På mobilen har jeg 160 apper. Nøyaktig hva de gjør er jeg egentlig ikke sikker på. Men det bestemte jeg meg for å finne ut av.
Read the English version of the article.
Jeg har en følelse av at appene spionerer på meg. Ikke at de lytter på hva jeg sier, men at de vet hvor jeg er. At de deler mine minste bevegelser videre. Når jeg er på butikken, ute på byen eller med venner.
Jeg vet det finnes noen som kjøper og selger slik informasjon. Hvordan sporer de oss og hva vil de egentlig med våre data?
For å få svar på disse spørsmålene startet jeg i februar et eksperiment. Jeg skaffet meg en ekstramobil og installerte massevis av ulike apper. Den skulle jeg så bære med meg overalt.
Eller nesten da. Jeg lot den ligge igjen hjemme da jeg tok en koronatest den 6. april.
Lett å misbruke
Det er en god grunn til at følelsen av å bli overvåket har blitt sterkere med årene. I vår var jeg en del av et NRK-team som dokumenterte at over 8300 mobiler ble sporet mens de oppholdt seg på sykehus og krisesentre.
I bytte mot 35.000 norske kroner hadde vi fått tilgang på stedsdata som viste hvor titusenvis av nordmenn hadde beveget seg i 2019.
En av dem var 31 år gamle Karl Bjarne Bernhardsen fra Stavanger. Informasjon gjorde at vi enkelt kunne identifisere ham, selv om selgeren hevdet dataene var anonymisert.
Da vi ringte ham kunne vi fortelle ham hvor han hadde vært, nesten dag for dag, gjennom 2019. Dyrepark. Jobbintervju. Og på sykehus, hvor han hadde vært i flere dager da han ble far for første gang.
– I feil hender kan det bli misbrukt av hvem som helst, sa Karl til oss da han sto frem med sin historie om å bli sporet.
– Et forræderi
Det er et vanlig refreng at kommersiell overvåkning ikke er så farlig: «Det brukes jo bare til annonser.» Men det er etter hvert blitt mange som er ute etter sporene som mobilene våre legger igjen.
Nylig avdekket nettstedet Vice Motherboard at det amerikanske militæret kjøpte data om mobilbevegelser og at en muslimsk bønneapp sendte slike data til selskaper innen den amerikanske forsvarsindustrien.
«Det føles som et forræderi», var reaksjonen fra lederen av en forening for islam-amerikansk samarbeid.
I 2018 ble eieren av en nedlagt Kentucky Fried Chicken-restaurant i grensebyen San Luis arrestert. Han skal ha bidratt til å bygge en tunnel mellom Mexico og USA for å smugle narkotika under grensen.
Operasjonen skal ha blitt avslørt delvis på grunn av at immigrasjonsmyndighetene (ICE) analyserte kommersielt tilgjengelig informasjon om mobilbevegelser, ifølge Wall Street Journal.
Etterhvert skal de kommersielle dataene ha blitt delt med avdelingen hos immigrasjonsmyndighetene som tar seg av deportasjoner, ifølge avisen. Den amerikanske toll- og grensemyndigheten (CBP) har også inngått en avtale om å kjøpe «global» tilgang til slike data.
Det er altså ikke helt uten grunn at journalister i NRK blir bedt om å tenke oss om to ganger før vi tar telefonen med når vi skal møte anonyme kilder. Myndigheter kan få tilgang på informasjon om hvor vi er, selv uten godkjennelse fra en domstol.
Om mine mobilbevegelser kommer på avveie kan det få konsekvenser for andre enn meg selv. Det er min største frykt – at noen som har fortalt meg noe i fortrolighet skal bli avslørt.
Jeg ber om innsyn
Selskapet som leverte informasjonen om frityrkylling-restauranten til ICE heter Venntel. Ifølge selskapets forretningspapirer holder de til i en industriklynge i delstaten Virginia.
Der finner man kjente og kjære navn innen forsvarssektoren som Lockheed Martin, selskapet bak jagerflyet F-35, og Edward Snowdens tidligere arbeidsgiver Booz Allen Hamilton. En kort kjøretur øst ligger Langley, Virginia. Hovedkvarteret til CIA.
20. august ba jeg selskapet om en kopi av all informasjon de hadde om meg. Det har vi alle rett til å gjøre, som følge av personvernforordningen (GDPR), som ble vedtatt i 2018.
Dagen etter spurte Venntels juridiske avdeling meg om å oppgi noen adresser jeg nylig hadde besøkt.
«Når vi har denne informasjonen vil vi sjekke om annonserings-IDen du oppga ligger i vår database», stod det i eposten.
