Smarta hem, dumma villkor? En studie om användare av smarta hem-produkter, personlig integritet och informerat samtycke till insamling av data

TEKNIK OCH SAMHÄLLE

Examensarbete

15 högskolepoäng, grundnivå

Smarta hem, dumma villkor?

En studie om användare av smarta hem-produkter,

personlig integritet och informerat samtycke

till insamling av data

Smart homes, dumb conditions?

A study about users of smart home products, personal integrity and

informed consent to the collection of data

Rebecca Tencic

Examen: Kandidatexamen, 180hp

Datum för slutseminarium (2018-01-12)

Examinator: Maria Engberg

Handledare: Johannes Karlsson

Sammanfattning

Denna studie har undersökt hur användare av smarta hem-produkter i Sverige förhåller sig till sin personliga integritet i relation till sitt användande av dessa produkter. Den har också undersökt om användarvillkor är ett effektivt verktyg för att säkra ett giltigt informerat samtycke från användare av smarta hem-produkter i Sverige. Studien vill bidra till

forskningssamhället genom att lyfta frågan om informerat samtycke i relation till IoT (Internet of Things). Det främsta syftet med studien är att förstå i vilken utsträckning konsumenter i Sverige ger informerat samtycke till insamling och behandling av data i samband med användande av smarta hem-produkter.

Studien genomfördes med en kombination av kvalitativa och kvantitativa metoder. Den kvalitativa undersökningen bestod av 6 semistrukturerade intervjuer och den kvantitativa av en webbenkät med 207 respondenter. Resultatet som framkom genom undersökningarna stämde till stor del överens med tidigare forskning om personlig integritet och informerat samtycke i samband med insamling av data. En minoritet av respondenterna läser användarvillkor och den generella kunskapen om datainsamling visade sig vara låg i förhållande till hur mycket många respondenter uppger att de värderar sin personliga integritet. Flera respondenter värderar sin bekvämlighet över den personliga integriteten, vissa genom sitt agerande och andra mer explicit genom att uttrycka att det är ett val de gjort.

Slutsatserna i denna studie överensstämde med tidigare studier. Respondenterna har en

inkonsekvent relation till sin personliga integritet. De upplever villkor och avtal för sina smarta hem-enheter som svåra att förstå och många vet inte vad de givit sitt samtycke till.

Nyckelord

Personlig integritet, Internet of Things, smarta hem, informerat samtycke, användarvillkor, integritetspolicy, GDPR

Abstract

This study has examined how users of smart home devices in Sweden relate to their personal integrity in relation to their use of these devices. It has also examined whether end user agreements are an effective tool for securing informed consent to the collection of data from users of smart home devices in Sweden. The study hopes to contribute to the research society within its field by raising the issue of informed consent in relation to Internet of Things. The main purpose of this study is to understand to what extent users of smart home devices in Sweden provide informed consent to the collection and use of their data.

The study was conducted with a combination of qualitative and quantitative methods. The researcher conducted 6 semi structured interviews and a web survey with 207 respondents. The results collected through the surveys were consistent with several previous studies on personal integrity and informed consent in connection with data collections. A minority of the

respondents read end user agreements and the overall knowledge about data collection proved to be low in comparison to how many respondents state that they value their personal integrity. Several respondents place a larger value on their convenience than their personal integrity, some through their actions and others more explicitly by expressing that it is a choice they have made.

The conclusions in this study have been largely consistent with previous studies. Respondents have an inconsistent relationship to their personal integrity. They experience major difficulties with understanding end user agreements and privacy policies and many do not know what they have given their consent to in regard to their smart home devices.

Keywords

Privacy, Internet of Things, smart homes, informed consent, end user agreement, privacy policy, GDPR

Innehållsförteckning

1. Inledning ... 1

1.1 Bakgrund och problematisering ... 2

1.1.1 Definition av Internet of Things och smarta hem ... 2

1.1.2 Integritetsrisker och smarta hem ... 2

1.2 Syfte ... 3

1.3 Frågeställning ... 4

1.4 Avgränsningar ... 4

1.5 Målgrupp ... 4

2. Metod ... 5

2.1 Metodval ... 5

2.2 Webbenkät... 6

2.2.1 Urval ... 7

2.2.2 Analys av webbenkät ... 7

2.3 Intervjuer ... 8

2.2.1 Urval ... 9

2.2.2 Analys av intervjuer ... 10

2.4 Reliabilitet och validitet ... 10

2.5 Metoddiskussion ... 11

3. Teoretiskt ramverk ... 14

3.1 Definition av personlig integritet ... 14

3.1.1 Tidigare forskning om personlig integritet ... 15

3.2 Användarvillkor och integritetspolicys för internetbaserade tjänster 17

3.3 Informerat samtycke till insamling av data ... 18

3.4 Dataskyddsförordningen (GDPR) ... 20

3.4.1 Skäl till den nya förordningen ... 20

3.4.2 Samtycke ... 21

4. Resultat ... 22

4.1 Webbenkät... 22

4.1.1 Smarta hem-produkter ... 23

4.1.2 Användarvillkor och integritetspolicys ... 23

4.1.3 Förhållningssätt till personlig integritet ... 25

4.2 Kvalitativa intervjuer ... 27

4.2.1 Smarta hem-produkter ... 28

4.2.2 Användarvillkor och integritetspolicys ... 29

4.2.3 Insamling och användning av data ... 30

4.2.4 Förhållningssätt till personlig integritet ... 31

5. Diskussion ... 34

5.1 Användarvillkor och integritetspolicys som verktyg för att säkra

informerat samtycke ... 34

5.2 Förhållningssätt till personlig integritet hos användare av smarta hem-produkter i Sverige ... 36

5.3 Slutsatser... 39

5.3.1 Förslag till vidare forskning ... 40

Referenser

Bilagor

Bilaga 1 – Intervjuguide för kvalitativa intervjuer

Bilaga 2 – Frågor från webbenkät

1

1

Inledning

I detta kapitel presenteras studiens bakgrund och problematisering. Vidare behandlas studiens syfte, frågeställningar, avgränsningar, målgrupp och disposition.

1.1

Bakgrund och problematisering

IoT (Internet of Things) förväntas ha en enorm påverkan på internet och ekonomin globalt. År 2025 uppskattas antalet IoT-uppkopplade enheter har nått 100 miljarder och det globala värdet förväntas då uppgå till 11 biljoner dollar. Det finns ingen bestämd definition av vad IoT innefattar, men generellt refererar begreppet till scenarion där vardagsobjekt och andra objekt som inte vanligtvis definieras som datorer förses med till exempel internetuppkoppling och sensorer som möjliggör överföring av data mellan objekt och objekt, person och objekt samt objekt och smart applikation. (Rose, Eldridge & Chapin, 2015)

Studier visar att vi i allt högre grad använder IoT-teknik i våra hem i form av så kallade smarta hem-produkter. I stort sett alla produkter kan göras smarta. Det som behövs är att föremålet förses med sensorer, processorer, lagringsenheter, nätuppkoppling och batterier. (SOU 2016:41) Smarta hem-produkter kan användas för att till exempel automatiskt aktivera termostaten i hemmet så att temperaturen sjunker när ingen är hemma, styra belysningen i hemmet via en app, aktivera kaffemaskiner från telefonen mäta vattenförbrukningen i hemmet (a.a.). Alla

uppkopplade saker i samlar in uppgifter om de som bor i hemmet. Uppgifterna kan innefatta en varierande mängd information om de boende, beroende på vilka smarta hem-produkter som finns i hemmet. Var för sig kanske dessa uppgifter inte anses känsliga, men ihop med data som samlats in från andra källor kan de ge information om hälsa, ekonomi och vanor hos de som nyttjar smarta hem-produkterna. (a.a.)

De uppkopplade produkterna i hemmet ska sköta sig själva, utan mänsklig inblandning och utan att dra uppmärksamhet till sig. De som använder produkterna ska uppleva att de sömlöst

underlättar vardagen. Smarta hem-produkter saknar dessutom oftast skärmar som kan användas för att till exempel visa användarvillkor eller be användaren om förnyat samtycke till insamling och användning av information när villkoren förändras. (SOU 2016:41) Många användarvillkor för smarta hem-produkter godkänns en enda gång, innan tjänsten eller produkten börjar

användas, och sedan ges inte användaren någon möjlighet att ta tillbaka sitt godkännande (Hutton & Henderson, 2016). Nyttjandet av användarvillkor och integritetspolicys för tjänster och produkter grundar sig på idén att användare av tjänster och produkter som samlar in

2

information ska vara införstådda med vilken information som samlas in om dem varför, av vem, hur länge informationen sparas, vem den delas med och vilka möjligheter användaren har att styra eller begränsa insamlingen. Baserat på den informationen ska användare kunna ta informerade beslut om sitt användande och ge informerat samtycke till datainsamling.

