Så säljs din data vidare utan att någon bryter lagen

Du har inte blivit hackad. Ingen har stulit dina uppgifter. Du har inte ens gjort något fel. Ändå vet ett dussintal företag du aldrig har hört talas om var du bor, vad du tjänar, vad du söker efter på nätet och vad du troligtvis kommer att köpa härnäst. Hur är det möjligt? Svaret är en industri som opererar helt lagligt, i det tysta och i massiv skala: datahandeln. I den här artikeln tittar vi på hur dina personuppgifter rör sig mellan företag utan att du märker det, och utan att någon tekniskt sett gör något olagligt.

Så fungerar datahandeln du aldrig samtyckte till

Det finns en hel industri vars affärsidé är att samla in, paketera och sälja information om dig till den som betalar. Den kallas datamäklarbranschen, och de flesta människor har aldrig hört talas om den trots att den omsätter hundratals miljarder kronor globalt varje år. Det handlar inte om kriminella aktörer i mörka källare, utan om välestablerade företag med kontor, anställda och legitima affärsmodeller.

Vem som samlar in vad

Processen börjar långt innan någon data faktiskt säljs. Varje gång du använder en app, handlar online, registrerar ett köpkort, svarar på en enkät eller surfar på en webbplats med kakor lämnar du spår efter dig. Dessa spår samlas in av en rad olika aktörer, allt från de appar du faktiskt använder till tredjepartstjänster som körs i bakgrunden utan att du ser dem. Många gratistjänster finansierar sig just på det här sättet: du betalar inte med pengar, du betalar med information om dig själv.

Hur data paketeras och säljs

När informationen väl är insamlad sorteras den, berikas med data från andra källor och paketeras i profiler. En typisk profil kan innehålla uppgifter om ålder, kön, bostadsort, inkomstnivå, intressen, köpbeteende, hälsotillstånd och politiska preferenser. Datamäklare som Acxiom, Experian och LexisNexis säljer sedan tillgång till dessa profiler till annonsörer, försäkringsbolag, arbetsgivare, banker och politiska organisationer. Köparen behöver inte nödvändigtvis vara intresserad av dig som individ, de köper ofta tillgång till segment, alltså grupper av personer som delar vissa egenskaper.

Flödet av data rör sig vanligtvis genom flera led innan det når sin slutdestination:

• En app eller tjänst samlar in rådata om användaren
• Datan säljs eller delas med en dataaggregatör som kombinerar den med andra källor
• En datamäklare köper, strukturerar och berikar den aggregerade datan
• Profiler säljs vidare till slutkunder som annonsörer, banker eller försäkringsbolag
• Slutkunden använder profilen för att fatta beslut som påverkar dig direkt

Varför du sällan märker något

Det som gör systemet så effektivt, och så svårt att ifrågasätta, är att det är nästan helt osynligt. Du ser inte när din data byter ägare. Du får inget mejl när din profil uppdateras med ny information. Du märker kanske att en annons känns lite för träffsäker, eller att du erbjuds ett sämre lånevillkor än du förväntade dig, men kopplingen mellan det och datahandeln är svår att bevisa. Det är ett system designat för att fungera i bakgrunden, och det gör det med stor precision.

Kryphålen som gör det hela lagligt

Det mest förbryllande med datahandeln är inte att den existerar, utan att den är fullt laglig. I en tid då GDPR presenteras som ett starkt skydd för europeiska medborgares personuppgifter fortsätter en massiv handel med persondata att rulla på, i stort sett ostört. Förklaringen ligger i en rad kryphål som är så inbyggda i systemet att de knappt uppfattas som kryphål längre.

Samtycket som inte är ett samtycke

Det juridiska fundamentet för mycket av datahandeln är samtycke. Tanken är att du frivilligt har godkänt att dina uppgifter används. I praktiken sker det här samtycket via de användarvillkor och cookiebanner som du klickar igenom utan att läsa. Forskning visar att ett genomsnittligt användaravtal skulle ta över fyra timmar att läsa, och att de flesta människor godkänner dem på under tio sekunder. Det är tekniskt sett ett informerat samtycke, men i verkligheten är det närmast meningslöst som skyddsmekanismus. Juridiken kräver att samtycket ges, inte att det är genuint förstått.

Anonymisering som inte anonymiserar

En annan vanlig juridisk konstruktion är att data anonymiseras innan den säljs, vilket i teorin gör den ofarlig eftersom den inte längre kan kopplas till en specifik individ. Problemet är att modern forskning upprepade gånger har visat att anonymiserad data ofta kan återidentifieras med förvånansvärd precision. En studie från MIT visade att det räcker med fyra ungefärliga platspunkter från mobildata för att identifiera en specifik person med över nittio procents säkerhet. Anonymiseringen ger ett juridiskt skydd som inte alltid motsvaras av ett faktiskt integritetsskydd.

Utöver dessa två mekanismer finns det flera andra konstruktioner som används för att hålla datahandeln inom lagens ramar:

• Berättigat intresse används som laglig grund istället för samtycke, vilket inte kräver att du aktivt godkänner någonting
• Data som samlas in i ett land exporteras och bearbetas i ett annat med svagare lagstiftning
• Tredjepartsavtal gör det möjligt att dela data mellan företag utan att det tekniskt räknas som en försäljning
• Aggregerad data som kombineras med andra källor hamnar i en juridisk gråzon som sällan prövas i domstol
• Opt-out-modeller placerar ansvaret på dig som användare att aktivt begära att din data inte används

Lagstiftningen som alltid ligger ett steg efter

Det fundamentala problemet är att lagstiftning tar tid att utforma, stifta och tillämpa, medan dataindustrin rör sig i en helt annan hastighet. GDPR var ett stort steg framåt när det trädde i kraft 2018, men det skrevs i en tid då många av dagens datainsamlingstekniker knappt existerade. Varje gång en ny metod för insamling eller handel med data uppstår tar det år innan lagstiftningen hinner i kapp, och under den tiden opererar industrin i ett tomrum där det som inte uttryckligen är förbjudet per definition är tillåtet.

Vad du faktiskt kan göra för att begränsa spridningen

Det är lätt att känna sig maktlös när man förstår hur systemet fungerar. Men det finns konkreta åtgärder som faktiskt gör skillnad, även om ingen av dem ger ett fullständigt skydd. Målet är inte att bli osynlig, det är att minska mängden data som flödar vidare utan din vetskap.

Börja med att förstå vad som redan finns

Det första steget är att ta reda på hur mycket information som redan existerar om dig. Många datamäklare är enligt GDPR skyldiga att svara på förfrågningar om vilken data de har registrerad, och en del erbjuder även möjligheten att begära radering. Det är en tidskrävande process eftersom det handlar om dussintals, ibland hundratals, olika företag, men det ger en konkret bild av situationen. Tjänster som hjälper till att automatisera den här processen finns och har vuxit fram just som ett svar på hur svåröverskådlig datahandeln har blivit.

Minska spåren du lämnar efter dig

Den andra fronten handlar om att begränsa insamlingen framåt i tiden. Webbläsartillägg som blockerar spårningsskript minskar mängden data som tredjeparter kan samla in när du surfar. Att använda en VPN döljer din ip-adress, vilket försvårar platsspårning. Att välja webbläsare med inbyggt integritetsskydd, som Firefox eller Brave, är ett enkelt steg som de flesta kan ta utan teknisk kunskap. Att regelbundet rensa kakor och begränsa appars behörigheter på din telefon är en annan åtgärd som kostar lite tid men ger reell effekt.

Utöver det finns det några vanor som är värda att bygga upp över tid:

• Läs åtminstone sammanfattningen av användarvillkor innan du godkänner, många tjänster erbjuder nu kortare versioner
• Välj bort tredjepartskakor aktivt när en cookiebanner ger dig möjligheten, istället för att klicka på det enklaste alternativet
• Använd separata e-postadresser för olika typer av tjänster för att försvåra sammankoppling av profiler
• Kontrollera vilka appar som har tillgång till din plats, dina kontakter och din mikrofon och begränsa dem till det som är nödvändigt
• Välj betaltjänster framför gratistjänster när det är möjligt, eftersom affärsmodellen då inte bygger på din data

Det kollektiva ansvaret som individen inte kan bära ensam

Det finns en viktig gräns för vad individuella åtgärder kan åstadkomma. Datahandeln är ett systemiskt problem och kräver systemiska lösningar. Det innebär starkare lagstiftning, bättre tillsyn och ett större ansvar för de plattformar och företag som tjänar pengar på informationen. Att ställa krav på politiker och rösta med plånboken när det är möjligt är i längden minst lika viktigt som att installera rätt webbläsartillägg.

Du kan inte kontrollera allt, och det är inte heller rimligt att kräva det. Men varje steg mot större medvetenhet om hur din data rör sig är ett steg mot ett mer informerat förhållande till den digitala värld du lever i, och det är en bättre utgångspunkt än att inte veta något alls.