En jämförelse mellan företagens hantering av personuppgifter och allmänhetens syn på denna - I ljuset av GDPR

(1)

En jämförelse mellan företagens

hantering av personuppgifter och

allmänhetens syn på denna

- I ljuset av GDPR

A comparison between companies'

handling of personal data and the

public's view of this

- In light of GDPR

Sara Billberg

Datavetenskap Kandidatnivå 15 högskolepoäng Vårterminen 2018 Handledare: Mia Persson

(2)

(3)

Sammanfattning

I ljuset av Europaparlamentets nya förordning Allmän dataskyddsförordning (GDPR) och i samband med utveckling av teknik som Big Data och Internet of Things, undersöker denna studie hur användarnas digitala personuppgifter hanteras och allmänhetens åsikter kring detta. De metoder som används för att svara på studiens forskningsfråga är en systematisk litteraturstudie och en webbaserad enkätundersökning. Syftet med enkätundersökningen är att komplettera litteraturstudien med svar från allmänheten i närområdet, i detta fall Sverige. Med hjälp av dessa metoder jämförs det hur företagen hanterar användarnas personuppgifter och allmänhetens syn på denna, för att slutligen komma fram till om företagen uppfyller användarnas behov och önskemål.

Nyckelord

Personuppgifter, attityd, åsikt, förtroende, kontroll, allmänheten, GDPR, allmän dataskyddsförordning

Abstract

In light of the European Parliament's new regulation the General Data Protection Regulation (GDPR) and the development of technologies such as Big Data and the Internet of Things, this study investigates how users' personal data are handled and public opinion about this. The methods used to answer the study's research question are a systematic literature study and a web-based survey. The purpose of the survey is to supplement the literature study with answers from the public in the immediate area, in this case Sweden. Using these methods, the study aims at comparing how companies handle the users' personal data and the public's view on it, to see if companies meet the users’ needs and wishes.

Keywords

Personal data, personal information, attitude, view, trust, control, the public, GDPR, data protection regulation.

(4)

(5)

Innehållsförteckning

1 Inledning ... 1 1.1 Bakgrund ... 1 1.2 Syfte ... 1 1.3 Frågeställning... 1 1.4 Avgränsningar ... 2 1.5 Personuppgifter ... 2 2 Metod ... 3 2.1 Blandad metod ... 3 2.2 Litteraturstudie ... 3 2.2.1 Litteratursökning ... 3 2.3 Enkätundersökning ... 4 2.3.1 Etiska reflektioner ... 5

2.3.2 Målpopulation och urval ... 5

2.3.3 Pilotstudie och resultat ... 5

2.3.4 Webbenkät ... 6

2.4 Metoddiskussion och kritik ... 7

3 Resultat litteraturstudie ... 8

3.1 Sökresultat ... 8

3.2 Företagens hantering av digitala personuppgifter ... 9

3.2.1 Big Data ... 10

3.2.2 Webbspårare ... 10

3.2.3 Sociala medier ... 10

3.2.4 Internet of Things ... 11

3.2.5 Prissättning baserad på insamlad data ... 11

3.2.6 Användarnas egna anpassade bubblor ... 11

3.3 Ur användarnas perspektiv ... 12

3.3.1 Misstro och oro ... 12

3.3.2 Medvetenhet ... 12

3.3.3 Kontroll ... 13

3.4 Ökad kontroll till användarna ... 13

3.4.1 Ad-blockers ... 13

3.4.2 Management of Tracking ... 13

3.4.3 My Data Store ... 14

3.4.4 Transparency Enhancing Tools ... 14

(6)

4 Resultat enkätundersökning ... 15

4.1 Respondenterna ... 15

4.2 Bortfall ... 16

4.3 Svarssammanställning och litteraturjämförelse ... 17

4.3.1 Oro ... 17

4.3.2 Medvetenhet ... 18

4.3.3 Kontroll ... 20

4.3.4 Företagen och användarna... 22

5 Analys och diskussion ... 25

5.1 Hur hanterar företagen digitala personuppgifter ... 25

5.2 Hur ser allmänheten på företagens hantering av digitala personuppgifter ... 25

6 Slutsats ... 27

Referenslista ... 28 Bilaga 1 – Pilotstudie ... Bilaga 2 – Ändringar pilotstudie ... Bilaga 3 – Enkät ...

(7)

1

1 Inledning

1.1 Bakgrund

Det uppkommer ständigt nya sätt att samla in allmänhetens personuppgifter. Beteendemönster samlas in via tekniska lösningar som används i vardagen, exempelvis bilen, datorn, mobilen, webbläsaren samt smarta armband. Teknikens värld expanderar och i samma takt förlorar allmänheten kontrollen över sin användardata (Will, Garae, Tan, Scoon & Ko 2017). Det är företagens ekonomiska intressen som styr de stora mängder data som samlas in och i nuläget förefaller det inte kompatibelt med tanken att ge mer kontroll till användarna (Breuer, Ranaivoson, Buchinger & Ballon 2015). Användarna upplevs heller inte medvetna om sin roll i sammanhanget, eftersom de tillåter dessa intrång i sina privatliv (Breuer et al. 2015). Ofta ges informationen frivilligt bort i utbyte mot de fördelar som tjänsterna kan ge tillbaka (Steghöfer 2017), och i dagsläget är det svårt att avgöra om det gynnar båda parter lika mycket eller vem som i slutändan drar det längsta strået.

Digitala personuppgifter är idag ett diskuterat ämne, under våren 2018 uppdagades Cambridge Analytica skandalen (Lindhe 2018), samtidigt som olika företag skickar ut nya användarvillkor och förbereder sig inför EU:s nya förordning. I skrivande stund skyddas svenskarnas personuppgifter av personuppgiftslagen (1998:204), som bygger på

Europaparlamentets och rådets direktiv, dataskyddsdirektivet (46/95/EG). Efter den 25 maj

2018 kommer en ny förordning från EU träda i kraft. Den Europeiska Unionen har insett värdet och vikten av personuppgifter och har därmed fastställt en förordning vid namn

Europaparlamentets och rådets förordning (EU) (av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning),

som hädanefter kommer att förkortas GDPR. I samband med ny teknik och de numera stora insamlingarna av användardata krävs åtgärder för att företagen inte ska kunna samla in och behandla personuppgifter med samma frihet som förr. Den profilering som företagen kan utvinna genom insamlad data kan i fel händer vara ett hot mot rätten till individens privata sfär. Digitala mönster som internetanvändare lämnar ifrån sig kan avslöja känsliga uppgifter, som politiska åsikter, sexuell läggning samt den religion man utövar (Lo Re & Carpineto 2016). Av denna anledning är det viktigt att användarna är medvetna om företagens hantering och har kontroll över sina digitala personuppgifter.

1.2 Syfte

I ljuset av GDPR och utvecklingen av teknik som analyserar och samlar in stora mängder användardata, undersöker detta arbete hur företagen hanterar användarnas digitala personuppgifter och hur allmänheten ser på denna hantering. Syftet är att göra en jämförelse mellan dessa för att se om företagens hantering stämmer överens med allmänhetens syn på situationen, och om företagen därmed uppfyller användarnas behov och önskemål.

1.3 Frågeställning

Forskningsfrågan som denna studie ämnar svara på är följande:

• Hur skiljer sig företagens hantering av digitala personuppgifter från allmänhetens syn på denna hantering?

(8)

2

1.4 Avgränsningar

Flera uppgifter om en individ ingår i begreppet personuppgifter, begreppet i sin helhet presenteras i avsnitt 1.5. Här ska bara nämnas att detta arbete fokuserar på digitala personuppgifter, eftersom att arbetet har en datavetenskaplig synvinkel.

Personuppgifter består ofta av känslig information, för att den informationen inte ska hamna i fel händer krävs det skydd och säkerhet. Informationssäkerhet är ett komplext ämne med många möjliga vinklar och inkluderas därför inte i detta arbete.

GDPR som träder i kraft den 25 maj 2018 är ett högst relevant ämne när det kommer till digitala personuppgifter, men är precis som säkerhet ett brett ämne som även innefattar flera juridiska synvinklar. Därför sker det ingen fördjupning i ämnet, men GDPR nämns under arbetets gång.

