Profileringer via cookies, IP-adresser, apps, device-fingerprinting og datakøbmænd bliver stadig mere avancerede – og det samme gør alle de nye teknologier såsom kunstig intelligens, der ved hjælp af chips og sensorer integreres i vores boliger, biler og byer. Alt, hvad vi foretager os online og via apps monitoreres, opsamles og deles med andre, medmindre vi aktivt gør noget for at stoppe det. Mens staterne har et ansvar for god regulering og håndhævelse, og vi begynder at se visonære dataetisk ansvarlige virksomheder, er der også nødvendigt, at individer tager ansvar for egne data med digitalt selvforsvar.
“Hvordan kan det være, at Facebook ved, at min mor har fået Alzheimers”, spurgte en kvinde mig en dag. “Jeg har helt bevidst aldrig fortalt Facebook det.”
“Har du været på Alzheimerforeningens hjemmeside eller googlet det?” spurgte jeg.
“Ja, det har jeg. Er det virkelig derfor?”
Hun var overrasket, da jeg forklarede hende, hvordan tredjepartscookies bruges til at indsamle så mange data om os som muligt, dele disse data med masser af andre websites og profilere os, så vi kan få såkaldt personaliserede reklamer, indhold og priser. Patientforeninger, websites, der sælger medicin, og langt de fleste websites
generelt har tredjepartscookies installeret på deres hjemmesider. Det betyder, at de deler data om deres kunder med tredjeparter såsom Facebook, Google og ofte i hundredvis af andre annoncenetværk.
Cookies er – om end den mest udbredte og ældste – kun én måde at profilere os på. Brug af IP-adresser, apps, device-fingerprinting og datakøbmænd bliver stadig mere
avancerede. Og så er vi slet ikke kommet til Internet of Things, hvor alle genstande får en chip ind, så indsamlingen og analysen af data om os i hjemmet og bilen ikke længere primært vil ske via vores telefoner og computere.
Cookies – første skridt i profileringen
Cookies er den mest basale form for datadeling, noget, som flertallet af websites stadiggør sig i. Oprindeligt var cookiedata anonyme, men sites som Facebook kan identificere folk, fordi de har et login. Det samme har et stigende antal loyalitetsklubber og alle mulige andre websites og sociale medier. Derfor kan man ikke længere sige, at cookiedata er uidentificerbare.
Mange brugere føler, at virksomhederne bag tredjepartscookies deler data om os bag vores ryg, selvom vi siger ja til cookies via de små pop op-beskeder på vores skærme eller via handelsbetingelserne, når vi tilslutter os en tjeneste. Simpelthen fordi vi ikke gider læse de lange handelsbetingelser eller har svært ved at forstå dem. Bekymringen for overvågningen og manglende kontrol over egne data har betydet, at rigtig mange er begyndt at blokere for cookies. Så mange, at det er en trussel for den eksisterende mest almindelige digitale forretningsmodel: Når noget er gratis, betaler du med dine data.
Apple, som er en af de få privatlivs-venlige Silicon Valley-virksomheder, introducerede i september 2017 en ‘Intelligent Tracking Prevention’ i deres Safari-browser. Den blokerer for cookies som udgangspunkt. Brugerne skal altså ikke selv vælge den til. I de fleste andre browsere er det modsat; man overvåges som udgangspunkt. Apples tiltag fik en af de største reklamevirksomheder i verden, Criteo, til tre måneder senere at nedjustere forventningerne til deres fortjeneste med hele 22 %. Apple sidder på 15 % af markedsandelen på browsere i verden.
Sådan blokerer man for cookies
Brugere, der ønsker at forhindre virksomheder og andre i at følge sig frawebside til webside og indsamle viden om, hvad man interesserer sig for og evt. har af problemer, kan enten vælge at bruge Apples nyeste version af Safari-browseren eller den tyske Cliqz-browser. Eller endnu bedre installere nogle tredjepartsværktøjer – plug-ins eller udvidelser – i sine andre browsere. De blokerer typisk ikke for førstepartscookies, der husker passwords og indhold i indkøbskurven, og de deler ikke data om dig med andre. De blokerer i stedet for tredjepartscookies eller marketingcookies, der deler vores data med alt og alle. Her er nogle gode værktøjer:
Disconnect.me/disconnect er rigtig god til ens computer. Med den ser man stadig reklamerne (og støtter dermed fx nyhedssider, som lever af det), men den blokerer for de snagende marketingcookies.
