Det slovakiske datatilsynet vil undersøke om flyten av personopplysninger fra mobilapper til bakselskaper er lovlig.
NRKbeta avdekket tidligere i desember at Venntel, et selskap med amerikanske myndigheter på kundelisten, hadde informasjon om de presise mobilbevegelsene til en av redaksjonens journalister.
Venntel oppga at de hadde delt informasjonen videre med kunder, men nektet å oppgi nærmere hvem de var og akkurat hva de kunne gjøre med dataene.
Som følge av avsløringen åpner det slovakiske datatilsynet på eget initiativ en etterforskning.
– Informasjonen vi har fått er ny for oss og den virker urovekkende, sier talsperson Lucia Bezáková for det slovakiske datatilsynet til NRKbeta.
Bezáková ønsket ikke å gå nærmere inn på omfanget av etterforskningen, men oppga at den ville være i tråd med den felleseuropeiske personvernreguleringen kalt GDPR.
Det er sannsynlig at etterforskningen vil fokusere på en av apputgiverne som har gitt Venntel tilgang til europeiske brukerdata via en rekke mellomselskaper. I GDPR er hovedregelen at selskaper etterforskes av tilsyn i landene de har sitt hovedkontor.
Den slovakiske apputgiveren Sygic har en portefølje på 70 apper og oppgir å ha mer enn 200 millioner brukere på sine nettsider. NRKbeta har kontaktet Sygic og Venntel for en kommentar, men de har så langt ikke besvart vår henvendelse.
Kompliserte samarbeid
For å avdekke hvem som overvåker nordmenns bevegelser gjennomførte NRKbeta et omfattende eksperiment. Det gikk ut på at vi installerte mange apper som ba om tilgang til stedsdata. Typisk er det snakk om apper for vær, navigasjon, og spill.
Hovedregelen var at appene ba om samtykke til å behandle og dele personopplysninger for formål som analyse og markedsføring, men ingen av appene NRKbeta undersøkte oppga å dele data med Venntel.
For å få innsikt i flyten av personopplysninger ba vi om innsyn i personopplysningene bak-selskapene satt på.
Arbeidet avdekket at personlig informasjon ble spredt fra mobilapper via en rekke mellomselskaper.
Illustrasjon: Martin Gundersen
– Det er sjokkerende å høre hvordan sensitiv personinformasjon havner på avveie og kan brukes til helt andre formål enn det man har samtykket til, sa stortingsrepresentant Solveig Schytz (V) til NRKbeta, om funnene.
Kritisk til europeiske datatilsyn
– GDPR gir datatilsynene mye makt, og vi mener det er på tide at de kommer seg ut av komfortsonen og benytter seg mer aggressivt at verktøyene de har, sier David Martin, som leder den digitale rettighetsgruppen i BEUC, en sammenslutning av europeiske forbrukerorganisasjoner.
Han er kritisk til at de europeiske datatilsynene ikke har gjort mer for å håndheve GDPR, spesielt i tilfeller det er har vært dokumentert det de mener er åpenbare brudd på europeiske personvernlover.
Seksjonssjef i det norske datatilsynet, Tobias Judin, ønsker kritikken velkommen. Han forteller at GDPR har gitt europeiske datatilsyn gode verktøy, men at det ofte er krevende å føre en sak.
– Om vi skulle tatt tak i alle vi mistenkte brøt disse reglene måtte Europas datatilsyn vært mye større, sier Judin, som understreker at det er svært krevende å bevise eventuelle brudd på GDPR.
I Norge har Datatilsynet prioritert å følge opp flere amerikanske selskaper etter Forbrukerrådets rapport «Out of Control». Rapporten dokumenterte at mobilapper delte enorme mengde personopplysninger til samarbeidspartnere.
Det arbeidet har ikke vært enkelt, innrømmer Judin.
– Typisk er europeiske virksomheter mer samarbeidsvillige. Vi ser ofte at amerikanske virksomheter gjør alt de kan for å trekke ut en sak, sier Judin.
– I en av sakene stilte vi et veldig enkelt spørsmål: «I hvilke land er dere etablert?» Selskapet svarte: «Det har dere ikke noe med.»
Det førte til at spørsmålet ble tatt opp i Personvernnemnda. Klageinstansen ga Datatilsynet medhold i at de kunne kreve svar. I denne omveien forsinket prosessen med flere måneder, oppgir Judin.
Vil du vite mer om personvern?
Få en epost når vi publiserer det fyldige nyhetsbrevet vårt.
Etterforskes i USA
Wall Street Journal omtalte i februar at Venntel hadde solgt tilgang til presise mobilbevegelser til amerikanske immigrasjonsmyndigheter (ICE).
Siden har det kommer det kommet stadig ny informasjon om selskapet og deres forretningspraksis, noe førte til at amerikanske lovgivere opprettet en etterforskning mot selskapet og myndighetenes kjøp av data.
Det er ikke kjent om amerikanske myndigheter har fått tilgang til informasjon om personer som oppholder seg i Europa. Venntel nektet for å ha delt bevegelsene til NRKbetas journalist med ICE. Venntel hevdet også at de ikke hadde noe samarbeid med apputgiveren Sygic.
I går ble det også kjent at Apple og Google har varslet apputviklere om at de må avslutte samarbeidet med dataforhandleren X-Mode. X-Mode samler også data for populære apper. Ifølge Vice Motherboard har selskapet samarbeid med selskaper i forsvarssektoren.
Apple og Google har også gjort noen tiltak de siste årene for å gjøre det vanskeligere for apper å spore bevegelsene til mobileierne. Les NRKbetas guide til å spores mindre for råd om hvordan du kan gjøre det på din mobil.
