Dataforhandleren Huq Industries ville selge detaljert informasjon om nordmenns mobilbevegelser til NRK. Nå granskes selskapet av dansk datatilsyn etter et lignende datasalg.
– Jeg er sikker på at folk ikke vil forstå hva de sier ja til, sier Simen Sommerfeldt som er teknologidirektør i Bouvet og har vært medforfatter om en bok om det felleseuropeiske personvernregelverket kalt GDPR.
Sommerfeldt advarer folk om å være forsiktige når de installerer gratisapper som ber om å få tilgang til mobilens GPS-posisjon. Det kommer etter han har sett hva det britiske selskapet Huq Industries bruker som et eksempel på samtykke de bruker for å spore mobilbrukere.
I samtykket ber Huq Industries om å samle inn, bruke og videreselgere brukerens presise mobilbevegelser. Informasjonen skal brukes til å lage anonymiserte rapporter, trendanalyser, og markedsundersøkelser, ifølge selskapet.
Huq Industries selger også informasjon som kan brukes til å identifisere enkeltpersoner til andre selskaper.
– Man kan tolke mye ut av lokasjonsdata. For eksempel om man drar på jobbintervju eller er utro, sier Sommerfeldt.
Granskes i Danmark
I sommer avslørte danske TV2 at de hadde kjøpt detaljerte data om danskers mobilbevegelser via et analyseselskap. Slik kunne de spore over 60.000 danske mobiler og identifisere en rekke av eierne.
Det førte til at landets datatilsyn opprettet en granskning mot Huq Industries som solgte informasjonen.
– Vi vil finne ut om det er et lovlig grunnlag for å behandle personopplysninger, uttalte en av tilsynets jurister da granskningen ble kjent.
Dansk TV2 var inspirert av NRKs egne avsløringer i 2020 om bransjen. Selskapet som solgte NRK data er under etterforskning av det britiske datatilsynet ICO.
NRK var selv i kontakt med Huq Industries om kjøp av en datapakke med nordmenns presise mobilbevegelser. Da oppga selskapet at de hadde en «god dose» data om nordmenn.
Huq Industries ønsket ikke å gå ut med detaljerte tall før signering av en konfidensialitetsavtale, men oppga at det var snakk om færre enn 100.000 månedlige brukere for Norge.
Dansk datatilsyn opplyser til NRK at de basert på svarene Huq Industries allerede har gitt til tilsynet vil vurdere videre saksgang. Tilsynet kan på sikt utstede krav om stans av behandling av personopplysninger eller ilegge selskapet en bot.
Jurister mener samtykket er ulovlig
NRK har fått innsyn i dokumenter Huq Industries har sendt til det danske tilsynet. Det er her selskapet har delt et eksempel på hvordan de innhenter samtykker til å lovlig behandle personopplysninger.
– Totalt sett fremstår det for meg som klart at dette samtykket ikke er gyldig etter GDPR. Det betyr at Huq Industries har samlet inn og delt dataene uten rettslig grunnlag etter GDPR, noe som er ulovlig, sier Vebjørn Søndersrød som er partner i advokatfirmaet Ræder.
– Jeg mener at dette er ikke i overensstemmelse med GDPR, og jeg ville aldri gitt råd til en klient om å ha en slik løsning, sier advokat Jan Sandtrø.
NRK har gjentatte ganger forsøkt å få Huq Industries i tale, men de har ikke besvart våre henvendelser.
– Alt vi gjør er tilgjengelig på våre nettsider, sa Huq-sjef Conrad Poulson til NRK da vi ved en tidligere anledning kontaktet selskapet om deres intensjon om å selge data om nordmenn.
I sitt svar til dansk Datatilsynet oppgir Huq Industries at deres prosesser har blitt «undersøkt og bestått inspeksjon av både CNIL i Frankrike og FTC i USA». Det franske datatilsynet CNIL oppgir til NRK at de ikke har gjennomført verken en undersøkelse eller inspeksjon av selskapet.
Huq Industries oppgir at de kun bruker personopplysninger samlet inn fra apper de har et direkte samarbeid med for å sikre at informasjonen de bruker er innhentet i tråd med europeiske personvernlover.