Ghostery.com er en browser til mobil og et plug-in til browseren på computeren. Den er blevet købt af den tyske browser Cliqz.com.
Appen Adblockfast er den bedste til mobile enheder. Den blokerer både for reklamer og marketingcookies. Slås til og fra med et enkelt tryk på skærmen.
Profileringens historie – kort
Profileringstendensen begyndte med luftfartsselskabernes loyalitetsprogrammer i midt 1980’erne. Detailhandlen fulgte trop i 1990’erne, den finansielle serviceindustri i slut-1990’erne; og i dag har virkelig mange virksomheder sådanne programmer – ofte i samarbejder, hvor de sælger aggregerede udgaver af deres data til analysevirksomheder og datakøbmænd. Og det sker ikke kun i USA. Eksempelvis er britiske Tesco, svenske Spotify, mediehuse og tyske Sociomantic alle en del af den store ‘ad-tech’-industri, hvor de største spillere er Google, Disney, Comcast, 21st Century Fox, Facebook og tyske Bertelsmann. Det kan man læse i rapporten ”How Companies Collect, Combine, Analyze, Trade, and Use Personal Data on Billions”, som understreger, at i USA har staten skubbet til denne udvikling ved ikke at have en bredt dækkende persondatalov idet den kun ser privatlivets fred som en del af forbrugerbeskyttelsen. EU’s persondataforordning, GDPR (General Data Protection Regulation) trækker i den modsatte retning og forsøger at give individer kontrol over egne data.
Lokationstracking
En dag i 2017 skulle jeg købe et hotelværelse i Tokyo. Jeg fandt et fint dobbeltværelse via hotels.com for 11.000 kroner for 9 nætter. Prisen var umiddelbart o.k. Jeg havde blokeret for cookies, så systemet ikke vidste, at det var mig, der havde været derinde igen og igen og dermed øget prisen, men jeg tænkte, at jeg lige måtte tjekke, om jeg fik en pris baseret på min lokation – altså i hvilket land jeg søgte fra. Så gik jeg over i en anden browser, satte min VPN på med lokation Tyskland og fandt nøjagtig samme hotel i Tokyo, 9 nætter for under 9.000 kroner. Købte straks og fik besked på tysk om, at jeg nu havde booket og betalt for vores hotel i Tokyo, her er dit reservationsnummer.
Jeg har i mange år vidst, at der blev ‘prisdiskrimineret’, som de kalder det, i EU, eller ‘prisdifferentieret’, som de kalder det i USA. Men dette var første gang, jeg selv mærkede det så konkret. Dermed er digitalt selvforsvar – altså værktøjer til at opnå privatliv med – ikke kun et spørgsmål om at kontrollere sine data for at få privatliv, men også et spørgsmål om at ”forhandle” sig til bedre priser.
Vores såkaldte IP-adresser – altså ens fysiske lokation (helt ned til den konkrete adresse) – bruges ikke kun til at personalisere tilbud og indhold til os, men også til at fastsætte priser. Ifølge EU-Kommissionen, der har dokumenteret prisdiskriminationen, er det ulovligt eller i hvert fald i gråzonen, men det sker fortsat, hvilket mit eksempel tydeligt viser.
Samtidig er flyselskaber som Brussels Airlines begyndt at blokere for brugere, der har VPN på, så man ikke kan købe deres billigere flybilletter i andre lande end der, hvor man befinder sig (de oplyser via Twitter, at de gør det for vores sikkerhed – frem for at være ærlige og sige, at brugerne ikke skal kunne udnytte prisforskellene).
