Hva «appen» vet om deg

Datatilsynet har kartlagt personvernet i mobile apps, og ønsker seg sin egen.

Datatilsynet publiserte i går en kartlegging av personvernutfordringer knyttet til mobilapplikasjoner, Hva vet appen om deg?. (En pdf-utgave vil bli lagt ut på Datatilsynets nettsted.)

Kartleggingen kommer i kjølvannet av medieoppslag om hvordan applikasjoner for avanserte mobiltelefoner ofte samler på langt mere personlig informasjon enn nødvendig for å tilby tjenesten de faktisk utfører.

Informasjonen meldes, som kjent, tilbake til applikasjonens utvikler eller distributør, og legges til rette for annen bruk i forretningsmodellen til disse.

Datatilsynet kommer med en norsk vri på tilsvarende undersøkelser internasjonalt. Den mest omfattende av disse er App Genome Project som hittil har kartlagt 500 000 mobilapplikasjoner. Dette prosjektet har ikke avdekket at Apple-applikasjoner oppfører seg annerledes enn Android-applikasjoner. Siden Android er enklere å skaffe seg informasjon om enn iOS, har Datatilsynet valgt å konsentrere seg om denne plattformen.

Det advares at undersøkelsen bygger på åpent tilgjengelig informasjon: Tilsynet har ikke undersøkt hvorvidt applikasjonene gjør noe i det skjulte. De konstaterer at amerikanske leverandører stort sett gir brukeren mer utfyllende opplysninger om hva slags data applikasjonene samler på, enn de norske.

Applikasjonene samler typisk på posisjonsdata, kalenderdata og telefondata (som mobilnummer og IMEI-tallet som identifiserer selve mobilen), samt data som kan hentes fra innebygget kamera, mikrofon, gyroskop og akselerometer.

Datatilsynets kartlegging avdekker uklarhet rundt hvem som har ansvaret for at mobilapplikasjoner håndterer personopplysninger i henhold til lovverket.
Datatilsynets kartlegging avdekker uklarhet rundt hvem som har ansvaret for at mobilapplikasjoner håndterer personopplysninger i henhold til lovverket.

Rapporten trekker fram flere norske applikasjoner med betydelig potensial for bedre personvern. Blant dem er Android-appen til Trafikanten, tjenesten som veileder brukere av kollektivtransporten i Oslo og Akershus.

I likhet med flere andre norske applikasjoner, kritiseres Trafikanten for ikke å opplyse hvem som er ansvarlig for å håndtere personopplysninger innhentet ved bruk. Brukeren får vite at alle tilbakemeldinger om appen skal gå til utvikleren personlig, via en privat e-postkonto.

– Når alle spørsmål om en app skal rettes til en privatperson i stedet for til instansen som står bak, skaper det uklarhet om hvem som har behandlingsansvaret for personopplysningene, sier direktør i Datatilsynet, Bjørn Erik Thon.

I henhold til loven er dette ansvaret knyttet til en opplysningsplikt om hva som samles inn, hva opplysningene brukes til, hvordan de oppbevares og hva slags sikkerhetstiltak oppbevaringen er gjenstand for. Det synes klart at lovens bokstav og intensjon ikke er ivaretatt med dagens praksis.

– Vi står i dialog med utviklere og bestillere av mobilapplikasjoner. Det er viktig å avklare behandlingsansvaret, understreker Thon.

Thon sier Datatilsynet diskuterer en mulig norsk personvernapplikasjon for mobiltelefoner, men har ikke kommet langt nok til å foreslå en kravspesifikasjon.

Et forslag kan være en applikasjon som kan brukes til å styre personverninnstillingene til alle andre mobilapplikasjoner, eller gir løpende veiledning ved installasjon av andre mobilapplikasjoner.

Når for eksempel Facebook ber om å få tilgang til all lokalt lagret kontaktinformasjon, kunne en personvernapplikasjon rope varsko, og stille spørsmålet: Vil du virkelig dette?

Poenget må være å gi brukerne maksimalt med kontroll over egne personopplysninger. En kraftig app kan være tingen.

Det blir selvfølgelig en utfordring å gjøre om i etterkant. Hvordan kan man angre at man har latt Facebook laste ned kontaktinformasjon om alle vennene?

Til toppen