– Alle Huqs kunder er kontraktuelt forpliktet til å ikke forsøke å identifisere enkeltpersoner ved å analysere dataene.
- Norge innførte personopplysningsloven i 2018. Den viktigste delen av loven er det som kalles EUs personvernforordning (GDPR), et regelverk som dekker alle EØS-land.
- Under personvernforordningen er det kun seks lovlige måter å behandle nordmenns personopplysninger. Personopplysninger kan være navn, fødselsnummer, seksuell orientering, og informasjon om hvor du befinner deg.
- Å samtykke er en av de seks behandlingsgrunnlagene. Loven sier at et samtykke skal være «frivillig, spesifikk, informert og utvetydig».
- Litt enkelt betyr det at man ikke kan tvinges til å samtykke, man må kunne forstå hva man sier ja til, og at det er tydelig avgrenset.
Android-brukere spores mer
Huq Industries samlet inn data fra minst 576 ulike apper, ifølge dansk TV2 som analyserte datapakken de fikk tilgang til. Analysen viste også at det var mye mer sannsynlig at Android-brukere ble sporet enn iPhone-brukere – bare 1,75 prosent av dataene stammet fra iPhone-brukere.
Ved hjelp av Sean O’Brien fra ExpressVPN’s Digital Security Lab og Esther Onfroy fra Defensive Lab Agency, har NRK identifisert at Huq Industries legger igjen kodesignaturen «io.huq.sourcekit» i appene de samarbeider med.
Ifølge appscanneren til Privacy Exodus er denne kodesignaturen til stede i minst 103 Android-apper. Verktøyet analyserer kun apper som har blitt innsendt av brukere så den tar ikke for seg alle apper i Googles appbutikk.
Det er mange forskjellige typer apper som samarbeider med Huq Industries og andre dataforhandlere. En av disse appene, Qibla Compass, hjelper muslimer å ha oversikt over bønnetider og viser retningen mot Mekka.
En annen, værappen Simple Weather, gir deg været akkurat der du er, men deler informasjon med Huq Industries og analyseselskaper om brukeren samtykker til det.
NRK har gjentatte ganger forsøkt å komme i kontakt med apputviklerne, men kun lyktes å få svar fra Daniel Fortuna som står bak appen Simple Weather.
– Vi gjør alt vi kan for å være i henhold til prinsippene i GDPR og personvernreglene Google har for apper, skriver Fortuna.
Fortuna oppgir at hovedhensikten med å samarbeide med datapartnere er å «tilby anonym statistisk informasjon» for å vurdere kvaliteten på mobilnettverk. Dette er hovedformålet til tre av partnerne, men ikke Huq Industries. NRK har spurt Fortuna om dette, men foreløpig ikke fått noe svar.
Fortuna oppgir at det er deres partneres ansvar å operere i henhold til personvernregler og å gjøre grep for å anonymisere informasjonen.
Usikker på om du har en av appene? Dansk TV2 har en liste over 58 mobilapper som samarbeider med Huq Industries og du kan sjekke Android-apper hos Exodus Privacy.
Undersøkes av Google
Google har tydelige retningslinjer for apper i deres nettbutikk som behandler «personlig og sensitiv brukerdata». Der fremgår det at mobilbevegelser ikke kan selges videre.
Fortuna, som utvikler appen Simple Weather, oppgir på sin side at de ikke har fått noen negative tilbakemeldinger fra Google om deres datapartnere eller personvernpraksiser.
NRK kontaktet Google allerede 7. juni om Huq Industries og deres app-partnere opererer i strid med deres retningslinjer. Google bekrefter overfor NRK at de undersøker selskapet, men at de ikke har konkludert i saken.
Google har tidligere fjernet tre andre liknende selskaper – Safegraph, Outlogic (tidligere X-Mode), og Predicio – fra sin appbutikk. Det er 47 selskaper innen lokasjonsdataindustrien, ifølge det amerikanske nettstedet The Markup.
De siste årene har Google og Apple også strammet inn hvor enkelt det er for mobilapper å samle inn og videredele brukernes presise mobilbevegelser.