Diskusjoner om personvern og sikkerhet fokuserer ofte på hva teknologigiantene – f.eks. Google, Facebook og andre – gjør med dataene til brukerne sine. Man snakker mindre om bedriftene der hele forretningsmodellen er å innhente personinformasjon og selge den for fortjeneste. Disse bedriftene kalles datameglere. Men hvem er de, hvordan innheter de informasjon om deg, hva gjør de med den og hvordan kan du hindre det?
Hva er datameglere?
Datameglere er selskaper som selger informasjon om deg. Datameglere henter informasjon fra ulike kilder for å skape et detaljert bilde av hvem du er og selge det videre. Datamegling er storindustri – det anslås at bransjen omsetter for 200 milliarder dollar i året, med opp til 4000 datameglingsselskaper over hele verden. Noen av de betydeligste datameglerforetakene er Experian, Equifax, Acxiom og Epsilon.
Datameglerbransjen har blitt kritisert for lite innsyn: Datameglere har ikke noe insentiv for å samhandle med personene de innhenter data om, analyserer, deler og tjener penger på.
Datamegler betyr
Begrepet "informasjonsmegler" brukes vanligvis om samme fenomen som "datamegler" – de betyr det samme. Datameglere har ikke noe direkte forhold til personene de innhenter data om, så de fleste vet ikke engang at dataene innhentes. Når personer ofte klikker "Jeg samtykker" til personvernregler og brukervilkår på nett – av og til uten å tenke seg om – er det ikke alltid klart hvor stor datakontroll man samtykker til og hva som blir størrelsen på totalvirkningen over mange nettsider.
Hvordan innhenter datameglere informasjon?
Nettsteder for datameglere innhenter informasjon om deg på ulike måter, både på og av nett, og legger ting sammen for å bygge omfattende brukerprofiler:
- Internettloggen din. Når du bruker en søkemotor, en sosialt-medium-app eller andre apptyper, fyller ut en nettquiz, blir med på en konkurranse eller besøker ulike nettsider, etterlater du et elektronisk spor. Datameglere bruker dette til å danne et bilde av hvem du er. Nettsporing installert på de fleste nettsteder innhenter informasjon om nettaktivitetene dine. Datameglere bruker nettskraping – en programvare eller skript som henter data fra hvilken som helst nettside – for å innhente den informasjonen.
- Offentlige kilder. Dette omfatter fødselsattester, ekteskapslisenser, skilsmisseregistre, velgerregistreringsinformasjon, rettsregistre, konkursregistre, registre over motorkjøretøyer og folketellingsdata.
- Forretningsmessig suksess. Innkjøpshistorikken din – hva du har kjøpt, når du kjøpte det, hvor mye du betalte og om du brukte en kupong eller rabattkort.
- Samtykket ditt. Når du melder på ting som en butikks lojalitetsprogram, kan du ha samtykket til at dataene dine deles uten at du har forstått det (om du ikke leser avsnittene med liten skrift).
Hvilken informasjon innhenter datameglere?
Ved hjelp av disse kildene setter datameglere sammen masse informasjon om deg. Informasjonstypene som innhentes, omfatter:
- Navnet ditt
- Adresse (både nåværende og tidligere adresser)
- Fødselsdato
- Kjønn
- Sivil status
- Familiestatus, inkludert ev. barn, hvor mange og hvor gamle de er
- Personnummer
- Utdanningsnivå
- Ressurser
- Yrke
- Telefonnummer
- E-postadresse
- Kjøpevaner – hva du kjøper, når du kjøper det og for hvor mye
- Personlige interesser og hobbyer
De vet kanskje også inntektsnivået ditt, litt om helsestatusen, dine politiske synspunkter og rullebladet ditt.
Datameglere innhenter denne informasjonen for å skape brukersegmenter – for eksempel "nybakte mødre", "treningsentusiaster" osv. – som de selger til andre selskaper for kommersielle formål. Noen av kategoriene kan virke harmløse, men de blir forstyrrende og reiser potensielt etiske spørsmål når man fokuserer på medisinske eller personlige forhold (f.eks. "HIV-pasienter").
Tross all innhentet informasjon lykkes ikke datameglere alltid. Du kan for eksempel kjøpe babyklær til en venn eller et familiemedlem. Dermed vil datamegleren se deg som en forelder, selv om du kanskje ikke er det. Du kan kjøpe medisiner til en eldre slektning, og datamegleren vil tolke det som et tegn på helsetilstanden din.
Hvordan brukes dataene dine?
Datameglere selger data om deg til andre selskaper for ulike kommersielle formål. Dette omfatter:
- Markedsføring og reklame. Bedrifter kjøper data slik at de kan skreddersy markedsføringsmeldinger, tilbud og nettannonser for deg. Under valgkamper kan politiske parter bruke data for å sende deg politiske budskap.
- Risikoreduksjon. Noen forretninger bruker informasjon de kjøper fra datameglere for å slå ned på bedrageri. De kan for eksempel kontrollere at kundeinformasjonen på en lånesøknad stemmer overens med informasjonen som datameglere leverer. Eller informasjonen kan brukes til å beregne hvor sannsynlig det er at en forbruker misligholder et lån.
- Helseforsikring. Informasjon om helsen din – hvilke medisiner du kjøper og hvilke symptomer du leter etter på nett, for eksempel – kan brukes av helseforsikringsselskaper til å fastsette hvor mye du skal betale basert på dataprofilen din.
- Personsøksider. Personsøksider – f.eks. Spokeo, PeekYou, PeopleSmart, Pipl og andre – lar deg søke etter en person ut fra navn og – vanligvis mot betaling – motta informasjon om vedkommende, f.eks. adresse, telefonnummer, e-postadresse, fødselsdato osv. Informasjon på disse nettstedene kommer fra datameglere – og kan noen ganger brukes til doxing, sosial manipulering eller identitetstyveri.