(Acquisti, John & Loewenstein, 2009) Resultaten från många aktuella studier från olika länder som på olika sätt har undersökt hur konsumenter förhåller sig till användarvillkor och policys visar dock ett tydligt problem med att använda dem som ett verktyg för informerat samtycke till insamling och användning av data: konsumenter läser inte användarvillkor. (Steinfeld, 2015; Elshout et al., 2016; Angulo, Fischer-Hübner, Pulls & Wästlund, 2011).

1.1.1

Definiton av Internet of Things och smarta hem

Definitionen av IoT (Internet of Things) varierar beroende på vem som pratar om det och vilken aspekt av tekniken de har intresse av att lyfta fram. Denna studie använder en definition från en studie av Rose et al. (2015). De använder en bred definition av IoT som refererar till

uppkopplingen av saker och sensorer som inte vanligtvis anses vara datorer till olika nätverk. Dessa uppkopplade objekt kräver i regel minimal mänsklig inblandning för att generera, byta och konsumera data och de har vanligtvis tillgång till verktyg för fjärrinsamling, analys och hantering av data.

Det smarta hemmet kan definieras som ett hem där högteknologiska nätverk sammankopplas med sensorer och vardagliga enheter, apparater och tjänster som sedan kan fjärrstyras eller kontrolleras av de boende för att möta deras varierande behov. (Balta-Ozkan et al., 2014; Brugeja, Jacobsson och Davidsson, 2016) Smarta hem-produkter kontrolleras med mjukvara som installeras på smarta telefoner, tablets och datorer eller med hårdvara. Dessa innefattar bland annat väggmonterade kontroller, kaffemaskiner som aktiveras från telefonen och sensorer som kan mäta vattenförbrukningen i hemmet. (Wilson, Hargreaves & Hauxwell-Baldwin, 2017)

1.1.2

Integritetsrisker och smarta hem

Trots regleringar för vad som är tillåtet att göra med insamlade data finns flera exempel på tillfällen då användares personliga integritet har kränkts när de har använt smarta hem-produkter.

Journalisten Kashmir Hill installerade ett tiotal smarta hem-enheter i sin lägenhet för att under två månaders tid undersöka i vilken utsträckning de kunde spionera på henne och hennes familj.

3

Hon lät sin kollega Surya Mattu följa aktiviteten hos samtliga smarta hem-enheter genom en router han byggt för ändamålet. Hill kopplade upp sina enheter mot routerns wifi-nätverk vilket gav Mattu tillgång till all aktivitet från dem. Mattu kunde se när julbelysningen hos Hill slogs på eller av eftersom den var uppkopplad via fjärrströmbrytare från WeMo and Sonoff. Mattu noterade även att båda fjärrströmbrytarna konstant kopplade upp sig mot sina tillverkares servrar, även när Hill inte använde dem. Hill märkte snart att hennes Withings Home

uppkopplade övervakningskamera började spela in varje gång den uppfattade rörelse eller ljud i rummet och skickade videomaterialet till molnet. Stora mängder data från den Vizio smart-tv som var installerad hos Hill var också tillgänglig för utomstående: när den var på- eller avslagen och vad familjen tittade på via streamingtjänsten Hulu. Även när familjen tittade på en DVD-film och smart-tv:n inte behövde använda några nätverksuppkopplade tjänster delades information om att den var påslagen. En Philips Sonicare uppkopplad tandborste skickade okrypterad data till den tillhörande appen när den användes. Vid experimentets slut läste Hill integritetspolicyn för sin Vizio smart-tv och upptäckte att smart-tv:n samlade in data i realtid om allt de boende i hushållet tittade på; tv-program, streamat material, reklamer och DVD-filmer, och sålde den till annonsörer som sedan kunde följa deras aktivitet på andra enheter i hemmet med samma IP-adress för att kontrollera om familjen besökte vissa hemsidor på grund av något de sett på TV. (Hill, 2018)

När Googles smarta högtalare Google Home Mini användningstestades inför sin lansering 2017 upptäckte en testare en bugg som lät högtalaren lyssna på honom utan hans godkännande. För att interagera med Google Home Mini måste användaren trycka på en fysisk knapp på

högtalaren eller säga “OK Google” för att aktivera röstkommando. Testaren upptäckte att Google Home Mini lyssnade på honom även när röstkommando inte aktiverats av honom och skickade ljudfiler till hans aktivitetssida på Google utan hans godkännande. (Weinberger, 2017)

År 2014 upptäckte en man i Storbritannien att hans LG SmartTV skickade information till LG:s servrar varje gång han bytte kanal. Den skickade också filnamn från USB-enheter som

kopplades in i TV:n. Detta skedde utan mannens samtycke. (Rutledge, Antón & Massey, 2016)

1.2

Syfte

Studien undersöker hur användare av smarta hem-produkter i Sverige förhåller sig till sin personliga integritet. Den tittar också på hur de upplever användarvillkor och integritetspolicys för smarta hem-produkter. Det främsta syftet med studien är att få en indikation på i vilken utsträckning konsumenter i Sverige ger informerat samtycke till insamling och behandling av

4

deras personliga data i samband med användande av smarta hem-enheter. Studien vill också undersöka om användarvillkor är ett effektivt verktyg för att säkra ett giltigt informerat samtycke från användare av smarta hem-produkter i Sverige.

1.3

Frågeställning

1. Hur förhåller sig användare av smarta hem-produkter i Sverige till sin personliga integritet i relation till sitt användande av dessa produkter?

2. I vilken utsträckning är användarvillkor ett effektivt verktyg för att säkra informerat samtycke från användare av smarta hem-produkter i Sverige?

1.4

Avgränsningar

Studien tittar enbart på användare av smarta hem-enheter i Sverige. Den undersöker inte tillverkare av smarta hem-enheters perspektiv. Studien tittar enbart på GDPR och inte på den kompletterande eDataskyddsförordningen (ePrivacy eller ePR) då den senare är ett regelverk som ännu inte färdigställts.

1.5

Målgrupp

Denna studie vänder sig främst till tillverkare av smarta hem-enheter och vill bidra med användares perspektiv på avtal och andra relevanta dokument som rör insamling och användning av användargenererade data. Den riktar sig också till studenter inom ämnet Medieteknik. Rapporten bidrar till forskningssamhället genom att lyfta frågan om informerat samtycke i relation till IoT och ge förslag på vidare forskning.

5

2

Metod

Detta kapitel går igenom, analyserar och diskuterar hur forskaren har gått tillväga för att genomföra studien. Forskaren beskriver och motiverar sina val av metoder och respondenter med stöd av relevant metodteori. Kapitlet avslutas med en metoddiskussion där alternativa tillvägagångssätt för att uppnå studiens syfte samt studiens reliabilitet och validitet diskuteras.

2.1

Metodval

Denna studie har som primärt syfte att undersöka hur användare av smarta hem-enheter värderar sin personliga integritet. Den undersöker också i vilken utsträckning användare av smarta hem-enheter ger samtycke till de användarvillkor och integritetspolicys som rör deras hem-enheter.

För att kunna ge välgrundade svar på frågeställningarna och uppnå studiens syfte används en kombination av kvalitativa och kvantitativa metoder. Det kan vara fördelaktigt att använda både kvalitativa och kvantitativa metoder i sin forskning då varje metod har sina styrkor och

svagheter och de två metodtyperna kompletterar varandra väl. En kvalitativ undersökning kan till exempel användas som en förstudie där informationen som framkommer hjälper forskaren att formulera en mer preciserad frågeställning eller utveckla en hypotes inför en kvantitativ undersökning. Likaså kan en kvalitativ undersökning användas för att följa upp information som framkommit i en kvantitativ undersökning. Intervjuer eller fokusgrupper tillåter forskaren att fördjupa och nyansera material som framkommit i exempelvis en enkät. (Larsen, 2006) I denna studie används empirin från den kvantitativa undersökningen dels som underlag för frågorna till den kvalitativa undersökningen, dels tillsammans med den kvalitativa undersökningen som underlag för att besvara båda frågorna i frågeställningen.