VPN gør to ting. Den sikrer (krypterer) trafikken mellem ens gadget og det wi-fi/den server, man er på, så man ikke kan hackes. Og den giver mulighed for at vælge lokation og dermed ”forhandle” priser. Man kan gøre det delvist gratis via den norske browser Opera. Download den fra Opera. com, og gå ind i indstillinger og så ind i ‘beskyttelse af personlige oplysninger’, og scroll ned til VPN og aktiver den. Oppe i bjælken klikker man så på VPN (blå boks) og kan sætte den på en region for at se, om man kan få priserne billigere. Når man køber et digitalt produkt, er der intet til hinder for at købe hos et website, der tror, man sidder i Tyskland. Opera har dog kun fem servere, de giver væk gratis, så det er bedst at købe en VPN-tjeneste, som kan installeres på alle ens gadgets. Der er mange gode tjenester, men jeg ville gå efter en med hovedsæde i Europa. Og så skal man tjekke, hvilke servere de har. Hvis man fx rejser meget og gerne vil se DR, så skal man købe en VPN-tjeneste med en server i Danmark. Hvis man bor i Danmark og gerne vil have adgang til israelske sites, der er lokationsbaserede, så er en VPN-tjeneste med servere i Israel det rigtige.
Her er fire gode:
F-secure.com (finsk)
Ipredator.se (svensk),
IBVPN.com (rumænsk) med mange servere samt
Earthvpn.com (cypriotisk) med mange servere
Datakøbmænd
I USA men også i Europa og globalt (det er kun dokumenteret i USA) er der opstået en kæmpe industri af såkaldte datakøbmand (data brokers). De kan defineres som ”en virksomhed eller forretningsenhed, der tjener sine hovedindtægter på at sælge data om menneskers adfærd, der primært er indsamlet fra andre kilder end personerne selv”.
Datakøbmænd indsamler og sælger lister over mennesker, fx folk, der lider af kræft eller depression eller er far til et barn dræbt i en bilulykke. Eksempelvis fik Amnesty International i 2017 et tilbud5 på en liste over 1,8 millioner amerikanske muslimer. Nogle datakøbmænd tilbyder endda software til deres kunder, så de kan hjælpe dem med at vedligeholde kundedatabaser, hvor hver eneste person har en unik kode. Selv i Tyskland råder datakøbmanden Arvato AZ Direct over 600 kendetegn på 70 millioner kunder i Tyskland, hvor også enhver af dem har en unik kode, skriver Cracked Labs.
Her er lidt tal bare for at få en ide om, hvor stort det er: Datakøbmanden Acxiom (USA) vedligeholder databaser for over 7000 kunder, inklusive 47 af de største Fortune 100-virksomheder. Experian (USA) håndterer 7.500 kundedatabaser for større virksomheder. Merkle (D) oplyser, at de vedligeholder over 3,7 milliarder kundeprofiler for deres kunder, inklusive Dell, Nespresso, Microsoft, Marriott, Chase, American Express og Universal. En af de største datakøbmænd er Acxiom, som har mange forskellige dataleverandører: Ibotta (mobile købsdata), Freckle IoT (realtids- lokationsdata), Samba TV (second-by-second tv-sening), Crossix (sundhedsdata på 250 millioner amerikanske borgere), Twitter og så videre.
Konsekvenserne af denne massive udnyttelse af persondata kan blive, at nogle individer udstødes eller diskrimineres på falsk grundlag. Ofte uden forklaring eller uden at vide det og i forbindelse med, at de søger job, et lån eller en forsikring.
Rapporten fra Cracked Labs konkluderer: Ud over regulering for at
forhindre diskrimination og unfair konkurrence og for at beskytte forbrugerne
er der generelt behov for en massiv kollektiv indsats for at få
vendt vores visioner omkring fremtidens it til noget positivt. Ellers risikerer
vi at ende med et samfund med massiv social kontrol, og hvor respekt
for privatliv – hvis det overhovedet kan opnås – er et luksusgode for de
rige.
Apps er datahøstere
På et tidspunkt tillod Facebook ikke længere sine brugere at kommunikere direkte med hinanden via Facebooks almindelige app. De skulle over på Facebook Messenger. Hvorfor mon? Fordi man via apps kan hente ufatteligt mange flere data. Hvis man for eksempel har Facebook Messenger, Skype og lignende apps på sin telefon, så har man med stor sandsynlighed givet dem fri adgang til sine kontakter, sine beskeder, sin lokation, sine fotos (ellers kan man ikke uploade dem), sit kamera, sin mikrofon og så videre. Hvad de færreste af os forstår, er, at disse apps dermed har fuld adgang til disse ting i ens telefon – også når man ikke bruger den pågældende app.
Flere og flere oplever, at når de taler med nogen om noget i den analoge verden, så får de en reklame for det, uden at de har søgt på det på nettet eller været inde på en hjemmeside om emnet. Det har denne kvinde:
“Jeg sad med familien og talte om en forestående ferie i Dubai. Og så oplevede flere af os samme aften, at der dukkede umotiverede reklamer op for diverse rejser til og hoteller i netop Dubai. Det var en pænt syret oplevelse, og vi talte om, hvorvidt Facebook lytter med. Vi konkluderede, at svaret nok er ja. Og dagen efter dukkede der så artikler op om, hvorvidt Facebook lytter med.”
Der er masser af lignende eksempler fra Google og andre apps. Virksomhederne benægter typisk, at de lytter med via mikrofonen, fordi det klart overskrider de fleste menneskers grænse for, hvad der er okay. Men antallet af historier om, at de lytter med i vores samtaler i den fysiske verden, er efterhånden så mange, at det ikke længere kan være en ren tilfældighed.
Tilbage i marts 2016 afslørede BBC6 aflytningen. Journalisten beskrev, hvordan hun stod og strøg, da hendes mor kom ind i rummet og fortalte om en familieven, der havde været udsat for en motorcykelulykke i Thailand. Da hun senere åbnede sin computer og søgte online på noget helt andet, kom historien op. Hun havde kun berørt emnet i det fysiske rum via en samtale med sin mor. Journalisten fandt masser af lignende historier om, at smartphonen lytter med, afhængigt af hvilke apps man har givet adgang til sin mikrofon. I 2016 benægtede Facebook det. Men som Computerworld beskriver det, skal man være opmærksom på Facebooks (mis)brug af ord.
Det er en god ide at udføre et servicetjek på ens apps og generelt være varsom, når man downloader apps til sin smartphone, hvad enten det er spil, quizzer, karriereapps eller programmer. Tjek først, hvilke data appen beder om. Og vurder, om tjenesten er de data værd. Det er svært at vurdere prisen på ens data, men nogle apps beder om adgang til kalender, kontakter, indbakke og mikrofon, uden at det er nødvendigt. Måske er der et alternativ, der ikke beder om så meget? En vækkeur-app behøver vel ikke kende ens lokation? Det gør løbeappen, så det er måske o.k., så længe man har tillid til virksomheden, der står bag appen. En gennemgang af ens indstillinger på smartphonen (på iPhone: ‘anonymitet’) er en god ide: Hvilke apps har adgang til hvilke data? Måske er det en ide at slå apps’ adgang til mikrofon, lokation, fotos, kamera m.v. fra, når de ikke bruges? Slå også lokalitetstjenester fra på kameraet, for på den måde forsvinder de ’metadata’ – tid og sted – som ligger gemt i alle billeder som udgangspunkt. På en iPhone kan man slukke for ’hyppige lokaliteter’ under ’systemtjenester’ under ‘lokalitetstjenester’.
Et rigtig godt alternativ til både Facebook Messenger og Skype (ejet af Microsoft) er Wire.com, som kan bruges både på computer og mobile enheder til såvel chat som internettelefoni. Wire lever ikke af at høste data og sælge adgang til mennesker baseret på så detaljeret viden som muligt. Wire lever af investeringskapital og af at sælge tjenesten til virksomheder, så de kan bruge Wire som internt kommunikationsmiddel ligesom Slack, der er amerikansk og lukkede omkring, hvad de gør med data. Wire, der opererer med såkaldt on-device processing (man har kontrol over sine data på sin enhed) og ingen profilering, har hovedsæde i Schweiz, opererer fra Berlin og er finansieret af bl.a. Skype-medgrundlægger Janus Friis.
Device-fingerprinting
Indsamling af oplysninger via cookies og IP-adresser er altså kun to metoder til at høste data på. Device-fingerprinting er en nyere metode, som er i hastig udvikling og betyder, at virksomhederne kan indsamle data om os via den browser og URL, man bruger – også selvom man fx blokerer med cookies, hvilken computer man sidder ved (Mac-ejere har typisk flere penge end pc-ejere), sprog man taler, dato og tidspunkt, såkaldte MAC-adresser og serienumre.