1.5 Personuppgifter

Att inte definiera ett begrepp som personuppgifter kan leda till otydliga gränser för var en persons privata sfär börjar och slutar (Rusescu, Balan, Pantea & Veghes 2010). Gränserna för vad personuppgifter innebär måste därför bli tydliga för att företagen ska kunna anpassa sig efter GDPR, men även för att förtydliga vilka uppgifter som detta arbete handlar om. Personuppgifter är information som kan identifiera en person (Tankard 2016) och enligt GDPR inkluderas även data som kan kopplas till någon som redan är identifierad. Det kan räcka med en uppgift för att det ska gå att identifiera någon. Vissa uppgifter kan behöva kompletteras med fler för att ta reda på vilken individ informationen relaterar till. GDPR menar att även online-identifikatorer är information som kan identifiera någon, då inkluderas även IP-adresser och cookies (Tankard 2016). Andra exempel på uppgifter som kan kopplas till en individ är: telefonnummer, födelsedatum, email samt hemadress (Rainie, Kiesler, Kang & Madden 2013), och enligt GDPR (2016, s. 33) även ”en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet”.

GDPR (2016, s. 5) omfattar inte “personuppgifter som anonymiserats på ett sådant sätt att den registrerade inte eller inte längre är identifierbar”. Anonymisering kan dock vara problematisk. Det kan hävdas att data är anonym, men det kan visa sig att samma data med rätt medel kan identifiera personen. Med Biometric Authentication kan man identifiera sig genom hur man utför något. Likt sättet man skriver på ett tangentbord, kan tidpunkten man publicerar användargenererat innehåll identifiera en. Detta påvisades av experiment publicerade i Fernquist, Fängström och Kaati (2017). Samma gäller för den stora mängd data som idag samlas in av Internet of Things, data som ofta hävdas inte är personuppgifter. Även om denna data inte innehåller tydliga personuppgifter som namn, adress, telefonnummer eller personnummer, har experiment visat att individer kan identifieras om man kombinerar tillräckligt mycket data. Eftersom att Internet of Things enheter dessutom oftast är kopplade till en användare kommer GDPR även påverka dessa (Fernquist, Fängström & Kaati 2017).

(9)

3

2 Metod

2.1 Blandad metod

Det kan vara fördelaktigt att blanda kvalitativ och kvantitativ data, nackdelar från en kvalitativ metod kan vägas upp med fördelar från en kvantitativ och vice versa. Metoderna kan därmed komplettera varandra för att få ökad förståelse för problemet (Creswell 2015). För att ta reda på hur företagen hanterar användarnas personuppgifter utförs en kvalitativ textanalys i form av en systematisk litteraturstudie. För att komplettera litteraturstudien med kvantitativ data utförs en webbaserad enkätundersökning, som förväntas ge värdefull insikt i hur allmänheten i närområdet ser på företagens behandling av personuppgifter. Denna enkätundersökning kommer att grunda sig på de aspekter som blir resultatet av litteraturstudien.

2.2 Litteraturstudie

Detta avsnitt tar upp inkludering- och exkluderingskriterier för genomförandet av litteraturstudien. Syftet med denna är att systematiskt gå igenom tidigare forskning inom det valda ämnet för att skapa bredare kunskap och förståelse. Denna kunskap är väsentlig för att utforma frågorna till enkätundersökningen och för att svara på uppsatsens forskningsfråga.

2.2.1 Litteratursökning

Med anledning av att deras datavetenskapliga innehåll är relevant för denna uppgift, används databaserna IEEE och ACM. För att reducera sökresultaten och samtidigt hålla en vetenskaplig nivå, sker sökningen i databaserna med avgränsningarna tidskrifter och konferensartiklar. För att söka efter dessa skapas söksträngar med följande nyckelord:

• personal data • personal information • attitude • view • trust • control • GDPR

• data protection regulation.

För att hålla materialet uppdaterat och relevant avgränsas artiklarnas publikationsår till årtalen 2014–2018. I de sökningar som involverar GDPR kommer det inte ske någon avgränsning på årtal, detta beror på att GDPR är en ny förordning och forskning kring ämnet är begränsat i antal. För att säkerställa vilka artiklar som är relevanta för ämnet, sker även en manuell granskning av titel, abstract, introduktion och sammanfattning. De artiklar som blir resultatet av denna sökning blir sedan byggstenar till resultatet av litteraturstudien. I Tabell 1 presenteras alla inkluderings- och exkluderingskriterier som implementeras i denna litteratursökning.

(10)

4 Tabell 1: Inkluderings- och exkluderingskriterier

Kriterier för inkludering/ exkludering

Beskrivning Motivation

Nyckelord Följande nyckelord används för att skapa söksträngar: personal

information, personal data, attitude, view, trust, control, GDPR, data protection regulation

Nyckelorden baseras på ämnet personuppgifter och på vald forskningsfråga

Typ av artiklar Bara vetenskapliga tidskrifter och konferensmaterial används från de valda databaserna

För att avgränsa

sökresultaten och samtidigt hålla en vetenskaplig nivå

Publikationsår Material med publikationsår 2014–

2018 Årtalen är till för att få mindre sökträffar, men som fortfarande är uppdaterade och relevanta

Abstract Bara sökningsresultat med relevant

abstract Ett sätt att få ner sökresultaten när det blir för många artiklar att värdera

Värdering Manuell granskning av titel, abstract, introduktion och sammanfattning. Detta innebär inte att alla dessa avsnitt läses på alla granskade artiklar, ibland kan relevans

säkerställas redan vid titeln. I de fall där alla avsnitt är relevanta, sparas artikeln i Zotero.

För att säkerställa om artikeln är relevant för arbetet

2.3 Enkätundersökning

Nedan redogörs tillvägagångssättet för konstruktionen och utförandet av studiens enkät. Enkätundersökningen bygger på aspekter tagna från resultatet av litteraturstudien. Syftet är att kunna jämföra information från litteraturstudien med svaren från enkäten, men även att komplettera en kvalitativ metod med en kvantitativ, för att kunna svara på studiens frågeställning. Enkätundersökningen är även ett sätt att få in åsikter från närområdet.

(11)

5

2.3.1 Etiska reflektioner

Vid genomförandet av en enkät är det viktigt att göra etiska överväganden under enkätens konstruktion. Det är viktigt att respektera och skydda den enskilda individen och att ta hänsyn till extra känsliga personuppgifter som enligt Ejlertsson (2014) är: brott och straff, etniskt ursprung, politiska åsikter, religion, medlemskap i fackförening, hälsa samt sexualliv. Enkäten i detta arbete kräver inga sådana uppgifter från respondenten, men vissa saker måste arbetet ändå ta hänsyn till. Det finns fyra olika krav att beakta (Ejlertsson 2014). Nedan följer dessa fyra krav och hur de uppfylls i detta arbete:

1. Informationskravet: I början av enkäten presenteras tydligt syftet med undersökningen.

2. Samtyckeskravet: Vårdnadshavares samtycke för personer under 15 år behöver inte inhämtas, detta eftersom målpopulationen och därmed lägsta ålder som går att välja på enkäten är 18 år. De som är 18 år eller äldre ger sitt samtycke genom att frivilligt delta i den webbaserade enkätundersökningen.

3. Konfidentialitetskravet: Bakgrundsfrågorna utformades med detta kravet i åtanke. Exempelvis behöver inte respondenten uppge exakt ålder för att minska risken att personen går att identifiera. Kön, ålder och sysselsättning är ofta standardfrågor i enkäter och är med för att kunna se om någon grupp i målpopulationen är överrepresenterad.

4. Nyttjandekravet: Svaren till denna enkät ska inte användas i något annat syfte än det som uppges till de som medverkar.

2.3.2 Målpopulation och urval

Målgruppen för enkäten strävar efter att representera allmänheten i Sverige. En stor population som har avgränsats till svensktalande över 18 år. Detta val baseras på att respondenterna ska ha förståelse för frågorna, som riktar sig till vuxna personer som behärskar det svenska språket. Förutom den bestämda målgruppen påverkas urvalet även av det valda sättet att sprida enkäten. Enkäten är en webbaserad enkät som sprids ut med hjälp av Facebook. Detta är ett medvetet val för att respondenterna ska kunna relatera till frågorna, som har digital inriktning och som ibland använder Facebook som exempel. Ett urval kan vara slumpmässigt eller icke-slumpmässigt (Trost & Hultåker 2016). P.g.a. tillgängliga resurser, utförs denna enkät med ett icke-slumpmässigt urval i form av ett bekvämlighetsurval. Att dela webbenkäten på Facebook gör det enkelt att sprida enkäten och en form av snöbollseffekt skapas när respondenterna delar vidare enkäten till sina Facebook-vänner. Förutom bekvämlighetsurval och snöbollseffekten, blir det tvunget att förlita sig på intresserade respondenter som väljer att svara, ett så kallat självvalsurval.

