Forbrukerrådet går i strupen på markedsføringsbransjen og en rekke «verstingapper» i en fersk rapport. De mener auksjoner som gir brukere personalisert reklame bidrar til å bryte personopplysningsloven (GDPR).
– Hensikten med Grindr er å tilby kontakt mellom menn som ønsker å finne en seksuell partner. Vi kan både avlede seksuell legning og aktivitet siden også posisjonen til brukerne stadig blir delt av Grindr. Dette er svært sensitiv informasjon, sier Simen Sommerfeldt, teknisk sjef i konsulentselskapet Bouvet.
Sommerfeldt har lest Forbrukerrådets rapport, og mener funnene er oppsiktsvekkende.
– Grindr utgjør ikke bare en risiko for brukerne, men også for arbeidsgivere og nasjonalstater, sier Sommerfeldt.
Forbrukerrådet har analysert hvordan ti populære apper har delt persondata om sine brukere. De mener sjekkeappen Grindr skiller seg negativt ut: Data om brukerne ble delt med minst 20 selskaper.
De fleste av selskapene ble tilsendt en unik ID for mobilen og appens navn, noe som kan avsløre brukernes seksuelle preferanser. Ti selskaper fikk også tilsendt mobilens nøyaktige GPS-posisjon.
Seks partnerselskap ble også sendt nøkkelord som kan antyde at brukeren er homofil eller bifil, ifølge den tekniske analyse som ble gjennomført av Mnemonic.
– Selv om informasjonen ikke blir spredt i dag, kan en database bli hacket i fremtiden, eller informasjonen plutselig dukke opp av andre grunner. Det betyr at brukerne må leve i usikkerhet hele livet, sier Sommerfeldt.
At Grindr behandler sensitive data er også en av grunnene til at amerikanske myndigheter krever at de kinesiske eierne selger appen innen juni 2020.
Dette er heller ikke første gang Grindr er i hardt vær for sitt arbeid med personvern. I 2018 avslørte SVT at selskapet sendte brukeres oppgitte hiv-status til to amerikanske selskaper, noe de senere sluttet med.
Globalt har Grindr 1,7 millioner daglige brukere, ifølge analysetjenesten AppTopia.
Grindr ble torsdag tilsendt utdrag fra den tekniske analysen sammen med en rekke oppfølgingsspørsmål, men har valgt å svare med en uttalelse:
– Vi har ikke blitt tilbudt en kopi av rapporten og vi kan ikke kommentere spesifikt på innholdet. Vi kan si at personvernet og sikkerheten til våre brukeres personlige data er og alltid vil være en kjerneverdi for Grindr, skriver kommunikasjonsenheten i Grindr, som henviser til sin personvernerklæring for mer om hvordan de bruker persondata og hvilke valgmuligheter brukerne har. Du kan lese hele uttalelsen i bunnen av saken.
Forbrukerrådet: Tvinges til å la seg spore
For å bruke appen må brukeren akseptere at informasjon deles med en rekke tredjeparter, mener Forbrukerrådet.
Mange brukere av Grindr er ikke åpent homofile eller bifile. At de bruker appen deles likevel med en unik ID tilknyttet mobilen. Det er alvorlig, mener Foreningen for kjønns- og seksualitetsmangfold (FRI).
– Det mange som ikke viser ansiktet på Grindr og som bevisst gir lite informasjon om seg selv. For eksempel av sikkerhetsgrunner, sier leder Ingvild Endestad i FRI.
– Det er en grunn til at vi fortsatt har hemmelige medlemslister. Når vi sender ut post skal det ikke se ut som det kommer fra oss. Det gjelder også de som mottar Blikk (skeivt magasin, red.anm.). Man er forsiktig når man sender ut noe til en sårbar minoritetsgruppe.
– System ute av kontroll
De siste årene har en rekke forbrukerorganisasjoner og europeiske datatilsynet sett nærmere på hvordan markedsføringsbransjen deler persondata for å tilby personaliserte annonser.
– Det er umulig for meg å ta et informert valg når jeg ikke vet hvordan informasjonen om meg blir brukt, hvor den blir sendt, og hva slags informasjon den blir koblet sammen med, sier Blyverket.
