Forbrukerrådet har i samarbeid Sintef undersøkt brukervilkårene og en del tekniske sider knyttet til personvern ved 21 ulike mobilapper som er populære blant norske smartmobilbrukere.
– Undersøkelsene viser at det er mye å gå på før vi kan stole på appene. Dessverre er ikke norske apper nødvendigvis så mye bedre enn de utenlandske appene vi har sett på, sier fagdirektør Finn Myrstad i Forbrukerrådet i en pressemelding.
Mye dårlige vilkår
Til digi.no forteller Myrstad at detaljene som nå har blitt offentliggjort er en del av en større gjennomgang, hvor rapporten nå er i ferd med å bli sluttført.
Han forteller at det ikke dreier seg om en systematisk undersøkelse, men mer et øyeblikksbilde over noen av de mest populære appene innen visse kategorier. Dette gjelder blant annet sosiale medier, sjekkeapper og fitnes-apper.
– Vi har etter hvert fått en viss rutine på å lese vilkår. All erfaring viser at vilkår gjerne er dårlig skrevet og veldig lange. Og at de derfor ikke blir lest. Nytt av året er at vi har fått hjelp fra en ekstern leverandør, Sintef, til å gjøre teknisk testing, sier Myrstad.
Det kun Android-apper som har blitt testet. Delvis skyldes dette ressursårsaker, men også at Forbrukerrådet oppfatter det som at iOS gir brukerne mer kontroll ved at tillatelser gis ved behov i stedet for ved installasjon.
Men Myrstad legger til at det har skjedd forbedringer på dette området i Android 6.0.
Forbrukerrådet mener det er kritikkverdige forhold ved alle de norske appene som har blitt testet.
- VG-appen vil vite nøyaktig hvor du er med den tynne begrunnelsen at de vil vise deg været, en tjeneste som ligger godt gjemt i menyen.
- Vipps sender brukerinformasjon til Facebook uten grunn. Det ble også funnet en mindre sikkerhetsbrist i tjenesten (DNB er varslet).
- Norlis e-bok-app ber om en rekke tilganger vi ikke forstår at den trenger, slik som brukernes lokasjon.
- Wordfeud Free kan endre vilkårene uten varsel og kaste deg ut uten grunn.
- Finn-appen krever ekstremt vide rettigheter til brukerens innhold, i den grad at Finn tar over eiendomsretten hvis de bearbeider bilder i annonser.
Myrstad trekker spesielt fram det at Vipps-appen til DNB sender noe informasjon til Facebook.
– Dette skjønner vi ikke. Det er ikke opplyst i vilkårene, sier Myrstad. Han syns det er betenkelig at Facebook får tilgang til informasjon om brukernes bruk av betalingstjenester, siden de har så mye informasjon fra før.
Til digi.no sier informasjonsdirektør Even Westerveld at dette kan sammenlignes med cookies, som er vanlige på nettsteder.
– Vipps sender ikke personlig og identifiserbar informasjon til tredjepart. Heller ikke informasjon om hva kundene foretar seg inne i Vipps. Dette minner om såkalte «cookies» som de fleste norske nettsider bruker, slik at markedsføringen som deles med folk gjennom Facebook er mest mulig relevant. For eksempel ønsker vi ikke å plage folk med forslag om å laste ned Vipps, dersom de allerede har lastet den ned. Den informasjonen som sendes til Facebook er kryptert og det er ikke mulig å identifisere enkeltpersoner på denne måten, sier Westerveld.
I rapporten skriver dog Sintef at det, i motsetning til i vanlige nettlesere, er vanskelig eller helt umulig for mobilapp-brukere å administrere cookies.
Når det gjelder den nevnte sikkerhetsbristen, forteller Myrstad at DNB ble varslet om denne for omtrent en måned siden og at banken har tatt henvendelsen alvorlig. Ifølge Myrstad skal ikke sikkerhetsbristen være knyttet til selve betalingstjenesten. I stedet skal den berøre personopplysningene i appen.
Nøyaktig lokasjon
Forbrukerrådet er heller ikke særlig begeistret for lokasjonsregistreringen i VG-appen.
– Det dreier seg om nøyaktig lokasjonsdata og vi ser ikke at dette er godt rettferdiggjort i vilkårene. Slike data er ekstremt sensitiv, sier han og mener at grov lokasjonsbestemmelse burde være tilstrekkelig for å tilby værmelding eller skreddersydd reklame.
– Det må i alle fall stå mye tydeligere om dette i vilkårene, sier han.
VG svarer:
– La meg først få understreke at VG kan bli enda mer åpne og tydelige overfor brukeren. VG tar personvern seriøst og vi jobber kontinuerlig med hvordan vi kan være tydelige med hensyn til hvilke data som samles inn og hvordan disse brukes. Her er vi glad for punktene som tas opp i rapporten til Forbrukerrådet, skriver Torry Pedersen, ansvarlig redaktør i VG, i en e-post til digi.no.
– Når det gjelder Forbrukerrådets argumentasjon om at «VG-appen vil vite nøyaktig hvor du er med den tynne begrunnelsen at de vil vise deg været, en tjeneste som ligger godt gjemt i menyen», ser vi at det i forrige uke var over 160.000 brukere som så værvarselet bare i iPhone-appen, så dette er åpenbart noe mange vil bli eksponert for. Her synes jeg kanskje, for å holde meg til Forbrukerrådets egen terminologi, at deres begrunnelse er tynn. Men som sagt: vi jobber kontinuerlig med å vurdere bruk av data i våre tjenester, og med å informere brukerne om valgmuligheter slik at brukerne selv i større grad kan gjøre valg knyttet til bruk av data, forteller Pedersen.
Finn
Personvernombud hos Schibsted, Ingvild Næss, legger til at det har skjedd en formuleringsklipp i forbindelse med vilkårene til Finn-appen.
– Vilkårene som knytter seg til eierskap rundt bilder gjelder ikke private brukere, kun selskaper som inngår samarbeidsavtaler med oss. Finn får ikke eierskap til private brukeres bilder. Dette blir rettet opp nå, skriver Næss i en e-post til digi.no.
Tiltak
Forbrukerrådet ønsker å legge litt press på de norske app-utgiverne. I første omgang har blant annet de nevnte app-utgiverne blitt invitert av Forbrukerrådet til en mini-rundebordskonferanse onsdag denne uken.
– Der håper vi å få litt mer klarhet i det vi har avdekket. Vi ønsker en dialog om hva som er bra forbrukervern og tror det er mulig å finne en god balanse mellom dette og funksjonalitet, sier Myrstad.
Selv om Forbrukerrådet satser på dialog i første omgang, forteller Myrstad at det kan være aktuelt å klage saker inn for både Forbrukerombudet og Datatilsynet. I verste fall er også rettssaker aktuelt.
Ifølge Myrstad jobber Forbrukerrådet også med disse temaene opp mot EU og USA. Testen av de internasjonale appene vil bli publisert internasjonalt.