

Forbrukerrådet i Norge mener Facebook og Google bruker uetiske metoder for å få deg til å se målrettede annonser og å gi fra deg personlige informasjon.



Onsdag publiserte Forbrukerrådet i Norge rapporten «Deceived by Design» som tar for seg hvordan de mener Facebook og Google benytter tvilsomme designteknikker til å få mest mulig informasjon om brukerne sine.

Fagdirektør for digitale tjenester i Forbrukerrådet, Finn Myrstad, forteller at de nå vil be det norske Datatilsynet vurdere om Google og Facebook bryter med de nye personvernreglene (GDPR) som har trådt i kraft i EU.

For Norge trer regelverket i kraft en gang etter 20. juli under navnet personvernforordningen.

Aksjonen er koordinert med 23 europeiske søsterorganisasjoner i 16 land. Av disse opplyser Forbrukerrådet at 12 organisasjoner kommer til å levere brev til sine respektive datatilsyn. Minst seks amerikanske forbrukerorganisasjoner stiller seg også bak rapporten.

Sleipe triks

Undersøkelsen ble utført i mai og juni 2018 ved å benytte seg av brukerkontoer opprettet i april. Forbrukerrådet gikk her igjennom menyene Google, Facebook, og Microsoft benyttet for å informere brukere om nye personvernretningslinjer samt selskapenes tilknyttede kontrollsentre for personvern.

Blant annet så de etter det som kalles «dark patterns», eller mørk mønstre, et begrep for bevisste designvalg som dytter brukere til å ta beslutninger som ikke er til nytte for dem selv.

Begrepet ble etablert i 2010 Harry Brignull og har ført til større oppmerksomhet om hvordan banker, nettbutikker, og telefonselgere opererer.

Forbrukerrådet mener flere av disse teknikkene er benyttet av Google og Facebook, og at de potensielt bryter både de nye personvernlovene (GDPR) og markedsføringsloven.

Myrstad beskriver praksisen som de har avdekket som «villedende og manipulerende».

– Det er ikke tilfeldighet eller udugelighet som gjør at du som forbruker sier ifra deg rettigheter og dyttes til å dele så mye informasjon om deg selv, sier Myrstad, om hvordan Google og Facebook har designet sine personvernløsninger.

Blant annet trekker han fram hvordan Google i sin tid testet 41 nyanser av blå for å se hvilken brukerne likte best.

Den lange omveien

Da Forbrukerrådet kartla hvordan Google og Facebook designet GDPR-beskjeden sin fant de ut at veien var mer kronglete om man ønsket de strengeste personverninnstillingene.

Faktisk krevde Google hele 9 klikk for de mest restriktive innstillingene, og bare 2 for de mest åpne. For Facebook var det henholdsvis 13 og 5.

Grønt viser ruten med mest åpne personvernsinnstillinger.

Googles GDPR-beskjed

Facebooks GDPR-beskjed

I tillegg er det visuelle markører som gjør det mer sannsynlig for deg å trykke på «aksepter alt» istedenfor å besøke undermenyer hvor innstillingene kan endres.

Kombinasjonen av disse tiltakene mener Forbrukerrådet sannsynligvis er et brudd på GDPRs prinsipp om at det som utgangspunkt skal deles minst mulig personlig informasjon.

Ansiktsgjenkjenning

En av punktene Forbrukerrådet reagerer mest på er hvordan de mener brukere utsettes for ladede ord og uttrykk som gjør det vanskelig å gå mot selskapets favoriserte innstillinger.

Da Facebooks brukere ble bedt om å tillate ansiktsgjenkjenning på tjenesten ble kun positive eksempler trukket fram. Forbrukerrådet er bekymret for hva selskapet kan benytte av dine

biometriske kjennetegn.

– Facebook bruker teknologi som gjenkjenner ditt ansikt som er helt unikt i hele verden – så unikt som et fingeravtrykk. De unnlater samtidig å si at de bruker ansiktsgjenkjenning til å kartlegge hvem vennene dine er, til å måle følelsene dine, og om du er trist eller glad.

Dette og flere andre eksempler gjør at Forbrukerrådet mener det er grunn til å tro at selskapene ikke gir brukerne nok innsikt i hva de aksepterer, noe som er et brudd med GDPR.

– Googles kontrollsenter er en labyrint

Ifølge Forbrukerrådet gis brukere en illusjon av kontroll over hvilke innstillinger de kan endre.

