“Julehandlen slår igen alle rekorder”

Nogenlunde sådan lød det sidste år, da nets kunne fortælle at butikkernes omsætning og antallet af transkationer igen var steget sammenlignet med de foregående år. Og det er lige præcis denne forbrugsfest, jeg gerne vil fortælle dig mere om i mit blogindlæg. Hvad får julehandlen til at vokse? Det er spørgsmålet. Er forbrugerne blevet mere tilbøjelige til at hive kortet frem? Eller er virksomhederne blevet bedre til at forudse og fortælle dig, hvad du håber at finde under juletræet?

Mit mål med blogindlægget er, at du får fire ting ud af at læse med:

 Et konkret eksempel på, hvordan Google indsamler oplysninger om dig
 En god forståelse for, hvad profilering går ud på
 Gode persondatabeskyttelses-råd fra én der værner om sit privatliv til en anden
 Forhåbentligt et ekstra skud motivation til dit arbejde med at få styr på den kommende persondataforordning

Først et lille motivations-fix

Lad mig starte med det sidste punkt. For er der én ting, jeg gerne vil have, at du tager med dig fra dette blogindlæg, så er det at du skal kende værdien af de oplysninger, internetvirksomheder støvsuger dig for. Skoleeksemplet er Facebook og Alphabet. To gigantvirksomheder, som lever af persondata. De indsamler potentielt data om alt fra hvor du befinder dig til dine politiske holdninger og køb, du gør dig. Oplysningerne, som for nogen kan virke uskyldige, bruges til at sælge målrettede og personaliserede reklamer – en forretning, som er mere end 5 billioner danske kroner værd.

5 billioner danske kroner. Overvej lige, hvor mange penge det er.

Pengene er bundet op på antallet af investorer og andre interessenter, som ønsker at lære dig at kende. Hvor bor du? Hvor gik du i skole? Hvilken branche arbejder du i? Hvad spiser du til morgenmad? Kigger du efter ny bil? – Ja, hvorfor undersøge det selv, når det er nemmere, hurtigere og billigere at betale sig fra det?

Målrettet annoncering er en guldgrube i vækst. Og skal man have succes, handler det om at være den, der rammer bullseye flest gange på færrest mulige forsøg. En kortere afstand til skiven (læs: jo mere man ved om dig), øger mulighederne for at ramme plet. Derfor er det alverdens oplysninger – også personoplysninger, der indsamles.

Værdien af oplysningerne, i kroner og ører (ja, det var 5 billioner!), er dit skud motivation til arbejdet med at få styr på, hvordan du selv håndterer persondata. Den kommende persondataforordning minder os om, at der bliver holdt øje med måden hvorpå persondata indsamles, behandles og videresælges. Now, more than ever, handler det om at stille driftmæssige krav til håndteringen af persondata. Dels for ikke at overtræde loven, men særligt af hensyn til brugerne og deres anonymitet.

Godt. Tilbage til formålet: Et eksempel. 

Jeg har lovet dig et eksemplet på, hvordan virksomheder som Google indsamler data om dig. Det får du her.

Min inspiration til blogindlægget her kom på baggrund af en afsløring om, at Android-telefoner automatisk sporer og gemmer vores bevægelsesmønstre – også når du har slået placeringtjenester fra i indstillinger og endda også, hvis du gendanner din telefon og undlader at indsætte SIM-kort. Men er det overhovedet muligt? Ja, det er det og her er måden, det fungerer på:

Din smartphone har to måder at oprette forbindelse til internettet på, enten ved at bruge et WiFi-netværk eller via et cellulært datanetværk som dit teleselskab udbyder. Hvor WiFi benytter sig af radiofrekvenser for at give dig trådløs adgang til internettet, er cellulær data koblet op på mobilmaster (også kaldt celtårne). Hver mobilmast har en adresse, og når du kommer i nærheden af en ny mast, transmitteres den som en datastreng der identificerer adressen på den specifikke mast. Din telefon husker adresseoplysningerne og sender dem til Google så snart din telefon har forbindelse til et netværk.

Hvor information fra én mobilmast kun tilnærmelsevist kan fortælle, hvor du befinder dig, kan flere master blive brugt til at triangulere din eksakte placering.

Hvad gør Google med oplysningerne? Og hvorfor? 

Google har i hele 2017 benyttet sig af denne praksis, som de nu vil stoppe. Oplysningerne er blevet videresendt til det såkaldte Firebase Cloud Messaging service, som ejes af Google. Her er oplysningerne, ifølge Google selv, blevet brugt i arbejdet med at forbedre hvor hurtigt beskeder når frem. Det gør imidlertid ikke indsamlingen mindre problematisk, og det er der tre grunde til:

  1. Logger man ind med sin Google-konto, er det muligt at koble oplysningerne sammen med navn, email, kontooplysninger, mv. Det er et problem, når de er indsamlet uden samtykke og i en periode hvor man tror, man er offline.
  2. Selvom oplysningerne er krypteret, kan de havne i de forkerte hænder, hvis hackere får adgang til dem. Hver mobiltelefon har for eksempel et unikt id-nummer, som man kan koble sammen med placeringsoplysningerne.
  3. I Googles privatlivspolitik fremgår det ikke, hvorvidt deres enheder indsamler placeringsoplysninger når funktionen er slået fra i indstillinger – dvs. at indsamlingen er sket uden brugernes samtykke.

