En ny rapport kritiserer sikkerhedsniveauet for personlige data i biler fra 25 bilmærker. Men rapporten er selv kommet under kritik for at have en række huller.
De fleste kender formentlig nok Mozilla bedst for at stå bag webbrowseren Firefox. Men firmaet laver også en række privatlivs-orienterede software-produkter, såsom Mozilla VPN, Firefox Relay, og Firefox Monitor, der holder øje med om dine private data er blevet stjålet som en del af et sikkerhedsbrud et eller andet sted.
For at gøre opmærksom på disse produkter laver Mozillas privatlivs-eksperter en gang imellem nogle undersøgelser af, hvor brugernes data kan være i fare. Og onsdag dukkede der så en rapport op om vores biler, der i højere og højere grad indsamler data om os og har adgang til personlige data.
Og det ser ikke godt ud, hvis man spørger Mozilla. De har kigget 25 bilmærker nærmere i kortene og har fundet, at de alle har så mange problemer med privatlivs-sikkerheden, at de har givet dem den værste betegnelse, Mozilla deler ud. Den hedder sjovt nok ”* Inkluderer ikke privatliv”.
Blandt de 25 bilmærker finder man de fleste kendte mærker såsom BMW, Renault, Fiat, Ford, Toyota, VW, Audi, Toyota, Audi, Mercedes-Benz, Honda, Hyundai, Nissan, Kia og Tesla. Dog vil nogle nok notere sig, at Peugeot og Citroën ikke er blevet tjekket, og det er der en grund til, som du kan læse længere nede i artiklen.
Fire hovedkritikker
Mozilla har fire hovedkonklusioner om de 25 bilmærker. Først og fremmest mener Mozilla, at bilerne indsamler for mange personlige data om brugeren helt overordnet. ”For mange” betyder i denne sammenhæng, at der bliver indsamlet data, der hverken har noget at gøre med brug af bilen eller bilfabrikantens relation til dig som kunde.
For det andet forbeholder langt størstedelen (84%) af de undersøgte bilmærker sig retten til at udveksle indsamlede data med partnere, inklusive firmaer, der kan videresælge dine data til andre. Hele 76% af de undersøgte bilmærker forbeholder sig retten til selv at videresælge dine data.
Hvis du ikke bryder dig om at myndighederne får fingre i dine data, vil det sikkert ikke glæde dig at vide, at 56% af bilmærkerne er klar til at udlevere dem til politiet uden en dommerkendelse, men blot efter en ”forespørgsel”. For det tredje kunne Mozilla ikke få bilmærkerne til at bekræfte, om de overholder Mozillas minimumskrav, der bl.a. omfatter kryptering af alle personlige data.
For det fjerde giver bilmærkerne ikke tilstrækkelig kontrol over brugernes data og indsamlingen af dem. Tesla fortæller endda brugerne, at hvis de ikke tillader dataindsamling, kan det påføre bilen ”nedsat funktionalitet, alvorlig skade eller den kan holde helt op med at virke”.
Glemte GDPR
Kun to bilmærker, Renault og deres billig-bilmærke Dacia, leverer tilstrækkelig kontrol over brugernes data til at de kan slette dem selv ifølge Mozilla. Siden Renault er fransk og primært sælger sine biler i Europa, giver det mening, at firmaet overholder GDPR-reglerne. Og netop i forbindelse med GDPR og lignende lovgivninger er Mozilla kommet lidt i klemme.
Adskillige bilfirmaer er faret i det digitale blækhus efter undersøgelsen kom ud i går. Mange af dem gør opmærksom på, at Mozilla har ”glemt” at datalovgivningen ikke er den samme alle steder. I EU gælder GDPR-lovgivningen, som mange af bilmærkerne forsvarer sig med at de skam overholder. Det samme gælder f.eks. Californiens GDPR-lignende privatlivslov.
BMW siger for eksempel til The Register, at de ”frivilligt imødekommer kundernes anmodninger om adgang til, ændring af eller sletning af data, selv i territorier, hvor dette ikke er lovpligtigt”. Det tyske bilfirma understreger derudover, at de ikke videresælger data indsamlet i bilen (men siger ikke noget om firmaets apps, for eksempel).
Volkswagen og Audi siger begge til websitet Euroactiv, at de ”kun indsamler, sammenholder, processerer, bruger og lagrer personlige data i henhold til gældende lovgivning”. Audi tilføjer at undersøgelsen fremstår som ”usædvanlig og ikke er godt understøttet af fakta”.
Kia og brugernes sexliv
F.eks. pointerer Audi, at der kun refereres til det amerikanske bilmarked, og at undersøgelsen selv nævner, hvordan man kan slå en privatlivs-mode til i Audis biler. I det hele taget gør Mozilla ikke ret godt opmærksom på, at rapporten primært gælder det amerikanske marked (hvilket også er grunden til at Peugeot og Citroën glimrer ved deres fravær i rapporten. De to bilmærker sælges stort set ikke i USA).
Også Nissan, der får særlig meget kritik i rapporten, forsvarer sig. Til The Register siger det japanske bilfirma, at de tager brugernes privatliv ”meget alvorligt” og ”når de indsamler og deler personlige data med andre, overholdes alle gældende love og der ydes en høj grad af gennemsigtighed”.
Rapporten kritiserer også Kia for i princippet at forbeholde sig retten til at indsamle data om brugernes sexliv og seksuelle orientering (hvordan den slags dataindsamling så end sker i en bil). Det er dog baseret på det faktum, at Kia angiver i sin privatlivs-deklaration, at de kan indsamle, hvad der i Californiens privatlivslov hører under kategorien ”følsomme informationer”.
Dette kan være brugerens kørekort-nummer, geo-lokation, login eller kreditkortinformation, men det kan også være informationer om personens sexliv. Kia understreger dog overfor The Register, at de ikke indsamler sexlivs-informationer om sine kunder.