I ljuset av Facebooks Cambridge Analytica-skandal har Google gett sig den på att inte råka ut för samma sak. Företaget har därför gått ut med att alla som använder Gmail API för att bygga appar som på något sätt hanterar känsliga personuppgifter ska genomgå en säkerhetsrevision för att bevisa att de spelar enligt reglerna. Initiativet kan för all del tyckas lovvärt, det är bara det att Google tänker ta betalt för revisionen, och inte så litet heller.

Kostnaden för revisionen kommer att ligga på mellan 15 000 och 75 000 dollar, motsvarande mellan knappt 140 000 och knappt 700 000 kronor. Eftersom revisionen måste utföras varje år, kan alltså utvecklare som använder Gmail API räkna med att behöva punga ut med motsvarande summa varje år. En så tung kostnad kan få många mindre utvecklare att gå under.

– Resultatet är förödande, säger James Ivings till The Register.

– Vi är ett litet företag, och vi kommer att få lägga ned verksamheten om dessa avgifter blir verklighet eftersom det är mer än vi klarar av. Med tanke på att det är tusentals appar som använder Gmail API tror jag att vår situation kommer bli vanlig.

James Ivings företag utvecklar en app som heter Leave Me Alone och gör att användaren kan avprenumerera sig från e-postutskick i klump.

Den 31 mars är det kört

Google presenterade sin plan i oktober förra året, tre månader efter att den amerikanska tidningen Wall Street Journal avslöjade att utvecklare med tillgång till Gmail API har tillgång till både innehåll och metadata från användarnas e-post. Google har också genom året mottagit kritik, och blivit stämda, för deras praktik att algoritmiskt analysera innehåll i e-post för att förfina sina annonsvisningar, något Google gick ut och förnekade i mitten av 2017.

De nya reglerna för Gmail API började gälla den 15 januari för alla nya appar. Befintliga appar har till den 15 februari på sig att påbörja en revisionsprocess. De appar som inte möter detta datum kommer inte att kunna lägga till nya användare efter den 22 februari och kan bli annullerade efter den 31 mars.

Google säger i ett uttalande att "Vi har introducerat vår nya policy för att försäkra oss om att användarnas förväntningar ligger i linje med utvecklarnas användning [av api:et], och ger användarna det förtroende de behöver för att hålla sina data säkra”.

Kritiken mot Google har förstås inte låtit vänta på sig. Googles ändring av reglerna visar också hur känsligt det kan vara att luta sin affär mot ett privat företags regler, och regeländringar som inte går att överklaga. Liknande har även inträffat när Facebook ändrat sina regler och/eller algoritmer.

Monopol på revisionerna

Till saken hör att Google lagt ut revisionerna på två externa företag som getts monopol på att utföra revisionerna; inga andra får genomföra dem, vilket gör det väldigt svårt att påverka priset. För dem som inte kan betala återstår bara att lämna Google och försöka på annat håll, om de kan. Kritiken består även i att Google tillhandahåller endast två lägen för Gmail API; antingen full tillgång till alla data, eller inget alls. Många app-utvecklare vill inte, eller behöver inte, full tillgång till användarnas data.

Tvärtom, många som ovan nämnda Leave Me Alone, och även Clean Email, är till för att respektera och till och med förbättra användarnas integritet. Men det verkar inte spela Google någon roll. Det finns naturligtvis även appar åt det andra hållet, som alltså Google vill komma åt. Ett exempel är Unroll.me som 2017 sålde användardata från Gmail till Uber, och sedan pudlade.

De nya reglerna kommer inte gälla G Suite eftersom de användarnas integritet är i händerna på de organisationer som administrerar kontona.

Läs också:
Nu ska Google säkra också billiga mobiler – med ny krypteringsmetod
Ska anställda få organisera sig via e-post? Nej, säger Google