Indrømmet. Man skal ikke bremse innovationen. 

Kan en programmør nørde med min ”cirka-placering” og derigennem spare 10 millisekunder på leveringen af push-meddelelser, be my guest. Problemet opstår med profilering, altså når virksomheder kobler data og bruger sammen.

Men profilering er ikke nødvendigvis skidt. Profilering er for eksempel kort sagt det, der gør julen til hjernernes fest. Læs bare dette lille udsnit af GDPR-lovgivningen, som siger at profilering er:

Enhver form for automatisk behandling af personlige oplysninger, der har til formål at vurdere bestemte personlige forhold vedrørende en fysisk person eller analysere eller forudsige navnlig den fysiske persons erhvervsevne, økonomiske situation, opholdssted, sundhed, personlige præferencer, pålidelighed eller adfærd.

Oversat: profilering er, når personer evalueres via automatisk databehandling.

Oversat igen: profilering handler generelt om at forudsige en persons fremtidige adfærd, eksempelvis baseret personens tidligere handlinger.

Og så oversat til praksis: går du på Google i dag og kører en søgning på “familiebil langt på literen”, vil dit Facebook-feed uden tvivl være fyldt med bilreklamer i morgen. Hvorfor? Fordi Googles algoritme tænker noget i retning af: “En person har netop startet sin købsrejse. Personen søger en bil. Det skal være en økonomisk bil med plads til familien.” Den information køber Facebook for at sælge den videre til annoncører som viser dig reklamer på vegne af bilfabrikanterne – og reklamerne, ja de stemmer selvfølgelig overens med din Google-søgning. Reklamerne er målrettet dig.

Profilering bliver altså blandt andet brugt til det man kalder target advertising. Udover at ordet nok løber med titlen som de digitale markedsføringsbureauers go-to-buzzword i 2017, så bør target advertising praktiseres med respekt for persondatabeskyttelse.

Et par afsluttende råd: Gør mere end det loven foreskriver 

Inden jeg takker af og lukker ned for mit indspark, vil jeg give dig et par råd med på vejen. Når du både skal indsamle og beskytte persondata, skal du have styr på loven og følge den. Det er det første råd.

Når du sidder i GDPR-orkanens øje, hvor dit fokus ligger på at gøre præcis det, der står i loven, kan du blive tilbøjelig til at glemme, hvordan og hvad du rent faktisk bruger persondata til. Men det må du aldrig gøre. For eksempel tillader loven fortsat profilering af personer uden deres samtykke – så længe at databehandlingen er fuldt automatiseret og dataene ikke kan identificeres som tilhørende en enkeltperson (det er nemlig ikke profilering!) Sørg for at balancere det loven siger med din måde at bruge persondata på. Det er det andet råd.

Det tredje og sidste råd, du skal tage med dig, handler om personers ret til at blive informeret om brugen af deres data med henblik på profilering. Mange har for længst fået styr på deres privatlivs- og cookiepolitik, men hvis du, som jeg, for alvor har respekt for privatlivsbeskyttelse, bør du gå skridten længere. Mit råd er: oplys alt, du registrerer samt hvad, du bruger informationerne til. Et eksempel: når du tilmelder dig et nyhedsbrev skriver du din mail adresse mod at få et nyhedsbrev. Det er en simpel transaktion, du går ind til. Eller hvad? Når du tilmelder dig, installeres der en cookie på din computer som fremover sporer din adfærd på den pågældende hjemmeside. Det gør hjemmesiden alligevel, men pludselig kan man fortælle, hvem du er, baseret på din email adresse.

Så drop de løse floskler som “Vi registrerer dine data og bruger cookies til at drive og forbedre hjemmesiden” – fortæl i stedet brugere, kort og præcist, hvad de går ind til, når de besøger din side eller gør brug af dine services.

Til aller sidst må jeg komme til kort. Jeg er ikke i stand til at give et endegyldigt svar på, hvad der får julehandlen til at stige. Måske er det fordi, vores velstand er stigende; måske skyldes det noget andet. Hvad jeg derimod kan sige med sikkerhed, er, at den teknologiske udvikling har affødt et øget fokus på indsamling og videresalg af personoplysninger. Et fokus der minder os om, at tiden er inde til for alvor at tænke over persondata(beskyttelse). Hvor står vi som fagpersoner? Hvor står vi som privatpersoner?

Tak, fordi du læste med.

Du er velkommen til at kontakte Timbed, hvis du:

  • Har spørgsmål om persondata eller EU-persondataforordningen
  • Er i tvivl om du indsamler persondata
  • Vil have genereret eller revideret dine cookie- og privatlivspolitikker
  • Hvis du vil bruge komplet transparens som differentiator i markedet

Kontakt os på [email protected] eller tilmeld dig nyhedsbrevet for flere pragmatiske råd og tips og tricks.