Kvalitativ forskning används i första hand i studier där forskaren har en problemformulering med individens perspektiv i centrum (Merriam, 2009). Larsen (2009) uttrycker att kvalitativa metoder passar väl när forskaren exempelvis vill få en djupare helhetsförståelse för människors attityder. Metoden syftar till att samla in livsnära och nyanserad information från ett fåtal respondenter och tolka den i förhållande till sin kontext (Harboe, 2013). Eftersom denna studie primärt fokuserar på användare av smarta hem-enheters upplevelser av policys och avtal samt deras förhållningssätt till sin personliga integritet anser forskaren att den väl anpassad för kvalitativa metoder.

Larsen (2009) uttrycker även att kvalitativa metoder ofta används i studier som har ett induktivt angreppssätt. Induktiv forskning drar generella slutsatser och bildar teorier genom upprepade

6

observationer av data i enskilda fall, till skillnad från deduktiv forskning som i stället

undersöker färdiga teorier genom att testa hypoteser (Ahrne & Svensson, 2015). Enligt Alvehus (2013) utgår ett induktivt angreppssätt enbart från det empiriska materialet för att dra sina slutsatser, medan ett deduktivt utgår från teoretiska föreställningar som testas mot empiri. Han menar att båda dessa kan ses som ideal att utgå från som forskare, men inte att leva upp till. Alvehus ifrågasätter att en ren induktiv ansats är möjlig; kan en forskare tolka material helt utan teoretisk förförståelse? Han lyfter även problematiken i en ren deduktiv ansats, främst för kvalitativ forskning på grund av tolkningsprocessen som karaktäriserar den. Han menar att en tolkning av material inte kan göras oberoende av forskaren. Alvehus framhåller någon form av abduktivt angreppssätt som vanligt förekommande. Det abduktiva angreppssättet innebär en växling mellan empirisk och teoretisk reflektion där forskaren har möjlighet att genomgående nyttja nya insikter från både empiri och teori för att utveckla sin studie. Denna studie har ett abduktivt angreppssätt som tillåter forskaren att genomgående arbeta växelvis med teori, empiri och reflexion. När nya aspekter av det som studeras framkommer tillåter forskaren teorin att modifieras och utvecklas, för att sedan möta det empiriska materialet med en ny teoretisk insikt. (a.a.)

2.2

Webbenkät

Enkätundersökningar har ofta målet att samla information från ett urval av en population och med den som underlag formulera resultat som är representativa för hela populationen. I en enkätundersökning kan forskaren få svar på samma frågor från ett stort antal personer som ingår i den population som är central för studien. En fördel med det är att forskaren kan jämföra ett stort antal svar med varandra, kategorisera dem och hitta mönster. (Bell & Nilsson, 2006) Eftersom denna studie genomfördes under en begränsad tidsperiod och med begränsade resurser var enkätundersökningen ett motiverat val av metod för att nå ett stort antal respondenter.

Webbenkäten har utformats med en ansats att ställa neutrala frågor som underlättar för respondenterna att ge subjektiva svar. Forskaren har låtit två utomstående personer svara på utkast av enkäten inför undersökningen. Båda har ingått i målgruppen för webbenkäten och efter genomförd enkät har de delgivit sina upplevelser och tolkningar av frågorna i ett samtal med forskaren. På detta sätt har forskaren kunnat bearbeta enkäten innan den introducerats för respondenterna. Enkäten har främst bestått av slutna frågor med svarsalternativ som varit givna på förhand, med en avslutande fråga som låtit respondenterna utveckla ett resonemang kring ett av studiens centrala teman. Slutna frågor med fasta svarsalternativ innebär mindre arbete i sammanställningen av svaren. Det är dock viktigt att tänka på att alla svarsalternativ ska finnas

7

med. Alternativet ”vet inte” bör finnas med om forskaren ställer frågor om respondenternas personliga åsikter. (Larsen, 2009) Ibland bör också alternativet ”annat” finnas med för att inte respondenter ska känna sig tvingade att svara med ett alternativ som inte stämmer in på dem (a.a.). Med öppna frågor ges respondenter större utrymme uttrycka en subjektiv åsikt utan påverkan, men de kräver mer motivation att besvara (a.a.). Många respondenter föredrar slutna frågor med möjlighet att utveckla sitt svar under (ibid). Forskaren har försökt ta hänsyn till detta i utformningen av enkäten och valt att låta undersökningens öppna fråga vara frivillig att besvara, till skillnad från de slutna frågorna som varit obligatoriska. Det är en fördel att

kombinera öppna och slutna frågor i enkätundersökningar för att uppväga nackdelarna i de båda frågetyperna. Då det kan vara tidskrävande att behandla svar på öppna frågor bör de emellertid begränsas för att materialet ska vara hanterbart (Larsen, 2009).

Webbenkäten har tagit cirka 5 minuter att besvara och bestod av 9 frågor (se bilaga 1). Forskaren har begränsat frågorna till ett antal bakgrundsfrågor som använts för att i viss utsträckning utvärdera homo- eller heterogenitet gällande fördelning av kön, ålder och utbildningsnivå hos respondenterna, samt frågor som är absolut nödvändiga för att besvara frågeställningen.

2.2.1

Urval

Webbenkäten genomfördes mellan den 10:e och 24:e april 2018 och besvarades av 207

respondenter. För att nå respondenter med relevanta erfarenheter delade forskaren webbenkäten i Sveriges största Facebookgrupp för smarta hem-produkter vid det tillfället, Svenska

Hemautomatiseringsgruppen. Gruppen hade vid tiden för enkäten ungefär 27 400 medlemmar. Forskaren lät även en närstående person dela enkäten på sin LinkedIn då hen bedömde sig ha ett kontaktnät på plattformen där personer med potentiellt relevanta erfarenheter ingår. Alla som såg enkäten kunde delta i undersökningen vilket innebär att forskaren hade begränsad möjlighet att styra urvalet och se till att få en bred representation bland respondenterna.

2.2.2

Analys av webbenkät

Bell och Nilsson (2006) menar att hundra enskilda och intressanta upplysningar inte kan betyda något alls för en forskare innan de har bearbetats, kategoriserats och analyserats. En forskare letar alltid efter samband, likheter, skillnader, grupperingar och mönster i sin rådata. Först när dessa är funna och dokumenterade har forskaren underlag för en analys som kan vara av värde för studien. För att analysera materialet som framkommit under webbenkäten utförde forskaren

8

en innehållsanalys. Vid en innehållsanalys går materialet igenom en process under vilken forskaren delar upp det i ett antal kategorier och granskar det för att hitta intressanta samband, mönster och processer. (Larsen, 2009)

Forskaren hade redan vid utformningen av webbenkäten valt tre övergripande rubriker att sortera empirin under. Dessa var smarta hem-enheter, avtal och policys samt relation till

personlig integritet. Webbenkäten utformades på ett sådant sätt att responsen på alla frågor utom de som hade öppna svar enkelt kunde sorteras in under de övergripande rubrikerna. Svaren på de frågor där respondenterna fått svarsalternativ eller graderat ett påstående på skalan 1–5 i sammanställdes som procentenheter i matriser för enkel summering och presentation. Respondenterna fick även svara på en öppen fråga som varierade beroende på om de tidigare svarat att de väljer att inte läsa avtal, att de läser avtal ibland eller att de alltid läser avtal.

För att sortera och senare reducera svaren på de öppna frågorna gjordes en mer tolkande kvalitativ innehållsanalys. För varje öppen fråga skapade forskaren ett dokument med svaren från samtliga respondenter. Därefter bearbetade forskaren materialet och färgkodade svaren utefter de teman som återkom hos respondenterna. Hos de respondenter som svarat att de ibland läser avtal framkom till exempel följande teman angående vilka avtal de väljer att läsa: Tid, lust

och ork, Avtal som kan innefatta kostnader, Datainsamling eller potential till datainsamling, Känslig data, Nya/okända aktörer, Facebook/andra liknande internettjänster samt Kortare avtal. Inom dessa teman kunde i stort sett samtliga svar på frågan sorteras in och därefter

analyseras tillsammans med intervjuerna. Sammanställningen av svaren från de öppna frågorna presenteras i kapitel 4 i form av sammanfattande beskrivningar samt citat från respondenterna.

