arrow_back Blog
product

Hvorfor vi ikke sporer placering: Vores privatlivstilsagn

By I'm Okay Team ·

De fleste apps til familiesikkerhed sporer placering. Det gør vi ikke.

Det er et bevidst valg, og det præger nærmest alt andet ved, hvordan I’m Okay fungerer. Vi får spørgsmål om det hele tiden — fra brugere, anmeldere og potentielle opkøbere — så her er det lange svar.

Tilsagnet

I’m Okay indsamler to ting:

  1. E-mailadresserne på de kontakter, du eksplicit tilføjer (så vi kan give dem besked, hvis du glemmer at tjekke ind)
  2. Tidsstempler for dine check-ins

Det er hele listen. Bemærkelsesværdigt fraværende: alt om dig personligt. I’m Okay kræver ingen tilmelding — ingen e-mail, ingen adgangskode, ingen konto. Appen identificerer dig med et anonymt, enhedsspecifikt id. Vi kender ikke dit navn. Vi har ikke din e-mail. Vi kan ikke på egen hånd knytte dine check-ins til en virkelig identitet.

Vi indsamler ikke:

  • Din placering — nogensinde
  • Dine sundhedsdata
  • Din telefons accelerometer, gyroskop eller sensordata
  • Dine kontakter ud over de 1–3, du eksplicit tilføjer
  • Din browserhistorik eller appforbrug
  • Dine billeder, mikrofon eller kamera
  • Nogen form for “adfærdsanalyse” eller “brugsmønstre”

Hvis en funktion ville kræve, at vi begynder at indsamle noget fra denne liste, bygger vi den ikke.

Hvorfor det betyder noget

Der er tre grunde til, at vi valgte ikke at indsamle data — nogenlunde i den rækkefølge, de opstod under designprocessen.

1. Overvågning forandrer forholdet

En daglig check-in-app befinder sig i et følelsesmæssigt følsomt rum: mellem en ældre forælder og et voksent barn. Hele pointen med appen er at lindre angsten på begge sider — forælderens “jeg vil gerne være selvstændig”-angst og barnets “jeg vil gerne vide, at de har det godt”-angst.

I det øjeblik appen begynder at indsamle mere end det nødvendige minimum, tipper den følelsesmæssige balance. Forælderen føler sig overvåget. Barnet får flere data at fortolke obsessivt. I stedet for at give lettelse bliver appen en ny kilde til uro.

En check-in-app bør gøre forholdet nemmere, ikke mere overvåget. Det er kun muligt, hvis appen indsamler næsten ingenting.

2. Data man ikke har, kan ikke misbruges

Hver eneste byte data, et firma indsamler, er en fremtidig forpligtelse. Databrud sker. Virksomhedsopkøb sker. Retskendelser sker. Interne fejl sker.

En undersøgelse fra 2022 foretaget af IBM og Ponemon viste, at den gennemsnitlige omkostning ved et databrud var 4,35 millioner dollars. Det tal stiger. Og omkostningen for virksomheden er ikke det eneste, der tæller — for brugerne er det alvorligt skadeligt at få deres bevægelser, sundhedsdata og rutiner eksponeret i et brud.

Det enkleste forsvar er: lad være med at indsamle det fra starten. Vi kan ikke miste det, vi ikke har. Vi kan ikke blive bedt om at udlevere det, vi ikke har. Vi kan ikke fristes til at tjene penge på det, vi ikke har.

3. Vi ønsker ikke den forretningsmodel, der kræver data

Når en virksomhed indsamler brugerdata i stor skala, er den tyngdekraft, der trækker mod at tjene penge på det, enorm. Selv virksomheder med gode intentioner har tendens til at glide. Placeringsdata er i særdeleshed meget værdifulde for annoncører, detailhandlere og datamæglere.

Det er ikke den branche, vi ønsker at være i. Vi ønsker at være et lille, fokuseret produkt med en bæredygtig abonnementsmodel: brugere, der ønsker avancerede funktioner, kan abonnere via App Store til en lav månedlig pris (aktuelle priser i App Store), vi leverer en nyttig tjeneste, vi ejer ingen overvågningsinfrastruktur, og vi skylder ingen annoncører noget.