Marc Al-Hames, der er CEO for den tyske sikre browser Cliqz, demonstrerede
på en konference om dataetik i Danmark i efteråret 2017, hvordan man kan bruge URL’er til at identificere folk med. Han viste tre URL-adresser, hentet i en bunke data om internetadfærd, og som fuldt lovligt kan købes på det åbne datamarked. Den første URL indeholdt tilsyneladende et brugernavn til et helsesite. Den anden var knyttet til et administrator-interface fra en lægeklinik. Og den sidste – fra en bank i München – rummede et ID-nummer. Kombineret med viden om, at de tre URL adresser var blevet besøgt af den samme internetbruger, var det nemt at identificere personen. “Det tager typisk tre til ni URL-adresser at identificere en person. Så snart du har link mellem URL-adresser, så har du deres identitet,” sagde han.
Indtil 2017 var device-fingerprinting begrænset til den enkelte browser. Hvis man skiftede browser, kunne man starte på ny, men der er også udviklet såkaldt cross browser fingerprinting-metoder. Men man kan undgå device-fingerprinting. Ud over at blokere for cookies og bruge VPN kan man bruge anonyme browsere. TOR er den mest kendte, men den er ofte langsom og understøtter ikke alt på mobile enheder. Ellers er der den fremragende tyske browser cliqz.com, der beskytter mod device-fingerprinting, og Firefox Focus er også værd at tjekke ud. Det er godt at bruge flere browsere for at sprede sine spor. De virkelig hardcore bør også afmontere JavaScript og arbejde på forskellige computere med forskellige styresystemer og proxyer.
Individets mulighed for kontrol
Stater og virksomheder har altså travlt med at høste og bearbejde vores data for at profilere os til såvel gode som dårlige formål. De mange gode formål er, når profileringen er til gavn for samfundet eller individet, fx ved sygdomsforebyggelse, miljø- og trafikoptimering eller til at give os anbefalinger på relevant indhold.
Der er en spændende tendens i gang, hvor individet er i centrum og i kontrol med egne data via MyData-bevægelsen og dens principper, men som situationen ser ud i 2018, er det desværre de færreste individer, der har kontrol over deres egne digitale identiteter. De færreste forstår, at hvis de indgår i en politisk debat om flygtninge eller opdaterer på Facebook, at deres søn er helbredt for kræft, så bliver disse data ikke kun opsamlet af Facebook til tid og evighed og bliver brugt til at profilere dem til fordel for tusindvis af Facebooks kunder. Data på det offentlige Facebook opsamles også af andre, fx datakøbmænd, og derfor ender danskere også ofte på datalister over ”mødre til kræftramte børn” eller ”naboer til kræftramte”.
MyData-bevægelsen går hånd i hånd med EU’s databeskyttelsesforordning (GDPR). Mens Kina er ved at opbygge et ‘big data-diktatur’ med et nyt socialt kreditsystem til alle landets borgere, har USA udviklet sig til et ‘big data-monopolsamfund’. Med GDPR forsøger EU at sætte individet i centrum – og i kontrol med egne data. Ud over at forsøge at tage kontrol med sine data vha. cookieblockers, VPN og sikre browsere er det en god ide at sprede sine fodspor så meget som muligt og skabe forvirring blandt dem, man ikke har tillid til. Dem, man har tillid til, kan man fint give sine data til, fordi det kan give mange fordele. Men ellers kan man arbejde med flere identiteter, så man i sit rigtige navn kun er professionel og dermed får et godt ”Google-CV”, som er de første par siders resultater, når man søger på sit navn.
Hvis man ønsker at bruge Facebook, Instagram, Snapchat, Musically osv. til alle mulige opdateringer, der ikke har noget med ens arbejde eller profession eller faglighed at gøre, så overvej at brug et andet navn, så man kan holde sit rigtige navn ”rent” til det professionelle. Brug kun Facebook i eget navn, hvis det er til det professionelle virke. Selv i et pseudonym bør man dog afholde sig fra at bruge Facebook til ting, som man opfatter som privat, for der skal mere end et pseudonym til at skjule sig effektivt. Men med et andet navn er det sværere for arbejdsgivere, uddannelsesinstitutioner, ekskærester, identitetstyve og andre at finde én.