Da de testet om ulike brukere klarte å slette sin lokasjonshistorikk hos Google brukte en av testerne over 20 museklikk før vedkommende ga opp.

Det er ikke tilfeldig ifølge Myrstad:

– Du kommer inn i en lang labyrint du ikke kommer deg ut av. Brukere gis så mye og dårlig informasjon at de fleste vanlige brukere sannsynligvis vil gi opp.

I Forbrukerrådets rapport velger de å trekke fram at Facebook kun gir brukere mulighet til å velge mellom å se annonser basert på data innhentet fra tredjepartet (ikke Facebook selv), men ingen mulighet til å stoppe innsamlingen av data på Facebook i GDPR-menyene.

Flere GDPR-klager

Klagene flommer inn, skriver nettstedet Politico, om hvordan det nye regelverket har blitt mottatt i Europa.

Allerede er det over 29 saker som etterforskes over landegrensene, og det franske datatilsynet CNIL rapportere om 50 prosent flere klager enn året før.

En av dem er fra Max Schrems som skal ha levert de fire første klagene etter GDPR mot Google og Facebook for å tvinge brukerne til å samtykke til de nye brukervilkårene. Vinner Schrems fram kan selskapene få en bot på flere milliarder norske kroner.

Schrems har blant annet anklaget Facebook for å lure brukere med falske varsler for å presse dem til å godta selskapets nye vilkår. Også Forbrukerrådet kritiserer Facebook for dette i den ferske rapporten.

– Det er på ingen måte greit at de gir et inntrykk av at jeg har masse beskjeder bare for å stresse meg gjennom en ganske viktig beslutningsprosess, sier Finn Myrstad.

Facebook har tidligere uttalt at de røde varselikonene er ment å forsikre brukere om at vilkårene de skal godta, faktisk kommer fra selskapet selv.

Facebook og Google svarer

Ingen representanter fra verken Google eller Facebook ønsket å stille til intervju om Forbrukerrådets rapport eller svare på spørsmål relatert til personverninnstillingene.

Pressesjef i Google Norge, Helle Skjervold, oversendte en generell kommentar:

– Vi bygger personvern og sikkerhet inn i våre produkter fra første stund. I løpet av de siste 18 månedene, som en forberedelse på EUs nye forordning for personvern, har vi tatt flere skritt for å oppdatere våre produkter, retningslinjer og prosesser for å gi alle våre brukere meningsfylt innsyn i egne data og enkel kontroll på tvers av alle våre tjenester.

– Vi utvikler stadig disse kontrollmekanismene basert på brukernes tilbakemelding, og bare de siste to ukene har vi gjort ytterligere forbedringer av informasjonen og kontrollen brukerne får når de besøker Annonseinnstillinger og Google-konto.

På spørsmål om Google ønsker å svare på anklagene eller svare på NRKbetas spørsmål om utforming av sine personvernløsninger svarer Skjervold:

– Takk igjen for spørsmålene, vi har vurdert dem nøye og dette er vår kommentar til denne saken. Vi kommer naturligvis til å studere rapporten nøye når den publiseres. Vi er alltid åpne for innspill fra brukere, og utvikler stadig våre kontrollmekanismer og brukerinnstillinger.

Facebook svarer via i kommunikasjonsselskapet Släger:

– Vi har forberedt oss de siste 18 månedene for å påse at vi oppfyller kravene til GDPR. Vi har gjort retningslinjer tydeligere, gjort personverninnstillingene enklere å finne, og vi har introdusert bedre verktøy for at folk kan å få tilgang til, laste ned, og slette sin informasjon.

– I foranledningen til at GDPR ble introdusert har vi fått folk til å gjennomgå informasjon om personvern som var skrevet i et enkelt språk. Vi har også lagt til rette for å gjøre valg på tre viktige tema. Vår fremgangsmåte er i henhold til loven, følger retningslinjene til privatrett- og designeksperter, og er utviklet for å hjelpe folk å forstå valgene deres og hvordan teknologien fungerer.

*Artikkelen er oppdatert med korrekt dato for når personvernforordningen antas å tre i kraft som er en gang etter 20. juli, ikke 1. juli.

Synes du «dark patterns» er interessant bør du også lese: En brannslukker, sju lodd og en karaokeapp til besvær.

Du kan lese rapporten i sin helhet her (engelsk)