«Datalagringsdirektivet» avslørte abort, sykdom og våpenkjøp

Mobilbruk avslører svært mye om brukerne. Datatilsynet advarer.

Siden slutten av 2013 har en gruppe forskere ved Stanford-universitetet i Silicon Valley samlet inn telefoniopplysninger fra frivillige testdeltakere. Forskernes mål har vært å finne ut om enkelte metadata – «data om data» av samme slag som EUs datalagringsdirektiv vil omfatte når det innføres i Norge – kan utgjøre sensitiv informasjon. Nå er svaret klart.

Bare ved å sjekke hvilke telefonnumre som var kontaktet, ved hjelp av åpne søkemotorer, klarte forskerne å slutte seg til telefonbrukernes medisinske tilstander, politiske sympatier, religiøse overbevisninger, og enda mye mer. Vi har snakket med det norske Datatilsynet om resultatene, og de er ikke overrasket.

Verre enn forskerne trodde

Hvem du ringer, sender meldinger til, og blir kontaktet av kan røpe mye mer enn du tror.
Hvem du ringer, sender meldinger til, og blir kontaktet av kan røpe mye mer enn du tror.Foto: Varg Aamo, Hardware.no

Metoden de amerikanske forskerne brukte var enkel nok: Frivillige deltakere puttet en app på telefonene sine som sendte inn metadata til universitetet. Med kun 546 deltakere, og en testperiode på noen få måneder, hadde ikke forskerne forventet å finne særlig med sensitive data. Det gjorde de imidlertid, og i høyere grad enn de hadde trodd.

– Deltakere hadde ringt til Anonyme Alkoholikere, til våpenbutikker og fagforeninger. De hadde snakket med apoteker, interesseorganisasjoner for fri abort, skilsmisseadvokater, kjønnsykdomklinikker, strippeklubber og mye mer, skriver Jonathan Mayer, studenten som ledet forskergruppen, på sin blogg.

– Dette er ikke en parade med hypotetiske eksempler på hva man i verste fall kunne oppdaget. Dette er enkle slutninger vi har kommet til, om noen få ekte telefonbrukere, som svært enkelt også kan gjøres på en stor skala, fortsetter han.

En reaksjon på Snowden-avsløringene

Forskningsprosjektet startet i utgangspunktet opp som en reaksjon på NSA-skandalene i den senere tid. Mayer påpeker at de som forsvarer overvåkningsprogrammene gjerne hevder at ingen titter på innhold, men «bare» ser på metadata.

Problemstillingen ble derfor å spørre om det går an å trekke sensitive slutninger fra slike data, og hvor hyppig folk gjør sensitive ting over telefonen, på en måte som kan vises i metadata. Da forskerne tittet på resultater på individnivå fikk de nesten hakeslepp over hvor mye de kunne lese ut av loggene.

En deltaker kommuniserte blant annet med flere nevrologigrupper, et spesialistapotek, en rådgivningstjeneste for sjeldne sykdommer, og et nummer som utelukkende brukes for medisin mot tilbakevendende multippel sklerose. Gjennom liknende rekker av kommunikasjon klarte de også å slutte seg til at en deltaker hadde tatt en abort, og at en annen nok hadde satt opp en liten marijuana-farm, som noen eksempler Mayer nevner.

Siden alt dette ble samlet inn fra deltakere som visste at deres metadata ble samlet inn og studert av forskerne, er det også grunn til å tro at flere har moderert sine ringevaner. Likevel fremkom altså store mengder privat informasjon.

Datatilsynet: – Bekrefter det vi har advart mot

Informasjonsdirektør Ove Skåra i Datatilsynet.
Informasjonsdirektør Ove Skåra i Datatilsynet.Foto: Hans Fredrik Asbjørnsen

– Dette bekrefter i all tydelighet det som både vi og flere andre tok opp med styrke i debatten om innføring av EUs datalagringsdirektiv. Vi gikk i rette med bagatelliseringen som de som går inn for DLD gjør når de sier de ikke ser på innhold – kun «harmløse» metadata, sier informasjonsdirektør Ove Skåra i Datatilsynet til Hardware.no.

Han forklarer at slike metadata i mange sammenhenger blir vel så sterke for å kartlegge hva noen gjør, mener og tenker som selve innholdet i kommunikasjonen.

– At kommunikasjon rent faktisk har forekommet forteller mye. Det at du har ringt en psykiater, vært i kontakt med andre politiske miljøer, eller ringt til en hjelpetjeneste er helt lovlig, men kan fortelle veldig mye, og regnes altså som sensitivt.

Kan fortelle mer enn innhold

Skåra advarer om at mange kanskje ikke ser helt rekkevidden av hvor mye man kan finne ut av. Han peker på at både religiøs overbevisning og seksuell legning er et par områder hvor man med metadata alene kan gjøre antagelser med svært stor presisjon.

– I en rapport vi laget til personverndagen har Teknologirådet skrevet en veldig god tekst om dette, hvor de peker på at metadata kan være mye sterkere for å trekke slutninger enn innhold. Metadata er også mye lettere å analysere, og med moderne algoritmer ser vi nå også at slik analyse bare kommer til å bli enda lettere fremover, sier han.

– Ved hjelp av disse algoritmene kan man utlede svært sensitiv informasjon fra kommunikasjon, og se sammenhenger. Det forskerne har funnet bekrefter dermed det vi som har advart mot EU-direktivet sier: Ikke bagatelliser disse metadataene, avslutter informasjonsdirektøren.

Hvem man ringer til er langt ifra alt som lagres, noe kollegaene i Amobil sjekket:
Ba om å få se alt som var lagret om journalisten – fikk 150 A4-sider i posten »

Det er flere som vil ha omkamp om Datalagringsdirektivet:
Ekstra: Regjeringen møter motstand fra både høyre- og venstresiden »

(Kilder: Stanford CIS, Jonathan Mayer)

Kommentarer (53)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen