Der er mange diskussioner om fortrolighed og sikkerhed, der handler om, hvad de store teknologigiganter - som Google, Facebook m.fl. - gør med deres brugeres data. Man taler mindre om de virksomheder, hvis samlede forretningsmodel går på at indsamle personlige data og sælge dem med fortjeneste. De virksomheder kaldes datamæglere. Hvem er de, hvordan indsamler de dine oplysninger, hvad gør de med dem, og hvordan kan du undgå det?
Hvad er datamæglere?
Datamæglere er virksomheder, der sælger personlige oplysninger om dig. Datamæglere indsamler oplysninger fra forskellige kilder, så de kan skabe et detaljeret billede af, hvem du er og sælge det videre. Datamægling er stor forretning - og man manger, at branchen omsætter for 200 milliarder dollars om året og der findes op til 4.000 datamæglerfirmaer verden over. Nogle af de største datamæglere er Experian, Equifax, Acxiom og Epsilon.
Datamæglerbranchen kritiseres ofte for at være uigennemsigtig: datamæglere har ikke noget reelt incitament til at interagere med de mennesker, hvis data de indsamler, analyserer, deler og tjener penge på.
Definitionen på en datamægler
Man bruger af og til ordet 'informationsmægler' i stedet for 'datamægler' - og det betyder det samme. Datamæglere har intet direkte forhold til dem, de indsamler data om, så de fleste er sjældent klar over, at deres data indsamles. Når man fx klikker på 'Jeg accepterer' ifm. nettets fortrolighedspolitikker og brugsbetingelser - uden at tænke meget over det - er det ofte uklart, hvor meget kontrol med dataene, man faktisk giver samtykke til, og hvad den kumulative effekt af de mange sider egentlig er.
Hvordan indsamler datamæglere oplysninger?
Datamæglernes sider samler dine oplysninger på flere måder, både på nettet og offline. Dem bruger de til at skaber omfattende forbrugerprofiler:
- Din browserhistorik. Hver gang du bruger en søgemaskine, en app til sociale medier eller andre apps, besvarer en quiz eller deltager i en konkurrence eller besøger forskellige sider, efterlader du et elektronisk spor. Det bruger datamæglerne til at skabe et billede af, hvem du er. Websporingen, som er installeret på de fleste sider indsamler oplysninger om dine aktiviteter på nettet. Datamæglere bruger web scraping - som er et lille stykke software eller script, der samler data fra enhver side - og grupperer dem.
- Offentlige kilder. Det kan være fødselsattester, ægteskabspapirer, skilsmissedokumenter, oplysninger om vælgerregistrering, domstolsfortegnelser, konkursregistreringer, data om motorkøretøjer og folketællinger.
- Kommercielle kilder. Din købshistorik - hvad du har købt, hvornår du købte det, hvor meget du købte, og om du brugte en rabatkode eller et loyalitetskort.
- Dit samtykke. Når du fx tilmelder dig en butiks kundeprogram, giver du muligvis samtykke til, at dine data må deles, uden du måske tænker over det (medmindre du læser det med småt).
Hvilke oplysninger indsamler datamæglerne?
Datamæglerne bruger mange forskellige kilder og samler et væld af oplysninger om dig. De typer af information, der indsamles, er fx:
- Dit navn
- Adresse (både nuværende og tidligere adresser)
- Fødselsdato
- Køn
- Civilstand
- Familiestatus, som fx om du har børn, hvor mange og hvor gamle, de er
- Cpr-nummer
- Uddannelsesniveau
- Aktiver
- Stilling
- Telefonnummer:
- E-mailadresser
- Købsvaner - hvad du køber, hvornår du køber det, og for hvor meget
- Personlige interesser og hobbyer
De kender måske også dit indkomstniveau, nogle detaljer om din helbredsstatus, dine politiske synspunkter og eventuelle straffesager.
Datamæglerne indsamler oplysningerne for at skabe forbrugersegmenter - som fx 'nye mødre', 'fitnessentusiaster' osv. - som de sælger til andre virksomheder, hvor de bruges til kommercielle formål. Nogle af kategorierne virker måske harmløse, men de kan også være mere påtrængende og rejse potentielt etiske spørgsmål, når de fokuserer på medicinske eller personlige forhold (som fx 'HIV-smittede').