2.3

Intervjuer

Den kvalitativa undersökningen i denna studie har utgått från fyra semistrukturerade intervjuer med totalt fem respondenter. Intervjuer är idag den vanligaste metoden inom kvalitativ

forskning och kan användas för ett antal olika syften. Genom att intervjua personer som tillhör en viss social miljö (subkultur, boende i en viss stadsdel, anställda på ett företag etc.) får forskaren allt eftersom nya insikter om de särskilda förhållanden som råder i denna

miljö. Intervjuer ger också forskaren möjlighet att utforska enskilda personers känslor och upplevelser av en företeelse eller miljö. (Ahrne & Svensson, 2015) I denna studie har det varit högst relevant för forskaren att undersöka attityder och upplevelser hos personer som tillhör det segment av Sveriges befolkning som äger smarta hem-produkter. Forskaren har valt att

9

inriktat på ämnen som intervjuaren har valt ut i förväg och en intervjuguide används som stöd för samtalet. Intervjuguiden innehåller centrala teman och frågor som ska avhandlas under intervjun. Eftersom semistrukturerade intervjuer har som syfte att samla in enskilda personers upplevelser och tolkningar får intervjuaren möjlighet att frångå sin intervjuguide för att be respondenten att exempelvis utveckla sina resonemang och ställa följdfrågor som fördjupar materialet (Dalen, 2015). Forskaren gjorde tillsammans med sin handledare bedömningen att intervjuer var den mest fördelaktiga formen av kvalitativ undersökning för studiens syfte eftersom personer som ingår i det segment som studien fokuserar på har en stor variation av smarta hem-enheter med olika funktioner vilket innebär att deras upplevelser och attityder kan skilja sig åt markant. Respondenterna har ombetts att fokusera specifikt på en av sina smarta hem-enheter i intervjuerna om de äger flera.

Intervjuerna med Respondent 1 och 2 genomfördes över Skype medan Respondent 3, 4 och 5 har intervjuats i sitt hem. Anledningen till att två intervjuer genomfördes över Skype är att respondenterna befann sig i delar av Sverige dit forskaren inte tids- eller resursmässigt kunnat motivera att åka för studien. Intervjuerna med Respondent 2, 4 och 5 tog ungefär 60 minuter att genomföra medan intervjuerna med Respondent 1 och 3 tog ungefär 40 minuter. Samtliga intervjuer spelades in. För de intervjuer som genomfördes över Skype användes programvaran Callnote, och för resterande intervjuer användes forskarens mobiltelefon.

Samtliga intervjuer transkriberades i nära anslutning till när de utfördes. Det kan vara en fördel att sätta sig ned och överföra sitt inspelade material till text så snart som möjligt efter intervjun har ägt rum eftersom det ger bästa förutsättningarna för att det respondenterna faktiskt har uttryckt är det som återges (Dalen, 2015).

2.3.1

Urval

I någon mån kan forskaren anses ha gjort vad Alvehus (2013) benämner som strategiskt urval i sin kvalitativa undersökning. Forskaren har varit intresserad av att hitta respondenter som under tiden för studien använder sig av smarta hem-produkter. Alvehus (a.a.) talar också om

bekvämlighetsurval, alltså urval som görs baserat på vilka respondenter som finns tillgängliga. Forskaren skickade inför undersökningen ut en förfrågan i ett antal sociala medier där hon eftersökte respondenter som möter de kriterier som nämns tidigare i stycket. För att inte begränsa urvalet till sitt omedelbara kontaktnät vände hon sig till en stor Facebookgrupp med samma förfrågan och bad en närstående med ett kontaktnät som skiljer sig markant från hennes att dela samma förfrågan i sina sociala medier. Genom denna metod för urval fick forskaren

10

kontakt med Respondent 1. Resterande respondenter har valts ut genom en kombination av strategiskt urval och bekvämlighetsurval då forskaren känner till dem sedan tidigare och har vetskap om att de äger ett antal smarta hem-produkter.

2.4

Analys av intervjuer

En kvalitativ innehållsanalys gjordes av det empiriska materialet från intervjuerna. Forskaren nyttjade Alvehus (2013) grundläggande arbetssätt för en analysprocess som utgår från en bearbetning av materialet i tre steg; sortera, reducera och argumentera.

I första steget gick forskaren igenom empirin (transkriberade intervjuer och anteckningar från intervjutillfällen) ett flertal gånger och utarbetade en lista på ämnen och fenomen som var återkommande. För att skapa tydlighet i materialet utarbetade forskaren ett system för färgkodning där allt material som föll under ett övergripande tema markerades i samma färg direkt i dokumenten. I detta skede gick forskaren även igenom tidigare forskning för att se hur studiens centrala teman och fenomen eventuellt beskrivs av andra forskare samt om andra kategorier framkom som kunde utveckla listan.

När listan över återkommande teman i empirin var färdigställd gjordes en mer ingående färgkodning av materialet utefter de kategorier som framkommit. Materialet

rekontextualiserades sedan genom att forskaren gjorde en sammanställning av det kodade materialet där allt material som kodats i samma färg lades ihop i samma dokument. Harboe (2010) beskriver att ett syfte med rekontextualisering av material från exempelvis intervjuer är att klarlägga vissa fenomen för att finna nyanser och genomgående drag.

Utifrån rekontextualiseringen av det empiriska materialet fick forskaren en tydlig bild av hur ofta olika teman framkom inom kategorierna och kunde göra en reducering av materialet, jämföra den med relevant teori och undersöka samband och olikheter. Analyser av kvalitativa data handlar om att hitta mönster, tendenser och exempel som relaterar till forskningens

frågeställning hos den population som undersökts (Larsen, 2009). Alvehus (2013) poängterar att det finns en risk att motsägelser och paradoxer försvinner när materialet ska sorteras och

11

och även lyfta material som inte faller inom något av de övergripande teman som framkom under innehållsanalysen.

2.4.1

Reliabilitet och validitet

För att få genomslag i forskarvärlden och samhället i stort är det av största vikt att en uppsats, artikel eller bok är trovärdig. Ahrne & Svensson (2015) menar att om man som forskare lyckas övertyga sin läsare att resultaten man kommit fram till är riktiga har man i någon mån lyckats med sitt projekt.

Forskningens trovärdighet kan hänga ihop med möjligheten att generalisera, alltså att applicera resultaten på en större population eller annan miljö än den som undersökts (Ahrne & Svensson, 2015) Respondenterna i båda undersökningarna i denna studie har tillhört en homogen grupp sett framför allt till kön. Forskaren är medveten om att detta kan påverka generaliserbarheten. Harboe (2013) skriver att urvalet i ett projekt ska ha en balans mellan hänsyn för praktiska aspekter och generaliserbarhet. Han menar också att det är svårt att bestämma vilken grad av homogenitet som är bäst lämpad för en enskild studie. Om syftet med projektet är att samla säker och generaliserbar kunskap som andra forskare direkt kan bygga vidare på bör urvalet representera en minibild av hela populationen. Om forskaren kan vara tillfreds med indikationer eller tendenser kan urvalet ha en lägre precisionsgrad. (a.a.)

Denna studie har haft som övergripande syfte att ge en indikation på hur populationen som undersöks förhåller sig till de frågor som studien behandlar. Resultaten från studien ställs i diskussion och slutsats främst mot andra studier som undersökt individers förhållningssätt till personlig integritet i flera länder, och studier som tittar på om användaravtal är ett effektivt verktyg för att säkerställa informerat samtycke. Studien har dock genomförts under en begränsad tid och med begränsade resurser vilket medför en lägre trovärdighet och

generaliserbarhet. Enligt Ahrne och Svensson (a.a.) bör man vara försiktig med generaliserings-anspråk för kvalitativ forskning eftersom man inte gör några sannolikhetskalkyler eller använder andra på förhand uppställda tekniker för att bedöma generaliserbarhet. Denna studie kan

12

frågor som lyfts i studiens frågeställning, men har inte tillräckligt underlag för att hävda generaliserbarhet.

2.5

Metoddiskussion

Studien har genomförts med en kombination av kvalitativa och kvantitativa metoder. Metoderna har valts av författaren eftersom studien främst undersöker attityder och värderingar hos

användare av smarta hem-produkter med individens upplevelser i centrum. Den kvantitativa undersökningen har fungerat som underlag och stöd för den kvalitativa undersökningen. Den kvantitativa undersökningen hade varit mer lämpad att lägga fokus på om studiens syfte varit att kartlägga beteenden eller attityder hos en större del av befolkningen eller om forskaren haft en deduktiv ansats och velat testa en hypotes.

Respondenterna i studiens båda undersökningar har tillhört en homogen grupp, framför allt sett till könstillhörighet. Över 90% av respondenterna identifierar sig som män. Bland

respondenterna i webbenkäten är majoriteten arbetande mellan 30 och 49 år. 52,7% av respondenterna uppger högskole- eller universitetsutbildning som högsta avklarade

utbildningsnivå medan 43% har gymnasieutbildning. Fyra av fem respondenter som intervjuats är män, samtliga med arbeten inom IT. Alvehus (2013) menar att ett homogent urval ger bättre förutsättningar för att göra direkta jämförelser mellan respondenterna, medan ett heterogent urval möjliggör en bredare insikt i fenomenet som studeras och nyanserar materialet. I den Facebookgrupp där webbenkäten delades var en stor majoritet av de drygt 27 400 medlemmarna män vilket kan tyda på att den demografi som främst använder smarta hem-produkter i Sverige är män. Forskaren har inte tagit del av någon statistik eller forskning som visar på vilka som använder smart hem-produkter i Sverige så detta är enbart spekulation baserat på det relativt höga antalet medlemmar. Forskaren bad också en anhörig dela enkäten på sin LinkedIn där den kunde nå ungefär 450 personer för att eventuellt nå fler respondenter utanför den delen av populationen som är smarta hem-entusiaster.

För att eventuellt öka generaliserbarheten och precisionsgraden hos denna studie skulle forskaren kunnat utföra undersökningarna en gång till med andra respondenter inom samma population och jämföra resultaten för att se om de har tydliga samband. Studien skulle också kunna göras med fler respondenter som har lägre utbildningsgrad, större variation av

könstillhörighet och fler intervjupersoner i andra yrken än inom IT för att se om resultaten påverkas. Forskaren hade också kunnat utföra fler intervjuer för att uppnå mättnad i det kvalitativa materialet. Mättnad uppstår när forskaren upplever att inga nya insikter kommer ur

13

intervjuerna och samma svar återkommer hos nya respondenter (Ahrne & Svensson, 2015). Forskaren har gjort bedömningen att de respondenter som deltagit i studien har, med Harboes (2013) ord, ”liknat varandra i alla avseenden som är viktiga” för det syfte som studien har haft. Respondenterna har ingått i den population som forskaren har velat undersöka; de äger en variation av smarta hem-produkter och de bor i olika delar av Sverige.

Webbenkäten nådde potentiellt ut till cirka 27 850 personer. Av dessa valde 207 personer att besvara den. Det innebär i teorin ett bortfall på 27 643 personer. Samtliga av dessa hade kunnat förändra resultaten från webbenkäten. Det är dock svårt att säga hur många som nåddes av webbenkäten. Facebooks algoritmer vid tillfället för studien prioriterar att visa inlägg från personer användarna redan är vänner med eller interagerar mycket med. Inlägg med aktiva kommentarsfält prioriteras också. (Bromwich & Haag, 2018)

Majoriteten av de referenser som använts i huvuddelen av studien är vetenskapligt granskade artiklar. Andra källor som använts är främst från statliga institutioner i Sverige, däribland statliga utredningar och artiklar från Datainspektionen. I det inledande kapitlet har ett fåtal artiklar från tidskrifter använts som källor. Forskaren är medveten om att dessa inte är vetenskapligt granskade källor och har valt att inkludera dem för att lyfta fram relevanta erfarenheter i relation till smarta hem-produkter.

14

3

Teoretiskt ramverk

Här presenteras utvald teori som behandlar de ämnen som uppsatsen bygger på.

3.1

Definition av personlig integritet

I en utredning från Integritetskommittén på uppdrag av svenska staten (SOU 2016:41) konstateras att det inte finns någon allmängiltig definition av begreppet “personlig integritet” enligt svensk lag. Ofta talas det om personlig integritet utifrån vilka rättigheter individen har och vad som innebär en kränkning av den personliga integriteten. I vid mening brukar den personliga integriteten beskrivas som individens rätt till en privat sfär skyddad från fysiska och psykiska intrång. Idag handlar många diskussioner om personlig integritet om rätten till att kontrollera spridning och användning av personlig information. Vad som utgör personlig eller känslig information för den enskilde individen varierar beroende på sammanhang och kan förändras över tid.

En av de mest kända skrivelserna om personlig integritet publicerades år 1890 och är skriven av Samuel D. Warrens och Louis D. Brandeis. I sin artikel definierar de personlig integritet som ”rätten att bli lämnad i fred” (the right to be let alone). Bakgrunden till artikeln var den ökade tillgängligheten av kameror för privatpersoner och tidningspressar, vilka författarna ansåg hade möjliggjort en ökad spridning av personlig information och därför krävde ett ökat skydd av privatlivet. (D. Warrens & D. Brandeis, 1890 i SOU 2016:4) Sedan dess har synen på vad som är privat förändrats och de tekniska förutsättningar som finns idag i och med bland annat IoT innebär andra utmaningar för skyddet av den personliga integriteten (SOU 2016:41).

Många teorier om personlig identitet fokuserar på individens kontroll över uppgifter om sig själv. Integritetskommitténs utredning (SOU 2016:41) tar upp bland annat Alan Westins (Westin, 1976 i SOU 2016:41) definition av personlig integritet som tar sin utgångspunkt i individers, gruppers eller institutioners rätt att själva kontrollera hur, när och i vilken

utsträckning deras information sprids. Westin anser att utflöde av personlig information alltid innebär integritetsförlust och pekade med detta som grund ut fyra funktioner som ett rättsligt skydd för individens personliga integritet bör tillgodose: känslan av personlig

självbestämmanderätt, känslomässig avkoppling, att kunna genomföra en fri värdering av andras och eget handlande, och att kunna kommunicera fritt med andra efter eget val.

Stig Strömholm (Strömholm, 1971) har sammanställt en förteckning över vad han ansåg kunde utgöra ett integritetsintrång. Dessa handlingar kan delas upp i tre huvudgrupper; intrång i en

15

annan persons privata sfär, insamlande av uppgifter om en persons privata förhållanden, och offentliggörande och annat utnyttjande av material om en persons privata förhållanden. Inom dessa huvudgrupper ingick 14 mer specifika handlingar. Strömholms definition av den privata sfären eller rätten till personlig integritet kan sammanfattas som individens intresse av att själv reglera dels flödet av den information som utgår beträffande hens förhållanden, dels utnyttjandet av sådan information samt av speciella identifikationsdata (namn, bild och röst).

Irvin Altman (Altman, 1976 i SOU 2016:41) ser personlig integritet som en process där målet är att uppnå en balans mellan privat och publikt i varje given situation. Individen behöver ha möjlighet att i varje ögonblick avgöra vad som är privat respektive publikt eftersom

omständigheterna påverkar individens upplevelse av vad en integritetskränkning innebär. En statisk definition av vilka personuppgifter som är privata eller publika är enligt Altman ointressant eftersom det beror på många olika faktorer i sammanhanget.

I Integritetskommitténs betänkande konstateras att en exakt definition av personlig integritet inte låter sig göras eftersom den privata sfären inte är absolut, utan beror på en rad olika

omständigheter som varierar över tid. Utan att definiera begreppet närmare har en utgångspunkt i betänkandet varit individens rätt till privata tankar och privat kommunikation med andra, samt individens rätt att avgöra vem som ska få ta del av uppgifter som rör denne i olika sammanhang. Den rätten innefattar ett skydd mot registrering, spridning eller annan behandling av felaktiga, kränkande eller påhittade uppgifter. (SOU 2016:41)

3.1.1

Tidigare forskning om personlig integritet

En studie utförd av University of Pennsylvania (Draper, Hennessy & Turow, 2015) undersöker amerikaners inställning till att dela med sig av personliga data i situationer där de agerar som konsumenter. Författarna menar att aktörer inom marknadsföring och handel använder argumentet att konsumenter väljer att dela med sig av personliga data för att de upplever att fördelarna överväger nackdelarna. Tillgång till personaliserade erbjudanden och relevanta annonser lyfts som exempel. Resultaten från den omfattande enkätstudien visar att 91% av respondenterna motsätter sig påståendet att “om ett företag ger mig rabatt är det ett rättvist utbyte att de samlar in information om mig utan min vetskap” och 55% motsätter sig att “det är okej om en butik där jag handlar använder information den har om mig för att skapa en profil som förbättrar de tjänster de tillhandahåller för mig”. En analys av resultaten visar att en mycket liten del av amerikanska konsumenter håller med om påståendet att fördelarna med att dela med sig av sin personliga data överväger nackdelarna. Studien pekar snarare på att många

16

amerikaner känner att de inte har något annat val än att dela med sig av data. De upplever att det är omöjligt för dem att undvika övervakning och insamling av deras data från olika aktörer.