«Annonserings-ID» er noe alle smarttelefoner har. Det er denne som er nøkkelen til å spore mobilbrukere over tid og på tvers av apper. Mobileiere kan begrense hvor enkelt det er å få tak i denne IDen, men få benytter seg av muligheten.
Venntel fikk adressen til NRK Marienlyst, Bjørnstjerne Bjørnsons plass 1, og leiligheten min.
Data til salgs
Nesten en måned senere ble jeg tilsendt et interessant vedlegg fra Venntel. Det var en logg på 75.406 registreringer av hvor jeg hadde vært siden 15. februar. Jeg kunne plutselig følge mine egne bevegelser tilbake i tid – på tur i Oslomarka, på byen, og på reise til min farmor på Sørlandet.
Det var ingen telefonnumre eller navn i dataene, likevel ville det vært enkelt for nærmest hvem som helst å finne ut at det var mine bevegelser. Noen enkle søk på Google og Gule sider ville vist at det var en Martin Gundersen som bodde i Sorgenfrigata i Oslo og som jobbet på NRK Marienlyst.
Venntel opplyste også at de hadde delt informasjonen om meg med sine kunder. Kundene kunne bruke denne informasjonen til formål som føderalt politiarbeid og nasjonal sikkerhet.
Hvem disse kundene var, ville Venntel ikke oppgi.
Godt bevart hemmelighet
Hvordan kunne mine mobilbevegelser ende opp hos Venntel i USA? Ingen av appene jeg hadde installert nevnte noe om selskapet. Ingen steder. Ikke en gang i de tungleste personvernerklæringene knapt noen leser.
Venntel kunne opplyse om at de hadde fått informasjonen fra morselskapet sitt, Gravy Analytics, og at de kun i noen få tilfeller fikk vite mer om hvilke apper det gjaldt.
Gravy Analytics er egentlig en dataforhandler i markedsføringsbransjen. De samler inn store mengder data om forbrukere for å gjøre annonser mer treffsikre. Også Gravy Analytics hevder at de ikke kjenner opprinnelsen til dataene. Men svaret på en innsynsforespørsel jeg fikk fra dem inneholdt navnet på to nye selskaper: franske Predicio og amerikanske Complementics.
En ny runde med innsynsforespørsler avslørte at noen av mobilbevegelsene som endte opp hos Venntel stammet fra en slovakisk apputvikler ved navn Sygic, som har en portefølje på 70 apper.
Den mest populære skal ha mer enn 200 millioner brukere, oppgis det på Sygic sin hjemmeside.
Illustrasjon: Martin Gundersen
Den 15. februar installerte jeg to navigasjonsapper fra Sygic. Begge ba meg om å samtykke til noen avtalevilkår om å personalisere annonseopplevelsen min.
Hvis du er en av dem som ikke leser godt igjennom hva du samtykker til er du i godt selskap. De færreste leser brukervilkårene til apper og tjenester de installerer.
«Jeg godtar», trykket jeg. Sygic og jeg hadde nå gjort en bindende avtale.
Brøt personvernlover
Det kan se ut til at avtalen med Sygic ble brutt da Gravy Analytics fikk dataene. For Gravy Analytics mente de kunne bruke mine personlige opplysninger til en rekke ulike tjenester for partnere og kunder. Ifølge deres egen personvernerklæring inkluderte det blant annet føderalt politiarbeid, overvåke svindel og å fremme nasjonal sikkerhet.
Sagt på en annen måte – Gravy Analytics delte mine mobilbevegelser med datterselskapet som tilbyr sine tjenester til denne typen kunder.
Det førte oss tilbake til avtalen jeg gjorde med Sygic i februar.
Jeg rådførte meg med tre jurister, Malgorzata Agnieszka Cyndecka, Lee Bygrave og Arve Føyen, som alle er spesialister på personvern. De mente at det var et åpenbart brudd på GDPR at min informasjon kan brukes til andre formål enn jeg samtykket til. Personvernreglene i GDPR stiller nemlig strenge krav til hva som er lov å gjøre med våre opplysninger.
– Denne formålsutglidningen er uakseptabel. En slik praksis undergraver ikke bare prinsippet om formålsbegrensning, men også prinsipper om åpenhet og rettferdighet i GDPR, sier Cyndecka, som jobber ved Universitetet i Bergen.
Morsomt vær til besvær
Jeg ble også sporet av værappen Funny Weather, ifølge datafilene fra Gravy Analytics og Venntel. Appen lover å gi brukeren værmeldinger på en humoristisk måte. For hva er ikke den daglige værmeldingen uten noen banneord?
Da jeg installerte appen i høst samtykket jeg til at mine data kunne brukes til analyseformål og «monetization», altså å finansiere driften av appen.
Juristene mener samtykket ikke er i tråd med GDPR, til det er altfor uklart hva «monetization» egentlig innebærer. «Analyseformål» dekker heller ikke alle av Venntels forretningspraksiser.
