Sporing i det offentlige rom

WiFi- og Bluetooth-sporing

Her følger en gjennomgang av de to teknologiene, litt om deres utbredelse og bruk, samt en gjennomgang av mulige personvernkonsekvenser.

WiFi

WiFi er en trådløs teknologi som gjør det mulig for elektroniske enheter, slik som mobiltelefoner, å koble seg til internett. Steder der WiFi brukes kalles gjerne for trådløse nettverk eller WiFi-soner. WiFi-soner finnes i dag «overalt», det vil for eksempel si i private hjem og på arbeidsplassen, tog, kafeer, dagligvarebutikker, fly og bensinstasjoner. WiFi er populært fordi det som regel er rimeligere og raskere å bruke til surfing på nett enn bruk av mobildata.

Når WiFi er aktivert på mobilen, søker mobiltelefonen kontinuerlig etter WiFi-soner i nærheten. En WiFi-sone kan ha en rekkevidde på 50 til 100 meter fra et WiFi-punkt. Søkingen skjer ved at mobilen sender ut et unikt signal – en såkalt MAC-adresse. Hvis du går i et område hvor det er satt opp flere WiFi-punkter, vil din mobiltelefons MAC-adresse kunne bli registrert på hvert av disse punktene. Informasjonen kan fortelle hvor lenge du har oppholdt deg på stedet og hvilken retning du går i.

Hva er en MAC-adresse?

En MAC-adresse er et unikt identifikasjonsnummer som kan identifisere din mobiltelefon. Det er tildelt av produsenten. En MAC-adresse defineres som en personopplysning når den samles inn gjennom WiFi-sporing.

WiFi-sporing går ut på å registrere og lagre MAC-adresser som mobiltelefoner sender ut til andre formål enn bare å gi mobilen tilgang til WiFi. Siden de fleste av oss i dag har en mobiltelefon, vil antall MAC-adresser innenfor et område gi et ganske presist bilde av hvor mange mennesker som befinner seg der, og hvilket bevegelsesmønster de har. Eieren av WiFi-nettverket kan på denne måten samle inn opplysninger om mobilbrukernes posisjon (posisjonsdata) innenfor WiFi-sonen.

De aktørene som bruker WiFi-sporing er interesserte i posisjonsdata. De ønsker å få kunnskap om hvor eieren av mobiltelefonen er, for slik å kunne telle, analysere og sammenligne informasjonen om mobileierens bevegelser til ulike formål. 

En MAC-adresse kan altså kobles til en bestemt person, fordi den er unik for personens mobiltelefon. Denne personen kan direkte og indirekte identifiseres på flere måter. For eksempel kan mobiloperatørene og leverandørene lagre informasjon om hvilke MAC-adresser en telefon har. Videre må man ofte oppgi identifiserende opplysninger slik som e-postadresse for å få tilgang til offentlig tilgjengelige WiFi-nettverk, og disse opplysningene kan kobles sammen med MAC-adressen. Personen kan også identifiseres indirekte gjennom posisjonsdata, vaner og bevegelsesmønstre som WiFi-sporingen avdekker. Dette er grunnen til at MAC-adresser er definert som personopplysninger.

WiFi-sporing kan ikke skje dersom WiFi er helt skrudd av på mobilen eller enheten. Vær oppmerksom på at noen WiFi-funksjoner kan forbli aktiverte på enkelte mobiler selv om WiFi tilsynelatende er deaktivert. For å sikre at WiFi er helt skrudd av, må man i noen tilfeller gå inn i telefonens avanserte innstillinger.

Bluetooth

Bluetooth er en trådløs teknologi som brukes til å overføre data mellom elektroniske enheter, for eksempel mellom en mobiltelefon og en PC. Bluetooth har mange likhetstrekk med WiFi, men bruker mindre strøm og har en kortere rekkevidde enn WiFi.

Mobiltelefoner sender ut et unikt signal, en såkalt Bluetooth-MAC-adresse, når Bluetooth er aktivert på mobiltelefonen. Bluetooth-sporing går ut på å registrere og lagre Bluetooth-MAC-adressen som mobiltelefonen sender fra seg. Dette brukes til å spore brukerens bevegelser.

Fordelen med å bruke Bluetooth fremfor WiFi til sporing, er at teknologien gir mer nøyaktig informasjon om hvor brukeren befinner seg innenfor et avgrenset område på grunn av den korte rekkevidden.

Bluetooth-sporing kan forhindres ved å skru av Bluetooth på mobilen eller enheten. Vær oppmerksom på at Bluetooth kan bli aktivert automatisk på enkelte mobiler etter oppdateringer eller når telefonen skrus av og på. For noen enheter er det mer problematisk og noen ganger umulig å enkelt deaktivere Bluetooth, for eksempel i biler.

