Hur du hindrar datamäklare att sälja dina personuppgifter

Diskussioner om dataintegritet och datasäkerhet fokuserar ofta på vad de stora teknikjättarna – till exempel Google, Facebook och andra – gör med användarnas data. Man talar mindre om de verksamheter där hela affärsmodellen baseras på att samla in personuppgifter och sedan sälja dem med vinst. Dessa verksamheter kallas datamäklare. Men vilka är de, hur samlar de in information om dig, vad gör de med den och hur kan du välja bort detta?

Vad är datamäklare?

Datamäklare är företag som säljer personlig information om dig. Datamäklare samlar in information från olika källor för att bygga upp en detaljerad bild av vem du är och sedan sälja den vidare. Datamäkleri är storaffärer – det har uppskattats att branschen är värd 200 miljarder USD per år, med upp till 4 000 datamäklarföretag i hela världen. Några av de mest betydande datamäklarna är Experian, Equifax, Acxiom och Epsilon.

Datamäklarbranschen har kritiserats för att vara ogenomtränglig: datamäklare har inga riktiga anledningar att interagera med de människor vars data de samlar in, analyserar, delar och tjänar pengar på.

Betydelsen av ordet datamäklare

Termen ”informationsmäklare” används ibland som utbytbar med ”datamäklare” – de betyder samma sak. Datamäklare har ingen direkt relation till de människor de samlar in data om, så de flesta vet inte ens om att data samlas in. Även om enskilda ofta klickar på "Acceptera" för integritetspolicyer och användningsvillkor online – ibland utan att ens tänka – är det inte alltid uppenbart hur mycket kontroll av data man går med på och vilken den ackumulerade effekten är av så många webbplatser.

Hur samlar datamäklare in information?

Datamäklarwebbplatser får information om dig på flera sätt, både online och offline, och fyller i linjer mellan prickarna för att bygga upp heltäckande konsumentprofiler:

• Din webbläsarhistorik. Varje gång du använder en sökmotor, appar för sociala medier och andra typer av appar, fyller i en onlineenkät eller deltar i en tävling eller besöker olika webbplatser lämnar du ett elektroniskt spår efter dig. Datamäklare använder detta för att bygga upp en bild av vem du är. Webbspårning som installerats på de flesta webbplatser samlar in information om din onlineaktivitet. Datamäklare använder webbskrapning – ett litet program eller ett kort skript som samlar in data från vilken webbplats som helst – för att samla in denna information.
• Offentliga källor. Detta innefattar födelseattester, äktenskapslicenser, skilsmässoregister, väljarregistreringsinformation, domstolsregister, konkursregister, fordonsregister och folkräkningsdata.
• Kommersiella källor. Din inköpshistorik – vad du har köpt, när du köpte det, hur mycket det kostade samt om du använde en kupong eller ett kundkort.
• Ditt samtycke. När du har registrerat dig i en kundklubb kan du ha lämnat samtycke till att dina data delas utan att du nödvändigtvis insåg det (om du inte läste det finstilta).

Vilken information samlar datamäklare in?

Från dessa olika källor pusslar datamäklare ihop mängder av information om dig. De typer av information som samlas in omfattar:

1. Ditt namn
2. Adress (både nuvarande och tidigare adresser)
3. Födelsedatum
4. Kön
5. Civilstånd
6. Familjestatus, inklusive om du har barn, och i så fall hur många och hur gamla de är
7. Personnummer
8. Utbildning
9. Tillgångar
10. Yrke
11. Telefonnummer
12. E-postadress
13. Köpvanor – vad du köper, när du köper det och hur mycket du betalar
14. Intressen och hobbyer

De kan också känna till din inkomst, detaljer om din hälsa, dina politiska åsikter och om du är straffad.

Datamäklare sammanställer informationen för att bygga upp användarsegment – till exempel ”nyblivna mammor”, ”sportentusiaster” och så vidare – som de säljer till andra företag i kommersiellt syfte. Vissa av kategorierna kan tyckas harmlösa, men de blir kränkande och ger upphov till etiska frågeställningar när de fokuserar på medicinska och personliga omständigheter (till exempel ”HIV-smittade”).