Acquisti et al. (2009) undersöker hur individer värderar sin personliga integritet utifrån teorier hämtade från beteendeekonomi och beslutsforskning. Forskarna lyfter fram två ofta använda metoder för att bedöma vilket monetärt värde människor ger sin personliga integritet:

willingness to accept (WTA) undersöker hur mycket en individ behöver bli kompenserad för att acceptera en minskning i personlig integritet, medan willingness to pay (WTP) undersöker hur mycket en individ kan tänka sig att betala för ett ökat skydd av den personliga integriteten. Det har gjorts flera relevanta studier där forskare implicit eller explicit har använt dessa metoder, framför allt WTA. En studie av Wathieu och Friedman (2005) visade att respondenter var bekväma med att dela med sig av personlig information när de kan se en tillräcklig ekonomisk vinst. En annan studie av Cvrcek, Kumpost, Matyas, och Danezis (2006) visade att det finns stora skillnader mellan olika EU-länder gällande vad medborgare anser är en tillräcklig ekonomisk vinst för att de ska vara bekväma med att dela med sig av sin platsdata. Chellappa och Sin (2005) fann indikationer på ett tydligt samband mellan hur högt konsumenter värderar personalisering och hur oroade de är över sin personliga integritet. I en studie av Rose (2005) fann forskaren att trots att de flesta respondenterna som svarat på studiens enkät rapporterade att de brydde sig om sin personliga integritet var det enbart 47% av dem som skulle vara villiga att betala något belopp för att försäkra sig om att deras data är skyddad.

Acquisti et al. (a.a.) utförde ett experiment där individer blir ombedda att svara på en enkät i samband med in- eller utträde ur en butik i ett köpcentrum. Som incitament för att svara på enkäten får de ett presentkort när de lämnar in sina enkätsvar. Respondenterna får välja mellan ett spårbart presentkort värt $12 där deras namn kopplas till transaktioner som utförs med kortet eller ett helt anonymt presentkort värt $10. En andel av respondenterna blir tilldelade ett

anonymt presentkort värt $10 men blir erbjudna att sälja sina framtida inköpsdata för $2 medan andra respondenter tilldelas ett spårbart presentkort värt $12 men blir erbjudna att betala $2 för att undvika att deras framtida inköpsdata registreras. Tidigare forskning har visat att när en individ är osäker på sina preferenser är det mer troligt att den blir påverkad av faktorer som inramningen av alternativen (a.a.). En studie av Liu och Aaker (2008) visade exempelvis att när konsumenter först blev tillfrågade om de kunde tänka sig att donera sin tid till välgörenhet, följt av hur mycket pengar de skulle kunna donera till välgörenhet, angav de en lägre summa än när frågorna ställdes i motsatt ordning.

Experimentet i köpcentret visade att respondenterna värderade sin personliga integritet olika beroende på hur alternativen presenterades för dem och vilket presentkort de först blivit

17

tilldelade. Respondenter som först blivit tilldelade ett anonymt presentkort värt $10 och erbjudits ett spårbart presentkort värt $12 avböjde i mer än hälften av fallen. När det motsatta förhållandet gällde var färre än 10% av respondenter villiga att betala $2 för att skydda sin inköpsdata. Fem gånger fler respondenter värderade sin personliga integritet högt i det ena fallet än det andra, trots att samtliga stod inför samma val. (Aqcuisti et al, 2009) Forskarna kunde slå fast att samma individ enkelt kan pendla från en extrem till en annan i hur den värderar sin personliga integritet beroende på kontextuella faktorer, däribland inramningen av alternativen. Efter genomförd studie ifrågasätter forskarna om individer kan anses ha de kunskapsmässiga resurserna som krävs för att förstå och förhandla sina integritetspreferenser på ett, för dem själva, optimalt sätt i dagens komplexa informationsmiljö. (a.a.)

3.2

Användarvillkor och integritetspolicys för

internetbaserade tjänster

Användare av tjänster och produkter som samlar in information ska vara införstådda med vilken information som samlas in om dem varför, av vem, hur länge informationen sparas, vem den delas med och vilka möjligheter användaren har att styra eller begränsa insamlingen. Därför ombeds konsumenter läsa igenom och godkänna användarvillkor innan de kan börja använda en tjänst eller produkt. (Acquisti et al., 2009) Flertalet studier med syfte att förstå människors upplevelser av och förståelse för användaravtal och policys når samma slutsats oavsett var i världen de är utförda: få människor läser användaravtal innan de godkänner dem (Steinfeld, 2015; Elshout et al., 2016; Angulo, Fischer-Hübner, Pulls & Wästlund, 2011). Vilka faktorer som påverkar människor att underlåta att läsa användaravtal och policys varierar mellan studier, men återkommande är komplicerat juridiskt språk och för långa dokument (Steinfeld, 2015; Elshout, Elsen, Leenheer, Loos & Luzak, 2016; Angulo et al., 2011; Shayegh & Sepideh Ghanavati)

Elshout et al. (2016) lyfter fram flera anledningar till att människor godkänner användaravtal utan att läsa dem. Längden på villkoren för flera välkända internetbaserade tjänster går att jämföra med Shakespeares längsta romaner – Apple iTunes villkor innehåller fler ord än Macbeth. Oavsett om konsumenten läser villkoren eller inte måste de generellt godkännas i sin helhet för att konsumenten ska få tillgång till en tjänst eller produkt. Det finns sällan något utrymme för förhandling i användarvillkor. Att godkänna villkoren är dessutom ofta det sista steget i en order vilket innebär att konsumenten redan har bestämt sig för att ta del av tjänsten eller produkten. Konsumenten har sällan något att vinna på att välja bort produkten eller tjänsten för att söka sig till ett alternativ eftersom villkoren ser ungefär likadana ut för de flesta

18

likvärdiga tjänster eller produkter. Konsumenter kan också ha generell kunskap om sina rättigheter och därför välja bort att läsa villkoren för specifika tjänster eller produkter. Vidare finns det ofta andra sätt att hitta information om villkoren för en tjänst eller produkt. På webbplatsen för många tillverkare och återförsäljare finns en sektion med svar på vanliga konsumentfrågor (FAQ). Konsumenter som har kunskap om hur deras data kan samlas in och användas tenderar att vara mindre oroliga över sin personliga integritet och har bättre

förutsättningar för att ta informerade beslut när de konfronteras med villkor och avtal (Steinfeld, 2015).

Steinfeld (2015) konstaterar precis som Elshout et al. (2016) att godkännandet av

användarvillkor i sin helhet ofta är nödvändigt för att få konsumenten ska få tillgång till en tjänst den är intresserad av. Konsumenten har redan bestämt sig för att nyttja tjänsten och gått igenom processen att fylla i sina uppgifter eller jämföra den med likvärdiga alternativ, därför upplevs det som ointressant att läsa igenom villkoren. Andra anledningar som uppges som exempel till varför konsumenter väljer att inte läsa villkor innan de godkänner dem är komplexitet, juridiskt språk, längd på dokument, otydligt språk, format och textstorlek. I en förstudie undersökte Steinfeld integritetspolicys och villkor för registrering hos världens 100 populäraste webbplatser den 21 december 2012. Resultatet visade bland annat att medellängden för webbplatsernas integritetspolicys var 2400 ord. I sin studie undersöker Steinfeld om fler konsumenter väljer att läsa användarvillkor på webbplatser när de visas i sin helhet som standard än om konsumenten ges valet att läsa avtalet genom att klicka på en länk eller godkänna utan att läsa villkoren. Resultaten visar att bara 20% av respondenterna som gavs valet att godkänna avtalet utan att läsa villkoren klickade på länken, och de som klickade på länken spenderade mindre tid med att läsa dem än de respondenter som fick se avtalet i sin helhet direkt. Studien visade också att respondenter som uttryckte att de såg sin personliga integritet som viktig och angav att de aldrig delade med sig av personlig information i onödan inte spenderade mer tid på att läsa villkoren än andra respondenter. Steinfeld slår fast i slutet av sin studie att det är orimligt att förvänta sig av användare att de ska kunna informera sig om vad de godkänner så länge användarvillkor och integritetspolicys ser ut och hanteras som de gör idag.

3.3

Informerat samtycke till insamling av data

Det juridiska underlaget företag använder för att få samla in och processa personliga data består oftast av ett samtycke från den registrerade användaren (Custers, 2016) För att samtycket ska anses giltigt bör det enligt många länders lagstiftning var informerat, vilket innebär att personen

19

som ska ge sitt samtycke måste vara (i någon utsträckning) medveten om vad hen samtycker till. Informationen bör vara specifik, tillräckligt detaljerad, möjlig att förstå, tillförlitlig och korrekt. (a.a.) Det finns en växande skepticism mot hur effektivt informerat samtycke är som verktyg för godkännande till insamling av personliga data. Solove (2013 i Custers, 2016) argumenterar för att existerande modeller för godkännande som bygger på informerat samtycke har för många problem: människor läser inte integritetspolicys; om de läser dem kan de inte förstå dem; om de läser och förstår dem har de ofta inte tillräckligt mycket bakomliggande kunskap för att kunna ta ett informerat beslut; om de läser, förstår och kan ta ett informerat beslut gällande en

integritetspolicy erbjuds de inte alltid ett val som reflekterar deras preferenser.

Hutton och Henderson (2016) presenterar tre teman utefter vilka man kan studera och bedöma om insamling och användning av personliga data görs med ett informerat godkännande:

• Tydlighet: användare av internetbaserade tjänster och produkter är inte alltid medvetna om att deras data samlas in. Om de är medvetna om datainsamlingen är det inte säkert att de vet vad som samlas in eller analyseras, varför det analyseras eller vilka insikter som kommer ur analyserna.

• Agens: insamling av data sker ofta sker ofta utan att personer vars data samlas in får insyn i händelseförloppet. När de nekas tillgång till processen ges de heller ingen möjlighet att ge informerat samtycke till den, rätta felaktiga data eller bedöma slutsatser om dem som gjorts med hjälp av deras data.

• Förhandlingsmöjlighet: kontexten inom vilken data samlas in och processas kan utvecklas och förändras med nya lagstiftningar, förändringar i hur data delas mellan organisationer eller genom att företag ändrar sina integritetspolicys eller sin

företagspraxis. Slutsatserna aktörer kan dra genom analysen av insamlade data kan också förändras beroende på vilka andra insamlade data från andra aktörer de har tillgång till. Personer bör ha möjlighet att granska hur deras data används när

förutsättningar förändras för att kunna upprätthålla en kontextuell personlig integritet och göra en ny bedömning av sitt medgivande.

Hutton och Henderson (2016) bedömer att dagens användarvillkor med utgångspunkt i

tydlighet, agens och förhandlingsmöjlighet inte är utformade för att användaren ska kunna ge ett informerat godkännande. De menar att en betydande del av befolkningen riskerar att godkänna avtal de inte förstår eftersom avtalen inte är tillräckligt tydliga. Vidare godkänns många användarvillkor en enda gång, innan tjänsten eller produkten börjar användas, och sedan ges

20

inte användaren någon möjlighet att ta tillbaka sitt godkännande. De lyfter också att det med dagens användarvillkor inte är möjligt att förhandla hur data används på ett meningsfullt sätt. De flesta människor kan inte heller utföra relevanta integritetsbevarande åtgärder för att skydda sin personliga integritet eftersom de generellt inte kan bedöma vilken data som samlas in om dem och inte heller vilken data som kan vara känslig.

För produkter som ingår i IoT, däribland smarta hem-produkter, uppstår ytterligare svårigheter med att säkerställa ett informerat samtycke från användare. Insamlingen och processandet av data kan vara mer komplexa än för andra internetbaserade tjänster. Även om en användare av smarta hem-produkter har gett informerat samtycke till insamling från varje enskild produkt är det svårt att förutspå om och hur data som samlas in från de enskilda produkterna delas mellan företag och kombineras för att dra ytterligare slutsatser om användaren. Det kan också vara svårt för användare att förstå om de kan välja att avstå att ge sitt samtycke till en enskild funktion som finns tillgänglig för en produkt, och samtidigt ge sitt samtycke till andra

funktioner. (Hu, 2016) Eftersom många smarta hem-produkter saknar användargränssnitt eller har ett enkelt användargränssnitt som bara tillåter användaren att styra produktens praktiska funktioner kan det också vara svårt för användare att till exempel veta när en enhet är uppkopplad och kontrollera hur dataflöden ser ut mellan enhet och externa servrar. (a.a.)

3.4

Dataskyddsförordningen (GDPR)

Den 25:e maj 2018 trädde en ny förordning som behandlar hantering och användande av personuppgifter i kraft i alla EU:s medlemsstater. Förordningen har namnet GDPR (General Data Protection Regulation), eller dataskyddsförordningen på svenska, och den ersätter personuppgiftslagen (PuL) i Sverige. Den nya dataskyddsförordningen betonar att företag, myndigheter och andra organisationer bär ansvaret för korrekt hantering av personuppgifter. (Datainspektionen, 2017a). Syftet med dataskyddsförordningen är delvis att skydda enskildas grundläggande rättigheter och friheter, särskilt rätten till privatliv och skydd av personuppgifter. Den har också till syfte att harmonisera skyddet av enskilda personers uppgifter och säkerställa att de behandlas lika inom hela unionen. (Datainspektionen, 2017b)

3.4.1

Skäl till den nya förordningen

Den nya dataskyddsförordningen (EU 2016:679) har tagits fram av ett flertal skäl. I den inledande texten till förordningen står att skyddet av enskildas personuppgifter ingår i de grundläggande rättigheterna, och det är en rättighet som bör skyddas oavsett hemvist eller

21

nationalitet. Förordningen respekterar samtliga grundläggande rättigheter och lyfter i sin inledande text särskilt skyddet av privat- och familjeliv, bostad och kommunikationer,

personuppgifter, tankefrihet, samvetsfrihet och religionsfrihet, yttrande- och informationsfrihet, näringsfrihet, rätten till ett effektivt rättsmedel och en opartisk domstol och kulturell, religiös och språklig mångfald. (EU 2016:679) De senaste årens tekniska utveckling och den ökande globaliseringen ställer nya krav på skyddet av personuppgifter. Med anledning av ett ökat flöde av personuppgifter mellan såväl offentliga som privata aktörer, samt mellan privatpersoner och aktörer, över medlemsstaternas gränser anser Europaparlamentet att det är nödvändigt att stärka den tillit som behövs för att säkerställa en vidareutveckling av den digitala ekonomin både inom unionen och globalt. (EU 2016:679)

3.4.2

Samtycke

Kravet på offentliga och privata aktörer att få samtycke för behandling av personuppgifter formulerades redan i PuL (Datainspektionen, u.å.) I dataskyddsförordningen skärps definitionen av samtycke till att innebära en entydig godkännande handling, vilket i en digital miljö kan innebära att aktivt bocka i en ruta. Tystnad eller på förhand ibockade rutor räknas i

dataskyddsförordningen inte som giltigt samtycke. Vidare ska samtycket vara informerat för att anses giltigt. Det bör vara tydligt för den enskilde registrerade vilka personuppgifter som samlats in om denne, hur de används, vem som har tillgång till dem och hur de behandlas eller kommer behandlas. Informationen ska vara lättillgänglig för den registrerade och skriven på ett lättbegripligt, klart och tydligt språk. Registrerade bör även ges tillgång till information om risker, regler, skyddsåtgärder, rättigheter och hur de kan utöva sina rättigheter i samband med behandlingen av personuppgifter. (EU 2016:679) Den registrerades samtycke kan bara anses giltigt om en förklaring om samtycke tillhandahålls i en lättbegriplig form innan avtalet

godkänts. Samtycke bör inte heller räknas som frivilligt om den registrerade inte har någon reell valmöjlighet eller inte kan vägra eller ta tillbaka sitt samtycke. (EU 2016:679)

22

4

Resultat

Nedan presenteras resultatet av webbenkäten och intervjuerna som ingår i studien.

4.1

Webbenkät

Webbenkäten besvarades av totalt 207 respondenter. Fördelning av ålder, könsidentitet, utbildningsnivå och huvudsaklig sysselsättning går att utläsa i tabell 1, 2, 3 och 4.

Tabell 1. Könsfördelning hos respondenter som svarat på enkät.

Könsidentitet Antal respondenter Procent

Kvinna 12 5,8%

Man 190 91,8%

Annat 1 0,5%

Vill inte uppge 4 1,9%

Tabell 2. Åldersfördelning hos respondenter som svarat på webbenkät Ålder Antal respondenter Procent

18–29 år 28 13,5%

30–39 år 74 35,7%

40–49 år 68 32,9%

50–59 år 29 14%

60+ år 8 3,9%

Tabell 3. Högsta avklarade nivå av utbildning hos respondenter som svarat på webbenkät Utbildningsnivå Antal respondenter Procent

Förgymnasial utbildning 4 1,9% Gymnasieutbildning 89 43% Högskole- eller universitetsutbildning 109 52,7% Forskarutbildning 4 1,9%

Vill inte uppge 1 0,5%

Tabell 4. Huvudsaklig sysselsättning hos respondenter som svarat på webbenkät Huvudsaklig

sysselsättning

Antal respondenter Procent

Student 7 3,4%

Arbetande 188 90,8%

Egenföretagare 2 1%

Arbetssökande 4 1,9%

Pensionär 5 2,4%

23

4.1.1

Smarta hem-produkter

Vilka smarta hem-produkter respondenterna äger går att utläsa i tabell 5.

Tabell 5. Smarta hem-produkter i respondenternas hem vid tiden för webbenkät Smarta hem-enheter Antal respondenter Procent

Belysning 192 92,8% Ljudsystem/högtalare 146 70,5% Smart TV 136 65,7% Larm/övervakningssystem 115 55,6% Röstassistent 96 46,4% Brandvarnare 86 41,5% Termostat 76 36,7% Robotdammsugare 56 27,1% Kroppsvåg 39 18,8% Kyl/frys 16 7,7% Tvättmaskin/torktumlare 16 7,7% Diskmaskin 9 4,3% Annat 23 11,1%

4.1.2

Användarvillkor och integritetspolicys

Antal respondenter som läser respektive inte läser användarvillkor och integritetspolicys går att utläsa i tabell 6. Nedan finns även en sammanfattning av de anledningar respondenter uppger till att de läser respektive inte läser användaravtal och integritetspolicys.

Tabell 6. Andel respondenter som läser respektive inte läser användarvillkor och

integritetspolicys

Påstående Antal respondenter Procent

Läser alltid användaravtal och integritetspolicys

5 2,4%

Läser användaravtal och integritetspolicys ibland

95 45,9%

Läser aldrig användaravtal

och integritetspolicys 107 51,7% De respondenter som uppgav att de alltid läser användaravtal och integritetspolicys menar att de gör det för att säkerställa att de vet vad de går med på och att de samtycker med villkoren. En respondent skriver följande: “Därför att företag ibland tar sig helt orimliga friheter. Ett nyckelord är avtal - man bör vara införstådd med vad man accepterar.”

Många respondenter uppgav att de läser avtal ibland. Ett flertal väljer att läsa avtal där för tjänster och produkter som de tror eller vet kommer ta del av känslig information. Några

24

respondenter svarade att de läser alla avtal för tjänster och produkter där någon form av

datainsamling kommer ske. Flera respondenter nämnde större internetbaserade tjänster, framför allt Facebook, som viktiga att ha kunskap om villkoren för. Andra respondenter läser främst avtal från små, nya eller okända aktörer, antingen för att de är misstänksamma mot aktörer som inte är välkända eller för att de upplever att de kan påverka mindre företag. En respondent skrev följande:

Avtal jag ingår med mindre företag eller organisation läser jag mer noggrant. Detta eftersom jag känner att jag har chans att påverka. Stora företag ger inte utrymme för att ändra därav ingen idé att läsa igenom.

Andra avtal och policys respondenterna läser är sådana som berör tjänster som kostar pengar, avtal som är korta och tydliga eller slumpmässiga avtal när de har tid och ork. Många

respondenter lyfte i sina svar att avtal och policys generellt är svåra att förstå och har ett onödigt juridiskt språk. De menar att detta är en anledning till att de väljer att inte läsa alla avtal.

Tabell 7. Respondenters upplevelse av användarvillkor och förståelse för sina rättigheter i

samband med insamling och användande av personlig information

Påstående 1 2 3 4 5 N/A

Jag upplever att det är svårt att förstå vad företag får göra med min data

6,8% 18,4% 18,8% 33,8% 20,3% 1,9%

Jag upplever att de användarvillkor och integritetspolicys jag har läst har varit lätta att förstå

32,9% 35,3% 15,9% 10,1% 2,9% 2,9%

Jag upplever att jag har god kunskap om mina rättigheter när det gäller insamling och användning av min personliga information

15,5% 19,8% 29% 19,8% 13% 2,9%

Den största andelen av respondenterna uppgav att de aldrig läser användaravtal och

integritetspolicys. Många respondenter i denna kategori uttryckte att de valde att inte läsa några avtal eller policys för att de är för långa och svåra att förstå. Över 50% av respondenterna upplever att det är svårt att förstå vad företag får göra med deras data och över 60% motsätter sig påståendet ”jag upplever att de användarvillkor och integritetspolicys jag har läst har varit lätta att förstå”. Respondenterna upplever att avtalen är författade för jurister av jurister och inte möjliga för konsumenter att tolka. Flera respondenter uttryckte att det komplexa språket de möts av från första meningen och antalet sidor i avtal och villkor är överväldigande och de kan inte motivera sig att lägga tid på att försöka ta sig igenom hela dokumentet. De uttryckte också att det är möjligt att företag använder långa och komplexa avtal som en medveten strategi för att hålla konsumenter från att läsa dem i sin helhet. Några respondenter upplever att de inte kan

25

komma ifrån insamling av data från företag och har därför inget intresse av att läsa villkor för enskilda produkter eller tjänster – särskilt när de redan har tagit beslutet att köpa eller använda dem. En respondent uttrycker följande:

Vill jag använda produkten som jag redan köpt är jag tvungen att acceptera drakoniska användaravtal vare sig jag vill eller inte, alternativt kunde jag lika gärna vaskat pengarna.

Respondenterna fick i webbenkäten besvara ett antal påståenden genom att gradera på skalan 1– 5 hur väl de stämmer in på dem. I enkäten specificerades att 1 innebär att de inte håller med alls och 5 att de håller med fullständigt. Ett av påståendena löd “Jag har någon gång låtit bli att använda en tjänst eller produkt efter att ha läst användarvillkoren eller integritetspolicyn”. 56,2% av respondenterna graderade påståendet som en 4:a eller 5:a på skalan. Ett flertal

respondenter som graderade påståendet med en siffra som indikerar att de låtit bli att använda en tjänst eller produkt efter att ha läst användarvillkoren eller integritetspolicyn har också svarat att de aldrig läser användaravtal och integritetspolicys.

4.1.3

Förhållningssätt till personlig integritet

Respondenterna fick besvara sex påståenden som rörde vad de upplever är viktigt i relation till data som samlas in om dem med graderingen 1–5. Tabell 7 nedan visar hur respondenterna som graderade varje påstående på en skala där 1 är ”inte alls viktigt” och 5 är ”mycket viktigt”.

Tabell 8. Hur respondenter värderar olika påståenden om datainsamling

Påstående 1 2 3 4 5 N/A

Det är viktigt att jag får veta vad data som samlas in om mig används till

3,4% 4,9% 9,2% 20,8% 51,1% 8,7%

Det är viktigt att jag kan ta tillbaka mitt medgivande till användning av data som samlats in om mig

4,4% 1,9% 8,7% 15% 58,9% 11,6%

Det är viktigt att jag kan få mina insamlade data raderade

3,4% 4,4% 9,7% 16,9% 56,5% 8,7%

Det är viktigt att jag kan välja vilken typ av data som samlas in om mig

3,9% 8,2% 11,1% 21,7% 48,3% 6,8%

Det är viktigt att insamlad data om mig inte lagras längre än nödvändigt

5,8% 4,4% 12,6% 16,9% 52,5% 8,2%

Det är viktigt att jag har tillgång till all data som samlas in om mig