Annonseindustrien bryter loven når den høster inn persondata

Vi vet at vi blir overvåket når vi er på nettet, og vi vet at det samles inn opplysninger om oss gjennom appene vi bruker. EUs personvernregler, GDPR, skulle beskytte oss mot misbruk. De skulle sørge for at vi informeres om hvordan opplysningene brukes, og at vi skal ha mulighet til å si nei til at opplysninger samles inn.  Men rapporten som Forbrukerrådet lanserte i dag, fastslår at det likevel begås massive lovbrudd.

Rapporten har blant annet blitt omtalt i New York Times. Den viser hvordan store mengder sensitiv informasjon samles inn via ulike apper. Denne informasjonen brukes til å lage profiler som igjen brukes til personlig og målrettet markedsføring. Praksisen er utbredt. De ti appene Forbrukerrådet har sett på, leverte persondata videre til i alt 135 selskaper involvert i reklame og markedsføring. Mange av disse deler igjen data med en lang rekke partnere. Bare sminkeappen Perfect365 delte alene brukerdata med 70 selskaper.  Mange av disse lever av å bruke, selge eller videreformidle data for kommersielle formål.

Ifølge Forbrukerrådet er innsamling og bruk av persondata helt ute av kontroll.

At det samles inn data om oss, er noe vi har visst lenge. Forbrukerrådet mener likevel det er grunn til bekymring. For det første viser rapporten at dette skjer i et langt større omfang enn de fleste av oss er klar over. For det andre dokumenter den til dels grove og omfattende brudd på personvernlovgivningen.

Ifølge Forbrukerrådet er innsamling og bruk av persondata helt ute av kontroll. Det overføres opplysninger om forbrukere til selskaper de færreste har hørt om. I praksis har vi som forbrukere liten eller ingen mulighet til å undersøke hva som faktisk foregår, langt mindre ta stilling til om vi synes det er ok.

Rapporten vil kunne få rettslige konsekvenser. Grindr, en populær dating-app for homofile, bifile og transpersoner, anmeldes til Datatilsynet for brudd på personvernlovgivningen. Mer enn 20 forbrukergrupper verden over følger også opp klagene, og varsler sine myndigheter om funnene med krav om at praksisen må opphøre.

Samtidig anmeldes også fem langt mindre kjente selskaper som lager personlige profiler av informasjonen de samler inn. Profilene samler data fra ulike plattformer, og kan gi et ganske detaljert bilde av hva hver enkelt av oss liker og kjøper, våre seksuelle preferanser og politiske ståsted. Slike «digitale tvillinger» som Forbrukerrådet kaller det, selges så på digitale reklamebørser.

I praksis tagges enkeltpersoner med sin seksuelle orientering.

Grindr overfører for eksempel brukerdata sammen med navnet på appen til flere selskaper – i praksis tagges enkeltpersoner med sin seksuelle orientering. Appen sender også stedsdata til en rekke selskaper som igjen kan spre disse opplysningene til flere. Grindr er en av appene som installerer programvare som gjør det mulig å spore hvor brukere befinner seg, og hvor denne informasjonen deles med tredjeparter.

De personlige dataene som trekkes ut vil typisk være knyttet til en bruker-sporingskode som er unik for hver mobiltelefon. Selskaper bruker kodene til å bygge profiler rundt personer over tid og på tvers av flere apper og nettsteder. Selv uten at navn benyttes, kan individer identifiseres og lokaliseres på denne måten.

For å gjøre dette benytter Grindr en programvare som heter MoPub, som eies av Twitter. Mopub deler igjen data med mer enn 180 partnere.  Som følge av rapporten har Twitter midlertidig stoppet MoPubs Grindr-konto, og etterforsker appens samtykkeregler, skriver New York Times.

Rapporten har gått grundig til verks: Datatrafikken fra ti populære mobil-apper er analysert. De ti er Grindr, Perfect365, MyDays, Clue, Tinder, OkCupid, Happn, My Talking Tom2, Muslim – Qibla Finder og Wave Keyboard Background. Ut fra disse testene, er det mulig å danne seg et bilde av praksisen til en helt ny industri som lever av å samle inn og videreselge data.

Ingen av appene som ble undersøkt ga brukerne nok informasjon til å danne seg et bilde av datainnsamlingen som foregikk, eller danne et grunnlag for et informert samtykke. Det fantes heller ingen innstillinger som kunne begrense videreformidling av informasjon til tredjeparter. Valget du har som forbruker blir derfor et enten eller: enten laste ned appen og godta at data samles inn, eller ikke ta i bruk appen i det hele tatt.

Regelverket kan være godt og riktig på papiret, men lite nyttig dersom det ikke følges opp i praksis.

To spørsmål tvinger seg fram. For det første kan man lure på om GDPR har blitt en stor vits. Det er latterlig lett å si ja til å gi fra seg opplysninger, men tilsvarende vanskelig å reservere seg. I mange tilfeller er det umulig dersom man ønsker å bruke appen. Regelverket kan være godt og riktig på papiret, men lite nyttig dersom det ikke følges opp i praksis.

Samtidig er det viktig å huske på at dataene som samles inn, ikke bare brukes til målrettet reklame, men også til å utvikle nye og viktige tjenester basert på stordata. For eksempel kan opplysninger om hvor folk beveger seg og ferdes danne grunnlag for bedre transporttjenester og bedre planlegging av byene våre. Akkurat når vi for alvor har begynt å få øynene opp for at data kan gi Norge nye arbeidsplasser og verdiskapning, virker det ikke riktig å la strenge personvernregler blokkere for disse mulighetene.

Vi trenger en ny forretningsmodell som legger til rette for datadrevet innovasjon.

For det andre kan man spørre seg om den overvåkingsfinansierte forretningsmodellen som har blitt så populær på internett, er moden for utskifting. Maskinlæring gjør det mulig å finne mønstre i hva vi gjør på nettet og på mobilen, og bruke det til målrettet markedsføring.  Til sammen gir data om hvor du befinner deg, hva du handler og hvilke sider du liker, et ganske presist bilde av hvem du er og hva du liker. Det kan gi informasjon som er relevant og nyttig, men vi har liten eller ingen mulighet til selv å ta styringen på hvilke opplysninger vi gir fra oss, og hva som skjer med disse opplysningene videre.

Dette utfordrer personvernet, og det gjør oss sårbare for påvirkning. Vi trenger en ny forretningsmodell som legger til rette for datadrevet innovasjon, men uten at det er teknologiselskapene som tjener store penger på opplysninger om oss som vi får tilbake i personrettet reklame.