2.3.3 Pilotstudie och resultat

Innan webbenkäten skickades ut utfördes en pilotstudie, som säkerställer att frågorna i enkäten är av god kvalité. Det vill säga om frågorna är lätta att förstå och att alla svarsalternativ finns med (Ejlertsson 2014). Det första steget var att låta några närstående granska frågorna, detta i sig är inte en pilotstudie, men ett bra sätt att gå tillväga för att få kritik från utomstående (Ejlertsson 2014). Efter denna granskning och några få justeringar skickades enkäten ut till 20 personer, i form av ett bekvämlighetsurval med ett försök på spridning på kön och ålder. I Figur 1 visualiseras denna spridning och respondenternas bakgrund. Den feedback som respondenterna genererade togs emot muntligt eller via mail och Facebook.

(12)

6 Figur 1. Respondenternas bakgrund i pilotstudien.

Pilotstudien resulterade i att flera frågor mer eller mindre formulerades om efter kritik från respondenterna. Det var delvis små ändringar som felstavningar och ordval, men även större omstruktureringar och omformuleringar av hela meningar. I Bilaga 1 presenteras pilotstudien, i Bilaga 2 de resulterande ändringarna och i Bilaga 3 den färdigställda webbenkäten. Tre personer ansåg även att vissa frågor inte var relevanta för dem eftersom de inte använder Facebook, vilket flera av frågorna relaterar till. Detta ledde till valet att endast dela enkäten på Facebook.

2.3.4 Webbenkät

Frågorna till enkäten konstruerades med hjälp av Ejlertsson (2014) med aspekterna oro, medvetenhet och kontroll från litteraturstudien i åtanke. Som svarsalternativ valdes fasta svarsalternativ, detta för att öppna svar i allmänhet avråds (Trost & Hultåker 2016) samt för att svaren då inte behöver omvandlas till kvantitativ data. När man utformar svaren till sin enkät ska det alltid vara lika stort antal positiva som negativa svar (Ejlertsson 2014). Man kan välja att ha med ett tredje alternativ, ett mellanting på skalan eller vet ej eller vill ej ta ställning. I denna enkät valdes det att ha med det tredje alternativet. Det råder dock delade meningar om vilket alternativ som är bäst (Trost & Hultåker 2016), men i detta fallet tvingades ingen ta en ståndpunkt som denne inte står för. Efter de förändringar som pilotstudien resulterade i, skickades frågorna ut i formen av en webbenkät med hjälp av Google Forms och spreds till respondenterna via Facebook. Enkäten spreds till vänner, familj och bekanta, men även i öppna grupper på Facebook.

(13)

7

2.4 Metoddiskussion och kritik

Det finns olika sätt att kartlägga opinioner på, genom t.ex. intervjuer, enkäter och observationer. Med en enkätundersökning kan man samla in data från en större grupp och med hjälp av denna data dra allmänna slutsatser (Patel & Davidson 2011). Med tanke på föregående mening, arbetets storlek och resurser utfördes en enkätundersökning. I detta fall en webbenkät som är fördelaktig när det gäller att nå ut till många personer. En annan fördel jämfört med intervjuer är att den som håller i kartläggningen inte är närvarande vid en enkät och påverkar därmed inte svaren genom sin närvaro (Ejlertsson 2014). Dock kan respondenten ändå påverkas med ledande frågor, som ”har en tendens att “lägga orden i mun” på den som svarar, oftast så att de svarar ja eller instämmande på frågan” (Eliasson 2006, s. 40). Att hålla frågorna tillräckligt informativa att respondenterna kan förstå innehållet, men samtidigt inte göra frågorna ledande eller för långa är en svår balansgång. En balansgång som möjligen misslyckades. Hade frågorna tryckt mer på positiva aspekter som t.ex. användarvänlighet snarare än oro, medvetenhet och kontroll, kan de slutliga svaren möjligen lutat mer åt ett annat håll. Att formulera frågorna är i detta fallet en iterativ process som med största sannolikhet hade förbättrats med ytterligare en eller flera iterationer.

När det kommer till respondenterna bör ett slumpmässigt urval göras för att de som svarar på enkäten ska kunna representera den valda målpopulationen (Patel & Davidson 2011). Det utfördes endast icke-slumpmässiga urval i enkätundersökningen, man kan därför ifrågasätta om de som svarat är en miniatyr av den allmänhet de ska representera.

Även om litteraturstudien bidrog med en kvalitativ textanalys så hade studien även kunnat kompletteras med en kvalitativ intervjuundersökning. Detta hade kunnat bidra med en djupare förståelse för respondenterna och det hade varit lättare att se om respondenterna har förstått frågorna korrekt. Dock kan det vara tidkrävande att analysera intervjumaterial som text och ljudinspelningar. P.g.a. tidsbegränsningen som är satt på detta examensarbete hade möjlige två till tre intervjutillfällen hunnits med. Eftersom avsikten var att generalisera från en större massa, blev endast en enkät det slutliga valet.

För att kunna svara på hur företagen hanterar användarnas personuppgifter utfördes endast en litteraturstudie. För att inte bara luta sig på andras arbeten hade en egen datainsamlingsmetod kunnat utföras. Förslagsvis analysera dokument i form av de policys som företagen har angående personuppgifter eller en kartläggning i form av enkät eller intervjuer. Dock hade det varit problematiskt att definiera representativa företag, arbetet tar upp teknik som Big Data, Internet of Things, webbspårare och sociala medier. Detta skulle göra det svårt att generalisera svaren och återigen satte tidsplanen gränser för vad som till slut ingick i denna studie.

(14)

8

3 Resultat litteraturstudie

3.1 Sökresultat

I Tabell 2, 3, 4 och 5 presenteras sökresultatet av den systematiska litteraturstudien. Till höger i tabellerna visas antal sökresultat som återstår efter det att kriteriet till vänster har implementerats.

Tabell 2. Sökresultat i IEEE (command search) med söksträng: (GDPR OR "data protection regulation")

Sökning i databasen IEEE

Kriterier för inkludering/exkludering Antal sökresultat

Nyckelord 47

Typ av artiklar 45

Publikationsår Användes inte

Abstract Användes inte

Värdering 4

Används i den slutliga texten 4

Tabell 3. Sökresultat i IEEE (command search) med söksträng: (("personal information" OR "personal data") AND (trust OR attitude OR view OR control) NOT (GDPR OR "data protection regulation"))

Sökning i databasen IEEE

Nyckelord 1045

Typ av artiklar 1021

Publikationsår 420

Abstract på

(trust OR attitude OR view OR control) 313

Värdering 7

(15)

9

Tabell 4. Sökresultat i ACM med söksträng: (GDPR OR "data protection regulation") Sökning i databasen ACM

Nyckelord 13

Typ av artiklar 9

Publikationsår Användes inte

Värdering 0

Tabell 5. Sökresultati ACM med söksträng: (("personal information" OR "personal data") AND (trust OR attitude OR view OR control) NOT (GDPR OR "data protection regulation"))

Sökning i databasen ACM

Nyckelord 577

Typ av artiklar 498

Publikationsår 217

Värdering 1

3.2 Företagens hantering av digitala personuppgifter

Hur företagen hanterar personuppgifter bör spegla deras intressen. Idag medföljer det stora ekonomiska fördelar med att samla in data om sina användare. Personuppgifter och annan användargenererad data har blivit en guldgruva och beskrivs som dagens olja (Vescovi, Lepri, Perentis, Moiso & Leonardi 2014). Företagen förefaller inte ha användarnas säkerhet och privatliv som primärt mål, utan man kan anta att målet är att analysera stora mängder användardata för att hitta trender och mönster som sedan kan utnyttjas (Breuer et al. 2015). I detta avsnitt presenteras olika tekniker som företagen använder för att samla in data och hur de sedan använder denna.

