Britisk dataselger varsler intern gransking etter NRK-avsløring

Tamocos praksis undersøkes nå av norsk og britisk datatilsyn etter NRKs artikler.

For 35 000 kroner kjøpte NRK høsten 2019 data om bevegelsene til 140.000 mobiler og nettbrett i Norge. Dataene gjorde det mulig å identifisere og spore Stavanger-mannen Karl Bjarne Bernhardsens bevegelser i over 200 dager. NRK kunne også identifisere og kartlegge deler av livene til norske offiserer og soldater i og utenfor arbeidstid.

Tamoco oppga selv i en e-post at deres data var anonymisert. Da NRK brukte dataene i kombinasjon med søk på sosiale medier, var det enkelt å identifisere og kartlegge nordmenn.

– Dataene er i seg selv ikke nok til å identifisere enkeltpersoner, og de burde heller ikke bli utnyttet på denne måten, skriver Tamoco.

I flere måneder svarte ikke Tamoco på NRKs spørsmål. Nå har de valgt å svare, og det gjør selskapet gjennom en ekstern PR-rådgiver. Rådgiveren ønsker ikke å bli navngitt, og ber NRK vise til at uttalelsene kommer fra Tamoco. Intervjuet er foretatt over e-post.

Les NRKs spørsmål og Tamocos svar i sin helhet nederst i artikkelen (engelsk).

Varsler intern granskning

Etter NRKs artikler varslet Datatilsynet tidlig at de skulle granske selskapet. Ikke lenge etter startet også det britisk datatilsynet (ICO) sine egne undersøkelser.

– Vi vil føye oss etter alle eksterne undersøkelser fra norsk eller britisk datatilsyn. Vi har startet vår egen interne granskning av dataene vi har mottatt, skriver Tamoco.

Tamoco forsvarer seg med at de bare er et mellomledd mellom apputviklere og dem som benytter bevegelsesdataene. Selskapet hevder videre at de «gjør grundige undersøkelser av kundene, og krever å få vite hva dataene brukes til».

– Hvis brukeren av våre data gjør noe ulovlig utenfor vår kontroll, er det urettferdig å skylde på oss så lenge det ikke var rimelige tiltak vi kunne gjennomført for å stoppe det, skriver Tamoco.

Hevder Forbrukerrådet tar feil

Mange app-produsenter videreselger dataene de samler inn, som for eksempel mobilens bevegelser. Tamoco er et selskap som samler inn og videreselger datasett og produkter basert på disse mobildataene.

Forbrukerrådet mener forbrukere ikke har vært tilstrekkelig informert når de har samtykket til å dele sine bevegelsesdata med ulike mobilapper. De mener at forbrukere ikke har mulighet til å vite hvem som får dataene.

– Det er helt utvilsomt ulovlig, sa Forbrukerrådets direktør Inger Lise Blyverket 9. mai.

– Dette er ikke sant, skriver Tamoco til NRK.

– Vi henter data direkte fra app-utviklere, deres partnere eller fra SDK-er (datakode i apper, red.anm.) i apper. Appene må hente inn samtykker fra brukerene. Samtykkene er styrt av disse app-utviklerne, som må forsikre oss om at de følger relevante lover og reguleringer, sier Tamoco.

– Dere svarer ikke direkte på Forbrukerrådets sentrale innsigelse som er at forbrukere ikke forstår hvem som får tilgang til deres persondata. Mener dere at forbrukere fullt ut forstår konsekvensene av å samtykke?

– Tamoco tilbyr posisjonsdata for å tilby bedre produkter og opplevelser, både online og offline. Alle smarttelefoner har mulighet til å nullstille og melde seg ut av datadeling, selv etter at de har samtykket, svarer Tamoco.

• Guide: Slik begrenser du sporing på mobilen

Mener de ble villedet av NRK

NRK spurte høsten 2019 Tamoco om de ville selge anonymiserte data om nordmenns bevegelser. Det gjorde NRK under påskudd av å jobbe med et journalistisk prosjekt om byplanlegging.

– NRK var villedende da de lot som de ville bruke våre data for byplanlegging. Når vi utfordret NRK på dette ble vi sendt falske kart. Etter vårt syn har NRK brutt sine egne etiske retningslinjer fordi måten Tamoco opererer allerede er offentlig kjent, sier Tamoco.

Selskapet hevder NRK har brutt Vær varsom-plakatens punkt om at falsk identitet kun skal brukes i unntakstilfeller.

– Etisk helt uakseptabelt

Digitaliseringsminister Linda Hofstad Helleland sa i Dagrevyen søndag 10. mai at salg av bevegelsesdata var «etisk helt uakseptabel», men at det er Datatilsynets rolle å finne ut om det er lovlig. Hofstad Helleland har også varslet at hun skal diskutere mobilsporing med EU-kommisjonen.

– Posisjonsdata, som hvilke som helst andre datasett, kan potensielt misbrukes av aktører med dårlige hensikter. Dataene har legitime og etiske bruksområder, noe som dessverre ikke omtales i media, svarer Tamoco.

Selskapet mener at det er viktig å skille mellom ulike typer mobilsporing.

– Vi er enige i at det er vanskelig å forsvare vedvarende og invaderende sporing. Å motta 10.000 datapunkter fra en mobil hver dag er overdrevent og unødvendig i 98 prosent av brukstilfeller. Dette er heller ikke noe Tamoco driver med, skriver selskapet.

I datasettet NRK kjøpte var det 25 telefoner som i gjennomsnitt hadde mer enn 10.000 daglige datapunkter som viser hvor mobilen har oppholdt seg. Minst 7500 telefoner hadde et daglig gjennomsnitt på over 1000 datapunkter.

Tamoco hevder at dette er utenfor deres kontroll.