Sjekkeappen Grindr, som ifølge Gaysir er populær blant mange homofile i blant annet Norge, utleverer en rekke sensitive personopplysninger til tredjepartsaktører. Dette går fram av en undersøkelse som Sintef har gjort av flere sjekkeapper på oppdrag fra Sveriges Television i forbindelse med programserien Plus granskar.
Ifølge en oversikt som fram til i ettermiddag fantes på denne Github-siden, inkluderer opplysningene blant annet brukernes HIV-status og gruppetilhørighet («tribes»). Flere av dataene, men ikke HIV-statusen, overføres dessuten ukryptert til noen aktører.
En kopi av den originale Github-siden finnes her.
Innklages i Norge
På bakgrunn av dette har Forbrukerrådet i Norge levert inn en klage på mobilappen Grindr til Datatilsynet, for det rådet mener er brudd på personopplysningsloven.
– Opplysninger om seksuell legning og helse er regnet som sensitive personopplysninger etter europeisk lov, og skal behandles særlig varsomt. Dette er ikke tilfellet med Grindr, sier fagdirektør Finn Myrstad i Forbrukerrådet, i en pressemelding.
– Vi forventer at selskapet ser til at brukerne får både det personvernet og den sikkerheten de har krav på. Dette gjelder også hvordan informasjonen blir benyttet av selskapets samarbeidspartnere.
Analyseselskaper
Undersøkelsen til Sintef, som er gjort delvis ved å dekompilere Android-utgaven av appen og delvis ved å analysere trafikken på både TCP/IP- og HTTP(S)-nivå, viser at blant annet HIV-statusen deles med to selskaper som ifølge Forbrukerrådet tilbyr tjenester knyttet til analyse og målretting av reklame. Dette er Apptimize og Localytics.
– Det er svært urovekkende at brukerne risikerer å miste kontrollen over denne type opplysninger. Dette er informasjon som kan misbrukes til diskriminering, overvåkning eller markedsføring, sier Myrstad.
Forbrukerrådet mener at delingen av sensitive personopplysninger til tredjeparter for reklameformål, er et brudd på prinsippet om formålsbegrensning.
Ifølge Myrstad må det ifølge europeisk lov være innhentet et separat og uttrykkelig samtykke for å kunne gjøre dette.
– Dette gjør ikke Grindr, som kun omtaler deling av brukerdata i personvernerklæringen, sier Myrstad.
Majoritetseieren av Grindr er kinesiske Kunlun, som også er med i gruppen som 2016 kjøpte deler av Opera Software.
Avviser flere av påstandene
Scott Chen, teknologidirektør i Grindr, publiserte i går en kunngjøring hvor selskapet avviser at det selger personopplysninger som kan identifisere brukere.
Ifølge Chen overføres opplysningene til partnere, inkludert de to nevnte, kun for å teste og validere måten Grindr ruller ut plattformen sin på.
– Disse leverandørene er bundet til strenge kontraktbetingelser som sikrer det høyeste nivået av konfidensialitet, datasikkerhet og personvern for brukerne, skriver Chen.
Han skriver videre at det er frivillig for brukerne å oppgi HIV-status og siste testdato, samt at det er oppgitt i brukerbetingelsene at informasjonen brukerne velger å inkludere i brukerprofilen, vil bli offentliggjort.
Men ifølge nettstedet Axios skal Grindr nå ha sluttet å dele denne informasjonen med tredjeparter.
Saken har fått mye oppmerksomhet i blant annet USA etter et oppslag i Buzzfeed i går.
