Datatilsynet gransker apper

Datatilsynet gransker apper

Tilsynet deltar på Internet Sweep Day, en internasjonal personvernsjekk av 50 applikasjoner for Android og IOS.

De fleste applikasjoner på nettbrett og mobil ber om tilgang til forskjellig informasjon, om det så er kontaktliste, internett, kalender, kamera eller tekstmeldinger. Noen ganger med god grunn, men ofte uten.

Dette bekymrer naturlig nok personvernmyndigheter rundt om i hele verden, og er årsaken til at organisasjonen Global Privacy Enforcement Network (GPEN) har tatt initiativ til «Internet Sweep Day». I år er det nemlig app-er som skal gjennomgås for årets personvernsjekk.

Personvernutfordring

App-trenden startet med suksessen av Apples Iphone fra 2007. Siden den gang har både antall smartmobiler, nettbrett og ikke minst applikasjoner tatt fullstendig av. Mobilen er på bare få år blitt et digitalt multiverktøy. Alle bruker apper, og det finnes en app for nær sagt alt man kan tenke seg.

Utfordringen er at de fleste app-er vi bruker på en eller annen måte, og av forskjellige årsaker, ønsker, ber om eller tar seg til rette med tilgang til forskjellig informasjon som ligger lagret på mobilene.

- De fleste brukere vet ikke hvilke opplysninger den enkelte app samler inn, og vi lurer på om det virkelig er behov for å samle inn så store mengder informasjon, sier avdelingsdirektør i tilsyns- og sikkerhetsavdelingen i Datatilsynet, Helge Veum.

Derfor har Datatilsynet, i lag med 27 andre personvernmyndigheter fra andre land, satt av 12. mai for å gå igjennom rundt 50 appliikasjoner for Android og IOS. Appene er valgt ut i fra popularitet, tema og hvilken tjeneste som tilbys.

Under gjennomgangen benytter Datatilsynet et skjema utviklet av GPEN, for å sikre en systematisk gjennomgang. De de ser etter er hvilken informasjon appen ber om tilgang til, en forklaring på hva informasjonen skal brukes til, en avklaring av hvem som har eller kan få tilgang til informasjonen og hvor man kan få mer informasjon (som for eksempel henvisning til personvernerklæring).

- Vi er opptatt av finne ut mer om hvilken informasjon brukerne får om behovet for de ulike tilgangene, hvilken informasjon som samles inn, hva den skal brukes til og hvordan opplysningene deres blir beskyttet, forklarer Veum.

VIktig med bevisstgjøring

Resultatet fra Internet Sweep Day skal etter planen presenteres i en egen rapport fra Datatilsynet senere i høst. Håpet er å kunne bidra til å bevisstgjøre brukerne om hvordan innsamling av personopplysninger faktisk foregår på dingsene våre.

Det gjelder også for utviklere og bestillere av applikasjoner. Datatilsynet er veldig opptatt av at disse også er klar over hvilke plikter de har overfor brukerne sine. I den forbindelsen lanserer Datatilsynet i dag en norsk versjon av en veileder for apputviklere som er utviklet av personvernmydnigheter i Storbritannia.

Veilederen «Mobilt personvern - godt personvern for apputviklere» ligger klar på nettsidene til Datatilsynet, og er også tilgjengelig som PDF.

Råd til brukerne

Datatilsynet har også noen gode råd til brukerne. Her er de tre viktigste:

  • Vær kritisk til hvilke apper du installerer. Finn ut hvem som er ansvarlig for appen og hvilken informasjon den trenger. Les personvernerklæringen, og ta stilling til hva du vil godta.
  • Gå igjennom appene dine med jevne mellomrom. Hvis du har apper du ikke bruker, så bør du avinstallere dem.
  • Sørg for å oppdatere appene dine. En app som ikke er oppdatert kan ha sikkerhetshull det er mulig å utnytte.

Disse deltar på Sweep Day

GPEN er en sammenslutning av personvernmyndigheter i 34 land. 27 av medlemmene deltar på initiativet, inkludert Datatilsynet i Norge. Her er oversikten over de land og organisasjoner som deltar på Internet Sweep Day:

  • Australia: Office of the Australian Information Commissioner, Office of the Victorian Privacy Commissioner
  • Belgia: Privacy Commission of Belgium
  • Canada: The Office of the Information and Privacy Commissioner of Alberta, Office of the Information and Privacy Commissioner for British Columbia, Office of the Privacy Commissioner of Canada
  • China: Office of the Privacy Commissioner for Personal Data, Hong Kong SAR, Office for Personal Data Protection, Macao SAR
  • Colombia: Superintendence of Industry and Commerce of Colombia
  • Estland: Estonian Data Protection Inspectorate
  • Finland: Office of the Data Protection Ombudsman
  • Frankrike: Commission Nationale de l'Informatique et des Libertés
  • Tyskland: Commissioner for Data Protection Baden-Württemberg, Data Protection Supervisory Authority of Bavaria, Berlin Data Protection Commission, Federal Commissioner for Data Protection and Freedom of Information, Data Protection Commissioner of Hessen
  • Gibraltar: Gibraltar Regulatory Authority
  • Ungarn: National Authority for Data Protection and Freedom of Information
  • Irland
  • Israel: The Israeli Law, Information and Technology Authority (ILITA)
  • Italia: Italian Data Protection Authority
  • Mexico: Federal Institute for Access to Information and Data Protection
  • New Zealand: Office of the Privacy Commissioner
  • Norge: Norwegian Data Protection Authority
  • Spania: Spanish Data Protection Authority
  • Storbritannia: The Information Commissioner's Office

Veileder for utviklere

Mobilt personvern - godt personvern for apputviklere (HTML) (PDF).

Les om: