Af Caspar Haarløv, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
I princippet er der ikke noget fordækt i cookies. Det er rart, at Google Maps kan huske, hvor jeg plejer at tage hen, og det er sådan set også smart nok, at jeg får reklamer, der afspejler mine interesser.
Den genkendelsesmekanisme fungerer ved, at der bliver lejret små scripts kaldet cookies på min computer. De gemmer visse oplysninger, som hjemmesiden så kan hive frem, næste gang jeg besøger den.
Men, men, men… cookies er meget mere end det. Ifølge Karsten Rendemann fra Cookieinformation.com (der rådgiver virksomheder om Persondataforordningen, cookie- og privatlivsregler) er det langt fra alle hjemme-sideudbydere, der selv ved, hvad de lægger ud af cookies, og hvad der bliver trukket af persondata fra dem, og hvad de bliver brugt til.
Problemet opstår, fordi noget nær samtlige hjemmesider – både offentlige og private – bliver bygget op af delelementer udefra. Det kan være alt fra analyseværktøjer som Google Analytics til deleknapper, chatfunktioner, små programmer til selv billeder. Byggeklodserne er ofte gratis, men som Karsten Rendemann, siger:
De skal tjene på dig
”De, der har lavet de her byggeklodser, skal jo også betale deres regninger. De har jo ikke lavet dem for sjov. De skal have en indtægt på dem.”
I realiteten sker der det, at for at bruge elementet indgår ejeren af hjemmesiden en juridisk bindende aftale, der giver udvikleren af delelementet lov til at tracke brugerne og bruge data om brugernes adfærd på sitet til stort set hvad som helst.
”Det gør så, at når man går ind på en hjemmeside – og det gælder omkring 98 procent af alle hjemmesider inklusive de offentlige – så samles der personlig information. Det er ikke nødvendigvis hjemmesiden selv, der samler informationerne. Det er de samme store aktører, hvis tjenester bliver brugt på mange sider. Derfor kan de også genkende dig på tværs af platforme og services,” fortæller Karsten Rendemann.
De store internationale aktører er blandt andet Google, Facebook, Adobe, Oracle og mange andre. Men der er også en enorm underskov af mindre firmaer, der typisk er mere specialiserede.
”Firmaerne prøver så at se din adfærd på nettet. De er en slags analysefirmaer, der bruger disse data til at lave en psykologisk profil,” siger Rendemann.
”Det kan være alt fra: Skal denne person have vist reklamer for herreundertøj eller dameundertøj? – til et spørgsmål, om man bedst kan lokkes med slagtilbud eller gode anmeldelser.”
Din placering bestemmer prisen
Persondata bruges også til prisdifferentiering. Som The Wall Street Journal kunne dokumentere for nogle år siden, brugte den amerikanske kæde Staples informationer om brugernes fysiske placering til at afgøre prisen på forskellige varer.
Den samme hæfteklamme blev solgt til 15,79 dollar det ene sted og 14,29 dollar det andet sted. Den afgørende forskel var den afstand, som brugeren havde til nærmeste fysiske konkurrent. Tanken er simpel: Jo længere man har til en fysisk butik med samme slags varer, desto mindre sandsynligt er det, at man bevæger sig derhen og undersøger prisniveauet.
Problemet, ifølge Karsten Rendemann, er, at ingen af os som forbrugere har overblikket til at gennemskue den slags prisdifferentiering. Vi kender simpelthen ikke markedet godt nok.
”En virksomhed kunne jo for eksempel udnytte, at de fleste mænd ikke kender prisen på dametøj. Så når en mand ved juletid for første gang i et år søger på dametøj, så har web-shoppen ikke et incitament til at give ham den billigste pris.”
Tracking kan også sagtens bruges til politiske formål. Det er samme teknologi. Man måler i alle tilfælde, hvad man interesserer sig for, ikke bare hvad man liker, men hvad man rent faktisk bruger tid på.
Det gør man ved at måle, hvor længe et script på et bestemt sted er aktivt. Og hvis man så ser, at brugeren læser om fiskeudstyr, så sender man den information videre til mediebureauerne, der sælger annoncer, eller man bruger det til at få en bestemt video op som forslag. Om det er fiskestænger, man sælger, eller ekstreme, politiske holdninger er teknisk set underordnet.
Nu skal datastrømmen dokumenteres
I dag påbyder lovgivningen, at brugerne godkender et sites brug af cookies, men der er ingen sanktioner, og ifølge Karsten Rendemann fra Cookieinformation.com er reglerne ikke særligt specifikke. Derfor er reglerne også blevet latterliggjort som meningsløse, bureaukratiske påbud, der blot resulterer i en masse pop op-vinduer, som ingen læser. Men det er slut nu. Fra maj i år skal alle udbydere af hjemmesider og apps kunne dokumentere datastrømmene.
Og bødeansvaret er betydeligt: Op mod 4 procent af koncernomsætningen. Det er der en grund til. Forbrugeren har i dag ikke en chance for at gennemskue sporingen. De nuværende cookie-advarsler giver ikke nok informationer, og mange tilbyder ikke reelle valg, men giver indtryk af, at hjemmesiden ikke fungerer uden cookies. Karsten Rendemann sammenligner dokumentations-kravet med en varedeklaration i supermarkedet.
Selvom vi ikke læser alle varedeklarationer igennem hver gang, så skaber det tryghed for forbrugerne, at varedeklarationen findes, og at sælgeren og producenten står til ansvar for, hvad der er puttet i produktet. Den samme tryghed bør man have, når man går på nettet eller bruger apps, mener han. ”Det er jo kun fair, at folk får at vide, hvad der sker med deres data. Hvis virksomhederne kun kan overleve ved at holde det hemmeligt, er det da ikke i orden. Vi skal kunne gå på nettet trygt og ordentligt,” mener han.
På tværs af platforme
Et nyt problem for trackerne er de mange forskellige måder, hvorpå vi i dag er på internettet. Google og Facebook kan genkende os på tværs af platforme, fordi vi logger på den samme konto alle steder fra. Andre kan købe eller forsøge at fange den information. Der er også andre mere udspekulerede metoder.
Ifølge mediet The Atlantic har firmaet SilverPush udviklet en trackingteknologi, der fungerer ved, at et website får din computer til at afspille en lyd uden for det menneskelige høreområde. Andre enheder i nærheden kan så, hvis de også har software fra SilverPush kørende i baggrunden, høre det og sende information tilbage om, at disse to enheder befinder sig i samme rum og højst sandsynligt tilhører samme person. Denne teknologi kan også bruges gennem tv-reklamer, der i så fald etablerer en usynlig og ikke-hørbar forbindelse mellem dit fjernsyn og din telefon.
Ifølge The Atlantic fortæller SilverPush, at de kun bruger audio-tracking i Indien, hvor de har hovedsæde. Firmaet har dog oprettet kontorer i både USA og Filippinerne.
Audio-tracking lyder næsten som sci-fi, men sporing gennem apps er bestemt ikke noget, vi kun skal bekymre os om i fremtiden. Mængden af trafik på nettet kommer i dag næsten 90 procent via smartphones, og når vi bruger vores smartphones, er det næsten altid en app, vi bruger. Der er millioner af apps på de store app-stores, og ifølge en undersøgelse foretaget af IBM lækker de persondata stort set alle sammen.