Mandag 23. mars 2020 Kultur og medier

Gjennom en klage på sjekkeappen Grindr vil Forbrukerrådet få bukt med at selskaper misbruker persondata:

Overvåkes via sjekkeapp

STOREBROR SER HAM: Sjekkeappen Grindr deler opplysninger om Rolf Martin Angeltvedts legning, kjønn, alder og lokasjon med 19 selskaper, som igjen kan dele informasjonen videre. – Det er bekymringsverdig at denne typen selskaper ikke tar personvern mer alvorlig, sier han.

Tusenvis av selskaper kan vite hvor Grindr-bruker Rolf Martin Angeltvedt befinner seg. Det kan det snart bli satt en stopper for.

MEDIER

Det er lite tegn til koronakrise på sjekkeappen Grindr, forteller Rolf Martin Angeltvedt.

Han er én av mer enn tre millioner mennesker som bruker det sosiale nettverket for homofile, bifile og transpersoner. Da han sist sjekket appen i går, så det ut til å være full aktivitet. Mange bruker den for å finne sexpartnere.

– Hvis Grindr hadde vært litt mer samfunnsbevisst, hadde de kanskje sperret tjenesten i to uker. Men det er kapitalen som rår, og det gjenspeiles sikkert i hvordan de forholder seg til persondata også, sier Angeltvedt, som er daglig leder for Helse­utvalget, en stiftelse som jobber med hiv og seksuell helse.

Sjekkeappen Grindr er i hardt vær etter at Forbruker­rådet i januar laget en omfattende rapport om hvordan et utvalg selskaper deler informasjon om brukerne i stor skala.

Rådet har klaget inn Grindr og fem andre selskaper for brudd på personvernlovgivningen, og nå har Datatilsynet bedt sjekkeappen om å svare for seg. Forbrukerrådet mener å ha påvist at Grindr bryter loven når brukernes legning, kjønn, alder og lokasjon kan deles med tusenvis av selskaper.

– Det er bekymringsverdig at denne typen selskaper ikke tar personvern mer alvorlig. Vi trenger ikke reise lenger enn til Polen før det blir problematisk om myndighetene får oversikt over hvem som bruker Grindr, sier Angel­tvedt.

FAKTA

Grindr:

• Verdens største sosiale nettverk-app for homofile.

• Appen er lokasjonsbasert, slik at brukerne kommer i kontakt med personer i sitt nærområde.

• Etablert i 2009, har i dag mer enn tre millioner brukere i over 200 land.

• Forbrukerrådet har klaget inn Grindr til Datatilsynet for brudd på personvernlovgivningen.

• Klagen omfatter også selskapene MoPub, AppNexus, OpenX, AdColony og Smaato. Dette er selskaper som samler inn og videresender data fra Grindr og andre apper.

Tester amerikanerne

For tre uker siden sendte Data­tilsynet et brev til Grindr, der de ber om svar på åtte spørsmål innen 25. mars. Fem andre selskaper som mottar og videresender person­opplysninger fra Grindr, har også fått brev.?Direktør Bjørn Erik Thon forteller at det er interessant å se hvor langt Datatilsynet kan komme med den europeiske personvernforordningen, kjent som GDPR, overfor et amerikansk selskap som ikke har kontor i Europa.

– Denne saken setter søkelys på ansvaret til amerikanske selskaper som opererer i Norge. Det er et viktig prinsipp at også selskaper som ikke har kontor i europeiske land, er omfattet av regelverket, sier han.

Likevel er dette en av de aller første sakene hvor noen prøver dette prinsippet siden regelverket ble innført i 2018, forteller Thon.?Datatilsynet mener bestemt at selskapene er forpliktet til å følge GDPR.

– Vi får se om Grindr og de andre selskapene prøver å utfordre dette på noen måte, sier han.

Dersom tilsynet konkluderer med at det er begått lovbrudd, kan de be selskapene slutte med sin praksis eller ilegge dem overtredelses­gebyr.

Kan lage «digital tvilling»

Gro Mette Moen, fagdirektør i Forbrukerrådet, forteller at klagen mot Grindr og fem andre selskaper handler om én grunnleggende problem­stilling:

– Vi adresserer egentlig hele overvåkingsøkonomien. Det er en hel bransje av selskaper som spionerer på alt vi gjør og behandler informasjon om våre liv som en vare, sier hun.

I rapporten «Out of control» beskriver Forbrukerrådet hvordan ti apper samler inn og deler brukernes personopplysninger med tredjeparter. Alle smarttelefoner har en reklameidentifikator, en kode, som kan sendes videre sammen med personopplysninger fra ulike apper.

Forbrukerrådet fant at alle appene de undersøkte, deler denne identifikatoren med andre. Det gjør at selskaper som samler inn persondata, kan bruke identifikatoren til å kople sammen opplysninger om deg fra flere apper og dermed lage en «digital tvilling». ?

«Tvillingen» kan brukes til å målrette budskap eller selges videre til andre selskaper. På digitale reklamebørser byr annonsører på muligheten til å vise deg målrettet reklame. Alle som byr på oss, får tilgang på informasjonen.

– Dette er en veldig problematisk forretningsmodell, som bygger på kontinuerlige lovbrudd, sier Moen.