Forbrukerrådet mener det er en rekke praksiser i markedsføringsbransjen som burde bli ulovlig.
– En app kan dele informasjon til kanskje fire-fem selskaper, som igjen deler informasjonen til ti nye selskaper. De deler den igjen med 168 selskaper, som igjen deler med fire tusen selskaper, sier Blyverket, som mener Grindr et godt eksempel på et «system ute av kontroll».
- Nettsider og apper viser oss «personaliserte annonser». Markedsføringsbransjen argumenterer for at de øker sannsynligheten for at du ser produkter du liker, og slik er et gode for alle.
- Systemet baserer seg på såkalte sanntidsauksjoner der brukeres data deles med en rekke selskaper. Basert på informasjonen de får (og allerede har om brukeren) byr de på å få vise en annonse. Den som byr mest får vise annonsen.
Budrunde basert på persondata skaper et press om å samle inn informasjon om brukere, ifølge Forbrukerrådet. Nå klager de inn seks selskaper for Datatilsynet. De mener de har brutt personopplysningsloven (GDPR).
De håper klagen kan få slutt på at nettsider og apper deler informasjon om brukere hver eneste gang de ser en annonse, eller installerer en app.
Behov for felles regelverk
Bransjeorganisasjonen INMA representerer markedsførerne i Norge. Camilla Grund oppgir til NRK at det er en kjent problemstilling at persondata deles med flere aktører.
I appen Grindrs tilfelle er det MoPub, et selskap eid av Twitter, som videreformidler kontakt med 11 selskaper. I tillegg har en rekke selskaper installert sin egen programkode (SDK) som gir dem informasjon om Grindr-brukere.
Bransjen jobber med et felles rammeverk som vil gi forbrukere mer kontroll over hvordan de deler blant annet lokasjonsdata, i tillegg vil lokasjonen være mindre nøyaktig.
– Dette illustrerer behovet for en felles bransjeløsning som i praksis gir større kontroll gjennom hele verdikjeden. Bransjen må ta et felles grep. Det holder ikke at aktørene hver for seg overholder en gitt standard eller forskrift, sier Grund.
I løpet av 2020 skal de starte dialog med myndigheter og brukere i Norge om det nye rammeverket.
Etter at saken ble publisert uttalte Twitter til New York Times at de vil deaktivere Grinders MoPub-konto inntil de har undersøkt om Grindr i tilstrekkelig grad oppfyller deres krav til samtykke.
Grindr svarer gjennom deres pressemail at:
«Vi har ikke blitt tilbudt en kopi av rapporten og vi kan ikke kommentere spesifikt på innholdet. Vi kan si at personvernet og sikkerheten til våre brukeres personlige data er og alltid vil være en kjerneverdi for Grindr. Grindr bruker rammeverket «privacy by design», og vår personvernerklæring forklarer hvordan Grindr bruker persondata som mottas og hvilke muligheter brukerne har. Dette, sammen med andre sikkerhetstiltak, hjelper våre brukere å kommunisere trygt, og de viser at vi respekterer våre brukeres personvern.»
– Takk for at du har gjort oss oppmerksom på dette. Vi har ikke vært kjent med dette forholdet og vi skal nå undersøke det nærmere, sier Emily Riley på vegne av Saamto, en av selskapene som mottok data om Grindr-brukere, som fortsetter:
– Gitt at rapporten i sin helhet ikke er tilgjengelig for oss, inkludert hvordan testingen er gjort kan vi ikke svare grundigere på nåværende tidspunkt.
Alexis Roberts i PR-byrået Blas PR skriver på vegne av AdColony at: «De har vært et foregangsselskap innenfor positive mobilopplevelser» fra starten av.
– Vi fortsetter å støtte forbrukeres personvern og respekterer alles rett til å utøve det samtidig som mobilappindustrien fortsetter å vokse. Vi er sertifisert av ePrivacy og andre industriordninger.
– Jeg vil komme tilbake om vi har noe å bidra med, skriver Caroline Smith i Xandr, som eier AppNexus.
MoPub og OpenX har også bli klaget inn til Datatilsynet, men de har ikke ønsket å svare på NRKbetas henvendelser.