Vad är datamäklare? – så skyddar du dina data

Många vanliga företag driver såklart också egen datainsamling, men skillnaden är att de inte nödvändigtvis säljer informationen vidare. I storföretagens fall (Google, Microsoft, Facebook, osv.) får istället företagskunderna köpa tillgång till insamlade data. Dessa data kan sedan användas indirekt för att till exempel skapa riktade annonser. Googles kunder kan alltså använda de data som Google samlar in (speciellt i annonseringssyfte), men de har inte full tillgång till den.

Datan som samlas in är inte ytlig. Det handlar ofta om privat information som hälsa, ekonomi, familj, vänner och politiska åsikter. Allting sammanställs i individuella profiler där så mycket information som möjligt samordnas (anonymt) för att ge datamäklarnas kunder möjlighet att kunna förutspå och påverka människors beteende.

Vad är datamäklare?

Datamäklare är företag som specialiserar sig på insamling, analys och försäljning av information om privatpersoner. De agerar i bakgrunden och har inga finansiella incitament att interagera med de människor vars data de samlar in, vilket resulterat i en utbredd ovisshet i samhället om deras verksamhet. För datamäklare är det individen som är produkten vare sig du är medveten om det eller inte.

Det är ingen hemlighet att den digitala ekonomin bygger på data, men datamäklarnas roll har ändå lyckats falla i skymundan. Eftersom datamäklare främst agerar som mellanhand i många ärenden är det inte främst de som uppmärksammas medialt. 

Datamäklare köper data från olika källor och slår ihop dem med diverse offentliga register och befintliga databaser. De använder avancerade algoritmer för att skapa detaljrika profiler av individer. Informationen används i senare led (när den sålts vidare) främst i marknadsförings- eller marknadsundersökningssyfte, men stater och andra organ utanför näringslivet har ofta hemligstämplade avtal som gör det möjligt för dem att använda informationen för rättsligt arbete, försvar eller andra ändamål.

Denna bransch omsätter miljardbelopp årligen och har många aktörer. Vissa fokuserar på marknadsföring och reklam, medan andra genomför riskbedömningar åt försäkringsbolag. Det tydligaste exemplet på datamäklare i Sverige är alla de företag som publicerar offentliga uppgifter som adress, inkomst och brottshistorik på nätet (till exempel Hitta.se, Lexbase och MrKoll).

Vad gör en datamäklare?

Att påstå att datamäklare enbart bedriver datainsamling är en grov förenkling. En datapunkt kan säga väldigt mycket om en individ om man dessutom applicerar en djupgående analys, vilket datamäklarna självklart gör. Deras arbete går i grund och botten ut på att lägga ihop pusselbitar. Dina sökningar om till synes orelaterade saker kan sammanställas för att kunna dra tydliga och träffsäkra slutsatser om ditt liv.

Först och främst har du direkta slutsatser: om en person köpt ett graviditetstest och cirka 40 veckor senare köper bebisleksaker kan man statistiskt sett “veta” vad det är som har hänt. Detta är ett förenklat fall där det inte krävs någon vidare analys. I verkligheten behandlar datamäklare stora mängder data dagligen och använder avancerade algoritmer för att bygga sina profiler och kartlägga händelseförlopp. Att ta reda på huruvida någon är gravid eller inte är en barnlek.

De kan också dra mer indirekt slutsatser. Genom att analysera dina beteendemönster med ett helhetsperspektiv kan samband kartläggas mellan saker som politisk läggning, preferenser och hobbys. En person som sällan lämnar hemmet har sannolikt en mer extremistisk läggning politiskt, vilket ofta går hand i hand med ytterligare karaktärsdrag som kan användas i marknadsföringssyfte.

En ny datapunkt är alltså inte bara ett tillägg, utan agerar multiplikativt med befintliga datapunkter. Du får alltså en exponentiell effekt: ett nät av relationer mellan information skapas och individen “avbildas” digitalt. I längden etableras ett samspel mellan individens digitala kopia och sitt “verkliga” jag där båda påverkar varandra.

En datamäklare har alltså följande uppgifter:

• Aggregering. Samlar in information från alla nätets hörn. Heltäckande dammsugning av allt de kan få tag på.
• Profilering. Analyserar insamlade data för att dra slutsatser om människor på en individuell nivå.
• Vidareförsäljning. Säljer profilerna vidare, ofta i form av paket som är uppdelade enligt kategorier som har relevans för marknadsföring. Till exempel “män i åldrarna 20-30 som bor i Göteborg” eller “nyblivna föräldrar”.

Hur samlar datamäklare in information?

Datamäklare använder främst webbkakor (cookies på engelska) och webbskrapning för att samla in information och skapa sina profiler. Webbkakor är spårningsmarkörer som följer dig mellan sajter, och gör det möjligt för hemsidor att kartlägga din aktivitet. Informationen som dessa hemsidor samlar in säljs vidare till tredje part (däribland datamäklare).

En datamäklares verksamhet går ut på att samla in information. De förlitar sig inte bara på en enstaka insamlingsstrategi, utan utvinner data på en rad olika sätt: Mobilappar (t.ex spel, fitness tracker-applikationer samt telefonens kamera och ficklampa) offentliga register (Skatteverket, brottsregister, osv) och specifika källor från näringslivet (avtal med andra företag). 

Datamäklarna kombinerar kommersiella avtal med diverse företag och automatiska insamlingsmetoder som webskrapning för att få en så heltäckande dammsugning av all tillgänglig data som möjligt. Datamäklare betalar ofta apputvecklare och företag som driver hemsidor där de går med på att installera specifik kod (som utvinner data) i utbyte mot pengar. Många tjänster får majoriteten av sin inkomst genom avtal med datamäklare. Tänk på detta nästa gång du laddar ned en “gratisapp”.

Datamäklare använder också automatiserade verktyg – bottar som surfar nätet i jakt på data. Detta kallas för webbskrapning. Här fångas bland annat information från myndighetsregister, sociala medier och forum upp. Ibland deltar datamäklare också i annonsauktioner (realtidsannonsering) i syfte att fånga upp individers plats- och enhetsdata – alltså inte i syfte att faktiskt annonsera en produkt. Datamäklare utbyter också ofta data med varandra för att skapa mer fullständiga profiler.

Vilken sorts information samlar datamäklare in?

Datamäklare samlar in all information som de kan få tag på. Eftersom målet är att skapa övergripande modeller som representerar individers beteenden som konsumenter, kan all data vara potentiellt relevant. Allting i livet har en inverkan på allt annat (däribland dina köpvanor), vilket datamäklare är väl medvetna om. Det finns ingenting som heter “värdelösa data”. Till synes irrelevanta saker som en stukad tå kan innebära förändrade konsumtionsmönster.

Här är några av de vanligaste kategorierna av data som samlas in av datamäklare:

• Grundläggande identitet: Namn, adress, tidigare adresser, telefonnummer, e-postadress och användarprofiler.
• Demografi: Ålder, kön, civiltillstånd, utbildningsnivå, yrke, vilka du bor tillsammans med och antal barn i hushållet.
• Ekonomi: Inkomst, diverse innehav, fastigheter, lån, betalningsanmärkningar, kreditvärdighet och köphistorik
• Digital aktivitet: Det sammantagna digitala fotavtrycket, IP-adresser, vilken sorts enhet du använder, webbhistorik, hur länge du stannar på en webbplats och vilka sökord som du använder
• Hälsa: Symptom (som du till exempel sökt på via Google), köp av läkemedel och biometri från fitnessappar och liknande tjänster.
• Intressen: Politisk läggning, hobbies, resvanor, medlemskap i diverse organisationer och föreningar, matvanor.
• Plats: Historik över var du har befunnit dig (ofta genom data som din telefon samlar in).

Hur använder datamäklare min information?

Insamlingen är bara första steget i datamäklarnas utvinningsprocess. När informationen väl samlats in finns det en uppsjö av potentiella användningsområden:

Riktad marknadsföring

Datamäklares företagskunder vill inte behöva slösa pengar på att visa reklam som inte passar produktens målgrupp. Att marknadsföra nappflaskor till en nyexaminerad gymnasieelev är ett slöseri på resurser. Genom att köpa data från datamäklare kan företag skapa mer träffsäkra annonser. Om du precis läst en artikel om ett visst ämne och därefter får annonser som är misstänkt relaterade kan det vara datamäklare som gett annonsörer tillgång till deras profil av dig.

Riskbedömning

Riskbedömning är en stor marknad för datamäklare. Försäkringsbolag kan använda deras profiler för att förutspå diverse riskfaktorer om specifika individer – åtminstone i teorin. Vad du äter, vilka sjukdomar du har och huruvida du tränar regelbundet kan till exempel användas av försäkringsbolag som erbjuder sjukförsäkring.

I Sverige har vi lyckligtvis strikta lagar gällande detta. Det är inte tillåtet för svenska försäkringsbolag att köpa data om din hälsa och dina matvanor i syfte att höja din premie. Man fyller själv i en hälsodeklaration. Lagen om genetisk integritet gör också sitt för att förhindra denna sortens beteende från försäkringsbolag.

Vidare har Svensk Försäkring etiska riktlinjer som de flesta följer. GDPR (genom principen om syftesbegränsning) erbjuder också visst skydd från EU-håll, men om du har gett ditt samtycke har företagen rätt att använda vissa data.

Vi har däremot opt-in varianter av detta där loggade beteendemönster ger rabatter eller bättre avtal så länge det godkänns av användaren. Om du till exempel tillåter loggning av hur du kör kan du få en bättre bilförsäkring.

Kreditupplysning

Data som datamäklare samlar in används ofta för att fastställa identitet och motverka bedrägerier. De kan även användas för att bedöma en persons kreditvärdighet utan att behöva gå igenom vanliga företag som sköter kreditupplysning. 

I Sverige har vi kreditupplysningslagen (KuL) som gör det svårt för till exempel långivare att använda alternativa data från webbhistorik och annan personlig information för att fatta kreditbeslut. Kreditupplysning görs i stort sett uteslutande av etablerade aktörer. Genom någonting som kallas för Open Banking kan individer däremot ge långivare tillåtelse att granska deras bankkonton i realtid för att få tillgång till vissa förmåner.

Bakgrundskontroller

Arbetsgivare kan använda data som samlats in av datamäklare för att avgöra om en individ är lämplig att anställa eller inte. Ditt “digitala beteende” granskas sällan, men arbetsgivare använder ofta tjänster som MrKoll och Lexbase för att se om du har varit inblandad i ett brott eller blivit dömd. 

Viktigt att notera är att brott inte gallras från dessa databaser. Trots att polisen rensar brott från belastningsregistret efter drygt 5-10 år kan alltså ett mindre brott långt bakåt i tiden påverka dina chanser att hitta ett jobb. Tyvärr behöver det inte röra sig om tunga brott för att en ansökan direkt ska sållas bort i anställningsprocessen.

Hur kan jag ta reda på om datamäklare har min information?

Om du använder internet eller äger en smartphone har datamäklare garanterat information om dig. Det är praktiskt taget omöjligt att leva ett digitalt liv utan att fångas upp i deras register. Däremot är det svårt att veta exakt vilken sorts information som samlats upp. Det är dessutom minst lika svårt att ta reda på vad en specifik mäklare vet. Transparens är inte någonting som gynnar deras affärsmodell.

Här är några saker som du kan göra för att ta reda på om datamäklare har din information:

• Sök på ditt namn, e-postadress, telefonnummer eller adress för att se vad som ligger ute offentligt. Webbplatser som Ratsit, Hitta.se och MrKoll publicerar offentliga data som ligger öppet för allmänheten. 
• Undersök annonser som du får. Genom att kontrollera den reklam som då får kan du dra slutsatser om hur din digitala profil ser ut. Om det du sagt eller delat på andra plattformar dyker upp i riktad reklam på andra platser finns det sannolikt en profil av dig.
• Använd specifika tjänster som “Have I Been Pwned” (för dataläckor) eller Dold adress, SkimSafe Online och Dark Web Monitor (för att se om dina uppgifter dykt upp på skumma platser – till exempel den “mörka webben”).
• Kontrollera din skräppost och missade samtal. Om du lägger märke till att mängden skräppost eller antalet samtal från försäljare ökat kan det vara så att dina kontaktuppgifter nyligen lagts till i en lista som marknadsförare (och i vissa fall bedragare) använder.
• Begär utdrag direkt. Enligt Dataskyddsförordningen (GDPR) har du rätt att begära uppgifter som företag har om dig. Skicka en begäran till större datamäklare som Oracle eller Acxiom för att få inblick i vad det lagrar. Tyvärr är detta för närvarande en ganska krånglig process.

