Retningslinjene til GSMA legger ikke opp til at brukeren skal kunne kontrollere hva som faktisk samles opp av personopplysninger, bare det en app eller en tjeneste skal ha anledning til å registrere. Forskjellen er mer enn en detalj: Det kan tolkes som et forvarsel om mobilbransjens lobbyvirksomhet mot EUs kommende personvernlovgivning.

Overser «retten til å glemmes»

GSMA gir bransjen en mangelfull sjekkliste for personvern i mobile applikasjoner.

I anledning Mobile World Congress i Barcelona har GSMA, mobilbransjens bransjeorganisasjon, kunngjort et sett med personvernretningslinjer for utviklere av mobile applikasjoner.

Retningslinjene med tilhørende dokumenter og eksempler er tilgjengelig fra denne siden: Privacy design guidelines for mobile applications.

I en uttalelse fra GSMA heter det at personvernretningslinjene for mobilutviklere bygger på fjorårets Mobile Privacy Principles, og støttes av ledende europeiske mobiloperatører, blant dem Deutsche Telekom, France Telecom – Orange, Telecom Italia, Telefonica, Telekom Austria, Telenor, TeliaSonera og Vodafone.

Det understrekes at hensikten med retningslinjene er å sikre brukerne bedre innsikt, valgmuligheter og kontroll over hvordan apper bruker deres personlige informasjon. GSMA ønsker at dette skal bygges inn i alle mobile apper fra bunnen av.

– I det stadig mer globale markedet for applikasjoner mener Telenor mener vi må gjøre vårt ytterste til å verne om våre kunder og derigjennom også verne om vår egen forretning. Retningslinjene er et skritt i denne retningen, og Telenor har allerede begynt å implementere dem i vår organisasjon, heter det i en uttalelse fra Kjetil Rognsvåg, personvernansvarlig på konsernnivå i Telenor.

Målgruppen for retningslinjene er alle som har med mobile applikasjoner å gjøre og som har medansvar i håndtering av personlig informasjon. GSMA mener det omfatter utviklere, telefonleverandører, plattformleverandører, mobiloperatører, annonsører og analyseselskaper.

En undersøkelse gjort av GSMA viser at et stort flertall av appbrukere er opptatt av å verne om personlig informasjon. Samtidig har de fleste – 73 prosent – godtatt personvernerklæringer uten å lese dem. Undersøkelsen avdekker også mistillit til appleverandører: 74 prosent tror de selskaper som samler personlig informasjon vil fortsette å gjøre det selv om man ber dem la være. 41 prosent sier de vil begrense sin bruk av apper og tjenester inntil bedre personvern er på plass.

Stedstilpassede tjenester – det vil si tjenester som vet hvor mobiltelefonen befinner seg og tilpasser sine tilbud deretter – og personlig tilpasset annonsering er ønskverdige, viser undersøkelsen, forutsatt at man har kontroll over hvem som får vite hva.

Dette skulle tyde på at dersom GSMAs retningslinjer blir troverdig fulgt opp av aktørene de gjelder, vil man ha oppnådd en vinn-vinn situasjon for brukere og bransje. Svakheter i retningslinjene gjør imidlertid «vinn-graden» tvilsom for brukerne. Mer om dette etter en kort gjennomgang.

Retningslinjene er delt i kapitler som «innsyn, valg og kontroll», datalagring og sikkerhet, sosiale medier, mobilannonser, stedstilpasning, barn og ungdom, og – sist men ikke minst – ansvar og håndheving.

Når det gjelder ansvar og håndheving, krever retningslinjene at enhver registrering av personopplysninger må tilordnes en person med ansvar for å sikre at personvern bygges inn i applikasjoner og tjenester, gjennom hele appens levetid og gjennom enhver forretningsprosess rundt personopplysningene. For enhver app skal brukere tilbys verktøy for å melde om problemer, og det skal etableres prosedyrer for å håndtere slike tilbakemeldinger.

Retningslinjene har to åpenbare og alvorlige mangler.

Det er ingen formuleringer som sikrer brukere innsyn i nøyaktig hva som er registrert, og det er heller ingen formuleringer som forplikter de som samler personinformasjon til å rette opplysninger i samsvar med brukerens ønske.

I forslaget til ny personvernforordning i EU vil «retten til å glemmes», lovfestes.

Det har i årevis vært et prinsipp i norsk personvern at man skal ha innsyn i hva som er registrert om en selv, og dette prinsippet er også et fundament i EUs nye personvernforordning.

Når tilsvarende formuleringer utelates fra GSMAs initiativ for «privacy by design», er det grunn til å underes hvorfor.

Det GSMA-reglene legger opp til, er i hovedsak at brukeren skal godkjenne hva appen samler inn av personinformasjon, og skal kunne justere dette fra tjeneste til tjeneste. Dette er noe annet enn å tilby innsyn i hva appen faktisk samles på, og hvor mye dette gir en tilbyder av flere apper av samlet informasjon.

Det er grunn til å minne om erfaringene med den nye Timeline-funksjonen i Facebook: Den gir ikke annet enn en samlet oversikt over hva man har lagt ut over tid, men mange ble forferdet da de fikk servert alt på ett brett, bokstavelig talt.

At GSMA ikke strekker seg mer i retning av rett til innsyn i oppsamlet materiale, rett til sletting av informasjon man ikke lenger ønsker at en instans skal samle på, og heller ikke rett il å glemmes, kan vanskelig tolkes som en forglemmelse, gitt den store oppmerksomheten det er rundt personvern generelt og den kommende EU-forordningen spesielt.

Man kan snarere tenke seg at dette er et forvarsel om lobbyvirksomhet mot EU-forordningen, nøyaktig det direktør i Datatilsynet, Bjørn Erik Thon, advarte mot i et intervju med digi.no før jul.

At Telenor allerede har begynt å tillempe GSMA-reglene, virker ikke derfor spesielt betryggende.

Til toppen