Datatilsynet forbyr en av de største barneklokke-aktørene å fortsette salget i Norge
Krever at Gator AS skjerper sikkerheten og informerer bedre.
Før helgen løftet Forbrukerrådet pekefingeren mot barneklokker med GPS. Den gang var det produktene fra Gator og GPSforbarn som var i søkelyset. Men det var ikke så mye å få ut av Datatilsynet om saken - før nå.
Ifølge direktør Bjørn Erik Thon har Datatilsynet nå fattet vedtak om at Gator AS ikke lenger får lov til å behandle personopplysninger.
Selskapet har frist på seg til 29. desember til å utbedre problemene Datatilsynet peker på, eller til å avslutte behandlingen av persondata.
I praksis betyr dette at selskapet ikke kan drive tjenesten sin videre uten at de gjør endringer.
Flere aktører har fått varsel
Også to andre aktører, Pepcall og GPSforbarn, har fått varsel om at liknende vedtak er på vei. Pepcall selger Xplora-klokken, mens GPSforbarn forhandler Viksund-modellene. Begge disse har tidligere vært omtalt i Forbrukerrådets undersøkelser, men kun GPSforbarn og Viksund-klokken var med i den siste undersøkelsen som ble gjort.
– Dette er jo produkter som skal brukes av barn. Som skal gi barn trygghet. Da er det utrolig viktig at sikkerheten er god, understreker direktør Bjørn Erik Thon i Datatilsynet overfor Tek.no.
Thon trekker spesielt frem at klokkene generer og lagrer mye data som det kan være vanskelig å ha oversikt over.
– Dette er klokker som genererer posisjonsdata og lagrer korrespondansen til barna. I et app-økosystem er det utrolig mange parter involvert, fra de som produserer appen til teleoperatører og liknende.
Ikke bare på bakgrunn av Forbrukerrådets funn
Direktøren understreker at det ikke er sikkerhetsrapportene alene som fører til vedtaket.
– Det vi går på i vår sak er plikten til informasjon. Det at de har gjennomført gode risikovurderinger i sin virksomhet, tatt ledelsen i risikoarbeidet og har oversikt over hvor dataene er i økosystemet. Sikkerhetshullene er mer bakgrunnsmusikken.
– Her er det mer enn nok til å si at Gator er et selskap som rett og slett ikke har god kontroll, sier Thon.
Dermed handler det foreløpig om opplysningsplikt og kunnskap om hvor datastrømmen fra klokkene går. Ett av eksemplene som ble fremhevet fra Datatilsynet var at klokkene har sendt informasjon til aktører i Kina uten at det er opplyst om når produktet tas i bruk.
– Det skal gis informasjon om hva appen samler inn av data. Den er utilstrekkelig og vanskelig å forstå. Den er kun tilgjengelig på engelsk, og når man leser det så skal man jo sitte igjen med kunnskap - hva samles inn, hva brukes det til og på hvilket grunnlag, forklarer Thon.
Gator: – Vi forstår vedtaket fra Datatilsynet
Morten Sæthre er markedssjef i Gator AS. Han bekrefter at de har mottatt pålegget fra Datatilsynet.
– Vi ser at våre rutiner er mangelfulle og forstår vedtaket fra Datatilsynet, svarer Sæthre.
Gator jobber imidlertid med å rette seg etter Datatilsynets pålegg, og henviser til at nye tester av klokkene er gjort, og at alle alvorlige funn etter Forbrukerrådets undersøkelser er tettet.
– Som en gründerbedrift har vi ikke sett hele omfanget av behandling av personopplysninger med tanke på dagens og morgendagens krav. Vi har startet og er nå i ferd med å implementere prosesser og rutiner for å etterfølge de krav som er stilt fra Datatilsynet, avslutter Sæthre.
GPSforbarn: - Vi setter opp server i Sandefjord
Også hos GPSforbarn, importøren av Viksund-klokkene, har Datatilsynets vedtak skapt litt oppstandelse, men der har de funnet en forholdsvis enkel løsning for å komme seg inn under regelverket.
– Det vi ønsker å gjøre er å flytte serveren fra Amazon. Man vet jo ikke helt hvor de dataene ligger, selv om man betaler Amazon i Tyskland. Det var hovedproblemet for Datatilsynet; personvernet og hvem som hadde dataene, forklarer Thomas Mathiesen i GPSforbarn.
Mathiesen sier også at Datatilsynet etterspurte dokumentasjon av vedlikehold på serveren - en dokumentasjon selskapet mye enklere kan gi når serveren styres av dem selv.
– Vi setter opp serveren i Sandefjord, så alle klokkene i Norge snakker med den og ikke noe annet.
Mathiesen er forøvrig fortsatt kritisk til sikkerhetsrapportene som ligger som et bakteppe for denne utviklingen.
– Man kan aldri garantere at man ikke har hull, men man kan alltid garantere at det finnes et hull. Det Forbrukerrådet hyler og skriker om det er bare tull, mener Mathiesen.
Like fullt er det satt opp avtale om løpende sjekk av sikkerheten mellom hver 6. og hver 12. måned for den nye løsningen.
PepCall: - Vi har god dialog med Datatilsynet
PepCall selger Xplora-klokkene her til lands, og har i likhet med GPSforbarn mottatt varsel fra Datatilsynet om at det kan komme vedtak også mot deres produkter og tjenester.
– Vi opplever å ha en god dialog med Datatilsynet i denne saken, og hadde senest i dag en telefonkonferanse med tilsynet for å sikre at den dokumentasjonen de har bedt oss om oversendes som forespurt og innen tidsfristen, får vi vite fra Svenn Jarle Simonsen, som har den litt uvanlige tittelen Chief Happiness Operations Officer hos PepCall.
Han forklarer videre at også her handler det meste av det Datatilsynet ønsker om internkontroll.
– Hoveddelen av svaret tilsynet nå ønsker fra oss går på dokumentasjon av internkontroll og hvordan vi også fremover ivaretar at våre egne og våre samarbeidspartneres sikkerhetsrutiner og -vurderinger er i henhold til personvernlovgivningen, sier Simonsen.
Selskapet har dessuten fått gjennomført en sikkerhetstest av TUVIT - IT-delen av det velkjente sertifiseringsselskapet TUV. Den rapporten skal vise at sikkerhetshullene Forbrukerrådet pekte på er tettet.
Videre opplyser selskapet at de jobber med en personvernerklæring med enklere språk. Den vil også bli tilgjengelig på norsk, der den frem til i dag har vært tilgjengelig på engelsk fordi selskapet har kunder i flere land. En fullstendig liste over samarbeidspartnere som behandler data fra produktene vil også bli lagt ut.
