Å jobbe i Datatilsynet er morsomt, og noen ganger er det særlig gøy: Denne uken sjekker vi, i mangel av et bedre ord, dingser. Vi ser på utstyr som brukes til å teste helsen din, hjemme eller hvor du måtte ha lyst. Små testapparater altså, som kan sjekke blodtrykket ditt, pulsen, blodsukkernivået, EKG (hjertets elektriske signaler), eller hvor mye oksygen du har i blodet. Alt du trenger er en smarttelefon eller et nettbrett, dingsen og en tilhørende app.
På forhånd har vi kjøpt inn en drøy håndfull testapparater på forskjellige nettsider. Vi har valgt utstyr som ut fra nettbutikkens beskrivelse ser ut til å sende og lagre de opplysningene som blir registrert via tjenester på internett. At dingsen er koblet til internett er nemlig et sentralt poeng for hva vi holder på med. Og nå sitter vi her. Vi har spent åpnet postpakkene og har lastet ned de tilhørende appene. Vi forsøker, gjennom tekniske beskrivelser og personvernerklæringer (i den grad vi finner dem) å få klarhet i hva slags personopplysninger og helsedata som faktisk blir registrert.
Vi er ikke alene om å ha det moro for tiden. Testen vi holder på med er en del av et såkalt GPEN-sveipet. GPEN (Global Privacy Enforcement Network) er et nettverk av personvernmyndigheter verden over. Det er fjerde år vi er med nå. I fjor sjekket vi apper som retter seg mot barn og unge. I år er temaet tingenes internett, gjerne forkortet til IoT (Internet of things). Denne uken er det hele 29 personvernmyndigheter rundt om på kloden som sjekker forskjellige typer IoTer. Vi har for vår del valgt å konsentrere oss om testutstyr for helse. Andre personvernmyndigheter har i årets sveip valgt IoTer som typisk brukes i hjemmet.
Testen vi gjennomfører handler først og fremst om hvilken informasjon brukere av utstyret får: I hvilken grad blir du egentlig informert om hvordan dine personopplysninger blir samlet inn, brukt og eventuelt videreformidlet? Etter hvert sender vi våre resultater til GPEN, som igjen sammenstiller resultatene. Da får vi en større oversikt, og konklusjoner formidles i september.
Vi kommer altså tilbake til hva vi har funnet, fordi vi har lovet våre internasjonale samarbeidspartnere å holde tett om våre resultater frem til den tid.
Før du hører noe mer fra oss kan du tygge litt på denne formuleringen i vilkårene til en av dingsene:
«You hereby grant to [selskapet] and its suppliers a non-exclusive, transferable, worldwide, royalty free, sublicensable, right and license to store, copy, distribute, transmit, publicly perform, display, create derivative works of, and otherwise use the Personal Content for purposes of providing the Application to third parties, including the right to transmit the Personal Content to other users.»