Det er kun muligt, hvis vi aldrig begynder at indsamle dataene fra starten.

Hvad vi mister ved ikke at spore placering

Afvejningen er reel. Uden placeringsdata kan I’m Okay ikke:

  • Fortælle dig, om din forælder er hjemme eller ude
  • Registrere, om de har forladt et sædvanligt område
  • Bekræfte, at de nåede til lægeaftalen
  • Give dig besked, hvis de har opholdt sig på et hospital i en time

Hvis du virkelig har brug for disse funktioner, findes Life360 og lignende apps, og de gør det godt. Vi forsøger ikke at være dem.

Det, I’m Okay gør i stedet, er at besvare den enkleste version af spørgsmålet “har min forælder det godt i dag?” — ved hjælp af et dagligt tryk som et ja/nej-signal. Det er et langt mindre spørgsmål end “hvor er min forælder lige nu?”, men det viser sig at være det, de fleste familier faktisk ønsker besvaret.

Hvad med “faldregistrering” og lignende funktioner?

Vi er blevet bedt om at tilføje faldregistrering, søvnsporing, pulsovervågning og andre sensorbaserede funktioner. Vi har afslået dem alle.

Begrundelse:

  • Faldregistrering kræver accelerometerdata, hvilket betyder kontinuerlig baggrundsbehandling og potentielt falske alarmer, der undergraver tilliden til hele systemet.
  • Søvnsporing kræver, at brugeren bærer noget i sengen, hvilket er et skridt, de fleste selvstændige ældre ikke vil tage konsekvent.
  • Pulsovervågning duplikerer, hvad Apple Watch gør for brugere, der ønsker det, og tilføjer ingen værdi på en telefon, hvor man faktisk ikke kan måle puls præcist.

Disse funktioner lyder godt i markedsføringsmaterialet og leverer sjældent i praksis. De kræver også mere dataindsamling, mere batteriforbrug og flere sensorer — præcis det, vi forsøger at undgå.

Hvis du ønsker faldregistrering, er Apple Watch fremragende. Hvis du ønsker søvnsporing, findes der dedikerede søvnApps. I’m Okay holder fokus på det ene, vi gør godt: den daglige check-in.

Hvad med analyser? Behøver I ikke at vide, hvordan folk bruger appen?

Lidt. Vi bruger minimale Apple-leverede analyser (anonyme, aggregerede, mulighed for fravalg) til at forstå ting som nedbrudshyppighed og hvilke iOS-versioner vi skal understøtte. Vi bruger ikke Google Analytics, Mixpanel, Amplitude, Facebook SDK eller nogen tredjepartsanalyseværktøjer i appen.

Marketingwebstedet (dette site) bruger Google Analytics 4 til trafikmåling, fordi vi har brug for at forstå, hvilket indhold der er nyttigt. Vi har konfigureret det til ikke at indsamle IP-adresser eller identificerende data ud over standard aggregerede målinger.

Det er det absolutte minimum for at drive tjenesten. Vi betragter det som en gæld — nyttig for nu, kandidat til fjernelse senere.

Vores “Just in Case”-funktion er det modsatte af overvågning

Hvis du har brugt I’m Okay’s Just in Case-funktion, undrer du dig måske over, hvordan den harmonerer med vores privatlivsstandpunkt.

Just in Case lader dig skrive en privat besked, der kun sendes til din betroede kontakt, hvis du holder op med at tjekke ind i en længere periode (2, 3 eller 5 missede dage — dit valg). Det er en besked, du selv vælger at tilmelde og skrive — som et forseglet brev, der kun åbner sig under en bestemt betingelse.

Det er det modsatte af overvågning:

  • Beskeden er din, skrevet af dig, og læses aldrig af os.
  • Den er krypteret i hvile.
  • Udløsningsbetingelsen fastsættes af dig.
  • Du får besked, inden en besked nogensinde sendes (så du kan annullere, hvis du blot er på ferie).

Denne type funktion er kun mulig, når vi heller ikke driver baggrundsovervågning — der er ingen konflikt, fordi vi aldrig begyndte.