Lawiusz Fras, utvikleren bak Funny Weather, har ikke noe stort apparat i ryggen. Han sier han ikke kjenner til Venntel, men opplyser om at han er åpen om appens forretningsmodell.
– Det at jeg samarbeider med selskaper som bruker litt av dataene appen har tilgang til for å tjene penger, det er ikke hemmelig, skriver Fras i en epost.
Han tar selvkritikk på at appen kunne vært tydeligere på hva «monetization» innebærer. Det skal han gjøre noe med i appens personvernerklæring.
Men han holder fast ved at brukerne har blitt godt informert.
– Umulig å spore
Hvordan dataene fra værappen endte opp hos Venntel er fortsatt et mysterium, men det er sannsynlig at dataene fløt gjennom franske Predicio. Dette mellomselskapet er nemlig oppgitt som en partner i appens personvernerklæring.
Illustrasjon: Martin Gundersen
Hvilke andre apper Venntel får data fra, er en godt bevart hemmelighet. Selv ikke folkene bak mobilappene visste at de var involvert.
– Vi kjenner ikke til selskapet Venntel, svarer presseansvarlig Zuzana Kacanova hos apputvikleren Sygic, på spørsmål om hvordan mine data endte opp hos dem.
Kacanova hevder at mitt samtykke var innhentet lovlig etter GDPR og at deres partnere er forpliktet gjennom en kontrak til kun bruke mine data til markedsføringsformål.
– Basert på informasjonen du har gitt oss er det ikke entydig at dataene stammer fra Sygic GPS Navigation. Hvis det er sant er det et brudd på kontrakten vi har med våre partnere, skriver Kacanova.
Våre egne analyser tilsier at mine data fra Sygic har endt opp hos Venntel. Blant annet bruker Complementics en spesiell identifikator for Sygic-data som vi finner igjen hos Venntel.
Kacanova svarte ikke på spørsmål om hva dette vil bety for deres videre samarbeid med Predicio eller Complementics.
Bygget på ulovligheter
Med GDPR, som kom i 2018, vant personvernforkjempere en viktig seier. Det felles europeiske lovverket skulle gjøre det mulig å gå flere selskaper i sømmene. Deler av den digitale annonseindustrien har likevel endret seg lite.
– De prøver å holde seg til gamle arbeidsmåter og forkle dem som noe annet, sier David Martin, fra stua i Brussel.
Han leder den digitale rettighetsgruppen i BEUC, en sammenslutning av europeiske forbrukerorganisasjoner. Det digitale annonsesystemet er bygget opp på «et nesten systemisk brudd» på GDPR, ifølge Martin.
Han og de fleste personvernforkjempere mener det samme: At GDPR er bra på papiret, men har noen alvorlige mangler i møtet med virkeligheten.
Den østerrikske personvernforskeren og aktivisten Wolfie Christl har i en årrekke undersøkt hvordan selskaper bruker våre data. Nylig hjalp ham Forbrukerrådet med «Out of Control», en rapport som dokumenterte flere mulige lovbrudd i appøkosystemet.
– I de fleste tilfeller er det vanskelig eller umulig å spore hvordan personlig informasjon flyter mellom apper, dataforhandlere, og sluttkunder.
Christl mener det virker som datatilsynene i EU enten ikke klarer eller er villige til å stoppe mange av bruddene på GDPR.
– Vi vil ikke se noen endringer uten massive bøter og databehandlingsforbud. EU-landene og EU-kommisjonen må handle, konstaterer han.
Spørsmålet er om noen vil høre, og hvor enkelt det er å gå etter de angivelige bruddene.
Arve Føyen, partner i advokatfirmaet Føyen Torkildsen, mener det vil være vanskelig å straffe selskaper som Venntel, siden de ikke har noen forretningskontorer i Europa.
– Jeg er redd dette gir et illusorisk skinn av at reglene gjelder – de lar seg bare ikke forfølge rettslig i praksis, forklarer Føyen.
Et digitalt fotoalbum
Det har gått flere måneder siden jeg tok med ekstratelefonen til Ullevålseter, et populært stopp i Oslomarka for kaffe og vafler.
På dataskjermen ser jeg prikker som snirkler seg langs turstiene i marka. Langt mellom hver prikk da jeg gikk fort. Flere samlet i en klynge der jeg har tatt et pust i bakken.
Det var varmt denne søndagen i slutten av sommeren. Kleggen var aktiv, spesielt i de myrvåte områdene.
Vi glemmer de fleste stedene vi har vært og hva vi gjorde der, men det skal ikke mye til før minner kommer tilbake. Å følge mine egne skritt ble som å bla i et fotoalbum der hver side har sin egen historie.
