Mener private apper slipper altfor lett unna Datatilsynet
Forsker Gisle Hannemyr mener mer av Datatilsynets ressursene burde gå til å undersøke private aktørers håndtering av personinformasjon.
gina.grieg.risnaes@aftenposten.no
Kritikk fra Datatilsynet har haglet de siste månedene. Da den mye omtalte Smittestoppappen kom på markedet, var organet tidlig på ballen og kritiserte appens behandling av personvernopplysninger.
Etterretningstjenestens nye lov, som ble vedtatt 8. juni, har også fått krass kritikk. Datatilsynets mener den ferske e-loven legger opp til masseovervåking av nordmenn.
I begge tilfellene går Datatilsynet ut mot offentlige virksomheter. Nå får tilsynet selv pekefingeren rettet mot seg.
Hardere ut mot offentlige
– Jeg registrerer at det ser ut som Datatilsynet bruker mye krefter på å ettergå bruk av persondata i det offentlige, og at tilsynet ikke på samme måte ettergår private aktørers bruk og misbruk av persondata, sier Gisle Hannemyr, forsker ved Institutt for Informatikk ved Universitetet i Oslo.
I senere år har Datatilsynet gjennomført stadig færre tilsyn.
I 2018 ble 196 tilsyn gjennomført. Blant dem var 177 hos offentlige virksomheter, mens 19 var hos private.
I 2019 ble ingen tilsyn registrert gjennomført. Hannemyr mener Datatilsynet i større grad aktivt burde undersøke private appers håndtering av personvern.
– Det ligger et klart potensial for å misbruke personvern når de ikke har noen oversikt over hvem det er som har tilgang til disse dataene og hvilke forhold disse brukes til, sier han.
Mener private slipper unna Her opplever Hannemyr at private virksomheter i større grad slipper unna kontroll enn offentlige. Det mener han er kontroversielt, og bruker Smittevern-appen som eksempel:
– Datatilsynet sendte et varsel om vedtak som i praksis ikke ga FHI noe annet valg enn å stenge ned appen, til tross for at appen klart opplyste om formålet med behandlingen, som var kontaktsporing og forskning på smittesporing, og at ingen formålsutglidning var påvist, sier han.
– Samtidig reageres det ikke på samme måte når private aktører samler inn tilsvarende data, og selger dem videre uten at de som bruker disse appene kan ha noen som helst oversikt over hvem deres data utleveres til eller hva slags videre formål deres data brukes til.
Er en utbredt praksis
I januar la Forbrukerrådet frem rapporten «Out of Control». Der kartla de ti privateide apper som selger personvernopplysningene til brukere videre.
Gro Mette Moen, fungerende digital fagdirektør hos Forbrukerrådet, mener denne praksisen er ulovlig.
– Har dere grunn til å tro at det er flere app-aktører enn dem dere har dokumentert, som gjør det samme?
– Vi mener vi har vist at dette er en utbredt praksis, svarer Moen.
I kjølvannet av publiseringen har Forbrukerrådet klaget inn datingappen Grindr og fem tredjeparter til Datatilsynet. Moen synes dette er blitt fulgt opp godt.
– Skulle dere ønske Datatilsynet i større grad kartla private appers bruk av personinformasjon, slik dere gjør i rapporten?
– Det er viktig at Datatilsynet over tid har en finansiering som gjør dem i stand til å ta tak i sånne problemstillinger, sier hun.
Paradoksal arbeidsfordeling Hannemyr er positiv til Forbrukerrådets rapport, men han synes det er paradoksalt at Datatilsynet ikke bruker tilsvarende ressurser på å kartlegge private apper.
– Det er Datatilsynet som er tilsynsmyndighet for personvernkrenkelser. De mottar offentlige midler for å drive med dette, påpeker han.
De siste årene har Datatilsynets årlige lommebok fra staten vokst. Fra 2018 til 2019 ble pengekranen skrudd opp med 11 millioner kroner. Fra 2019 til 2020 foreslår regjeringen å bevilge ytterligere 7,8 millioner kroner.
Budsjettet for 2020 ligger på 66.478.000 kroner. Antall ansatte er 60 personer, ifølge direktør Bjørn Erik Thon.
Voksende arbeidsmengde Han opplyser at Datatilsynets budsjett har økt i takt med arbeidsmengden.
– De siste årene har vi fått flere forbrukerklager og en kjempestor økning i antall avviksmeldinger. Det har krevd mye ressurser, sier han.
Thon mener det ikke er riktig at Datatilsynet går hardere ut mot offentlige enn private aktører. Det begrunner han med at av antall overtredelsesbegyrer tilsynet har delt ut siden 2010 gikk 79 til private aktører. 44 gikk til offentlige.
– Når det er sagt, så har vi en veldig stor offentlig sektor. Helsesektoren har for eksempel masse personvernopplysninger om oss. Så det er naturlig at vi har oppmerksomheten rettet
FOTO: PAUL AUDESTAD mot hva det offentlige gjør.
– Hvorfor har Datatilsynet gjennomført færre tilsyn de siste årene?
– Forklaringen ligger i at vi har hatt veldig mange andre kontrollaktiviteter. Flere avvik, flere enkeltsaker og vi har prioritert skoler og kommuner. Så vi har hatt veldig mye kontroller, uten at det er definert som et tilsyn i den forstand.
Kommer nytt system
Thon opplyser at Datatilsynet i disse dager ferdigstiller et nytt system for å gjennomføre tilsyn:
– Vi har planer om å gjennomføre flere rene tilsyn, hvor vi drar ut og kontrollerer. Men det viktigste er at vi har høy aktivitet på kontroll av lover og regler, og det mener jeg vi har, fortsetter han.
– Har Datatilsynet ressurser til å kartlegge flere private apper, som i Forbrukerrådetrapporten?
– Vi gjør det i denne saken, argumenterer han.
Datatilsynet er i ferd med å behandle klagen mot Grindr.
– Noen av sakene i den rapporten hører til her hjemme, men andre må håndteres i EU-systemet. Vi må hele tiden prioritere hva vi bruker ressursene våre på, avslutter Thon.