Hvordan vi håndterer de data, vi har

De to ting, vi gemmer (kontakters e-mails, check-in-tidsstempler), er:

  • Krypteret under overførsel (HTTPS for alle API-kald)
  • Krypteret i hvile (kryptering på databaseniveau i vores backend)
  • Aldrig solgt eller delt med tredjeparter til noget formål
  • Slettet på forespørgsel inden for 30 dage efter en anmodning om datasletning (ingen konto at lukke, da der slet ikke er nogen konto)
  • Ikke brugt til annoncering (vi kører ikke annoncer)

Dataene behandles på cloudinfrastruktur (AWS i dette tilfælde), hvilket betyder, at vores hostingudbyder teoretisk set har adgang — som enhver moderne webtjeneste. Vi anser ikke dette for ideelt, men det er et pragmatisk kompromis. Dataene er minimale nok til, at selv hvis vores hele database lækker, ville den praktiske skade begrænse sig til spam til dine kontakters e-mailadresser.

Hvad vi håber, at dette ændrer

Vi er et lille produkt. Vi forventer ikke at ændre hele kategorien for familiesikkerhedsApps alene. Men vi ønsker at demonstrere noget for andre udviklere i dette felt:

Man kan bygge et nyttigt familiesikkerhedsprodukt uden at indsamle placerings-, sundheds- eller adfærdsdata. Man kan bære det gennem et lille abonnement. Man kan udgive det uden en venturekapitalfinansieret overvågningsforretningsmodel.

Uanset om andre virksomheder følger trop eller ej, er dette det produkt, vi selv ønsker at bruge — og det, vi håber, vores forældre også ville bruge.

Ofte stillede spørgsmål

Kan I bevise, at I ikke indsamler placeringsdata? Ikke i absolut forstand — du ville skulle revidere vores kodebase og infrastruktur. Men du kan tjekke det: I’m Okay anmoder ikke om iOS-placeringstilladelse. iOS håndhæver selv, at en app ikke kan tilgå placering uden tilladelsespop-up’en. Hvis vi ønskede at begynde at spore placering, ville vi skulle anmode om tilladelse i en synlig dialog på OS-niveau. Så som minimum: indtil du ser den dialog, kan du være tryg ved, at der ikke strømmer placeringsdata.

Hvad hvis nogen anmoder jer juridisk om data? Vi ville efterkomme en gyldig juridisk anmodning, som enhver USA-baseret virksomhed skal. Men det, vi kan udlevere*, er begrænset til de data, vi har: e-mailadresser og check-in-tidsstempler. Vi har ingen placeringshistorik, ingen kontaktliste (ud over de 1–3, du eksplicit tilføjede), ingen beskedindhold (Just in Case-beskeden er krypteret, og vi gemmer den ikke i klartekst).

Vil I nogensinde tilføje sporingsfunktioner? Nej. Standpunktet om ingen sporing fremgår af vores Servicevilkår, og vi ville betragte det som en væsentlig ændring af produktet, hvis vi nogensinde ønskede at afvige fra det. Hvis du nogensinde ser I’m Okay tilføje placerings-, sundheds- eller adfærdssporing, bør du betragte det som et andet produkt.

Hvad hvis I bliver opkøbt? Det samme tilsagn om dataminimering ville skulle videreføres. Vi har udformet dette som en ikke-forhandlingsbar del af produktet, ikke som et markedsføringsudsagn. Rent praktisk, siden vi ikke har nogen af de data, ville en opkøber ikke have noget at tjene penge på, selv hvis de ønskede det.

Ønsker de fleste brugere ikke flere funktioner? Nogle gør. Vi har accepteret, at vi ikke er for dem. Der er et reelt marked for overvågningstunge familieApps, og de er velfinansierede. Vi henvender os til det meget mindre (men reelle) publikum af brugere — og familier — der ønsker det modsatte.

Vi mener, at privatliv ikke er en funktion, man eftermonterer. Det er en grundlæggende begrænsning, der præger alt andet. I’m Okay er, hvad en daglig check-in-app ser ud som, når privatliv er den begrænsning, der kommer først.

Hvis det giver genklang, vil vi meget gerne have dig til at prøve den — gratis for 1 kontakt, ingen GPS, ingen overvågning.

#privacy#design philosophy#data minimalism

Related articles