Internet of Things Dockan Cayla har förbjudits i Tyskland sedan det framkommit att den kan användas för avlyssning och för marknadsföring till barn. Henrik Lindstrand, biträdande jurist vid Cederquist, utesluter inte att även svenska myndigheter kan komma att agera.
I ett avsnitt av Saturday Night Live kommer Putin ner genom Trump towers skorsten för att dela ut en present. Han förklarar att ryssarna är glada att "the best candidate, the smartest candidate, the manchurian candidate" ("I don't know what that means but it sounds tremendous") vann valet och överlämnar en Elf on the shelf - dockan som håller koll på vilka barn som är naughty och vilka som är nice åt Santa.
- Just put it right next to your internet router. You keep it there all year, it's fun.
Kanske kom inspirationen från Cayla, en internetuppkopplad docka som nyligen förbjöds i Tyskland eftersom den betraktas som en Spionagegerät. Barn kan ställa frågor till dockan, som svarar efter att ha sökt efter information på det öppna nätet. Enligt myndigheten kan sådana leksaker användas för att avlyssna samtal, även av andra än tillverkaren, och för att skicka reklammeddelanden till barn utan föräldrarnas vetskap.
- Items that conceal cameras or microphones and that are capable of transmitting a signal, and therefore can transmit data without detection, compromise people's privacy. This applies in particular to children's toys. The Cayla doll has been banned in Germany. This is also to protect the most vulnerable in our society, säger Tysklands Bundesnetzagenturs president Jochen Homann i en kommentar.
Sveriges Konsumenter anmält Cayla och roboten I-Que till Konsumentverket och Datainspektionen av just dessa skäl. Organisationen menar också att användarvillkoren är oskäliga. I USA har The Electronic Privacy anmält båda produkterna till FTC.
- The cost of the device is not the ultimate revenue for these companies, advertising and personal information are what's at the end of the rainbow for them, säger Albert Gidari vid Stanfords Center for Internet and Society i en kommentar.
Tillverkaren Vivid Toy Group skriver i en kommentar att inga överföringar över nätet är 100 procent säkra men att man värnar om kundernas integritet. Företaget tillägger att Cayla programmerats för att inte uttala ord eller visa bilder som kan vara olämpliga för barn. Tidiga versioner av dockan var dock varit lätta att hacka eftersom bluetoothparningen inte krävde PIN-kod:
Cayla är inget unikt fall - säkerhetsbrister har hittats i bl a internetuppkopplade leksaksdjur och GPS-klockor för barn. Och förstås i bilar, tv-apparater och andra leksaker för vuxna. Produkter kan komma att återkallas även i Sverige. Och när den nya dataskyddsförordningen träder i kraft nästa år får tillverkarna skäl att se över hur personuppgifter hanteras.
- Generellt är det personuppgiftsbehandlingen som är den stora utmaningen, säger Henrik Lindstrand, biträdande jurist vid Cederquist.
- Som enskild ska du få den information som behövs för att kunna ta ställning till om leverantören av tjänsten ska få hantera dina uppgifter. För vilka ändamål och vilka typer av uppgifter det handlar om, vilka som får tillgång till dem och om de är känsliga eller inte – det är ofta svårt för en leverantör av IoT-produkter att svara på eftersom de inte nödvändigtvis alltid vet det själva när de lämnar informationen. När det gäller den här dockan har leverantören kanske inte tänkt på alla typer av frågor barn kan komma att ställa och därmed vilka uppgifter som kan komma att behandlas.
Att slutanvändarna är barn väcker fler frågor:
- Den som köpt dockan är den som är behörig att ingå avtalet. Den personen ger godkännande för barnets räkning, men finns kanske inte med i den dagliga användningen, säger Lindstrand.
Dockan hämtar information från det öppna nätet – kritiker menar att svaren kan innehålla reklam eller produktplaceringar. Den ska t ex ha refererat Disney vid ett antal tillfällen.
- Det är förbjudet att rikta köpuppmaningar direkt till barn, så där måste man vara restriktiv. Det kan också vara så att man olovligen använt sig av t ex Disneys rättigheter eller rennomé.
Vem ansvarar för innehållet?
- Det är en svår bedömning att göra. Det finns produkter som kan lägga beställningar utan mänsklig medverkan, exempelvis en robot som köper droger på nätet – vem är ansvarig för det köpet? Det är mycket en fråga om vilka säkerhetsåtgärder man kan förvänta sig av en leverantör för att förhindra oönskade resultat – och rör det sig om barn är kraven större.
Hur kan Cayla komma att bedömas i Sverige?
- Jag tror man kommer göra en riskbaserad bedömning där man tittar på vilken information dockan kan komma att lämna och vilka säkerhetsåtgärder och andra åtgärder leverantören vidtagit, t ex vilka upplysningar som lämnats i samband med köpet. Men vad man landar i är svårt att säga – detta har inte prövats tidigare vad jag vet.
Dockan ska också ha varit lätt att hacka – vem som helst med en bluetoothenhet som befinner sig inom tio meter ska i princip ha kunnat styra den.
- Kryptering är ju minimikrav när det gäller känsliga uppgifter, vilket det kan komma att röra sig om i det här fallet. Man får titta på kostnaderna för att implementera säkerhetsåtgärder, men kryptering utgör normalt ingen kostnadsaspekt. Det förväntas av leverantörer.
Vad säger den kommande dataskyddsförordningen om den här typen av produkter?
Det är flera aspekter egentligen. Materiellt tillkommer rättigheter för den enskilde – rätten att säga nej till vissa typer av behandlingar, rätten att bli glömd och rätten till portabilitet. Enskilda ska kunna få ut uppgifter hos tredje part, och få ut själva datan istället för som idag uppgifter om vilken typ av data som behandlas. Och då kommer man ju även in på företagshemligheter, säger Lindstrand.
Det ställs högre krav på samtycke också – leverantören kan inte lägga in det långt ner i avtalet och kan heller inte villkora leveransen med att personuppgiftsbehandlingen godkänns för sådant som inte krävs för leveransen. Och så tillkommer nya säkerhetskrav, t ex ska leverantören implementera privacy by design och privacy by default, göra konsekvensbedömningar och informera vid dataincidenter. Följer du inte regelverket kan det bli konsekvenser i form av sanktionsavgifter.
Kan Cayla komma att förbjudas eller återkallas, som i Tyskland?
Konsumentverket kan generellt kräva att produkter återkallas som inte uppfyller säkerhetskraven. Bedömningen handlar normalt om risk för fysiska skador och om vad man kan förvänta sig av produkten men det kan inte uteslutas att Cayla skulle kunna anses vara osäker – och återigen handlar det i det här fallet om barn, vilket generellt innebär en strängare bedömning.
Läs också
Verktygen som ger koll på personuppgiftsbehandlingen
Pokémon Go - vem äger det virtuella rummet?
Sju frågetecken kring nya personuppgiftslagen