Alexandra Instituttet A/S // Aktuelt // Nyheder // Nyheder 2016 // Med privacy-assistenter bliver det nemmere at forholde sig til, hvad apps på din mobil må få adgang til

Med privacy-assistenter bliver det nemmere at forholde sig til, hvad apps på din mobil må få adgang til

Artikel

01-07-2016

Med privacy-assistenter bliver det nemmere at forholde sig til, hvad apps på din mobil må få adgang til

Ifølge vores privacy-forsker, Mads Schaarup Andersen, står og falder den nye persondataforordning med, om den formår at bevæge os fra passivt til aktivt samtykke.

Privacy-assistenter, også kaldet Personalized Privacy Assistants (PPA) kan gøre det nemmere at forholde sig til, om applikationer på mobiltelefoner må få adgang til private data som placering eller brugerkonti. PPA kan måske være vejen frem mod en succesfuld implementering af EU's nye persondataforordning, der træder i kraft i 2018. Forordningen står og falder med, om den formår at bevæge os fra passivt til aktivt samtykke på en fornuftig måde.

Med den nye EU-forordning bliver det vigtigt, at man tænker over, hvordan man opnår aktivt samtykke, da der findes flere eksempler på aktive samtykkemekanismer, der reelt ikke giver brugeren mere kontrol. Det kan f.eks. hurtigt blive uoverskueligt, hvis det betyder, at man pludselig skal tage stilling til langt flere samtykkeerklæringer end tidligere. Det er her, privacy-assistenter kan hjælpe. En aktiv samtykkemekanisme i den nye forordning falder også godt i tråd med den udvikling, der er i forskningsverdenen i øjeblikket. Her er der meget fokus på privacy-personalisering og på at give kontrollen over data til brugerne.

Sådan lyder det fra Mads Schaarup Andersen i Alexandra Instituttets Security Lab. Han og hans kolleger arbejder med state-of-the-art teknologi og løsninger inden for sikkerhed og privacy. Han har en ph.d. i datalogi fra Aarhus Universitet og har det seneste år arbejdet som postdoc på Carnegie Mellon University i Pittsburgh i USA.

Han har specialiseret sig inden for brugbar privacy og beskæftiger sig med, hvordan folk opfatter security og privacy, og hvordan man laver løsninger, som folk forstår og kan bruge. Han mener, det er vigtigt at udvikle løsninger, der giver kontrollen over egne data tilbage til brugeren, og at det ikke kun er eksperter, der forstår at bruge løsningerne.

Der ligger en interessant udfordring i at finde ud af, hvordan man laver et skift fra, at apps og hjemmesider indsamler en masse information – ofte uden at brugerne forstår, hvad der foregår – til at brugerne forstår, hvad der foregår og derfor antageligvis deler mindre.

“Hvis den nye persondataforordning ender som Cookie-direktivet, hvor der kommer en besked om, at "i øvrigt bruger vi cookies til det og det", så bliver det ikke særligt brugervenligt. Typisk er der jo ikke et reelt valg, fordi du kun kan vælge at sige ok eller helt forlade siden,” forklarer Mads Schaarup Andersen.

Privacy skal fungere – og forstyrre brugeren mindst muligt

Cookie-direktivet handler meget specifikt for cookies. Hjemmesider beskæftiger sig med meget andet end cookies. Der er også hjemmesidernes persondatapolitikker, kaldet ‘privacy policies’, som eksempelvis her på politiken.dk, hvor de forklarer, hvordan de indsamler og behandler data. Hvis man som bruger skal til at tage stilling til alt det, der står i disse privacy policies, hver gang man går ind på en ny hjemmeside, så kan det hurtigt gå hen og blive et irritationsmoment.

Her kan en Personalized Privacy Assistant være en hjælp, fordi den på baggrund af en viden om dine privacy-præferencer ved, hvad du typisk vil og ikke vil gå med til, forklarer Mads Schaarup Andersen.

PPA’erne vil i fremtiden både kunne fungere på mobilen, IoT og computeren. De kan ‘lytte efter’ og gennem interaktion med brugerne komme med forslag til, hvordan privacy-indstillingerne skal sættes op. Jo mere data PPA’erne har om din privacy-adfærd, jo bedre kan de blive til at assistere dig.

“I forskningsverden handler det i øjeblikket meget om personalisering. Alle har ikke samme privacy-præferencer, og det er nemmere at håndtere privacy for brugerne, hvis det er tilpasset dem specifikt,” forklarer han.

Skal et spil bruge din lokation?

Et andet interessant emne i privacy-forskningen er, at man kigger på ‘forventede’ og ‘ikke-forventede’ privacy-praksisser. Et eksempel herpå er, at når Google Maps tilgår din lokation, så forventer du det, da den bruger det til at placere dig på et kort, og så er det måske ikke så vigtigt at spørge dig, om det er ok. Bruger et spil derimod din lokation, er det lige pludselig ikke længere åbenlyst, hvorfor det skal have denne adgang, og så bliver det relevant for brugeren at blive spurgt.

“Pointen med alt dette er, at det handler om at opnå tilfredsstillende privacy-indstillinger med mindst mulig forstyrrelse af brugeren. Privacy er ikke brugernes primære aktivitet men en form for sideeffekt af at bruge f.eks. en app på mobiltelefonen,” understreger han.

Mads Schaarup Andersen skal holde oplæg om PPA’er på MyData-konferencen i slutningen af august, hvor forskere og erhvervsfolk mødes for at diskutere, hvordan man kan give brugeren mere kontrol over egne data.

Han håber, at der virksomheder eller andre, der vil være interesserede i at stille den data til rådighed, der er brug for at kunne generere de her privacy-profiler.

“De profiler der udgør fundamentet i PPA’erne er helt afhængige af privacy-præferencedata om brugerne. Jo mere data, des mere specifikke bliver profilerne. Det er analogt til, hvorfor eksempelvis Google og Facebook samler så meget data om dig. Det er fordi deres primære forretningsmodel er at vise reklamer. Jo mere data Google og Facebook har, des mere kan reklamerne målrettes, og jo mere effektive er reklamerne. På samme måde er det med profilerne,” forklarer han.

Aktivt samtykke er et krav i ny EU-forordning
Den nye persondataforordning indeholder flere interessante stramninger og er et vigtigt skridt i retning af at give EU-borgere mere kontrol over de data, der bliver indsamlet om dem. Bl.a. kræver forordningen, at dataindsamleren kan påvise, at der er indsamlet aktivt samtykke, og at brugeren har mulighed for at tilbagekalde et sådant samtykke. Det er et vigtigt skridt i forhold til at give brugerne mere magt over deres data.

Ifølge Mads Schaarup Andersen er der dog et vist spillerum i definitionen af det aktive, informerede samtykke, som forordningen kræver. Hvornår kan man f.eks. sige, at brugeren har har taget et 'informeret valg'? Hvordan tilbyder man interface-mæssigt mulighed for at tilbagekalde sit samtykke? Hvordan sørger man for, at brugeren har magt og valgmuligheder, uden at brugeren bliver overvældet ved f.eks. at skulle tage stilling til 15 tilladelser, hver gang en ny hjemmeside besøges?

Profilbillede af Mads Schaarup Andersen
Senior Usable Security Expert, PhD
+45 93 50 84 40
Åbogade 34, 8200 Aarhus N
Hopper bygningen, 2. etage lokale 224
.