(16)

10

3.2.1 Big Data

Stora mängder data samlas idag in från olika aktörer genom teknik som används till vardags, exempelvis via bilen, mobilen och webbläsaren. Det handlar t.ex. om viktnedgång, sömnrutiner eller hur fort en bilförare kör. Data förs över till det företag som tillhandahåller produkten och många användare är medvetna om detta och gör det frivilligt för att få en mer personifierad produkt som passar deras behov (Kappler, Schrape, Ulbricht & Weyer 2017). Big Data används för att kategorisera och profilera användare, inte bara för att ge dem en anpassad produkt utan även för att kunna ge dem riktad reklam och analysera samhällen och grupper (Matei, Rughinis & Rughinis 2017). Forskning av Big Data kan vara till samhällets fördel, tidigare svårtillgängliga mönster kan i framtiden hjälpa till att behandla sjukdomar, skapa smarta städer och effektivisera kollektivtrafiken (Kappler et al. 2017). Big Data kan dock inkräkta på personers privatliv. Mycket anonym data om en person kan tillslut göra personen identifierbar och efterhand går det att göra exakta förutsägelser om känsliga personuppgifter som sexuell läggning, ålder, kön, personlighetsdrag, religiösa samt politiska åsikter (Kappler et al. 2017). Företagen som lägger beslag på dessa uppgifter är ofta stora multinationella företag som Google, Facebook och Apple och utan förordningar är dessa företag och deras påverkan på invånarna utanför statens kontroll. Det är ännu inte känt vilka alla positiva och negativa effekter av Big Data är, vilka olika former av diskriminering och manipulation som kan uppstå. Därför bör samhällsvetare, datavetare och ingenjörer gå samman för att kritisera och förhindra de oönskade effekter som Big Data kan få på individer och samhälle (Kappler et al. 2017).

3.2.2 Webbspårare

Webbspårare bevakar människor som surfar på nätet, de följer vilka sidor användarna besöker för att ta reda på deras intressen och profilera dem. När användarna har blivit kategoriserade kan riktad reklam börja dyka upp på sidorna som de besöker (Lo Re & Carpineto 2016). Cookies är ett exempel på webbspårare, med hjälp av dessa kan en hemsida veta om du har besökt sidan innan, vad du har handlat eller vilken reklam du tryckt på (Carlsson & Jacobsson 2012). Webbspårare kan göra internetupplevelsen mer användarvänlig, t.ex. kan användarna få reklam för relevanta produkter och en webbsida kan veta vilka videor användarna redan har sett. Användarnas beteende på internet och sidorna de besöker kan dock avslöja känslig information som politiska åsikter, sexuell läggning, medicinskt tillstånd samt finansiell status (Lo Re & Carpineto 2016).

3.2.3 Sociala medier

För att hitta samband som andra företag kan använda för att influera deras kunder samlar Twitter in data utifrån vad deras användare twittrar om (Moerel & Prins 2016). Samtidigt som Facebook profilerar sina användare för att profilerna ska kunna användas vid val av anställda (Moerel & Prins 2016). Sociala medier som Linkedin, Google+, Facebook och Twitter kan användas av en tredje part så att användarna kan logga in på deras applikation. Via Facebook kan denna tredje part via Social Login få tillgång till användarnas information, det kan vara: email, vänner, platsinformation samt deras profil (Breuer et al. 2015). Dessa tredje parter är ofta okända för användarna för att de interagerar via dessa sociala medier. De utövar alltså informationsutvinning i det dolda, som sedan används i marknadsföringsändamål (Breuer et al. 2015).

(17)

11

3.2.4 Internet of Things

Internet of Things (IoT) observerar mönster för att kunna anpassa sig efter användarnas vanor och sin omgivning. Det kan vara hur föraren kör en bil, vilka tider olika familjemedlemmar är hemma eller hur kunder förflyttar sig i en galleria. All data om människors beteende är värdefull för företagen för att kunna ge sina kunder bättre och mer eftertraktade produkter. Data insamlat från IoT är inte lika känslig som t.ex. patientjournaler (Daubert, Wiesmaier & Kikiras 2015) och behöver nödvändigtvis inte kopplas till en individ. Över tid skapas dock en profil och de beteendemönster som sparats kan möjligen avslöja personens identitet (Fernquist, Fängström & Kaati 2017). När denna data har kopplats till en individ definierar GDPR dem som personuppgifter. Ytterligare forskning borde göras på vad den data som samlas in av IoT kan avslöja om en person (Fernquist, Fängström & Kaati 2017).

3.2.5 Prissättning baserad på insamlad data

Genom gruppering och profilering kan företagen utöva prisdiskriminering. När de samlat in tillräckligt mycket data om en person kan denne grupperas, och olika grupper anses vara villiga att betala olika summor för samma tjänst eller vara. Prissättningen kan sättas beroende på vilken grupp användarna tillhör, i vissa fall får kunder inte ens tillgång till produkten (Breuer et al. 2015). Ett exempel på detta är bilförsäkringar, data samlas in från en enhet i bilen och förarens körsätt kommer sedan att påverka premiekostnaden (Moerel & Prins 2016). Medvetenhet kring ens körvanor kan skapa förändring och bidra till minskade olyckor, men personer i riskgrupper riskerar att inte längre få tillgång till prisvärda försäkringar. Prissättning baserat på profil medför således både fördelar och nackdelar (Moerel & Prins 2016).

3.2.6 Användarnas egna anpassade bubblor

Två personer kan fysiskt befinna sig i samma rum, samtidigt som de rör sig i två separata ”digitala rum” när de börjar surfa på sina mobiler. Användarnas digitala miljöer anpassas efter deras klickhistorik. Google har anpassat sökresultaten och Facebook har anpassat nyhetsflödet och reklam till det innehåll de tror användarna är mest intresserade av. Användarna kan snabbt hitta det de söker och surfandet kan upplevas smidigare och mer användarvänligt (Carlsson & Jacobsson 2012). Detta fenomen förklaras av vissa som filterbubblan (Moerel & Prins 2016; Carlsson & Jacobsson 2012). Det kvarstår att se om och hur denna filterbubbla kommer att påverka människors åsikter och tankar (Moerel & Prins 2016). I boken Revolutionen bortom 140 tecken liknas sociala medier vid en “ekokammare”, som en isolerad plats där människor bekräftar varandras åsikter. Boken ger som ett exempel en folkomröstning i Egypten som hölls i mars 2011. Användare av sociala medier tog ställning i omröstningen genom att ändra sina profilbilder på Facebook och Twitter till “JA” eller “NEJ”. Den stora majoriteten av “NEJ”-anhängare på nätet gjorde många besvikna när valresultatet sedan visade 77 % “JA” (Kirollos 2012).

(18)

12

3.3 Ur användarnas perspektiv

Oavsett hur företagen tjänar pengar, via reklam, personuppgifter eller betaltjänster, så är företagen beroende av användarnas intresse. Detta sätter användarna i en form av maktposition som inte alltid nyttjas, utan användarna blir mer och mer benägna att dela med sig av sin användardata (Baloyi & Kotzé 2017). Även om användarna är måna om sina privatliv så är de inte benägna att betala för att skydda sin privata sfär. I slutändan är bekvämlighet och användarvänlighet, som personifierade tjänster och relevant reklam, viktigare för användarna än exploateringen av deras personuppgifter (Breuer et al. 2015). Genom att gå med på användarvillkoren för Facebook, så har användarna av Facebook frivilligt sagt upp sin rätt till ett privatliv (Sohoraye, Gooria & Koonjal 2015). I detta avsnitt presenteras olika aspekter som framkom under litteraturstudiens gång, dessa speglar användarnas känslor kring deras digitala personuppgifter. De områden som studierna representerar är Sydafrika (Baloyi & Kotzé 2017), Mauritius (Sohoraye, Gooria & Koonjal 2015), Rumänien (Dugulan, Acatrinei, Orzan & Veghes 2012; Rusescu et al. 2010), USA (Rainie et al. 2013) och EU (Matei, Rughinis & Rughinis 2017).

3.3.1 Misstro och oro

Flera studier visar att användare känner sig oroliga över hur deras digitala personuppgifter hanteras (Dugulan et al. 2012; Lo Re & Carpineto 2016; Matei, Rughinis & Rughinis 2017; Rainie et al. 2013; Rusescu et al. 2010). De är oroliga över att företagen kommer att sälja deras information vidare till tredje part (Rusescu et al. 2010), och hela 50 % av internetanvändarna är oroliga över mängden personuppgifter som finns tillgänglig om dem online (Rainie et al. 2013). Bristen på insyn och medvetenhet skapar misstro bland användarna och både misstro och oro är något som ökar i samband med att de blir äldre (Matei, Rughinis & Rughinis 2017). En annan studie visar att trots oron, är användarna villiga att ge ut sina personuppgifter så länge de känner att de får något av värde tillbaka (Lo Re & Carpineto 2016).

3.3.2 Medvetenhet

När det gäller Internet of Things vet användarna inte exakt vilken data det är som faktiskt samlas in. Även om avtal skulle vara tillräckligt informativa för att skapa insikt kring ämnet, så garanterar inte detta att samma data kommer att användas på samma sätt i framtiden (Fernquist, Fängström & Kaati 2017). Sekretesspolicys skapas ofta bara för att följa lagen, och är inte skrivna på ett sådant sätt att användarna kan ta informationen till sig (Rossi & Palmirani 2017). “Privacy settings that claim to protect the information of individuals when they get in contact with businesses are vague, misleading, lacking transparency or are displayed in a user-unfriendly way” (Breuer et al. 2015, s. 25). I en studie som genomförts i Sydafrika uppger 79 % att de inte läser sekretesspolicyn innan de godkänner den, samma studie föreslår att åtgärder behöver tas för att öka människors medvetenhet kring deras privatliv online (Baloyi & Kotzé 2017). För att skydda användarna finns det lagar som hindrar företag och myndigheter från att missbruka insamlingen av personuppgifter. Lagarna är nödvändiga då användarna ofta inte är medvetna om konsekvenserna av att lämna ifrån sig sin egna data, samtidigt som de blivit mer benägna att dela med sig av den (Baloyi & Kotzé 2017). Användare förstår inte riskerna med att använda sig av sociala nätverk. De vill ha privata konversationer på sociala medier, vilka ofta är designade på ett vis som får dem att tro att de interagerar i en privat sfär, samtidigt som ny teknik förmodas samla in alla steg som användarna tar på internet (Sohoraye, Gooria & Koonjal 2015).

(19)

13

3.3.3 Kontroll

Begreppet kontroll enligt Svensk ordbok utgiven av Svenska Akademien (SO) betyder: “Behärskning och över-vakning av ett skeende, en apparat e.d. för att vid behov kunna gripa in och reglera ngt”. För behärskning och övervakning ska kunna tillämpas krävs medvetenhet om sina digitala personuppgifter, därefter kommer nästa steg, att ge användarna kontroll över dem. Eftersom personuppgifter har blivit en guldgruva för företagen föreslår Tang, Ma, Huang, Apduhan, Li och Cheng (2014) att personuppgifter ska hanteras som pengar på banken. Där varje transaktion av en persons uppgifter tydligt ska dokumenteras och presenteras för denne så att “a user can be aware of and control what personal data can be and has been collected/processed/accessed by whom, and how, why, where, when, what” (Tang et al. 2014, s. 458). Användarna vill ha mer kontroll över sina registrerade personuppgifter (Lo Re & Carpineto 2016; Rainie et al. 2013). Det handlar om att skydda sig från insyn i deras privatliv, t.ex. vad de surfar på för sidor och vad de skriver i sina email. Flera källor vill ge mer kontroll till användarna (Breuer et al. 2015; Moerel & Prins 2016; Murmann & Fischer-Hübner 2017). Det ska vara meningsfull kontroll där användarna inte bara har översikt utan även möjlighet att förändra situationen (Moerel & Prins 2016). När användarna känner att de har kontroll över och insyn i sina egna uppgifter så ökar deras tillit till tjänsten (Murmann & Fischer-Hübner 2017).

3.4 Ökad kontroll till användarna

Med all data som samlas in idag kan det kännas som en omöjlighet för användarna att ha kontroll över sina uppgifter. Medvetenheten och insyn i den data som lagras om en, är en förutsättning för att ha kontroll över dem (Tang et al. 2014) Idag finns det inga tekniska verktyg som kan hjälpa användarna att ha full översikt och därmed kontroll över alla sina digitala personuppgifter (Carlsson & Jacobsson 2012). Dock kommer det nedan att presenteras ett antal verktyg från tidigare forskning, som nu eller i framtiden möjligen kan hjälpa användarna att få mer kontroll över sina digitala personuppgifter.

3.4.1 Ad-blockers

Olika alternativ för att slippa webbaserad reklam finns tillgängliga som plug-in till webbläsaren. Ad-blockers kan ge mer kontroll till användarna genom att undvika reklam och undslippa spårning av annonsbyråer (Breuer et al. 2015). Flera webbsidor har dock tagit krafttag mot Ad-blockers och tvingar användarna att stänga av sina ad-block plug-ins innan de kan få tillgång till webbsidorna. Det stora användandet av ad-blockers har trots allt fått annonsörer att tänka till kring en användarvänlig annonsmiljö. “Det kan exempelvis handla om att inte köra ljud automatiskt eller använda undermålig retargeting” (Nilsson 2015).

3.4.2 Management of Tracking

Management of Tracking (ManTra) är ett plug-in till webbläsaren firefox, som riktar in sig på spårning i samband med reklaminriktade användarprofiler (Lo Re & Carpineto 2016). Användarna ska inte bara kunna se vilken data som samlats in utan även kunna ta del av de antaganden som gjorts, angående vilka intressen som spårningen av deras aktiviteter har genererat. Användarna får kontroll över situationen genom att förbättra resultaten med relevanta intressen eller minska tillgången till den data som användarna vill skydda från utomstående (Lo Re & Carpineto 2016).

(20)

14

3.4.3 My Data Store

My Data Store samlar in användardata om personer som har kopplat denna applikation till sin mobil. Till skillnad från många andra applikationer vill denna ge mer kontroll till användarna. I en tid där personuppgifter har blivit dagens olja vill teamet bakom My Data Store göra användarna medvetna om data som samlas in om dem (Vescovi et al. 2014). Applikationen kontrolleras av användarna, vilket gör det möjligt för användarna att ha insikt i sin data och även kunna jämföra den med andras data. Genom kartläggning, tidslinjer och grafer görs data tydlig och användarvänlig. Användarna kan se vad som sparas, välja vad som delas eller ta bort data som lagrats. T.ex. följande data: samtal, sms, temperatur, luftfuktighet, humör, stress samt sovrutiner (Vescovi et al. 2014).

3.4.4 Transparency Enhancing Tools

Transparency Enhancing Tools (TETs) går ut på att ge användarna mer insyn i hur deras personuppgifter hanteras, samlas in och behandlas. En översikt över ens egna data skapar en högre nivå av medvetenhet kring den sortens data som man faktiskt genererar. För att medvetenheten ska öka krävs det att TETs är användarvänlig, så att användarna faktiskt kan få den insyn som krävs för att kunna få kontroll över sina uppgifter. Det finns forskning kring ett verktyg som TETs, men fortfarande inget tekniskt sätt att implementera det på (Murmann & Fischer-Hübner 2017).

3.4.5 GDPR

GDPR består av 99 artiklar, i jämförelse med dem är denna sammanfattning av GDPR betydligt kortare. Sammanfattningen kommer att fokusera på begreppet kontroll och den fysiska person som GDPR ämnar skydda. Att ge kontrollen över sina personuppgifter tillbaka till användarna är ett av målen med GDPR´s principer (Will et al. 2017). GDPR ska ge EU-medborgarna mer överblick och insyn i behandlingen av deras personuppgifter. Enligt GDPR artikel 15 Den registrerades rätt till tillgång, ska användarna kunna få tillgång till den data som samlats in om dem och få veta ändamålet med varför de behandlas. Den som behandlar uppgifterna ska alltså förse den registrerade med en kopia av de uppgifter som behandlas (Murmann & Fischer-Hübner 2017). Det ska även bli tydligare vilken sorts behandling av sina personuppgifter användarna samtycker till. Med andra ord inhämtas ett så kallat informerat samtycke, där användarna vet vilket syfte behandlingen har och vem som utför den. Användarna har sedan rätt att dra tillbaka sitt medgivande när som helst (Murmann & Fischer-Hübner 2017). En annan del av GDPR är artikel 20 Rätt till

dataportabilitet som ska göra det möjligt för användarna att flytta sin data från en aktör till

en annan. Användare som investerat mycket tid hos en aktör kan känna sig låst när de måste överge år av data för att byta till en ny bättre tjänst. Att ge användarna valmöjligheten att kunna ta med sig sin gamla data till en ny aktör, ger användarna mer kontroll över situationen (Bistolfi & Scudiero 2016) och hindrar dem från att låsas fast i en gammal tjänst (Murmann & Fischer-Hübner 2017).

(21)

15

4 Resultat enkätundersökning

4.1 Respondenterna

135 personer svarade på webbenkäten, deras bakgrund presenteras i Figur 2. Bakgrundsfrågor inkluderades i enkäten med syfte att kunna se om en grupp blev alltför överrepresenterad. Respondenterna fick även svara på vilken kunskapsnivå de ligger på kring ämnet digitala personuppgifter, resultatet av detta visas i Figur 3. För att respondenterna skulle veta vad som menas med personuppgifter, följde det med en definition av personuppgifter i följebrevet.

(22)

16

Figur 3. Resultat på frågan ”På vilken kunskapsnivå ligger du kring ämnet digitala

personuppgifter?”

4.2 Bortfall

135 st svarade på enkäten, en summa långt ifrån den summa som Svenska Akademiens

ordlista definierar som allmänheten: “Alla medborgare i ett samhälle”.

Som tidigare nämnt i studien lever användarna i en digital bubbla när de använder sociala medier. Det som Kirollos (2012) kallar en “ekokammare”, där människor bekräftar varandras åsikter. Därför är det viktigt att påpeka att när man delar något på Facebook är det främst ens vänner som ser materialet. Man omger sig ofta med likasinnade, och detta är med största sannolikhet anledningen till att gruppen kvinnor i åldern 26–35 har flest respondenter, eftersom att båda dessa stämmer överens med personen som delade enkäten. Att fler kvinnor har svarat på enkäten tillhör normen, vilket ger ett väntat bortfall av män (Trost & Hultåker 2016). Förutom ålder och kön omger man sig ofta med personer från samma samhällsklass och som har samma etnicitet och politiska åsikter. Därmed är det sannolikt att olika grupper i samhället inte är representerade av de 135 personer som har svarat på enkäten. Detta problem mildrades förhoppningsvis något genom att dela enkäten i öppna grupper.

(23)

17

4.3 Svarssammanställning och litteraturjämförelse

Resultatet av denna enkätundersökningen visualiseras i stapeldiagram med tillhörande text, tillsammans med en jämförelse med resultatet från litteraturstudien.

4.3.1 Oro

Precis som i tidigare studier (Dugulan et al. 2012; Lo Re & Carpineto 2016; Matei, Rughinis & Rughinis 2017; Rainie et al. 2013; Rusescu et al. 2010), upplever flera av respondenterna även i denna enkätundersökning en oro över deras digitala personuppgifter. I Figur 4 har sammanlagt 50 % valt 1 och 2 som är den vänstra sidan av skalan, där längst till vänster representerar väldigt orolig. Detta är en liknande siffra som Rainie et al. (2013) tar upp i en snarlik fråga, där hela 50 % av internetanvändarna är oroliga över mängden personuppgifter som finns tillgänglig om dem online.

Figur 4. Resultat på frågan ”Vilken nivå av oro känner du över att företagen samlar in

(24)

18

4.3.2 Medvetenhet

Att läsa användarvillkoren kan vara ett första steg för användarna att få insikt i hur deras personuppgifter kommer att behandlas. Idag är dock sekretesspolicys inte skrivna på ett sätt som gör det lätt för användarna att ta informationen till sig (Rossi & Palmirani 2017). I Sydafrika uppger 79 % att de inte läser sekretesspolicys innan de godkänner dem (Baloyi & Kotzé 2017). I denna studie ställs en liknande fråga vilket visualiseras i Figur 5, denna visar att 31 % inte läser användarvillkoren och att endast 11 % läser användarvillkoren i sin helhet.

Figur 5. Resultat på frågan ”Läser du användarvillkoren innan du godkänner dem när du ska

börja använda en tjänst på internet?”

Om man bortser från personer som inte använder verktygen i Figur 6, är det viktigt för majoriteten (34 %) att ta reda på vilka aktörer som får tillgång till den data de genererar. I Figur 7 har fler än hälften (66 %) svarat att de anser det viktigt att vara medveten om hur deras digitala uppgifter hanteras.

Figur 6. Resultat på frågan ”Smarta armband och applikationer kan samla in stora mängder

data om dig. De kan hjälpa till att hålla reda på t.ex. kaloriintag, vikt och sömn. Är det viktigt för dig att ta reda på vilka aktörer som sedan får tillgång till denna data?”

(25)

19

Figur 7. Resultat på frågan ”Är det viktigt för dig att vara medveten om hur dina digitala

uppgifter hanteras? I detta fall syftar hanteras på vad som lagras om dig och vilka som har tillgång till den datan.”

Samtidigt som 66 % i Figur 7 anser att det är viktigt att vara medveten om den data lagras om dem och vilka som har tillgång till den. Så är det bara 2 % i Figur 8 som anser sig fullt medvetna om den data som samlas in om dem. Enligt artikel 15 i GDPR ska användarna kunna få tillgång till den data som samlats in om dem och få veta ändamålet med varför den behandlas. Det ska bli tydligt vilken sorts behandling av personuppgifterna användarna samtycker till. Ett informerat samtycke, där användarna vet vilket syfte behandlingen har och vem som utför den (Murmann & Fischer-Hübner 2017).

Figur 8. Resultat på frågan ”Vilken nivå av medvetenhet upplever du att du har om vilken data

(26)

20

4.3.3 Kontroll

Nära hälften av respondenterna (47 %) i Figur 9 har installerat någon form av sekretessverktyg på sin webbläsare. Ad-blockers kan ge mer kontroll till användarna genom att de undviker reklam och undslipper spårning av annonsbyråer (Breuer et al. 2015).

Figur 9. Resultat på frågan ”Har du installerat några sekretessverktyg till din webbläsare,

t.ex. adblock, Cookie AutoDelete eller Tor?”

Att vara medveten och ha insyn i den data som lagras om en, är en förutsättning för att ha kontroll. Därmed föreslås det att personuppgifter ska hanteras som pengar på banken. Där varje transaktion av en persons uppgifter ska tydligt dokumenteras och presenteras för denne (Tang et al. 2014). I Figur 10 ställer sig 122 av 135 respondenter positiva till ett liknande förslag, att kunna se i en applikation vilka aktörer som har tillgång till alla deras personuppgifter, t.ex. alla företag som har deras personnummer.

Figur 10. Resultat på frågan ”I inställningarna på din smartphone kan du se vilka appar som

har tillgång till olika enheter i mobilen, t.ex. Facebook messenger har tillgång till dina kontakter. Hade du på liknande vis velat se i en applikation vilka aktörer som har tillgång till dina personuppgifter, t.ex. alla företag som har ditt personnummer?”

(27)

21

Hela 53 % i Figur 11 känner sig låst till någon tjänst de använder idag. Samtidigt visar Figur 12 att 48 % tror att det skulle öka sannolikheten att de byter tjänst om de på ett smidigt sätt kan föra över all sin data från en tjänst till en annan. Rätten till dataportabilitet är något som företagen vanligen inte erbjuder idag, men en del av den kommande förordningen GDPR är artikel 20 Rätt till dataportabilitet. Denna ska göra det möjligt för användarna att flytta sin data från en aktör till en annan. När användarna kan ta med sin gamla data till en ny aktör ger det dem mer kontroll över situationen (Bistolfi & Scudiero 2016), och hindrar dem från att låsas fast i en tjänst (Murmann & Fischer-Hübner 2017).

Figur 11. Resultat på frågan ”Finns det någon digital tjänst som du känner dig bunden till?

Som du upplever att du måste ha, fast du egentligen inte vill. T.ex. för att du har investerat för mycket tid och data i tjänsten, eller för att alla dina vänner har applikationen.”

Figur 12. Resultat på frågan ”Om du på ett smidigt sätt skulle kunna föra över all din data

från en tjänst till en annan, t.ex. alla dina spellistor till en annan musiktjänst, eller alla dina bilder till en annan bilddagbok. Skulle detta öka sannolikheten att du byter tjänst/applikation?”

(28)

22

Som tidigare nämnt expanderar teknikens värld och i samma takt förlorar allmänheten kontrollen över sin användardata (Will, Garae, Tan, Scoon & Ko 2017). Det är företagens ekonomiska intressen som styr de stora mängder data som samlas in och i nuläget förefaller det inte kompatibelt med tanken att ge mer kontroll till användarna (Breuer, Ranaivoson, Buchinger & Ballon 2015). Detta står i motsats till hur respondenterna i denna studie har svarat. Det är en tydligt stigande kurva mot att de vill kunna utöva full kontroll över sina personuppgifter i Figur 13. Över hälften (54 %) anser att de ska kunna utöva full kontroll över sina personuppgifter.

Figur 13. Resultat på frågan ”Vilken nivå av kontroll tycker du att du borde kunna utöva över

dina personuppgifter? Den lägsta nivån innebär att du inte kan påverka dina uppgifter alls. Den högsta nivån innebär att du ska kunna se över, flytta och ta bort dina digitala personuppgifter hur du vill.”

4.3.4 Företagen och användarna

Via Facebook kan en tredje part via Social Login få tillgång till användarnas information, det kan vara: email, vänner, platsinformation och deras profil (Breuer et al. 2015). Denna tredje part kan genom Social Login utöva informationsutvinning i det dolda, som sedan används i marknadsföringsändamål (Breuer et al. 2015). I Figur 14 har möjligen 84 % stött på denne dolda tredje part. 114 av 135 har nämligen svarat ja på att de någon gång fått riktad reklam på internet där de upplever att någon måste fått tag på information om dem, men de är osäkra på när eller av vem den informationen samlades in.

(29)

23

Figur 14. Resultat på frågan ”Har du någon gång fått riktad reklam på internet där du

upplever att någon måste fått tag på information om dig, men du är osäker på när den informationen samlades in och/eller av vem?”

I Figur 15, anser 68 % att gratis användning av en tjänst inte är ett tillräckligt bra utbyte för att ett företag ska få sälja deras data till tredje part. Trots detta har en annan studie visat att användare ofta frivilligt ger bort information i utbyte mot de fördelar som tjänsterna kan ge tillbaka (Steghöfer 2017).

Figur 15. Resultat på frågan ”Anser du att gratis användning av en tjänst är ett bra utbyte för

att ett företag ska få sälja din data till tredje part?”

Kurvan i Figur 17 har inte samma stigande kurva mot väldigt obekväm som Figur 16. Respondenterna är inte lika obekväma med att sökmotorer och sociala medier matar dem med information de tror är relevant, utefter deras klickhistorik. Som de är med att det finns företag som använder information om deras online-aktivitet för att skräddarsy annonser och priser så att de passar just dem. Gemensamt är dock att information samlas in om dem och digitala miljöer anpassas utefter den informationen. I båda fallen är andelen respondenter som är obekväma med situationen, fler än de som är bekväma med den. I Figur 16 är 62 % obekväma och 11 % bekväma, medan i Figur 17 är 44 % obekväma och 18 % bekväma. Dessa siffror består av att slå ihop 1 och 2 som lutar mot väldigt obekväm och 4 och 5 som lutar mot väldigt bekväm. Stapel 3 kan ses som varken eller och räknas därför inte med i någon av blocken.

(30)

24

Figur 16. Resultat på frågan ”Hur bekväm är du med att det finns företag som använder

information om din online-aktivitet (vilka sidor du besöker och vad du klickar på) för att skräddarsy annonser och priser så att de passar just dig?”

Figur 17. Resultat på frågan ”På internet befinner du dig i en så kallad filterbubbla, en bubbla

som speglar din syn på världen. Din klickhistorik reflekterar dina intressen och åsikter. Sökmotorer och sociala medier matar dig sedan med den information de tror att du tycker är relevant. I vilken utsträckning är du bekväm med denna filterbubbla?”

(31)

25

5 Analys och diskussion

Hur skiljer sig företagens hantering av digitala personuppgifter från allmänhetens syn på denna hantering? För att svara på frågan delas den nu upp i två subfrågor: Hur hanterar företagen digitala personuppgifter? Och hur ser allmänheten på företagens hantering av digitala personuppgifter? Subfrågorna analyseras och diskuteras var för sig, för att slutligen leda fram till en slutsats i avsnitt 6.

5.1 Hur hanterar företagen digitala personuppgifter

Användarnas privatliv upplevs inte som företagens primära mål vid hantering av användarnas personuppgifter (Breuer et al. 2015), utan företag samlar in information för att analysera samhällen, individer och grupper för att kunna tillhandahålla anpassade produkter och tjänster (Matei, Rughinis & Rughinis 2017). Mönster i användarnas data gör det möjligt att profilera målgrupper för att utforma personifierade produkter och ge riktad reklam till relevant person (Breuer et al. 2015; Lo Re & Carpineto 2016; Matei, Rughinis & Rughinis 2017). Det handlar i grund och botten om att tjäna pengar. Flera av de tjänster som används på internet idag är gratis, vilket gör marknadsföring och eftertraktade produkter till en viktig inkomstkälla. Försäljning av användardata och annonsering är därmed ett sätt att finansiera sin verksamhet. Det positiva för användarna är skapandet av personifierade, användarvänliga miljöer (Carlsson & Jacobsson 2012), att vanor uppmärksammas och kan förändras till det bättre (Moerel & Prins 2016) samt att det ges möjlighet till billiga eller kostnadsfria produkter (Breuer et al. 2015). De negativa aspekter som tas upp i litteraturstudien är att det inte alltid är transparant vilken aktör som får tillgång till uppgifterna (Breuer et al. 2015) eller att det är tydligt presenterat för användarna hur aktören kommer att hantera uppgifterna (Breuer et al. 2015; Fernquist, Fängström & Kaati 2017; Rossi & Palmirani 2017).

5.2 Hur ser allmänheten på företagens hantering av digitala

personuppgifter

Hälften av respondenterna i denna studie (Figur 4) och i studien av Rainie et al. (2013) är på olika sätt oroliga över sina digitala personuppgifter, en oro som kan grunda sig i bristen på medvetenhet kring hur deras uppgifter hanteras. Att användarna inte har insyn i hanteringen av sina personuppgifter kan enligt litteraturstudien bero på otydliga sekretesspolicys (Breuer et al. 2015) och att användarna sällan läser villkoren ordentligt (Baloyi & Kotzé 2017). Många användare går därmed miste om den information som klargör för dem hur företagen hanterar deras personuppgifter. Ändå finns det en önskan hos majoriteten i enkätunderundersökningen att ha insyn i den data som lagras om dem och vilka som har tillgång till den (Figur 7). Samtidigt som bara 2 % anser sig fullt medvetna om vilka data som samlas in om dem (Figur 8). Detta kan indikera att företagen brister i att informera sina användare om hur de hanterar användarnas uppgifter, en brist de kommer behöva arbeta på i samband med GDPR och artikel 15 Den registrerades rätt till tillgång:

Den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information… (GDPR 2016 s. 43).

