Etter Sveriges Televisions avsløringer om hvordan datingappen Grindr forvalter personopplysninger oppgir selskapet at de skal slutte å dele brukeres hiv-status med to amerikanske selskaper. Forbrukerrådet klager også selskapet inn for brudd på personopplysningsloven.
Grindrs sikkerhetssjef, Bryce Case, sier til det amerikanske nettstedet Axios at de nå vil slutte å dele hva brukere har oppgitt som sin hiv-status gjennom appen med to amerikanske analyseselskaper.
Selskapet understreker at brukernes selvrapportering om hiv-status og siste hiv-test ikke blir videreformidlet til annonsører og sendes kryptert. Samtidig forteller Case til Axios at Grindr er et «åpent forum» hvor alle brukere av appen kan se informasjonen man legger ut.
Grindr er en app med mer enn 3,6 millioner daglige brukere rettet mot LHBT-miljøet.
Siden Sveriges Television (SVT) i mars sendte en reportasje om datingappene Grindr, Happn, og Tinder har Grindr vært i hardt vær for hvordan de behandler sensitive personopplysninger som hiv-status, seksuelle preferanser, og kjønnstilhørighet.
I tillegg avslørte Sintef-rapporten at selskapet ukryptert delte informasjon om brukere til annonserører.
Klaget inn til Datatilsynet
Forbrukerrådet klaget tirsdag Grindr inn til Datatilsynet for brudd på personopplysningsloven.
I klagen skriver Forbrukerrådet: «Opplysninger om seksuell legning og helseforhold er sensitive personopplysninger under europeisk lov. Grindr behandler sensitive opplysninger, slik som HIV-status, legning og seksuelle preferanser.»
I tillegg er Forbrukerrådet skeptiske til at dataene overføres til USA som har et svakere personvernregelverk enn i Norge og Europa.
Datatilsynets direktør, Bjørn Erik Thon, forteller at de har mottatt klagen, men at den først vil behandles etter 25.mai når det nye regelverket for personvern trer i kraft.
– Nå vil vi koordinere vår behandling med tilsyn i andre europeiske land, og det er naturlig at det tas opp i et større forum, sier Thon.
Det nye regelverket vil blant annet gjøre det enklere å behandle klager mot selskaper uten kontor i Norge, men som retter tjenester mot nordmenn.
Delte data ukryptert
Det var forsker Antoine Pultier ved Sintef som gjennomførte den tekniske undersøkelsen av datingappene Grindr, Happen, og Tinder for SVT.
– Vi gjorde testen ved å ha mobiltelefonens internettforbindelse gjennom en datamaskin. På datamaskinen brukte vi programmene Fiddler og Wireshark til å overvåke hva appene sendte av data og til hvem, sier Pultier.
Fra Grindr kunne Pultier blant annet lese ut en brukers presise GPS-posisjon, kjønn, alder, seksuelle preferanser, og mobiltelefonens annonse-ID og andre kjennemerker.
– Jeg ble overrasket over hva Grindr sendte av data og hvor lite kontroll de hadde på dem. Hvis jeg skal gjette tror jeg det var et annonsenettverk i appen som sendte data ukryptert, men det er bare min gjetning.
Til sammenlikning delte også Happn og Tinder data med tredjeparter, men dette foregikk kryptert og ingen av dem ba om brukerens hiv-status.
Hvor viktig er det at Grindr krypterer dataene de deler utenfor appen?
– Når data sendes ukryptert er det svært enkelt å få mye informasjon om brukeren og hvor de fysisk oppholder seg. Jeg synes dette er ekstremt alvorlig siden vi vet at dette kan få noen drept i enkelte land.
Selvkritikk for egen personvernhåndtering
Antoine Pultier la ut rådata fra testen som ble gjennomført i Stockholm på nettstedet Github.
Flere brukere reagerte på at Pultier slik eksponerte personlig informasjon om intetanende brukere i området da testen ble utført. Det inkluderte bilder og sensitive data som oppgitt hiv-status, ifølge Github-brukeren joeycastillo.
Pultier har nå gjort dataene utilgjengelig gjennom Github for at detaljene ikke skal spres videre, om dataene gjenpubliseres er foreløpig uvist.
– Jeg forstår at det var unødvendig å legge alle dataene tilgjengelig, men selskapets vilkår sier at alt som legges ut er offentlig informasjon, sier Pultier.
Mener du at det er brukernes feil at deres informasjon ble lagt ut?
– Folk leser ikke vilkår på apper og vet derfor ikke hva som deles, men man må være advokat og ha mye tid for å forstå hva man sier seg enig i.