Utbredelse og sporing

Det er stor interesse for WiFi-sporing, og slike løsninger brukes i hele Norge. Siden det finnes flere avarter av WiFi-sporing, er det imidlertid vanskelig å si noe konkret om utbredelsen.

Det finnes løsninger som gjør det mulig å telle personer over tid. Det finnes også løsninger som gjør det mulig å koble MAC-adressen sammen med direkte identifiserende opplysninger. For eksempel har noen WiFi-nettverk funksjonalitet som gjør at når man logger seg på Facebook i WiFi-sonen, kan nettverket hente ut opplysninger fra Facebook om brukeren. En butikk kan på den måten for eksempel kartlegge hvilke interesser kundene har.

Eksempel

Hvis du oppgir e-postadressen din eller navnet ditt når du kobler deg til en WiFi-sone, vil nettverkseieren kunne koble MAC-adressen fra telefonen din sammen med din identitet. Slik vil det være mulig å følge dine bevegelser innenfor WiFi-sonen gjennom signalene som sendes ut kontinuerlig fra mobilen din. Står det et WiFi-punkt inne på sportsbutikken, vet nettverkseieren at du har vært i butikken og nøyaktig klokkeslett for når du var der.

I tillegg kan mange gjestenett på konferansesentre og hoteller huske MAC-adresser for automatisk tilkobling til kjente enheter, men dette skjer ikke for å spore personene. Datatilsynet har ikke grunn til å tro at WiFi-sporing er veldig utbredt på handlearenaer, men vi kjenner til at flere kjøpesentre har begynt å se på slike løsninger.

Et fremtredende eksempel på bruk av WiFi-sporing finner vi i sikkerhetskontrollen på Oslo Lufthavn Gardermoen. Flyplassen bruker WiFi-sporing for å beregne tiden det tar for de reisende å gå gjennom sikkerhetskontrollen. Sporingen foregår slik at det er plassert ut et antall WiFi-punkter før og etter sikkerhetskontrollen. Passeringstidspunkt før og etter sikkerhetskontrollen blir slått sammen for å regne ut hvor lang tid det har tatt for den reisende å bevege seg mellom punktene. Dette gir en nokså presis indikasjon på gjennomsnittlig passeringstid gjennom sikkerhetskontrollen. Denne informasjonen gis videre til de reisende på oppslagstavler som oppdateres jevnlig.

Et annet eksempel fra Norge på bruk av WiFi-sporing har vært brukt på kjøpesenteret CC Stadion i Hamar. Teknologien som kjøpesenteret har anskaffet, gjør det mulig å kartlegge og analysere kundeatferd, som igjen kan brukes til å tilpasse reklame og optimalisere produktplassering. Senterledelsen sier  at de alltid vil innhente kundens samtykke før de vil bruke teknologien til å analysere den enkeltes bevegelser og gi tilpasset reklame. Uten samtykke vil senteret kun telle antall besøkende – ikke analysere den enkelte kundes bevegelser.

I andre europeiske land har det vært flere personvernsaker om WiFi-sporing. I Sverige gjennomførte det svenske datatilsynet, Datainspektionen, en kontroll med WiFi-sporing i 2015. Her ble WiFi-sporing brukt i en by for å kartlegge folks bevegelser i sentrumskjernen. Formålet var å innhente MAC-adresser for å utarbeide statistikk om besøkstall i sentrum. Datainspektionen mente WiFi-sporingen var ulovlig fordi sporingen gjorde det mulig å overvåke enkeltpersoners bevegelser i det offentlige rom. Selskapet som sto for sporingen ble pålagt å endre praksisen eller stanse den. Selskapet gjennomførte endringer som gikk ut på at MAC-adressene nærmest umiddelbart ble slettet, slik at statistiske data ikke lenger kunne kobles tilbake til mobileierne. I tillegg ble det hengt opp informasjonstavler rundt om i sentrum og på nettstedet til virksomheten. Datainspektionen fant disse tiltakene tilstrekkelige og aksepterte WiFi-sporingen slik den da ble gjennomført.

I Nederland gjennomførte det nederlandske datatilsynet i 2015 et tilsyn med et selskap som lagde WiFi-systemer for sporing i butikker. Sporingssystemet ble brukt for å registrere bevegelsene til kundene i butikkene gjennom registrering av mobiltelefonenes MAC-adresser. Også mobiltelefonene til forbipasserende på gata utenfor butikken ble registrert. Formålet var å analysere kundenes bevegelser og handlemønster og dataene ble lagret i ubegrenset tid. Verken kundene i butikken eller de forbipasserende fikk noen informasjon om at signaler fra deres telefoner ble registrert og lagret. Det nederlandske datatilsynet slo ned på praksisen på grunn av mangel på informasjon, samt manglende anonymisering og sletting av MAC-adresser.