Et alias er også effektivt at bruge ved download af rapporter, apps, spil osv., hvor de beder om navn, adresse, e-mail o.l., medmindre man har fuld tillid til servicen eller skal betale med kreditkort og derfor skal bruge eget navn (der findes faktisk ”kreditkort” uden ens navn på, såkaldte gift cards, som bl.a. MasterCard udsteder).
Brug kun eget navn på troværdige services, der ikke misbruger data, og professionelt. Pseudonymer kan genereres på fakenamegenerator.com. Det er vigtigt ikke at stjæle andre navne eller lade, som om man er en anden (det er de kriminelle, der gør det). Dem, man chatter med i et andet navn, skal vide, hvem man er. Det handler ikke om at snyde andre mennesker, men om at forvirre og snyde algoritmerne/maskinerne. Ved brug af et alias er det en god ide at tilknytte en alias-e-mail. Der er de ”gratis” e-mailtjenester, fx Gmail og Hotmail, okay at bruge.
Datahøst for fremtiden
Det er endnu i sin vorden, men fremadrettet kommer vi til at opleve mange nye måder at høste data på til at profilere os. De vil blive høstet fra vores biler og alt inde i dem – fra dæk til GPS-systemet, fitnesstrackere og pacemakere, lygtepæle, indkørsler til p-pladser, motorveje og broer, butikker og supermarkeder, wi-fi-spots. Og ikke mindst vores hjem.
Mange ting i vores hjem får små chips i, så man kan fjernstyre dem via nettet og ikke mindst indhente data, og i langt de fleste tilfælde vil disse data blive brugt til yderligere profilering og til kunstig intelligens, også kaldet AI. På den måde kan vi få automatiserede services af en robot. Den store udfordring for kunder bliver at gennemskue, hvem man egentlig kan stole på, når man køber via nettet. Der er en række ting, man bør spørge sig selv om, inden man leverer sine data til en virksomhed:
Hvad lever virksomheden af? Andres data? Eller sælger den – for penge – et produkt eller en ydelse, som ikke er baseret på private data? Med andre ord: Hvis virksomheden ikke tager penge for sit produkt, er det ikke gratis, som de lover, for her er mennesker produktet – man betaler med sine eller sine venners data (såsom lokation, kontakter, beskeder m.v.).
Hvor har virksomheden hovedsæde? Hvis den bor i Europa, skal den efterleve en strengere lovgivning end i USA og Kina. Især Tyskland, Frankrig, Holland, Belgien og Norge er gode til at håndhæve privacy-lovgivningen, så oftest er produkter derfra til at stole på.
Kan man tydeligt se, hvem der står bag sitet, og hvordan man kan komme i kontakt med dem?
Kan brugerne af sitet interagere med dem, der står bag sitet og med hinanden, og hvad siger de om produktet?
Har virksomheden en privatlivspolitik, en datapolitik eller nogle handelsbetingelser, der er til at forstå for helt almindelige mennesker, så har den sandsynligvis tænkt godt og grundigt over, hvordan den passer på private data.
Videresælger eller deler virksomheden data til tredjepart, og hvem er det? Husk, at ”gratis” betyder betaling med data – ofte også til virksomhedens tredjeparter.
Er virksomheden ærlig omkring de data, den samler og henter? Sammenlign det, de siger, de samler ind, med de data, som man kan regne ud, at de har brug for for at give den service, man efterspørger.
Hvordan optræder virksomheden på forskellige tjenester, der rangerer dem på privacy, fx Ranking Digital Rights, TOSDR, Electronic Frontier Foundation og Trustpilot. Og hvad kommer der frem om den, hvis man søger på dens navn og persondata/privacy?