Er datamegling lovlig?
Som alltid varierer lover etter jurisdiksjon, og det juridiske bildet er ikke alltid klart. Generelt, om datameglere skaffer informasjon gjennom offentlige registre, er aktivitetene deres lovlige, men det fins gråsoner.
EU har personvernforordningen (GDPR), som dekker alle organisasjoner som retter seg mot eller innhenter forbrukerinformasjon i Den europeiske union. Ifølge denne må forbrukere gi eksplisitt samtykke før data om dem kan innhentes. GDPR gir også forbrukere rett til å be om at organisasjoner sletter lagrede data om dem. Andre land har lignende lover den brasilianske ekvivalenten er f.eks. LGPD (Lei Geral de Proteção de Dados).
I USA er bildet mer fragmentert siden det ikke fins noen overordnet ekvivalent til GDPR. Lover varierer etter delstat, og noe delstater kan være mer interessert i datamegling. For eksempel lar Californias forbrukervernlov forbrukere innhente kopier av informasjon meglere har samlet om dem, be om at denne blir slettet og hindre at data om dem selges.
Det nødvendige samtykket til å innhente brukerdata står med liten skrift på de fleste nettsteder. Så det er ikke alltid tydelig for personer hvor stor kontroll over personinformasjonen sin de oppgir.
Eksempler på brudd gjort av datameglere
Bortsett fra de etiske og juridiske problemstillingene som reises av datamegling, er omfanget av databrudd et bekymringsfullt omtåde. Datameglere innhenter sensitiv informasjon som kan ha alvorlige konsekvenser for angjeldende personer om de havnet i gale hender.
Her er noen kjente databrudd:
- I 2017 kunngjorde Equifax et databrudd som påvirket personinformasjonen til 147 millioner personer. Selskapet inngikk senere forlik med Den føderale handelskommisjonen (Federal Trade Commission) og 50 delstater, noe som omfattet 425 millioner dollar med kompensasjon til de berørte personene.
- I 2015 trengte noen seg inn på 15 millioner personfiler som tilhørte T-Mobile, men som var lagret på Experians servere.
- I 2011 ble Epsilon hacket, noe som avslørte navnene og e-postadressene til millioner av mennesker på e-postmarkedsføringslister. Disse ble så utsatt for søppelpost og spyd-phishing-forsøk.
- I 2003 ble Acxiom hacket og over 1,6 milliarder personfiler (inkludert navn, adresser og e-postadresser) stjålet og solgt til søppelpostsendere.
Slik beskytter du deg mot datameglere
Det er vanskelig å holde seg helt unna datameglerlister. Men du kan hindre at data innhentes om deg ved å kontakte datameglernettsteder enkeltvis og be dem fjerne informasjonen – noe som er tidkrevende. Du kan også be selskaper gjøre dette for deg. Det er bedre å prøve å holde seg unna datameglerlister i utgangspunktet ved å verne personinformasjonen din på nett.
Hvordan fjerne deg fra nettsider for datainnhenting
Privacy Rights Clearinghouse har en omfattende liste over datameglerlister her. De har også en lenke til sine egne personvernregler og info om hvordan du kan gå ut fra hver megler. Det å gå ut er ingen engangsprosess, men noe du antakelig må gjøre regelmessig for at det skal fungere. Bor du i EU, forklarer denne veiledningen hvordan du kan sende forespørsler om sletting til GDPR, samt nærmere informasjon om å bli fjernet fra nettsteder for datainnhenting.
Selskapet Brand Yourself skanner etter data om deg i databasene til viktige datameglere og rapporterer ev. funn. Da får du et utgangspunkt angående hvilke datameglere du må fjerne deg selv fra.
Du må vanligvis kontakte dem via e-post for å gå ut av disse nettstedene. Du bør opprette en ny, engangs e-postkonto for dette. Slik beskytter du din hoved-e-postkonto.
Er du bekymret for hvordan et selskap behandler personinformasjonen din, kan du legge inn en klage hos ansvarlig myndighet i landet ditt. Dette varierer fra land til land – i USA er det f.eks. Federal Trade Commission, og i Storbritannia er det Information Commissioner's Office.
Betal private selskaper for å holde deg unna datameglere
Selskaper som PrivacyDuck og DeleteMe er eksempler på selskaper som beskytter personinformasjon. Men selskapene tar seg betalt for tjenestene.
Beskytt deg selv på nett ved å følge trinnene under
- Bli kjent med det juridiske rammeverket rundt datapersonvern i landet eller delstaten din for å se rettighetene dine.
- Unngå å legge ut personinformasjon på sosiale medier. For eksempel brukes fødselsdatoen din som identifikator eller sikkerhetsspørsmål, så ikke offentliggjør den.
- Vurder å gjøre kontiene dine på sosiale medier private, så bare venner og familie ser dem.
- Unngå å delta i nettquizer eller bli med på nettlotterier – disse innhenter ofte data om deg.
- Unngå å laste ned risikable apper fra upålitelige kilder og slett unødvenige apper du ikke bruker.
- Hold antall nettkonti på et minimum – kun de du virkelig bruker.
- Unngå å åpne ukjente e-poster.
- For å redusere sporing bør du bruke en nettleser med programvare for sporer- og annonseblokkering.
Du kan også bruke et VPN eller virtuelt privat nettverk for bedre beskyttelse på nett. Når du kobler deg til internett med en VPN, skjules IP-adressen din og data krypteres. Kaspersky VPN Secure Connection hindrer hackere i å lese dataene dine og beskytter deg på nett.
Relaterte artikler: