Loading...
Nyheter

Dina personuppgifter läcker utomlands – när du handlar hos svenska företag

Detta är en artikel från teknikveckan.com

Det kan räcka med att besöka en eller flera webbsidor som tillhör några av Sveriges största och mest kända företag för att dina personuppgifter skall komma i orätta händer. Kunder till folkära företag så som ICA och IKEA är bland de drabbade.

För att förstå hur det går till behöver vi gå tillbaka ett par månader till skandalen runt Facebook och Cambridge Analytica. Det som hände där var att ett bolag lanserat en specifik app på Facebook som användarna självmant installerade. När appen väl var på plats, fick dess utvecklare tillgång till de personuppgifter och den data som användarna delat med sig av till Facebook. Men, på grund av Facebooks bristande säkerhet, fick man vid den tidpunkten också tillgång deras vänners information.

Där krävdes det med andra ord en aktiv handling från oss själva eller våra vänner för att informationen skulle hamna hos ett bolag som sedan sålde den vidare. Men det går inte längre att samla in data på detta sätt, då Facebook redan 2014 spärrade möjligheten för apputvecklare att få tillgång till persondata som tillhör Facebook-användares vänner.

Det verkar emellertid inte längre behövas, då det finns andra vägar för att få tag på personuppgifter och data från miljontals svenskar. En av de mer svåridentifierade metoderna tycks nu ha kommit ut ur mörkret tack vare det svenska dataintegritetsbolaget Conzentio.

 

Så här går det till

Grundtekniken som möjliggör läckaget av dina personuppgifter, kallas ”cookiesynkronisering”. Det är denna teknik som gör att du helt plötsligt kan se annonser på en rad andra sajter för den där specifika prylen som du sökte på hos en e-handelssida tidigare under dagen. Tekniken är allmänt använd och vedertagen bland marknadsförare, och är central för att datadriven internetannonsering ska fungera. Google är en stor spelare via sin plattform Doubleclick, men flera andra företag levererar tjänster inom området. När tekniken säljs in till företagen så kallas den oftast för ”retargeting”.

Tekniken fungerar på så sätt att annonsören öppnat upp sin webbplats för ett retargetingbolag så att detta kan skapa personliga identifierare hos alla annonsörens besökare. Dessa identifierare distribueras sedan genom cookiesynkronisering till en mängd teknikföretag i det globala annonsekosystemet så att annonsören kan köpa annonser när deras egna besökare dyker upp hos en webbplats som visar annonser.

Men ett av de större bolagen som säljer retargetingtjänster på den Europeiska marknaden, danska Adform, levererar inte bara den retargetingtjänst som deras kunder bett om, utan skickar parallellt din persondata vidare till helt andra företag. Dessa mottagare har en helt annan affärsmodell än att visa annonser. De är så kallade data brokers som paketerar och vidaresäljer din persondata, huvudsakligen på stora databörser i USA.

Det betyder att när du går in på en webbsida som valt att samarbeta med Adform så sker två processer för dataöverföringar av de personuppgifter som läses ut från din webbläsare. Dels sker den legitima överföringen till de annons-företag som visar de retargetingannonser som annonsören uttryckligen bett om. Men Adform skickar också vidare dina personuppgifter till en mängd data brokers. Ett av de bolag som fångar Teknikveckans uppmärksamhet heter Acxiom. Det är samma Acxiom som nyligen förlorade en tredjedel av sitt börsvärde när det blev klart att de inte längre fick lov att samla data på Facebooks plattform och förlorade där med en av sin viktigaste tillgång – information.

Ett annat av dessa bolag heter All Unite. De påstår sig få personuppgifter genom samarbeten med apputvecklare och tjänster för gratis trådlösa nätverk. Det nämns ingenstans på deras webbplats att det räcker att du exempelvis ser på en ny soffa hos ett stort möbelvaruhus för att de ska få del av dina personuppgifter och data om dig.

 

Vad är en personuppgift

När väl annonsören släppt in Adform finns det flera olika tekniker som används för att alla de data brokers som de samarbetar med ska få åtkomst till personuppgifter och persondata via cookiesynkroniseringstekniken. Även med den mildaste varianten får data brokern tillgång till mängder av information från din webbläsare, sidor du besöker och ditt IP-nummer, från vilket man sedan kan utläsa exempelvis var du bor. IP-adresser klassificeras som en personuppgift eftersom den kan användas för att identifiera vem du är.

Genom att Adform används av så många företag runt om i Europa, kan de data brokers som de skickar persondata till se vilka sidor du besökt. Genom detta kan de då lista ut vad vi är intresserade av eller vilka behov vi har. De kan se typ av telefon, dator och vilken webbläsare vi använder, men även vilka språk vi förstår och vid vilka tidpunkter vi är aktiva på nätet. Allt detta är data som samlas in.

Genom Adform kan dessa bolagen spåra våra egna och andra familjemedlemmars surfvanor över tid, och kan därför beräkna hur stor familjen är, ålder och kön på familjemedlemmarna med mera. Tillsammans med den geografiska datan, kan de även lista ut vilken ungefärlig intäkt vi har, husets sannolika värde, typ av boende, bilmodell och så vidare. Även sjukdomar och andra besvär kan kopplas ihop genom att analysera vad vi söker efter och läser på nätet.

 

Så upptäcktes det

Vi har pratat med Anders Willstedt på Conzentio, vars medarbetare upptäckte Adforms distribution av personuppgifter när de arbetade med ett kundcase. Conzentio arbetar med att hjälpa företag att uppfylla kraven som ställs på deras webbplatser i den kommande europeiska GDPR-lagstiftningen. Willstedt berättar att de tagit fram en tjänst, en så kallad bot, som söker igenom webbsidor och kartlägger var trafiken tar vägen. Därefter kan de presentera hur personuppgifter färdas över nätet.

De har visat oss på Teknikveckan hur vi kan replikera de fynd som de har gjort genom att installera ett tillägg i våra webbläsare. Men att det var först när de använde sin egen bot-teknik för att söka igenom webbsidorna som det blev tydligt för oss vad som föregick. Deras teknik replikerar mänskligt beteende för att locka fram aktörer som vill få tillgång till dina personuppgifter. Detta görs exempelvis genom att de besöker samma webbsidor många gånger, från flera olika länder och webbläsartyper, och går djupare in på sajterna.

När vi själva testade webbläsartillägget Ghostery på IKEAs svenska webbsida så hittade vi att Adform släppt fram nio externa tjänster som cookiesynkroniserade och spårade oss. I Conzentios verktyg upptäcktes närmare ett 50-tal. Av dessa kategoriserar de ett 20-tal som data brokers och databörser. Detta är alltså tjänster som livnär sig på att sälja våra personuppgifter vidare. Utöver IKEA har Conzentio hittat liknande spårning hos en mängd svenska storbolag, och när vi på Teknikveckan själva sökte hittade vi den här typen av distribution av personuppgifter bland annat hos ICA, Hemköp, Arla och Telenor. I alla fallen är Adform den gemensamma nämnaren.

IKEA

Det är inte prövat i svensk domstol mot den existerande personuppgiftslagstiftningen, PUL, vad det innebär att samla upp och sälja vidare personuppgifter från webbläsarna på det här sättet och i så här stor skala. Men oavsett lagligheten så är det ur ett etiskt perspektiv problematiskt när vi som konsumenter inte vet att detta försiggår eller har någon möjlighet att begränsa databehandlingen. Vi ställde frågan till IKEA hur de ser på att deras kunders uppgifter säljs vidare. Men ej ännu fått svar.

 

Denna artikel har publicerats på teknikveckan.com tidigare.