Trots den mängd information som samlas in, har datamäklare inte alltid rätt. Du kanske till exempel köper barnkläder till en vän eller familjemedlem, och datamäklaren tror därför att du är förälder, även om du kanske inte är det. Du kanske köper medicin åt en äldre släkting, vilket datamäklaren tolkar som ett tecken på din egen hälsa, och så vidare.

Hur används dina data?

Datamäklare säljer dina data till andra företag för olika kommersiella syften. Exempel är:

• Annonser och marknadsföring. Företag köper data så att de kan skräddarsy marknadsföring, kunderbjudanden och onlineannonser för dig. Under valkampanjer kan politiska partier använda data för att rikta politiska meddelanden till dig.
• Riskhantering. Vissa företag använder de data de köper från datamäklare för att hjälpa till att undvika bedrägerier. De kan till exempel kontrollera att kundens information på en låneansökan stämmer med den information datamäklarna lämnar. Information kan också användas för att beräkna hur troligt det är att en kund inte kommer att kunna betala av på ett lån.
• Hälsoförsäkring. Information om din hälsa – till exempel vilka läkemedel du köper och vilka symptom du söker efter online – kan användas av hälsoförsäkringsbolag för att räkna ut vilken premie du ska betala baserat på din dataprofil.
• Webbplatser för personsökning. På webbplatser för personsökning – till exempel Spokeo, PeekYou, PeopleSmart och Pipl – kan du söka efter en person med namn och – oftast mot en avgift – få information om dem, till exempel deras adress, telefonnummer, mejladress, födelsedatum och så vidare. Den information som finns på dessa webbplatser kommer från datamäklare – och kan ibland användas till doxning, social manipulation eller identitetskapning.

Är datamäklare lagliga?

Lagarna skiljer sig alltid i olika länder, och den juridiska situationen är inte alltid glasklar. I allmänhet är det så att om datamäklarna använder sig av offentliga register för att samla information är deras aktivitet laglig, men det finns gråzoner.

I EU finns den allmänna dataskyddsförordningen (GDPR, General Data Protection Regulation), som är en förordning gällande dataintegritet och datasäkerhet som gäller för alla organisationer som riktar sig mot eller samlar in konsumentdata inom Europeiska Unionen. Enligt GDPR måste konsumenterna ge sitt uttryckliga tillstånd innan deras data får samlas in. GDPR ger också konsumenterna rätt att begära att organisationer raderar de data som finns lagrade om dem. Andra länder har liknande lagar – motsvarigheten i Brasilien är till exempel LGPD (Lei Geral de Proteção de Dados).

I USA är bilden mer splittrad, eftersom det inte finns någon övergripande federal motsvarighet till GDPR. Lagarna skiljer sig mellan olika delstater, och vissa delstater tittar närmare på datamäklare än andra. Exempelvis låter Consumer Privacy Act i Kalifornien konsumenterna få kopior av den information datamäklare har sammanställt om dem, begära att informationen raderas och välja bort att deras data säljs.

Ofta är det samtycke som krävs för att samla in användardata dolt i det finstilta på webbplatser. Så det är inte alltid uppenbart för enskilda hur mycket kontroll över sina data de tillåter.

Exempel på dataintrång hos datamäklare

Förutom de etiska och juridiska frågor som handlar om datamäklare, är ett orosmoln möjligheten till dataintrång. Datamäklare sammanställer känslig information som kan ha allvarliga konsekvenser för de enskilda som påverkas om den hamnar i fel händer.