(32)

26

Nära hälften av respondenterna har installerat någon form av sekretessverktyg till sin webbläsare (Figur 9), något som kan tyda på att användare aktivt letar upp verktyg för att undvika riktad reklam eller den insamling av data som företagen utövar. Dessa sekretessverktyg kan ses som ett sätt att ta tillbaka en del av kontrollen över sin egen miljö på internet. Respondenterna är positiva till ökad kontroll över sina digitala personuppgifter. Över hälften anser att de ska kunna utöva full kontroll över situationen (Figur 13); de vill med andra ord kunna se över, flytta och radera sina personuppgifter. I Figur 10 vill 90 % ha möjligheten att kunna se i en applikation vilka aktörer som har tillgång till deras personuppgifter, t.ex. alla företag som har deras personnummer. Denna applikation har företagen ännu inte förmedlat till användarna trots att applikationen hade kunnat gynna företagen. Användarnas tillit till tjänsten ökar nämligen när de upplever att de har kontroll och insyn i sina egna uppgifter (Murmann & Fischer-Hübner 2017). Förutom tillgängliga sekretessverktyg som Adblock, Cookie AutoDelete och Tor, finns det tidigare forskning om olika applikationer som i framtiden kan ge användarna mer insyn i och kontroll över deras personuppgifter. My Data Store gör det tydligt för användarna vilken sorts data som kan sparas om dem (Vescovi et al. 2014), och Transparency Enhancing Tools ger användarna insyn i hur deras personuppgifter hanteras och hur de samlas in (Murmann & Fischer-Hübner 2017). Förutom dessa applikationer kommer GDPR påverka användarnas kontroll och ge dem möjligheten att radera och överföra sina digitala personuppgifter. Detta framgår i artikel 17 Rätt till radering och artikel 20 Rätt till dataportabilitet:

Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller… (GDPR 2016 s. 43). Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om… (GDPR 2016 s. 45).

Slutligen i denna analys diskuteras användarnas vilja att betala för sitt privatliv. Omkring hälften (62 % och 44 %) av respondenterna (se Figur16 och 17) är obekväma med att företagen anpassar deras digitala miljö utefter insamlad data om dem, och 68 % anser att gratis användning av en tjänst inte är ett tillräckligt bra utbyte för att ett företag ska få sälja deras data till tredje part. Trots att det finns en negativ inställning till hur företagen hanterar användarnas data i form av försäljning av annonsplatser och anpassad reklam, använder alla respondenter Facebook där enkäten delades. Facebook säljer trots allt annonsplatser utifrån användarnas data för att kunna ge företagen relevanta kunder och användarna anpassad reklam. Facebook låter betalande annonsörer välja sin publik med hjälp av användardata som ålder, kön, utbildning, jobbtitel, inkomst, förhållandestatus, intressen, familjestorlek, lokaliseringsuppgifter samt produkter användarna kan vara intresserade av att köpa (Facebook Business 2018). Detta kan styrka att användarna är måna om sina privatliv, men inte är benägna att betala för att skydda sin privata sfär. I slutändan är bekvämlighet och användarvänlighet, som personifierade tjänster och relevant reklam, viktigare för dem än exploateringen av deras personuppgifter (Breuer et al. 2015).

(33)

27

6 Slutsats

Resultatet av denna studie bekräftar tidigare forskning från andra länder. Flera upplever en oro över hur företagen behandlar deras digitala personuppgifter. Hälften av de som har svarat på enkätundersökningen är oroliga över att företagen samlar in information om dem. Nära hälften upplever en oro över hur företagen anpassar deras digitala miljö utefter insamlad data om dem, som t.ex. olika prissättningar, annonser och nyhetsflöden. Det finns en önskan om insyn och medvetenhet bland respondenterna. 66 % vill veta vad som lagras om dem och vem som har tillgång till uppgifterna. Dock förmedlar sällan företagen denna information på ett användarvänligt vis, utan sekretesspolicys är ofta långa och otydliga. Det finns även företag som utvinner information i det dolda och det kan därmed bli svårt att få veta vilka aktörer som får tillgång till ens uppgifter. 84 % av respondenterna har stött på riktad reklam utan att vara medvetna om vem som samlat in information om dem. 90 % ställer sig positiva till en applikation där de kan se vilka som har tillgång till deras personuppgifter, en applikation som inte finns tillgänglig på marknaden idag. 54 % vill kunna se över, flytta och radera sina uppgifter, och därmed ha mer kontroll över hanteringen. Detta är funktioner som företagen sällan har lättillgängligt eller ens erbjuder, som nu blir ett krav i samband med GDPR. Nära hälften av studiedeltagarna har dessutom installerat någon form av sekretessverktyg. Verktyget kan ses som ett sätt att öka kontrollen över sin egna digitala miljö. Det kan användas för att undvika reklam på sidorna man besöker, men även för att undvika den spårning som annonseringsföretagen utövar. Studien påvisar att företagen brister i att uppfylla en del av allmänhetens behov och önskemål. Det saknas tydliga användarvillkor och hjälpmedel i form av applikationer eller funktioner som kan ge användarna den insikt och kontroll som många önskar. De största skillnaderna som framkom genom studien är därmed allmänhetens brist på insyn och kontroll över hur företagen hanterar deras digitala personuppgifter.

Efter färdigställd studie har tre alternativ till framtida forskning identifierats. Det första alternativet baseras på att allmänheten vill ha mer kontroll över sina personuppgifter. De ser positivt på ett förslag om en applikation som ger dem tillgång till vem som lagrar deras uppgifter. Just nu forskas det kring olika applikationer som ska ge mer kontroll till användarna, en av dessa är Transparency Enhancing Tools, som ännu inte är tekniskt implementerad (Murmann & Fischer-Hübner 2017). Därför föreslås vidare forskning kring implementation och lansering av Transparency Enhancing Tools eller dylik applikation. Det andra alternativet berör GDPR. Företagen har ett ypperligt tillfälle att anpassa sig efter respondenternas önskan om medvetenhet och kontroll i samband med den nya EU förordningen. Det återstår att se hur företagen kommer att implementera GDPR och vilka effekter förordningen kommer att få. En likartad studie kan utföras efter att GDPR varit aktiv under en period, för att se vilka effekter som uppstått och således kunna bedöma hur företagens och allmänhetens syn på hanteringen av personuppgifter har förändrats. Till sist ett förslag baserat på Fernquist, Fängström & Kaati (2017) och Kappler et al. (2017). Att forska kring effekter av Big Data och Internet of Things, för att kunna kritisera och förhindra eventuella negativa påföljder, som prisdiskriminering, manipulation av åsikter och avslöjande av personers privatliv.

(34)

28

Referenslista

Baloyi, N. & Kotzé, P. (2017). Do users know or care about what is done with their personal data: A South African study. I IST-Africa 2017 Conference Proceedings. Windhoek, Namibia, ss. 1-11.

Bistolfi, C. & Scudiero, L. (2016). Bringing Your Data Everywhere in the Internet of (Every) Thing: A Legal Reading of the New Right to Portability. I 30th International Conference on

Advanced Information Networking and Applications Workshops (WAINA). Crans-Montana,

Switzerland, ss. 607-610.

Breuer, J., Ranaivoson, H., Buchinger, U. & Ballon, P. (2015). Who manages the manager? Identity management and user ownership in the age of data. I 2015 13th Annual Conference

on Privacy, Security and Trust (PST). Izmir, Turkey, ss. 22-27.

Carlsson, B. & Jacobsson, A. (2012). Om säkerhet i digitala ekosystem. 1. uppl., Lund: Studentlitteratur AB.

Creswell, J. -W. (2015). A Concise Introduction to Mixed Methods Research. Washington DC: SAGE Publications, Inc.

Daubert, J., Wiesmaier, A. & Kikiras, P. (2015). A view on privacy & trust in IoT. I

Communication Workshop (ICCW), I 2015 IEEE International Conference. London, UK, ss.

2665-2670.

Dugulan, D., Acatrinei, C., Orzan, M. & Veghes, C. (2012). Attitudes of the consumer regarding their personal data: What has changed under the recent years? Annals of the University of

Oradea: Economic Science, 1(1), ss 1228-1234.

Ejlertsson, G. (2014). Enkäten i praktiken: en handbok i enkätmetodik. 3. uppl., Lund: Studentlitteratur AB.

Eliasson, A. (2006). Kvantitativ metod från början. Lund: Studentlitteratur AB.

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016).

http://eur-lex.europa.eu/legal-content/SV/TXT/PDF/?uri=CELEX:32016R0679&from=EN [2018-03-02]

Facebook Business (2018). Know your audience like never before.

https://www.facebook.com/business/learn/facebook-audience-insights [2018-05-16] Fernquist, J., Fängström, T. & Kaati, L. (2017). IoT Data Profiles: The Routines of Your Life Reveals Who You Are. I Intelligence and Security Informatics Conference (EISIC). Athens,

Greece, ss. 61-67.

Kappler, K., Schrape, J., Ulbricht, L. & Weyer, J. (2017). Social Implications of Big Data. KI -

Künstliche Intelligenz, 32(1), ss 55-60.