ut av tellingen over hvor mye, og mange som visste hvor jeg var. Volvo har en app som registerer hvor bilen er til enhver tid. Og hvor lenge. GPS det samme. Google, bruk av WiFi på alt fra kjøpesenter til legekontor. You tube, og Spotify. Parkeringsautomater og overvåkningskameraer. Politiet er på sosiale medier ( noe jeg forøvrig liker )
    Nå kommer PST som vil registrere til og med det jeg skriver her og nå i 15 år ( eller evig). Deretter har en bomringer ol. Ut av landet slipper en heller ikke ubemerket.
    For hvert bilde en tar, av stort sett alt, som en lagrer eller sender en plass, samme greia.
    Jeg sier ikke det ikke er verdt bryet å bry seg, men kanskje en bare må * akseptere de ting en ikke kan forandre, og få mot til å forandre de ting en kan.

    Svar på denne kommentaren

    • Hans-Christian Holte (svar til Liss)

      Det er svært vanskelig å helt unngå at du KAN bli sporet, hvis du bruker en mobiltelefon som er registrert på deg. Én mulighet er å slå av mobilen evt. la den ligge hjemme. Bærer du mobilen med deg og har den påslått, så kan du spores ganske nøyaktig utfra hvilke «mobiltårn» telefonen pinger mot.
      Jeg håper og tror at en slik sporing kun er interessant og mulig, hvis myndighetene har en lovlig grunn til dette. (Hvis de mistenker at du er innblandet i noe ulovlig.)

  6. Ser det er en del simple apper i den lista til Dansk TV2. Apper som krever få mennesker for å lage, baserer seg på enkel bruk av API eller lett tilgjengelige kildekoder. Kan være de har mindre erfaring enn andre aktører og ikke vet bedre; med andre ord: de har ikke selv lest igjennom TOS til Huq Industries. Det kan også være at de ønsker å få mange brukere, og ikke ønsker å bruke mye penger på appen. Fordi appen ikke er et produkt, men brukerne er. En app som lastes ned og kun brukes en gang er vel optimalt da. Mange av de er typiske apper jeg før hadde lastet ned og aldri brukt, QR skanneren f.eks. Mange av appene er også posisjonsbasert (retning, distanse, fart, vær og posisjon), noe som gjør det enklere å få aksept hos bruker. Det kan selvfølgelig være at de er avhengig av tilbakemelding, for å videreutvikle appen.

    Takk for ennå mer interessant lesning Martin. Håper du en dag kan gå litt igjennom hvordan vi kan beskytte oss selv bedre. Prøver selv å bli bedre, men det er ikke enkelt å få med den sosiale omgangskretsen på å bytte fra Messenger til Signal. Det er en jungel av informasjon der ute, og det er ikke alltid like lett å vite hvem man kan stole på. Ikke minst det å finne den gyldne middelvei mellom privatliv/sikkerhet og teknologisk komfort. Man kan jo selvfølgelig bare logge helt ut (ingen teknologi), men det er ikke like enkelt heller.

    Svar på denne kommentaren

    • Ole R. B. (svar til Ole R. B.)

      Forøvrig vil jeg anbefale folk som søker informasjon om gratis og åpen kildekode program/apper mm. å sjekke ut prosjektet PrivacyGuides (tidl. PrivacyToolsIO). De har mange gode alternativer som er bedre for privatlivet.

  7. Det oppstår jo også andre utfordringer om man skal ivareta sikkehet mm med helt ordinære metoder.

    Eksempelvis kan ikke jeg se videoer på NRKs nettsider uten å logges fordi jeg anvender VPN (norsk node) på alle maskiner og duppeditter.

    Jeg må altså enten logge inn eller redusere sikkerheten for å se en Nytt på nytt-snutt.

    Svar på denne kommentaren

  8. Christian Kaffedranker

    Har jobbet i IT-bransjen siden 1998, har sett, forstått og advart mot disse tingene hele tiden. Er selvsagt ikke på noen (u)sosiale medier, bruker browseren «Brave» som beskytter godt, kun to programmer installert på telefonen med en googlekonto jeg sletter fra telefonen etter bruk. Deaktiver/ avinstallerer det meste som kom med telefonen da jeg ikke bruker noe av dette, posisjon er avslått alltid, og jeg bruker selvsagt ingen skytjenester. Ingen «smarte» enheter hos meg. Dette fordi jeg taktisk vet og forstår hva alt dette fjaset dreier seg om og innebærer. Spiller på Steam, men har strupet inn alt av datainnsamling og tillatelser. Det er ikke vanskelig å leve sikkert, man må bare kunne litt og ikke la seg lure av tull, fjas og pianolakk.

    Svar på denne kommentaren

  9. Hilton er på andre måter et meget bra hotell, men de har ikke fått med seg at WiFi er forlengst gratis alle andre steder, inkl. på tog og buss. Man må betale hele 25,- euro pr dag for å få WiFi på rommet, med mindre du tegner deg på HiltonHonors — og derved eksplitt gir dem tillatelse til å selge hva som helst til hvem som helst. En resepsjonist i Wien som var også jurist fortalte meg at det var klin ulovlig i Europa men at amerikanere blåste i europeisk lov. Nå var dette lenge for den nye Direktiven, men denne fører i praksis kun til et valg mellom Accept All Cookies eller Leave the Site. Og noen norske aktører er like ille — Schibsted, I’m looking at you.

    David

    Svar på denne kommentaren

    • Oscar Christoffer Torgersen (svar til Martin Gundersen)

      Godt jobbet, du trakk det lengste strået denne gang, sjef. Neste gang må jeg trå mer varsomt med mine trollete føtter. Hadde håpet å fyre opp bålet litt med kommentaren min, men jeg får heller slå av gps’en min og dra ut i skogen en tur. Hilsen Oscar.

Legg igjen en kommentar til Ole R. B. Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.