Det rare med det hele er at noen andre sitter på disse dataene. Mine bevegelser.
Det er ubehagelig å følge mine egne skritt, selv om de ikke avslører utroskap, hemmelige møter, eller pinlige helseplager.
De fleste av oss har øyeblikk i livet vi ikke er interessert i å dele videre. Verken til våre nærmeste, sjefen, eller myndighetene.
Vil du vite mer om personvern og mobilteknologi?
Få en epost når vi publiserer det fyldige nyhetsbrevet vårt. Vi kommer aldri til å misbruke adressen din.
Vanskelig å få svar
Jeg klarte å kartlegge dataflyten fra mobilapper til Venntel, men fortsatt sitter jeg igjen med mange ubesvarte spørsmål. Hvilke kunder av Venntel fikk informasjon om meg? Kan det være selskaper innen forsvarssektoren, etterretning, FBI?
Gravy Analytics har ikke besvart noen av våre henvendelser. Datterselskapet Venntel har ikke ønsket å la seg intervjue verken over telefon eller epost.
«Vi vil ikke kommentere noe nærmere om våre forretningsforbindelser eller vår tolkning av loven», skriver Venntel i en kort uttalelse.
De hevder at mine mobilbevegelser ikke er delt med immigrasjonsmyndighetene (ICE) eller amerikanske toll- og grensemyndigheten (CBP). De skal heller ikke ha et samarbeid med apputgiverne Sygic og Lawiusz Fras. (NRK har heller aldri hevdet at de har et samarbeid, men dokumentert at selskapet får informasjon fra disse appene via andre.)
CBP oppgir å ha begrenset tilgang til kommersielt tilgjengelige data og at de brukes i tråd med relevante lover og reguleringer, ifølge en uttalelse gitt til NRK.
Presseoffiser Jason Givens i CBP svarte ikke på oppfølgingsspørsmål om hvilke begrensninger CBP har på å få tilgang til data om europeiske borgere eller mobiler som oppholder seg utenfor det amerikanske grenseområdet.
FBI og ICE har også avtaler med Venntel, men de har ikke ønsket å svare på spørsmål om å hvilke muligheter det gir til å spore europeere i og utenfor Europa.
Da den franske dataforhandleren Predicio svarte på innsynsforespørselen 11. august nevnte de ikke noe om å dele data med Venntel i tidsrommet februar til juli. Appen Funny Weather ble installert 10. august. Predicio har ikke besvart mine gjentatte henvendelser om intervju.
Medgrunnlegger i Complementics, Walter Harrison, oppgir i en epost at mine data ble brukt til å lage markedsføringsanalyser. Harrison har ikke ønsket å stille til et intervju og han har unnlatt å svare på spørsmål om deres forhold til Gravy Analytics.
Da Vice Motherboard kontaktet Harrison om deres samarbeidet med Gravy Analytics, fikk de beskjed om at Gravy Analytics har forpliktet seg i en kontrakt til å ikke dele data med amerikansk etterretning, immigrasjonsmyndigheter, eller føderale politimyndigheter.
> Guide: Slik begrenser du sporing av din mobil
Henrik Lied bidro med research og tekniske analyser.
FBI
«The FBI’s mission is to protect the American people and uphold the Constitution. That mission is dual and simultaneous, not contradictory, which means that one part need not—and must not—come at the expense of the other. All FBI operations are conducted in accordance with all legal requirements, to include the Constitution, the Privacy Act of 1974, our Domestic Investigations Operations Guide, the Justice Manual, and the standards with which the American people expect the FBI to protect them. Additionally, all FBI operations are subject to robust compliance mechanisms and oversight from the three branches of government.»
USAs immigrasjonsmyndigheter (ICE)
«U.S. Immigration and Customs Enforcement (ICE) is complying with all applicable privacy statutes, guidance, and policies. You can review the contract documents associated with Venntel at: FPDS. ICE defers to Venntel with regard to compliance with the GDPR.»
USAs grense- og tollmyndigheter (CBP)
«U.S. Customs and Border Protection may obtain access to commercially available information relevant to its border security mission. Consistent with its border security and law enforcement authorities, CBP has acquired limited access to commercial telemetry data through the procurement of a limited number of licenses to a vendor provided interface.
While CBP is being provided access to location information, it is important to note that such information does not include cellular phone tower data, is not ingested in bulk, and does not include the individual user’s identity. Rather, CBP officers, agents, and analysts are provided with access to the vendor’s interface on a case-by-case basis, and are only able to view a limited sample of anonymized data consistent with existing border security or law enforcement operations. All CBP operations in which commercially available telemetry data may be used are undertaken in furtherance of CBP’s responsibility to enforce U.S. law at the border and in accordance with relevant legal, policy, and privacy requirements.»