Datatilsynet bekymret for at tek-selskapene selv skal verifisere alder på sosiale medier
Tilsynet frykter teknologi-giganter ikke vil ta hensyn til personvern, og at infoen du må dele for å bevise alderen din kan lekke ut.
Saken oppsummert
- Regjeringen vil innføre en 16-års aldersgrense på sosiale medier, og ansvaret for aldersverifisering legges på tek-selskapene.
- Datatilsynet er bekymret for at de store tek-selskapene selv skal få ansvaret.
- De frykter at selskapene vil samle inn for mye personopplysninger og i verste fall misbruke dem
- De frykter også at personinformasjon kan komme på avveier. Tidligere hendelser har vist at personinformasjon som passbilder lekkes eller hackes.
- Datatilsynet foreslår at Norge bør vurdere EUs app for aldersverifisering, som kan redusere mengden innsamlet persondata.
– Alle som bruker sosiale medier, må verifisere alderen sin. Vi snakker om potensielt veldig store mengder data som må behandles godt, sier Tobias Judin, seksjonssjef i Datatilsynet.
Regjeringen presenterte denne uka at de vil sette 16-års aldersgrense på sosiale medier. De vil endre lovverket for å skjerme unge mot mulige skadevirkninger fra bruk av sosiale medier.
Datatilsynet er bekymret for at plattformene vil få tilgang til enda flere personopplysninger dersom de skal ha ansvaret for å verifisere alderen til brukerne.
Aldersverifisering er allerede innført i noen andre land og av ulike selskaper rundt om i verden. Noen av metodene innebærer at alle som bruker nett-tjenestene må dele info som:
- Bilde/kopi av offisielle dokumenter som bekrefter alderen, som pass, førerkort eller nasjonalt ID-kort
- Skann av ansikt eller andre biometriske data
- Unike identitetsnumre som fullt personnummer
Tilsynet har ikke helt tiltro til at selskapene ikke bruker informasjonen til andre ting også.
– Dette er plattformer som har historikk med å bryte personvernreglene. Vi håper at regjeringa vil vurdere å ta inn klare regler om hvordan verifiseringen skal skje. Hvilke data de kan samle inn, og hvordan dette skal håndteres, sier Judin.
Frykter info på avveier
Datatilsynet trekker også fram faren for at store mengder personinformasjon kan komme på avveier.
– Vi har også sett eksempler på at data brukt i verifisering har kommet på avveier, og det er derfor vi er så opptatt av personvernet i løsningene, sier Judin.
En del av de store teknologiselskapene har valgt å kjøpe tjenester fra underleverandører knyttet til aldersverifisering.
Etter at ulike land og nett-tjenester starter innføring av aldersverifisering har det vært flere tilfeller der store mengder personinfo har lekket fra slike underleverandører.
I 2024 ble et selskap som jobbet for blant annet TikTok, Uber og X hacket.
Bilder av pass og andre ID-dokumenter, info om navn, fødselsdato og nasjonalitet var på avveier og tilgjengelig for andre enn de som skulle ha informasjonen, kunne teknologi-nyhetsnettstedet 404 Media rapportere.
Og i fjor ble det kjent at info fra rundt 70.000 brukere av chatte- og kommunikasjonstjenesten Discord kunne være på avveier – inkludert bilde av pass og andre ID-dokumenter for noen av brukerne.
Discord kunngjorde at noen hadde hacket en underleverandør som bistod dem med kundeservice.
Årsaken til at bilder av pass kom på avveier, var at kundeservice-leverandøren hadde samlet inn slike dokumenter for å håndtere aldersverifisering.
Sammen med passene var det også samlet info om navn, brukernavn, e-postadresse, IP-adresser og kommunikasjon mellom brukerne og kundeservice.
Digitaliseringsminister: Tjener milliarder og bør fikse det selv
Digitaliserings- og forvaltningsminister Karianne Tung (Ap) sier at ansvaret skal ligge hos plattformene selv.
– Sosiale medier-selskapene tjener milliarder av dollar på brukerne sine. De har alle forutsetninger for å beskytte barn og unge bedre på plattformene sine, og et særlig ansvar for å gjøre det. De har ikke gjort nok, og vi ser at barn rammes når beskyttelsen ikke er god nok. Derfor plasserer vi et tydeligere ansvar hos selskapene selv, uttaler digitaliseringsministeren Karianne Tung via sin kommunikasjonsavdeling på e-post.
– Regjeringen legger ansvaret for aldersverifisering på tekgigantene. I praksis betyr det at også alle andre brukere må gi fra seg personopplysninger for å identifisere de som er under 16 år. Hvordan forsvarer du som digitaliseringsminister dette opp mot personvern?
– Some-selskapene skal ta i bruk løsninger som ivaretar personvernet. Brudd på personvernregelverket kan sanksjoneres av Datatilsynet. Når DSA blir en del av norsk rett, risikerer some-selskapene også kraftige sanksjoner etter dette regelverket, svarer Tung.
EU-app som løsning?
Datatilsynet ønsker at Norge kobler seg på prosessen til EUs app for aldersverifisering i stedet for at tek-selskapene skal ha separate løsninger.
Tilsynet har tro på at EUs initiativ kan bidra til at det ikke samles inn unødvendig mye personopplysninger for å sjekke alderen på brukerne.
– Appen spør kanskje om du bruker den over eller under 16 år, og så får du bare et ja/nei-svar fra EU-løsningen. Så skal de stole på det svaret. Det vi ser med andre aldersverifiseringsløsninger er at de kanskje krever at du laster opp passet ditt. Da får du plutselig full informasjon om din identitet. Masse informasjon du ikke skal ha, sier Judin.
Han forklarer at de anser EUs app for å være i førersetet for å lage et forslag som gir fra seg så lite info som mulig.
Appen fra EU har likevel fått kritikk. Kort tid etter at en prototyp ble presentert og kildekoden ble delt, avslørte sikkerhetseksperter at det i appen var flere svakheter.
Blant annet gikk det an å komme seg rundt innloggingen slik at andre kunne bruke aldersbeviset.
– Om jeg har lastet ned appen og bevist at jeg er gammel nok, så tar min nevø telefonen min. Han kan da klare å låse opp appen og bruke det beviset for å si at han er gammel nok, uttalte den franske sikkerhetseksperten Olivier Blazy til Politico.
Har ikke anbefalt EU-appen
Regjeringen peker ikke på EUs app i sitt ferske forslag om aldersgrense for sosiale medier.
Digitaliseringsminister Karianne Tung sier de har fått med seg svakhetene.
– Vi er kjent med at den første generasjonen til appen har møtt kritikk, blant annet at det er svakheter i kildekoden som gjør at den kan hackes, at det er mulig å omgå alderskontrollen, sier Tung.
Enn så lenge legger derfor regjeringen ansvaret for sjekken over på selskapene bak sosiale medier.
– Jeg går ut ifra at EU jobber videre med å forbedre den, men jeg understreker at det er opp til some-selskapene selv å velge en trygg og effektiv løsning for valg av løsning for å sikre at barn under aldersgrensen ikke gis tilgang til tjenestene deres, sier Karianne Tung.
Datatilsynets seksjonsleder er klar på at appen foreløpig har utfordringer og at den må utvikles videre. Men mener likevel den er det beste alternativet nå.
– Vi er klar over at den appen har noen utfordringer og må utvikles videre, men vi mener det er bedre å satse på den enn å la teknologi-gigantene utvikle sine egne løsninger.