Kuva: Topias Dean, Sitra

Publicerad 28.01.2020

Den data som samlas in om oss sjunker in i komplicerade nätverk

Nätverket av de som samlar in och utnyttjar data är så komplicerat att det är omöjligt för oss att ta reda på hur all data rör sig. Dataskyddsförordningen (GDPR) fungerar endast delvis och det finns ett systemiskt problem i dataekonomin. Detta visar de preliminära resultaten från Sitras utredning om digitalt fotspår.
Författarna
Expert, Människoorienterad dataekonomi, Sitra
Ledande Expert, Människoorienterad dataekonomi, Sitra
Författarens profilsida: Kirsi Suomalainen
Expert, Kommunikation, Sitra
Kirsi Suomalainen ansvarar för kommunikationen för Serviceoperatör för välfärdsdata, Hållbar finanspolitisk utbildning (Kestävän talouspolitiikkakoulutus) och Arbetslivspriset.

I en utredning om digitalt fotspår som Sitra lät göra i december 2019 följde man med hjälp av sex testpersoner hur individdatan rör sig i de digitala tjänsterna. Man utredde även individens möjligheter att förstå dataekonomins verksamhetsmiljö.

Den medborgarundersökning som Sitra tidigare låtit göra visar att det är viktigt att ta reda på hur data förflyttar sig och hur den utnyttjas. Enligt enkäten säger 43 procent av finländarna att bristen på tillit till serviceproducenterna hindrar dem från att använda digitala tjänster. 71 procent av svarandena vill att rättvisa tjänster ska kunna gå att identifiera.

Hur genomfördes utredningen om digitalt fotspår?

Testpersonerna var en 16-åring gymnasist (pojke), en medelålders journalist (kvinna), en medelålders politiker (kvinna), en 22-årig universitetsstuderande (kvinna), en pensionär (kvinna) och en person i ledande ställning i medelåldern (man).​

Utredningens huvudfrågor:

  1. Hur mycket och om vilka av oss samlas data?​
  2. För vilka ändamål används vår personliga data?
  3. Samlas/utnyttjas min data enligt dataskyddsförordningen?
  4. Vilken data samlas in via mig för andra personer (mina kontakter)? ​
  5. Hur köpslår man med datan? ​
  6. Hur profileras/poängsätts vi och vad används profilerna/poängen för?

​Under utredningen besvarades en del av frågorna endast delvis (4–6), en del frågor fick vi inga svar alls på.

Utredningen om digitalt fotspår fokuserade på användningen av data som gäller marknadsföring och reklam. Utanför utredningen lämnades områden där åtkomsten till data och delningen av data endast är till fördel för alla parter och följer principerna för öppenhet och transparens.

Metoderna i utredningen​

Analyser av nättrafikens data​

  • Testpersonernas mobildatatrafik sparades i cirka två veckor.
  • Testpersonerna fick en Android-testtelefon med VPN- och övervakningsapplikationer.

Jämförelse av de valda företagens (14) dataskyddsdokumentationer​

  • Företagen valdes ut bland de digitala tjänster som testpersonerna använde.
  • Dataskyddsbeskrivningarna analyserades för att ta reda på vilka uppgifter företagen samlar in och med vilken exakthet företagen berättar om den insamlade datan och hur den utnyttjas.

​Samma företags svar på frågor enligt dataskyddsförordningen​

  • Testpersonerna skickade en begäran enligt dataskyddsförordningen till de företag de använt och bad om att få en kopia på sina uppgifter och preciserande frågor.
  • Med hjälp av frågorna utredde vi hurdan data tjänsterna samlar in om sina användare och hur tjänsterna berättar om tredje parter som gäller dataanvändningen och om profileringen. ​

Testpersonerna använde sina egna SIM-kort i testtelefonerna. De använde även sina egna telefoner vid sidan av testtelefonerna, en del med ett annat SIM-kort. Testpersonerna använde sina egna telefoner för de tjänster vars dataföljning de inte tillåtit (t.ex. arbetsärenden, banktjänster och hälso- och sjukvårdstjänster).

Människorna saknar realistiska möjligheter att förstå de komplicerade marknadsföringsnätverken inom dataekonomin

De som använder webbtjänsterna har ingen insyn i vilken data som samlas in och till vilka tredje parter de insamlade uppgifterna skickas. Människorna tvingas lita på tjänsternas generaliserande och krångliga kexpraxis, dataskyddsklausuler och användarvillkor som utarbetats helt enligt företagens villkor för att skydda deras förmåner. ​

Det är även omöjligt för vanligt folk att förstå mängden data som samlats in och antalet tredje parter. Många tredje parter utbyter data sinsemellan. Dessutom sammanslår en del företag kex med hjälp av olika identifikatorer de använder (cookie-syncing). De skapar alltså en helhetsbild av människan även om denna använder flera enheter.