Är datamäklare lagliga verksamheter?

Majoriteten av datamäklare håller sig inom lagens ramar och bedriver legitima verksamheter, men det finns ett stort mörkertal av bedrägliga aktörer som utnyttjar datainsamling för saker som nätfiske (phishing) och identitetsstöld. I vissa fall kan data som säljs av legitima datamäklare även hamna i fel händer. Det pågår en het debatt om datamäklares framtida roll i samhället.

Läget ser betydligt bättre ut i Sverige och EU än i länder som USA, där stabila regelverk ännu inte finns. I USA är det i stort sett fritt fram att köpa och sälja data såvida det inte är känsliga hälsouppgifter eller rör minderåriga. I Sverige och Europa har vi dataskyddsförordningen (GDPR), vilket ställer hårdare krav på vilka uppgifter som företagen har tillåtelse att samla in. Datamäklare måste ha en rättslig grund (till exempel berättigat intresse) för att kunna samla in data.

Anledningen till att hemsidor som MrKoll och Ratsit har tillåtelse att publicera information är att de har någonting som kallas för utgivningsbevis, vilket ger dem grundlagsskyddad rätt (enligt yttrandefrihetslagen) att fortsätta. Många datamäklare lyckas slingra sig mellan raderna trots GDPR och andra lagar som avser skydda medborgare mot överdriven datainsamling.

Så skyddar du dina data från datamäklare

Tyvärr är det inte möjligt att fullständigt radera sitt digitala fotavtryck. Åtminstone inte såvida man vill kunna använda internet som vanligt. Det finns dock många knep för att minska mängden data som sprids.

Tack vare GDPR måste hemsidor först fråga användaren om de får lov att använda cookies. Innan du trycker på acceptera kan det vara värt att tänka efter lite. Behöver den här tjänsten eller hemsidan verkligen veta var jag befinner mig och vad jag heter? Det kan kännas omständligt att behöva gå igenom långa menyer för att stänga av alla förutom “nödvändiga” webbkakor, men i längden är det värt det. 

Här är några konkreta sätt att skydda dina data:

• Kontakta hemsidor som Ratsit, MrKoll, Merinfo och Hitta.se och be dem att ta bort din information. Nästan alla dessa hemsidor gör det möjligt för privatpersoner att få sin adress och telefonnummer borttagna från offentliga sökningar. De kommer dock sannolikt inte att radera informationen helt från sina databaser.
• Använd tjänster som Incogni. Incogni kontaktar automatiskt hundratals datamäklare och ber dem att radera dina uppgifter.
• Använd en säker webbläsare som Firefox tillsammans med tillägg som uBlock Origin. Rensa cookies regelbundet (eller per automatik varje gång du stänger webbläsaren, vilket går att ställa in).
• Använd söktjänster med fokus på användarens integritet som Duckduckgo eller Searx.
• Använd ett VPN. Ett VPN (virtuellt privat nätverk) används bland annat för att dölja din IP-adress och kryptera din trafik. Detta gör det svårare för datamäklare att bilda en sammanhängande profil.
• Skapa temporära e-postkonton för nyhetsbrev och engångsköp så att din primära adress ingår i färre databaser.
• Vidta försiktighet när du delar saker på sociala medier. Undvik att lägga ut personlig information. Du bör också överväga att göra dina konton privata så att enbart familj och vänner kan se dina inlägg.
• Använd varningstjänster som Dark Web Monitor för få varningar om läckta inloggningsuppgifter.
• Lär dig mer de lagar som gäller i frågor som rör dataintegritet. Att känna till sina rättigheter ur ett juridiskt perspektiv gör det enklare att förstå vad som pågår.