I midten av desember skrev digi.no om en undersøkelse Global Privacy Enforcement Network (GPEN) har gjort om personverninformasjonen i 1211 apper. Appene ble raskt sjekket av personvernmyndigheter i 25 land, inkludert det norske Datatilsynet. Konklusjonen var at mer enn 59 prosent av appene gjør det vanskelig eller umulig for brukerne å finne selv grunnleggende personverninformasjon.
I forrige uke ble detaljene om det norske bidraget til undersøkelsen offentliggjort av Datatilsynet. I løpet av én dag sjekket sju ansatte ved tilsynet 72 apper for å finne ut hvilke personopplysninger de ber om tilgang til og hvor god informasjon brukene får om disse tilgangene. 54 prosent av applikasjonene var utgitt av norske virksomheter. Det ble bare testet apper til Android og iOS. De fleste av appene som ble testet, tilbys gratis. Det understrekes av Datatilsynet at sjekkingen ble gjort svært raskt – et sveip, som tilsynet kaller det – noe som kan ha gjort registreringen av tilganger mangelfull. Mens man med Android-apper blir informert om alle tilgangene appen ber om allerede før installasjonen, er iOS-applikasjonenes tilgangsforespørsler stort sett knyttet til bruken av appen.
– Fordi vi brukte kort tid på hver av app, er det mulig at ikke vi ikke har utløst alle relevante tilgangsforespørsler for iOS-appene, skriver Datatilsynet i rapporten.
Av de utvalgte applikasjonene i det norske sveipet, ba 68 prosent av appene om minst én tilgang, i gjennomsnitt 1,7 – inkludert appene som ikke ber om noen spesiell tilgang. Omtrent to tredeler av de norske appene ba om én eller flere tilganger.
I den samlede undersøkelsen ba 75 prosent av appene om én eller flere tilganger. Tilgangene ble i sveipet inndelt i kategoriene lokasjon, kontakter, kalender, mikrofon, kamera, enhetsidentifikator (IMEI, tlf.nr, serienummer), tilgang til andre kontoer, SMS, telefonlogg og annet.
Én av appene som ble sjekket av Datatilsynet, ba om så mye som sju tilganger. 16 prosent ba om fire eller flere. Den mest ettertraktede tilgangen var til lokasjon, noe 57 prosent av appene ba om.
Personverninformasjon
Et sentralt spørsmål i undersøkelsen dreier seg om hvilken informasjon brukere får om personvernet ved nedlasting av apper i app-butikken. Datatilsynet omtaler dette som svært varierende, men appene i det norske sveipet kommer en del bedre ut enn appene i den samlede undersøkelsen. På en skala fra 0 til 3, hvor 0 er den dårligste karakteren og 3 er best, oppnår 22 prosent av appene i det norske sveipet best karakter, mens 16 prosent fikk 0. Kun apper som ber om tilganger er tatt med.
Karakteren 0 innebærer at ingen personverninfo er oppgitt, utover hvilke tilganger det bes om. Karakteren 3 er gitt til apper som tydelig forklarer all innsamling, bruk og deling av personopplysninger.
Blant appene som ber om tilganger, var det bare 39 prosent som i tilstrekkelig grad beskriver hva tilgangene faktisk brukes til. 22 apper ba om tilganger som testerne ikke kunne forstå hvorfor det skulle være behov for. Dette gjaldt tilganger innen alle kategorier, bortsett fra kalender. Ti av appene ber om lokasjon, uten at testerne har forstått hvorfor. Seks apper ber av uforståelige årsaker om tilgang til andre kontoer.
Datatilsynet har ikke omtalt enkeltapper og deres karakterer, bortsett fra å trekke fram to norske eksempler som utmerker seg i positiv forstand. Dette er NSB-appen og appen 180.no Mobilsøk + Gratis. I begge tilfeller beskrives det tydelig og relativt kortfattet hvorfor appen ber om de ulike tilgangene.
Samtlige apper som Datatilsynet har testet, er dog oppgitt i rapporten.
Råd
– Vi mener derfor det er på tide at appindustrien gjør noe for å bedre dagens situasjon. De som er ansvarlige for en app må sørge for å bygge tillit hos brukerne. Apper skal fortelle brukerne hvorfor de ulike tilgangene er nødvendige og hvordan opplysningene brukes, skriver Datatilsynet.
– De som utvikler apper må sørge for å utvikle apper som tar hensyn til brukernes personvern for eksempel ved at de ikke samler inn mer informasjon enn nødvendig. Utviklerne må også sørge for best mulig sikkerhet for opplysningene som samles inn.
Datatilsynet har utgitt en veileder om personvern for apputviklere på denne siden. Den inkluderer også eksempler på hvordan personvernvennlige apper kan utvikles.
Brukere av mobilapper bør ifølge Datatilsynet være kritiske til hvilke apper som installeres, hvem som er ansvarlige for dem og hvilken informasjon de ber om. Tilsynet mener dessuten at apper som ikke brukes, bør avinstalleres, og at det er viktig å oppdatere apper, siden oppdateringene også kan inkludere sikkerhetsfikser.