- Hvem står bak mobilprogrammene?

- Hvem står bak mobilprogrammene?

Bjørn Erik Thon i Datatilysynet mener mobil-apps gir altfor lite informasjon om hva data brukes til.

Datatilsynet har gått apper i sømmene i rapporten «Hva vet appen om deg?», som ble sluppet torsdag. Der har de dykket ned i 20 norske og 20 utenlandske apper for å sjekke hva slags data de vil ha og hva slags informasjon som foreligger om hvordan dataene blir behandlet og brukt.

- Vi har en tradisjon for apper her hos Datatilsynet. Mange spiller Angry Birds, noen spiller sjakk, og selv spiller jeg svært mye et skihoppspill som heter Holmenkollen Ski Jump, sier Bjørn Erik Thon, direktør i Datatilsynet.

Fordi apper har blitt såpass «hot» i samfunnet at selv Datatilsynet-ansatte installerer dem uten at det foreligger nok info, hvilket vi kommer tilbake til igjen om et øyeblikk, bestemte de seg for å undersøke markedet.

Datatilsynet er ikke tilfreds med tilfanget av informasjon om hva som samles inn av data, hva som er formålet med innsamlingen og hvordan opplysningene eventuelt viderebrukes - og ikke minst konkret informasjon om hvem som er ansvarlig for appen.

- Er det utvikleren eller er det bestilleren, spør Thon.

Bakteppet

Det de fant var et broket marked. I ene enden er det en bestiller, som bestiller en app fra utviklere. På siden av dette har du eventuelle tredjeparter, for eksempel annonsører. Og så har du operativsystemleverandøren, for eksempel Google og Apple, dernest har du mobiltelefonprodusentene. Og naturligvis har du en mobiloperatør.

I denne verdikjeden er det mange som kunne vært interessert i ulik type informasjon fra håndsettet. Det være seg statisk lagrede data, som telefonens serienummer (IMEI) og telefunnummeret som identifiserer brukeren og markedsavdelingen dermed kan benytte til å bygge en personlig profil utfra dynamiske data.

Sistnevnte kan eksempelvis være kalenderen din, som sier noe om hvordan du disponerer tiden din og potensielt noe om reisemønster. GPS-en kan si mye om reisemønster, mens telefonboka kan si noe om relasjoner og dessuten være av verdi for sosiale medier. Facebook-applikasjonen laster for eksempel opp hele telefonboka di til egne servere.

Det finnes sågar apper som kan bruke gyroskopet til å finne ut akkurat hva du foretar deg. Den vet når du spiser, når du jogger, når du sover og hvordan du sover.

Norske apps verst

Datatilsynet baserte seg på åpent tilgjengelig informasjon for å ta rede på hvordan personvernsståa var med deres totalt 40 utkårede apps, alle Andriod-baserte (de regner ikke med at forskjellen i Apples mobilappbutikk er veldig forskjellig).

De fant liten grad av gjennomsiktighet når de gjelder hvilke opplysninger appen fanger inn, hva formålet er med innsamlingen, hvordan dataene blir håndtert og om de eventuelt blir videresolgt.

- Appene er begredelig på informasjon til brukeren, sier Atle Årnes, senioringeniør hos Datatilsynet.

Dette gjelder særlig norske apper, fant datatilsynet ut i sin gjennomgang. «Ingen av de norske applikasjonene Datatilsynet har sett på har lett tilgjengelig informasjon til brukeren om hvordan de håndterer personopplysningene som samles inn,» påpekes det i rapporten. Utenlandske apper viser seg å være bedre på å utgi informasjon.

- Et eksempel er Trafikanten. Det er en nyttig app, men hvem står bak, spør Årnes.

Han registrerer at det står et privatnavn på en av informasjonsskjermene i Androids appmarked, men stiller seg likevel spørsmål ved hvem som tar ansvar for personopplysninger.

Lommelykt

For den samler inn personopplysninger. Blant annet kontaktlista. Da Datatilsynet oppdaget at appen ba om adgang til adresseboka, klødde de seg i hodet. Dette fant de etter hvert informasjon på, ikke på et åpenbart sted, men et sted i Android-butikken.

Det viser seg å være fordi appen tar høyde for at du på et eller annet tidspunkt vil komme til å sjekke reiseruten mellom deg og en kompis, og at applikasjonen da vil være føre var. Men hvor disse dataene eventuelt lagres, står det intet om.

Trafikanten får altså plusspoeng for å ha informasjon om at den vil ha tilgang til adresseboka og hva adresseboka skal brukes til, men får minuspoeng i margen for å ikke ha denne informasjonen enkelt tilgjengelig og for å ikke ha opplysninger om hvor dataene lagres.

Et annet eksempel på en app man ikke skulle tro trengte dataene den vil ha tilgang på, er applikasjonen Tiny Flashlight. Den er laget av utvikleren Nokaly Ananiev, og er blant de utenlandske appene Datatilsynet undersøkte.

Det er en lommelyktapplikasjon, men hvorfor vil den ha tilgang til id-en på telefonen?

Det oppklares igjen i informasjonsteksten i Androids app-butikk. Det finnes visst en bug i enkelte telefonmodeller når det gjelder bruk av led-lyset, derfor hevder appen den må vite id-en.

Uinformativ eiendomsapp

Av positive app-eksempler, trekkes appen til hotels.com frem. Den har en i-knapp i selve appen der alle personvernsbestemmelsene står listet.

Dnb Nors eiendomsapp får derimot ikke mye ros fra Datatilsynet. Applikasjonen ber om tilgang til en hel rekke ting, deriblant kalender og kontaktdata. Man kan jo anta at den eksempelvis vil ha tilgang til kalenderen for å kunne legge inn visninger, men det står ingen informasjon om formålet.

- Dette er en ulempe for forbrukeren, som ikke vet noe om hvordan opplysningene brukes, sier Årnes.

I blinde

Tilbake til Tiny Flaslight og appens skaper. Et annet spørsmål ved applikasjonen er – hvem er Nikolay Ananiev?

- Og stoler vi på ham?, spør Årnes, som mener man nærmest i blinde blir tvunget til å stole på at app-leverandørene kun bruker dataene til det de hevder de skal bruke dem til.

- Systemet er basert mye på tillit, påpeker Thon.

- I de aller fleste tilfeller har brukeren ingen forutsetninger for å vite om det er til å stole på. Og mangelfull informasjon gir igjen flere ubesvarte spørsmål. Appmarkedet har en stor informasjonsutfordring.

Han legger til at det må komme klarere frem hvem som er behandlingsansvarlig for opplysningene.

- Det medfølger en plikt om å informere hvorfor data samles inn, hva som samles inn, hva det skal brukes til, oppbevaringstid og sikkerhetstiltak, sier Thon.

Datatilsynet vil fortsette dialogen med bransjen, særlig med tanke på personvernspolicy. De vil også gjøre sin rapport kjent nasjonalt og internasjonalt for å sette søkelys på problemstillingen.

I sin undersøkelse baserte tilsynet seg altså på det som foreligger av informasjon, og gjorde dermed ingen konkrete undersøkelser av hva som faktisk blir sendt av data i praksis.

- Hadde det vært en idé å undersøke hva som sendes av konkrete data?

- Ja, det hadde det. Denne undersøkelsen er begynnelsen på vårt videre arbeid, sier Thon.