Et eksempel: Hvis du bruker sjekke­appen Grindr, en app for muslimer og en barneapp som Talking Tom, kan en rekke selskaper finne ut at du trolig er en homofil muslim mann med små barn.

Når lokasjonen din og identifikatorer i tillegg sendes og deles, får selskapene et veldig omfattende bilde av deg.

Moen viser til at informasjonen kan bli misbrukt, slik man så i Cambridge Analytica-skandalen. Selskapet samlet inn private opplysninger om mer enn 50 millioner Facebook-brukere, som så ble brukt i Donald Trumps valgkampanje i 2016.

?– Når noen vet så mye om oss, kan vi manipuleres til å kjøpe ting og bli utsatt for prisdiskriminering, og selskaper kan vite hva vi er spesielt sårbare for. Det er en stor maktasymmetri, der forbrukerne stiller svakt, sier Moen.

Deler med 4000 selskaper

Forbrukerrådet har i denne omgang bare valgt å klage på Grindr og fem selskaper som mottok personopplysninger fra datingappen.

– Gjennom Grindr er det veldig intim informasjon som deles. Bare det at man bruker appen, indikerer hvilken legning man har, og det er i seg selv informasjon som skal ha særlig beskyttelse. Vi må gå etter selskaper som vi har gode beviser på, men vi er opptatt av at det er en hel industri som gjør dette, sier Moen.

I sin undersøkelse fant Forbrukerrådet at Grindr deler personopplysninger med 19 ulike selskaper, noe selskapet opplyser i sine brukervilkår. Ett av disse er MoPub, som igjen kan dele personopplysninger med 170 selskaper.

Ett av disse 170 selskapene kan dele opplysningene videre med over 4000 selskaper.

– Dette viser at denne informasjonsdelingen er helt ute av kontroll. Og alt blir samlet for å brukes kommersielt, sier Moen.

– Hva kan bli konsekvensen av at Grindr deler disse personopplysningene med andre?

– Grindr er spesiell fordi appen retter seg mot en gruppe som i enkelte land er kriminalisert. At man har lokasjonsdata på homofile, kan misbrukes. Vi ser at homofile i mange land blir forfulgt på grunn av sin legning, sier Moen. ?

Kuttet hiv-status

I henhold til GDPR må selskaper ha lovlig grunnlag for å behandle og videresende personopplysninger om oss. Det gjelder også dersom de sender identifikatoren din til tredjeparter. Et slikt grunnlag kan være samtykke, men det er strenge krav til hva som er et lovlig samtykke.

– Veldig mye av datadelingen som skjer for å tilrettelegge for målrettet reklame, er ikke tillatt. Problemet er så stort at myndighetene ikke helt har klart å ta tak i det. Når det er den rådende forretningsmodellen som er ulovlig, blir det ganske krevende, sier Gro Mette Moen i Forbrukerrådet.

Hun presiserer at det å dele identifikatoren din med andre kan være legitimt for å kunne levere gode tjenester.

– Det forutsetter at informasjonen beskyttes og behandles forsvarlig, sier hun.

For to år siden avslørte SVT at Grindr delte brukernes hiv-status med to utenforstående selskaper, noe appen deretter sluttet med. I sine bruker­vilkår spesifiserer Grindr at de verken deler hiv-informasjon eller opplysninger om hvorvidt brukerne tilhører en «tribe» (ulike definerte grupper, som trans).

Vet hvor du er

Det er imidlertid ukjent om Grindr deler annen informasjon man kan legge inn i appen: høyde, vekt, kroppstype, seksuelle preferanser, etnisitet eller sivilstatus.

Moen påpeker at lokasjonsdata, som Forbrukerrådet har påvist at appen deler, er vel så intim informasjon.

– Det er kjempeprivat. Hvis noen vet hvor du er til enhver tid, kan de få vite alt om deg. Hvem du er sammen med, når du endrer vaner, om du går i moskeen eller på homo­bar.

– Hva er anbefalingen din til dem som bruker appen?

– Vi er veldig forsiktige med å skyve ansvar over på forbrukerne. Det er selskapene som lever av å behandle informasjon om oss som bryter loven, og det må de slutte med.

Rundt 40 forbrukergrupper og menneskerettighets­organisasjoner verden over stiller seg bak klagen fra Forbrukerrådet. Moen har store forhåpninger om endring hvis klagen går gjennom.

– Det vil gi et veldig kraftig signal om at selskapene ikke bare kan fortsette som før. Vi har tro på at dette kan få stor effekt for hele internett.

Klassekampen har stilt flere spørsmål til Grindr og de fem andre selskapene via deres respektive pressetjenester. En talsperson for Twitter, som eier MoPub, skriver i en e-post: «Vi undersøker nå dette spørsmålet for å forstå tilstrekkeligheten i Grindrs samtykkemekanisme. I mellomtida har vi deaktivert Grindrs MoPub-konto.»

En talsperson for AdColony skriver at selskapet av prinsipp ikke kommenterer på­gående juridiske saker.

mariv@klassekampen.no

BEKYMRET: – Vi trenger ikke reise lenger enn til Polen før det blir problematisk om myndighetene får oversikt over hvem som bruker Grindr, sier Rolf Martin Angeltvedt.
Gro Mette Moen
Bjørn Erik Thon