Personvernkonsekvenser

WiFi- og Bluetooth-sporing bruker vårt eget utstyr til å spore oss. Dette er utstyr som har frivillig kommunikasjon som opprinnelig formål. Med WiFi- og Bluetooth-sporing kan utstyret vårt brukes til nye formål uten at vi er klar over det. Videre kan overvåking av våre bevegelser for telling, kartlegging og analyse oppleves som ubehagelig og krenkende, særlig hvis vi ikke vet hvem som overvåker oss og hvorfor de gjør det.

I vår verden er ofte aktørene som driver med sporing ikke veldig synlige. Det er vanskelig, mange ganger umulig, å vite om mobiltelefonens WiFi- og Bluetooth-signaler blir sporet. I sakene fra Nederland og Sverige som er nevnt over, foregikk WiFi-sporingen i det offentlige rom i det skjulte før datatilsynsmyndighetene grep inn. Skjult sporing får konsekvenser for personvernet vårt fordi vi mister oversikten over egne personopplysninger, og vi fratas retten til å ta informerte valg eller på annen måte øve påvirkning.

Når noen aktører vet masse om oss, mens vi ikke vet noe om dem, blir deres makt styrket. Dette kan fort skape et overtak for den som vet mest – et overtak aktørene kan bruke til å påvirke oss eller treffe beslutninger som får praktiske konsekvenser for oss. Et eksempel er at prisen for en vare blir forskjellig for to kunder basert på en analyse av hvor mye den ene kunden er villig til å betale. Videre fører det til informasjonssvikt, som er en form for markedssvikt. Når forbrukeren ikke har kjennskap til hva som foregår, kan de heller ikke kreve tjenester som gir bedre personvern. Den ujevne fordelingen av informasjon resulterer i en konkurransesituasjon som oppmuntrer markedsaktørene til å ta i bruk mer og mer personverninngripende virkemidler.

Et grunnleggende personvernprinsipp er at innsamling av personopplysninger ikke skal skje i det skjulte. Derfor skal det alltid informeres om at WiFi- og Bluetooth-sporing foregår – det krever personopplysningsloven.

Informasjon setter oss i stand til å vareta egne rettigheter og skaper åpenhet. Åpenhet kan bidra til legitim og rettferdig bruk av personlige opplysninger. Alle som blir sporet har for eksempel innsynsrett i hvilke personopplysninger om en selv som behandles.

Personopplysningsloven sier at sporing krever samtykke. Det at vi kan velge å ikke gi vårt samtykke gir oss valgfrihet og kontroll over egne personopplysninger. Noen ganger kan imidlertid ren telling foregå dersom det er nødvendig for å vareta en berettiget interesse som veier tyngre enn den enkeltes personvern. Siden sporing utgjør et inngrep i vårt privatliv, må den være nødvendig og den må begrunnes. Hvis vi opplever bruk av sporingsteknologi som nyttig for felles formål, er det lettere å godta den.

Samtykke

Når en virksomhet behandler personopplysninger, skal den i størst mulig grad basere det på samtykke. Det innebærer at du godtar at virksomheten behandler personopplysninger om deg.

For at et samtykke skal være gyldig, må det være aktivt, frivillig og informert.

Når MAC-adresser leses av for å telle mennesker, kan det være nødvendig å ta vare på adressene i et visst tidsrom. Lagringen kan for eksempel skje for å unngå dobbelttelling – man må ha en oversikt over hvilke MAC-adresser som allerede er talt for å ikke telle dem på nytt.

På en annen side kan for lang lagringstid gjøre det mulig å spore oss over sted og tid. Når flere WiFi-punkter er koblet til samme nettverk, vil nettverkseier kunne se hvilke punkter en person var i nærheten av, og til hvilken tid. Dermed vil det være mulig å følge bevegelsene til vedkommende. For eksempel vil det kunne spores hvordan man beveger seg i et kjøpesenter i løpet av et år, eller hver gang man går inn i en butikk i samme kjede.

Derfor er det viktig at man ikke tar vare på MAC-adressen lenger enn nødvendig. Den skal slettes så snart som mulig for å unngå inngripende og uforholdsmessig sporing.

Noen ganger kan steder vi besøker fortelle noe om vår helsetilstand, religiøse tro, politiske synspunkter eller seksuelle legning. Dette er sensitive personopplysninger, og det gjelder strenge regler for når det er lov å behandle slike opplysninger. Derfor bør WiFi-sporing unngås på slike steder, for eksempel hos helsetilbydere, i gudshus eller under politiske demonstrasjoner.