Kunderne kan efterspørge dataetik
Med de mange nye teknologier får det enkelte individ svært ved selv tage kontrol over sine data. Vi kan til gengæld efterspørge dataetik fra dem, der høster og bruger vores data. Når man skal vælge fitnesstracker eller et GPS-system til bilen, kunne man overveje hollandske TomTom frem for fx amerikanske Fitbit eller Google Maps, da der er kæmpe forskel på deres forhold til persondata. TomTom tager dataetisk ansvar og sletter for eksempel kundernes lokationsdata løbende. Fertilitetstrackeren Clue fra Tyskland er modsat amerikanske Glow etisk ansvarlig i sin databehandling. Når man køber bil, bør man spørge ind til, hvordan bilproducenten behandler ens data. CEO’en i tyske Audi har fx lovet, at alle de data, man genererer via sin bil, er ens egne. Og de tyske datamyndigheder kræver, at individer har kontrol over egne data i egne biler, og at der altid er en mulighed for at slå dataindsamlingen fra for fx dem, der låner bilen og ikke ønsker det. Eller hvad med banken og forsikringsselskabet – giver de deres kunder datakontrol? Er de ægte transparente omkring, hvad de gør? Når det gælder Smart Cities, har et firma i Holland udviklet en opladestation til elbiler, der bygger på dataetiske principper; den algoritme, der bestemmer, hvornår og hvem der skal have strøm, forklarer kunderne hvordan og hvorfor.
Profilering kun ok, når brugeren er i kontrol
De virksomheder og stater, der fremadrettet vil profilere deres kunder og personalisere tjenester, vil stå sig bedst ved at leve op til GDPR og være dataetiske, hvis de vil undgå store bøder og bevare kundernes tillid. Det vil kort sagt sige, at virksomhederne bør sikre, at kunderne fuldt ud forstår, hvad der sker med deres data og selv kan kontrollere dem. En bank, et forsikringsselskab eller elselskab kan for eksempel udvikle en udvidet ’min side’ eller en ‘personal data store’, hvor deres kunder kan se og redigere i alle de data, virksomheden har om dem – herunder også den kredit-score, virksomheden har tildelt kunden.
Med ægte transparens og datakontrol vil virksomheden opnå og bevare den digitale tillid og vil dermed kunne gøre meget mere med data end dem, der opfører sig uetisk med data. Alt tyder nemlig på, at de data, individer selv giver til en virksomhed eller stat, er de bedste data, en virksomhed kan få, i forhold til at skrabe dem fra nettet, købe dem hos datakøbmænd eller via cookies. Data direkte fra kunden er oftere opdaterede, relevante, rige og troværdige. Det viser i hvert fald de første undersøgelser fra Frankrig.
Privacy Tech og dataetik i fremmarch
Vi er i dag med dataetik, hvor vi var med miljøet i begyndelsen af 1960’erne, hvor vi forurenede miljøet, samtidig med at der var en begyndende miljøbekymring. I dag kan vi købe varmepumper og elbiler, få hjælp til at købe grønt og økologisk med certificeringsordninger, og de fleste virksomheder har en grøn politik, fordi det kan betale sig. Den udvikling vil vi også se med dataetik. Der vil komme certificeringsordninger, som hjælper forbrugerne til at vælge produkter, der arbejder etisk ansvarligt med persondata. Virksomheder vil bruge dataetik som et konkurrenceparameter. Og markedet for ‘privacy tech’ – værktøjer, der hjælper os til at tage kontrol over egne data – vil vokse.
I begyndelsen vil privatliv være for eliten. De rige, berømte og magtfulde har umiddelbart mere brug for privatliv og vil have råd til at betale for den type tjenester i stedet for at betale med deres persondata.
Mange af de virksomheder, der lever godt af at høste data, får store udfordringer med GDPR. Ifølge Cory Doctorow er der faktisk ingen chance for, at den eksisterende ‘ad tech’-industri kan leve op til GDPR’s krav om at informere brugerne. Industrien sælger annoncer i realtid og deler data med hundredvis af andre via cookies, og det vil være umuligt at få samtykke til det hver gang, skriver han.
Med en kombination af GDPR og effektiv håndhævelse, stigende forbrugerbevidsthed og handlekraft samt virksomheder, der føler samfundsansvar, vil den nuværende form for uetisk profilering gå en barsk fremtid i møde.
Dette er et kapitel fra bogen EKSPONERET.