Välkända säkerhetsincidenter hos datamäklare är bland annat:

• 2017 meddelade Equifax ett dataintrång som påverkade persondata för 147 miljoner människor. Företaget meddelade senare att man ingått en uppgörelse med Federal Trade Commission och 50 delstater, vilket innefattade upp till 425 miljoner USD som hjälp för att kompensera enskilda som påverkats.
• 2015 gjordes ett intrång i 15 miljoner poster som tillhörde T-Mobile, men lagrades på Experians servrar.
• 2011 hackades Epsilon, och namn och mejladresser exponerades för miljontals människor på listor för mejlmarknadsföring, som sedan utsattes för skräppost och försök till riktat nätfiske.
• 2003 hackades Acxiom, och över 1,6 miljarder poster (inklusive namn, adresser och mejladresser) stals och såldes till skräppostavsändare.

Så skyddar du dig mot datamäklare

Det är inte enkelt att helt hålla sig borta från datamäklarnas listor. Men du kan välja bort datainsamling genom att kontakta datamäklarsajterna en och en och begära att de raderar din information – vilket är en långdragen process. Du kan också betala företag för att göra detta åt dig. En bättre approach är att försöka se till att aldrig hamna på datamäklarnas listor till att börja med, genom att vidta åtgärder för att skydda din integritet online.

Hur man tar bort sig från webbplatser för datainsamling

Privacy Rights Clearinghouse har en heltäckande datamäklarlista här. Där finns också en länk till deras integritetspolicyer och information om hur du kan välja bort varje mäklare. Att välja bort är antagligen inte en engångsprocess – det är något du antagligen måste göra om regelbundet för att det ska vara effektivt. Om du är bosatt i EU förklarar den här guiden hur du kan skicka begäran om radering enligt GDPR, och där finns också ytterligare information om att ta bort dig från webbplatser för datainsamling.

Ett företag som heter Brand Yourself letar efter dina data i databaser som tillhör de större datamäklarna och ger dig en rapport över var dina data har påträffats. Detta ger dig en utgångspunkt gällande vilka datamäklare du ska radera dig från.

För att kunna välja bort dessa webbplatser måste du vanligtvis kontakta dem via mejl. Det är en god idé att skapa ett nytt, sekundärt mejlkonto för att göra detta, som du sedan kan stänga ned. Detta för att hålla ditt primära mejlkonto säkert och skyddat från skräppost.

Om du är bekymrad över hur ett företag behandlar dina personuppgifter kan du lämna in ett klagomål hos relevant myndighet i det land där du bor. I USA är detta Federal Trade Commission, och i Storbritannien Information Commissioner’s Office.

Betala privata företag för att hålla dig borta från datamäklare

Företag som PrivacyDuck och DeleteMe är exempel på företag som hjälper till att hålla dina data privata. Men de tar ut en avgift för sina tjänster.

Håll din integritet skyddad online genom att följa nedanstående instruktioner

1. Bekanta dig med juridiken runt dataintegritet i ditt land så att du känner till dina rättigheter.
2. Undvik att lägga ut personlig information på sociala medier. Ditt födelsedatum används till exempel ofta som identifierare eller säkerhetsfråga, så undvik att lägga ut det offentligt.
3. Fundera på om du ska ange dina konton i sociala medier som privata, så att bara vänner och familj kan se dem.
4. Undvik att delta i frågesport online eller att gå med i tävlingar online – dessa samlar ofta in data om dig.
5. Undvik att ladda ned riskfyllda appar från källor som inte är betrodda och ta bort onödiga appar som du inte använder.
6. Håll nere antalet onlinekonton som du har till ett minimum – ha bara sådana du verkligen använder.
7. Undvik att öppna okända mejl.
8. För att försvåra spårning kan du använda en webbläsare som har programvara för spårningsblockering och annonsblockering.

Du kan också använda ett VPN, ett virtuellt privat nätverk, för att förbättra din onlineintegritet. När du ansluter till internet vi att VPN blir din IP-adress dold, och dina data krypteras. Kaspersky VPN Secure Connection hindrar hackare att läsa dina data och ger dig integritet online.

Relaterade artiklar:

• Vad är robotsamtal och hur stoppar man dem?
• Integriteten först: hur du skyddar din integritet online
• De säkraste meddelandeapparna
• Hur hackare hotar din onlineintegritet