”Om tjänsterna vore mer transparenta skulle det öka tilliten.”
– En 22-årig studerande

Barn är särskilt utsatta eftersom den data som samlas in om dem är köpegods precis som vuxnas uppgifter, och barnen saknar i praktiken möjligheter att förstå de krångliga kexbeskrivningarna på webbplatserna eller de olika programmens användarvillkor.

Till exempel gav ett besök på webbplatsen Newyorker.com 56 aktörer vars servrar användarens webbläsare kontaktar. En del av aktörerna är endast där för att se till att tjänsten fungerar eller för att utveckla den utifrån besöken, medan andra åter (18 AdTech/Marketing-aktörer på bilden) samlar in data för vidareutveckling och försäljning som företagsprodukter för marknadsföring och reklam.

Illustration: Amerikanska webbtidningen newyorker.com: i datan hittades 56 olika tredje parter.

 ”Jag trodde att min data stannar hos serviceleverantören.”
– Journalist

Hur datan rör sig beskrivs även i Princeton universitets undersökning (Online tracking 01.2016) som simulerade 90 miljoner besök på en miljon webbplatser för att utreda antalet tredje parter.

Princetons undersökning visar att det finns mest tredje parter på nyhetssajter och minst på webbplatser för universitet, icke vinststrävande organisationer, hälso- och sjukvård, EU och förvaltningen. Av tredje parterna ägs en stor del av några plattformsjättar, dvs. i verkligheten går en mycket stor del av datan till en handfull företag (t.ex. Google, FB, Twitter, AppNexus) även om antalet tredje parter är betydligt högre.

Data i gengäld för gratis spel

I spelvärlden är det viktigt särskilt för barn och unga att spelandet är gratis. Det är bra att inse att spelaren betalar med sin data, och att det inte finns något helt gratis spel. Även om användaren spelar bara ett spel (t.ex. Subway Surfers), finns det en stor grupp tredje parter i bakgrunden. De tredje parterna har delats in enligt sina uppdrag. I datan fanns sammanlagt tio stycken tredje parter (t.ex. Flurry Analytics, Moat och TapJoy). Av dessa fanns sju i gruppen reklam.

”Det var inte förvånande att min data far till olika ställen, men antalet tredje parter överraskade” 
– En 16-årig gymnasist

Illustration: Subway Surfers köpslår med användardata för att spelet ska kunna erbjudas kostnadsfritt

Flurry Analytics är en analystjänst vars syfte sägs vara att optimera applikationen. Utifrån webbplatsen är det inte lätt att förstå vilken data den använder och hur den slås samman. Dessutom leder tjänstens dataskyddslänk till Verizon Medias dataskyddspraxis. Verizon Media är en del av det enorma bolaget Verizon Communications som bl.a. äger Yahoo. Den länkade dataskyddspraxisen preciserar inte den data Flurry Analytics använder och säger bara att data delas mellan Verizon media och ”pålitliga partner”.

Moat analyserar reklamens effekter och hur och var reklamen har visats (attention analytics). Det är en del av Oracle Cloud. Oracles dataskyddspraxis innehåller många länkar och det är inte lätt att hitta information om hur Moats data används.

TapJoy är en tjänst för reklamförsäljning. Den insamlade trafikdatan visar att den utnyttjar enhets- och användarspecifika koder (tracking ID). Detta gör det möjligt för TapJoy att kombinera data från olika tjänster.

Aktörer kopplade till reklam samlar in data från olika källor. I datan för en testperson identifierades 37 tredje parter kopplade till marknadsföring. Dessa samlade in data från sammanlagt 22 webbplatser eller applikationer. De tredje parternas hemländer var: EU (9 aktörer)​, USA (27) och Kanada (1).   ​

Illustration: Aktörer kopplade till reklam samlar in data och användaruppgifter från olika källor.

Garmin-hälsoapplikationens data avslöjade inga tredje parter. Resultatet står i linje med dataskyddsbeskrivningen. I beskrivningen nämns endast två tredje parter som gäller betalning och logistik. Detta är typiskt för tjänster vars affärsmodeller helt baserar sig på insamling av data via den egna applikationen. Det är viktigt för företaget för att förbättra produkten, utveckla nya produkter och engagera kunderna.

Dataskyddsförordningen fungerar bara delvis

Det är omöjligt för användaren att få en tydlig helhetsbild om sin data: vilken data samlas in, vem har samlat in den, vem processar och förädlar den och hur används den insamlade datan egentligen. Eftersom uppgifterna är bristfälliga är det även svårt för människorna att ta reda på om profileringen har gjorts utifrån rätt uppgifter.