Trods den store mængden af indsamlede data, er det ikke alle datamæglere, der gør alting rigtigt. Hvis du fx køber babytøj til en ven eller et familiemedlem, opfatter datamægleren dig måske som nybagt forælder, selvom du måske ikke er det. Du køber muligvis medicin til en ældre slægtning, hvilket datamægleren tolker som en afspejling af din helbredstilstand og så videre.
Hvordan bruger man dine data?
Datamæglere sælger dine data til andre virksomheder, hvor de bruges til forskellige, kommercielle formål. Det gælder fx:
- Markedsføring og annoncering. Virksomheder køber data for at skræddersy markedsføring, kundetilbud og webannoncering til dig. Under valgkampagner, bruger politiske partier ofte data til at målrette politiske budskaber til dig.
- Risikonedsættelse. Nogle virksomheder bruger de data, de køber af datamæglerne, til at hjælpe med at bekæmpe svindel. De kan fx se, om en forbrugers oplysninger på en låneansøgning stemmer overens med de oplysninger, som datamæglerne leverer. Oplysningerne kan fx bruges til at beregne en forbrugers risiko for at misligholde et lån.
- Sundhedsforsikring. Helbredsoplysninger - hvilken medicin, du køber, og hvilke symptomer du fx søger på online - som sundhedsforsikringsselskaberne bruger til at bestemme den pris, du skal betale for din dækning, baseret på din dataprofil.
- Sider med personsøgninger. Sider med personsøgninger - som fx Spokeo, PeekYou, PeopleSmart, Pipl etc. - giver dig mulighed for at søge på en person, via dennes navn og - ofte mod et gebyr - få oplysninger om deres adresse, telefonnummer, e-mailadresse, fødselsdato og så videre. Sidernes oplysningerne kommer fra datamæglere - og bruges fx til doxing, social engineering, eller identitetstyveri.
Er datamæglere lovlige?
Som altid varierer lovene med landet og jurisdiktionen, og det juridiske billede er ofte uklart. Generelt kan man sige, at hvis datamæglerne bruger offentlige fortegnelser til at indhente oplysninger, så er deres aktiviteter lovlige, selvom der stadig er flere grå områder.
I EU, har man den generelle databeskyttelsesforordning (GDPR), som er en databeskyttelses- og sikkerhedslovgivning, der dækker enhver organisation, som målretter mod eller indsamler forbrugeroplysninger i EU. Den siger, at forbrugeren udtrykkeligt skal give samtykke, før man må indsamle hans eller hendes data. GDPR giver også forbrugerne ret til at bede organisationerne om at slette da data, der gemmes om dem. Andre lande har lignende love - som fx den brasilianske lov; LGPD (Lei Geral de Proteção de Dados).
I USA er billedet mere fragmenteret, da der ikke er nogen føderal lovgivning, som svarer til GDPR. Lovene varierer fra stat til stat, hvor nogle stater interesserer sig mere for datamægling end andre. For eksempel giver Californiens Consumer Privacy Act forbrugere lov til at få en kopi af de oplysninger, som datamæglerne har samlet om dem, eller anmode om at få slette oplysningerne og forbyde, at deres data sælges.
Ofte står det nødvendige samtykke, der handler om at indsamle brugerdataene, med meget små bogstaver, på de fleste hjemmesider. Så det er ikke altid lige tydeligt, hvor meget kontrol at brugerne faktisk giver væk, ift. deres data.
Eksempler på databrud fra datamæglere
Udover de etiske og juridiske spørgsmål, datamæglervirksomheder typiske rejser, giver faren for databrud også anledning til bekymring. Datamæglere samler følsomme oplysninger, der kan få alvorlige konsekvenser for de berørte personer, hvis de falder i de forkerte hænder.
Større sikkerhedshændelser ifm. datamægling dækker fx:
- I 2017 oplyste Equifax om et databrud, der påvirkede 147 millioner menneskers personlige oplysninger. Virksomheden indgik senere et forlig med Federal Trade Commission og 50 stater, og betalt op mod 425 millioner dollar, der bidrog til at kompensere de berørte personer.