Eftersom datainsamlarnas och -utnyttjarnas nätverk är så komplicerat fungerar dataskyddsförordningen bara delvis. Utifrån dataskyddsförordningen förstår människorna kanske att fråga sina serviceleverantörer om hur datan används. Men på grund av att det nätverk där data delas är så mångskiktat känner människorna ändå inte till de tredje parter som också får deras data. Människorna skulle ha rätt att be de tredje parterna om sin data, men detta har gjorts otroligt svårt.​

”Det behövs en sakkunnig som på klarspråk berättaratt så här ser den värld ut dit datan far. Det går inte ensam att förstå.”
– Journalist

​I dataekonomin finns ett systemiskt problem: affärsverksamhetsmodellerna​

Då en viktig del av dataekonomin, dvs. den digitala reklamens omgivning, är så här komplicerad är det omöjligt även för branschens sakkunniga att helt förstå verksamheten. Bakom enskilda tjänster finns ett stort nätverk okända aktörer som inte har någon direkt relation med tjänsternas användare.

Individens synvinkel

Den digitala marknadsföringens affärsverksamhetsmodeller är i regel skadliga för integriteten. Detta beror på att inriktningen av reklam har baserat sig på ett så stort antal egenskaper som möjligt oberoende av hur stor betydelse dessa har.

De uppgifter som människan själv delar, såsom e-postadressen, intressen eller namn, är inte tillräckliga i digireklamens nuvarande affärsmodeller, utan man vill ta tillvara datan för allt beteende på webben. Datan består bland annat av gillanden, sajtbesök, webbläsare, spel, människokontakter eller användningen av sökmotorer.

Med hjälp av data skapas så många och omfattande dataprodukter som möjligt om människan. Man känner till att det är omöjligt för en enskild människa att klara av alla olika kex och dataskyddsvillkor eftersom det helt enkelt skulle ta för lång tid och det inte längre skulle vara trevligt att använda internet.

”Det värsta hotet är att data används för politisk manipulering.”
– En 22-årig studerande

Företagens synvinkel

Europeiska företag har investerat enorma resurser för att följa dataskyddsförordningen och särskilt inom stora företag har projekten oftast varit omfattande och dyra. Man kan tänka att samtidigt som företagen i EU-länderna har gjort betydande satsningar på att verkställa dataskyddsförordningen så har en grupp internationella dataekonomiföretag hamnat utanför radarn, och deras verksamhet i relation till förordningen är dold.

De problem som årtal av digital marknadsföring och reklam orsakat integriteten har väckt så väl konsumenterna, företagen som lagstiftarna. De affärsverksamhetsmodeller som byggts upp kring personuppgifterna tål dock ofta inte dagsljuset och till exempel har marknadsföringsproffsen börjat ifrågasätta hur för noggrant profilerade mottagarskaror fungerar. Marknadsföringens och reklamens medel utvärderas nu på nytt och branschen står inför en betydande ändring som den delvis själv har inlett. Inom branschen har det även i stort antal förekommit bedrägerier riktade mot annonsörerna till exempel på så sätt att det varit skaror med bottar som klickat på annonserna. Då har annonsörerna betalat för inget.

Det är även problematiskt att data samlas in i silon för digital reklam vilket gör det svårare för andra företag att lära sig om sina kunder och på så sätt svårt att utveckla nya tjänster och produkter som intresserar kunderna. För vanliga företags del börjar det se ut som om det traditionella sättet att öka kunskaperna att samla kunddata upplever en renässans.

Hur går vi vidare?

Resultaten från kartläggningen om digitalt fotspår som genomfördes i slutet av 2019 analyseras vidare och en mer noggrann sammanställning än den här artikeln publiceras senare i vår.

Digiprofiltestet som Sitra öppnat i januari 2020 hjälper oss förstå dataekonomins verksamhetsprinciper och ger tips om hur man kan skydda sin data. ​

​Sitras arbete för att främja en rättvis dataekonomi fortsätter. Dataskyddsförordningen har öppnat upp en liten insynslucka i hur datan rör sig, men inom Sitras IHAN-projekt är målet att röja väg för en rättvis dataekonomi för alla.

Illustration: Dataskyddsförordningen har öppnat upp en liten insynslucka i hur datan rör sig, men inom Sitras IHAN-projekt är målet att röja väg för en rättvis dataekonomi för alla.

Hur kan du skydda din data?

Anvisningar för att skydda din data finns på flera webbplatser:

Utredningen genomfördes av

Sitra och Futurice genomförde utredningen i samarbete. I samarbetet deltog även Paul-Olivier Dehaye, PersonalData.IO:s grundare.

Källor

I utredningen utnyttjades även följande material:

#IHAN

 

 

Vad handlar det om?