- I 2015, tilgik nogen 15 millioner fortegnelser, der tilhørte T-Mobile, men lå gemt på Experians servere.
- I 2011, blev Epsilon hacket og man fik offentliggjort navne og e-mailadresserne på millioner af mennesker, der stod på marketinglisterne, som blev udsat for spam og forsøg på spearphishing.
- I 2003, hackede man Acxiom og stjal over 1,6 milliarder fortegnelser (inklusive navne, adresser og e-mailadresser), som blev solgt til spammere.
Sådan beskytter du dig mod datamæglere
Det er svært at holde sig helt væk fra datamæglernes lister. Du kan dog fravælge dataindsamling, ved at kontakte datamæglernes sider, en af gangen, og anmode om, at de fjerner dine oplysninger - hvilket er en tidskrævende proces. Der findes også virksomheder, du kan betale for at gøre det for dig. Det er nok nemmere at forsøge at holde sig væk fra datamæglernes lister, ved aktivt at beskytte sit privatliv på nettet.
Sådan fjerner du dig selv fra de sider, der indsamler data
Privacy Rights Clearinghouse har en omfattende liste over datamæglere lige her. Der er også et link til deres fortrolighedspolitikker og oplysninger om, hvordan du kan bede hver enkelt mægler fjerne dine oplysninger. Det er næppe nogen engangsproces - men noget, du sikkert skal gøre regelmæssigt for at det virker. Hvis du bor i EU, forklarer denne vejledning, hvordan du kan anmode om sletning jfr. GDPR, samt yderligere oplysninger om at få dig fjernet fra de sider, der indsamler data.
Et firma, der hedder Brand Yourself, scanner databaserne hos de store datamæglere efter dine oplysninger og sender dig en rapport om, hvor den finder dine dem. Så har du et udgangspunkt, som fortæller, hvilke datamæglere du skal fjerne dig selv fra.
Når du vil fjernes fra disse sider skal du typiske kontakte dem via e-mail. Det er en god idé at oprette en ny, sekundær e-mailkonto, du kan slette efterfølgende, når du gør det. Så beskytter du din primære e-mailkonto mod spam mv.
Hvis du er bekymret over måden, som en given virksomhed håndterer dine personlige oplysninger på, kan du indgive en klage til det relevante, offentlige organ, som findes i dit land. Dette vil variere rundt om i verden - i USA er det fx Federal Trade Commission, og i Danmark er det Datatilsynet.
Betal private virksomheder for at holde dig væk fra datamæglernes kløer
Virksomheder, som PrivacyDuck og DeleteMe, er fx virksomheder, der hjælper med at holde dine data for dig selv. De opkræver dog et gebyr for deres ydelser.
Beskyt dine oplysninger på nettet, ved at følge de nedenstående trin
- Sæt dig godt ind i databeskyttelseslovgivningen i dit land, så du forstår dine rettigheder.
- Undgå at angive personlige oplysninger på sociale medier. Din fødselsdato bruges fx ofte som et identifikations- eller sikkerhedsspørgsmål, hvorfor du bør undgå at vise det nogen steder.
- Overvej at gøre dine sociale mediekonti private, så det kun er venner og familie, der kan se dem.
- Undgå at deltage i online quizzer eller indtaste data i konkurrencer på nettet - som typisk indhenter oplysninger om dig.
- Undgå at downloade risikable apps, som kommer fra upålidelige kilder, og slet unødvendige apps, du ikke bruger.
- Hold antallet af onlinekonti nede på et minimum - faktisk til netop dem, du virkelig bruger.
- Undgå at åbne ukendte e-mails.
- For at begrænse sporing, bør du bruge en browser, der benytter tracker- og ad-blokerende software.
Du kan også bruge et VPN eller Virtual Private Network for at forbedre din fortrolighed på nettet. Når du bruger internettet via et VPN, forbliver din IP-adresse skjult, mens dine data krypteres. Kaspersky VPN Secure Connection forhindrer hackere i at læse dine data og sikrer dit privatliv på nettet.
Relaterede artikler: