i innehållslistor eller på en innehållssida.
I oktober 2021 inledde vi utredningen Digital makt. I utredningen coachades 15 politiska beslutsfattare, journalister och påverkare i fem länder att ta över sina egna data och via den förstå dataekonomins lagbundenheter: vem samlar in data om dem, vart sprids datan och på vilket sätt kan man påverka beslutsfattarna med den? Målet var att bättre förstå den digitala makten och användningen av digital makt: världen digitaliseras allt snabbare, men vem är påverkaren och vem påverkad i denna miljö? Är vi längre självständiga aktörer i de digitala miljöerna?
Dataanalysen och testpersonernas datacoachning i utredningen utfördes av företaget Hestia.ai. Tre metoder användes för att ta kontrollen över personernas egna data. Deltagarna i undersökningen bad om att få sina data av företag med GDPR Dataskyddsförordningen (GDPR) Förordningen (EU) 2016/679 eller Europeiska unionens nya dataskyddsförordning (GDPR) reglerar behandling av personuppgifter som utförs av individer, företag eller organisationer inom EU. Öppna termsidan Dataskyddsförordningen (GDPR) -informationsbegäran eller laddade ned sina data från dataportaler som en del företag erbjuder. Dessutom använde de testtelefoner som var utrustade med appen TrackerControl, som följde upp vart datan spreds när beslutsfattarna använde sina telefoner.
I datacoachningsprogrammet i anslutning till utredningen hjälpte forskarna testpersonerna att analysera sina egna resultat med perspektiv på maktutövningen på individnivå. Forskarna analyserade också vilken makt de digitala jättarna som helhet har över oss medborgare.
I den här artikeln berättar vi om de mest intressanta observationerna som gjordes i utredning. Om observationerna ordnas dessutom ett webbseminarium den 6 april på finska och på engelska. Du kan anmäla dig till evenemanget på vår webbplats. De slutliga resultaten och rekommendationerna publiceras i utredningens slutrapport i maj 2022.
Den digitala maktens natur intresserade testpersonerna
Politiska beslutsfattare och andra opinionsbildare var intresserade av utredningen från första början, oberoende av parti eller uppdrag. Sitra bad företrädare för nästan alla riksdagspartier att delta i utredningen. Om den föreslagna tidpunkten inte lämpade sig för de personer som kontaktades, tipsade de gärna om intresserade partikamrater.
Alla beslutsfattare hade liknande frågor när utredningen inleddes: vi vet alldeles för lite om hur data samlas in och används, och den utveckling av bubblor som plattformarna för de sociala medierna förstärker betraktades som ett problem. De ansåg också att det är en betydande risk att datajättarna har alltför stor makt i samhället, och många oroade sig för vår rätt till integritet och för att datajättarna tar ett allt starkare grepp om våra dagliga liv. Testpersonerna ansåg allmänt att det är nödvändigt med reglering, men samtidigt var uppfattningen att regleringen kan vara svår att genomföra. Många undrade dessutom hur det vore möjligt att bättre lyfta fram möjligheterna och fördelarna med dataekonomin.
”Det finns en risk att insamlingen av data och information används för negativ verksamhet, till exempel för att manipulera människornas fria medvetande”, sade riksdagsledamot Sari Tanus (KD) före utredningens början.
Överraskande hur genomträngande insamlingen av data om individen och vardagen är
Alla testpersoner var förberedda på att det samlas in mycket data om dem. Eftersom en tidigare utredning som Sitra gjorde år 2019 redan kartlagt reklamens ekosystem och omfattningen av distributionen av data, var fenomenet ingen överraskning i sig. Men det var en överraskning hur omfattande och detaljerad insamlingen av data är, och hur djupt den utsträcker sig också till den fysiska världen. Oron över hur sårbara politiska beslutsfattare är i nätet ökade under utredningen, då utredningen visade hur många dimensioner den digitala makten har.
De praktiska exempel som lyftes fram i utredningen visar att världens största datajättar effektivt kan använda sin digitala makt för att påverka både individer och människogrupper. Den kan också användas för att styra teknologins utveckling och förutse framtiden. Utredningen visar att den digitala makten tränger djupt ner i samhällets strukturer och att den koncentreras. Ju mer data från olika källor en aktör kan samla in och kombinera, desto mångsidigare profileringar och ”kartor” över vår rörlighet, våra tankar, vårt köpbeteende och våra intressen är det möjligt att göra upp.
Tidigare tänkte vi att den fysiska och digitala världen kan kontrolleras som separata helheter. Utredningen Digital makt visade däremot hur omöjligt det är att skilja på den fysiska och digitala närvaron i dag. Ett exempel på detta är europarlamentarikern Miapetra Kumpula-Natris besök i en specialaffär, där hon köpte hemelektronik. Uppgift om köpet tillsammans med personuppgifter skickades vidare från företaget till både Google och Facebook utan att personen själv var medveten om detta.
När Kumpula-Natri klickade på en länk i nyhetsbrevet av samma hemelektronikföretag, avslöjade hon samtidigt sin position på fritidsbostaden trots att ingen positioneringstjänst användes. Enligt forskarna är det möjligt att Gigantti identifierade apparatens ip-adress och tog reda på dess position med hjälp av den. I det här fallet identifierade testpersonen inte i vilken situation hon gett tillstånd att följa upp sin position.
När Kumpula-Natri bad om att få sina data från hemelektronikföretaget, upptäckte hon hur mycket uppgifter företaget köpt om henne av andra företag som specialiserat sig på insamling av personuppgifter. Till exempel uppgifterna om hennes antagna förmögenhet och familjesituation hade skaffats från annat håll, även om många av uppgifterna var inexakta eller felaktiga.
Hemelektronikföretagets massiva datainsamling, sparande av historikuppgifter och framför allt dess förmedling av uppgifterna vidare var en chock för utredningens deltagare. Å andra sidan klarade sig det aktuella elektronikföretaget bäst av alla företag i fråga om hur omsorgsfullt och detaljerat det besvarade testpersonens informationsbegäran i enlighet med de rättigheter som föreskrivs i dataskyddsförordningen.
Företagen borde ärligt se bristerna i sina verksamhetsmetoder
Det mest oroande med den omfattande insamlingen av data är att varken vanliga medborgare eller politiska beslutsfattare kan påverka den mer än delvis. En del företag har medvetet gjort det svårt för människor att få insyn i sina egna uppgifter. Ibland fungerar företag till och med omedvetet som en del av de globala ekosystemen för insamling av data eftersom stora aktörer som Facebook och Google och andra parter inom digital marknadsföring ingår som väsentliga delar i deras marknadsförings- och kundprocesser.
En av testpersonerna var Sitras överombudsman Jyrki Katainen. De uppgifter som han bad att få från en stor kedja inom detaljhandeln bildade ett dokument som hade 172 sidor. Största delen av informationen bestod av uppgifter om köp och andra upgifter som uppkommit under den tid som Katainen varit kund hos butiken, vilket är begripligt. Mer överraskande var det att när Katainen sökte receptet på spaghetti carbonara i butikens app, så verkar informationen ha hamnat hos Google.
Till och med helt vanliga företag gör sig skyldiga till s.k. mörka verksamhetsmetoder (dark patterns) som används medvetet för att vilseleda individer i webbtjänster. De kan fråga om samtycke till insamling av data med oklara och invecklade metoder som gör det svårt att vägra ge tillstånd. Tillståndens omfattning överdrivs, vilket betyder att företagen samlar in betydligt mer data än vad som är nödvändigt. Det är fortfarande oklart hur medvetna företag är om hur mycket av kundernas data de läcker till aktörer utanför företaget. Det är i varje fall klart att det kommer att vara svårt att lära sig av med verksamhetsmodeller som varit i användning i åratal.
På längre sikt vore det fördelaktigare för företagen att förnya sina verksamhetsmodeller till exempel genom att öka transparensen, eftersom framgång för ett land av Finlands typ förutsätter förtroende mellan olika parter. Det skulle löna sig för företagen att fokusera på att skapa förtroende mellan dem och kunderna så kunderna i framtiden betraktar det som önskvärt att företag delar data i sina nätverk i syfte att skapa innovationer. Detta skulle också öka värdet på företagens datalager.
Politiker exponerade för påverkan på webben
Under utredningen funderade många testpersoner på mängden data som samlats in om dem under årens eller årtiondenas lopp. Vilket betydelse har detta, och vilken information och vilket innehåll erbjuds de utifrån detta? Det beror på plattformaktörens val vilken information och vilket innehåll vi ser och upplever på de olika plattformarna, och aktörernas val påverkar vilken information vi exponeras för. Det är svårt att bedöma den långsiktiga effekten som detta har på våra kunskaper och attityder.
En annan betydande observation var hur annonsörernas investeringar på synlighet påverkar det innehåll som erbjuds enskilda människor, till exempel på så sätt att diskussionsämnen som var till nytta för annonsörer fick mer synlighet på Twitter än andra ämnen. Twitter således sålde vidare sin egen digitala makt att bestämma diskussionens agenda.
Digital reklam som är helt laglig och saklig med tanke på företagets bransch kan också användas för att påverka politiska beslutsfattare och deras nätverk. Ett exempel i utredningen var ett företag som tillverkar jaktplan. Dess Twitterkampanj nådde både riksdagsledamot Anders Adlercreutz (SFP) och Jyrki Katainen flera gånger. Utredningen gjordes delvis under veckorna innan Finland beslutade om köpet av nya jaktplan.
Både Adlercreutz och Katainen exponerades för reklam bland annat utifrån de Twitterprofiler som de följer. Twitter använder således även fysiska personer som inriktningskriterier, vid sidan om de övriga inriktningsmetoderna. Detta är något överraskande. Det finns orsak att fundera huruvida en person som används som inriktningskriterium borde få veta vad Twitter gör med hans profil. Gränsen mellan den som påverkar och den som utsätts för påverkning har blivit permanent oklar.
Situationen återspeglar det problematiska förhållandet mellan dataekonomin i den form som den har i dag och demokratin även på ett mer allmänt plan. Beslutsfattarna kan inte se hur deras data samlas in och hur den utnyttjas och säljs vidare, och det gör inte heller medborgarna. Plattformföretagen utövar betydande digital makt men bär inget ansvar för det eftersom ingen har en helhetsbild av hur systemet fungerar.
Anders Adlercreutzs resultat fick honom att undra bland annat vilka mer ingående uppgifter det amerikanska mediet Washington Post samlat in om honom. Bland hans data fanns en aktör vid namn Clavis, som är en produkt som inspirerats av Amazons framgångsrika rekommendationsbot. Washington Post har samlat in en lista över hans intressen utifrån de artiklar som han läst och vissa nyckelord och uttryck som funnits i innehållen. Med hjälp av dem rekommenderar Clavis nya innehåll med hög precision. Dessutom segmenteras läsaren med hjälp av data från tredje parter.
Rekommendationerna görs dock inte enbart av redaktionella skäl. Även försäljningen använder verktyget för att mäta effekten av den använda reklamen och därigenom för att prissätta den. Jeff Bezos köpte Washington Post år 2013, och i ljuset av detta verkar denna utveckling naturlig. På några år har Amazon lyckats skapa den tredje största aktören inom reklam genast efter Google och Facebook. Till råga på måttet kan tjänsten enkelt kombinera data också med Amazons molntjänster.
För en enskild människa som använder medier kan kopplingen mellan dessa två företag komma som en överraskning. Reklamtjänsten säljs till ett stort antal andra medier och företag och därför kan information om en människas personliga intressen ha större distribution än man skulle kunna tänka sig.
Är kriget i Ukraina en vattendelare? – Det gäller att fästa uppmärksamhet vid självbestämmanderätten som gäller data både på det individuella och det riksomfattande planet
De första veckorna av kriget i Ukraina har gjort de nya hot som riktas mot vår informationsomgivning ännu synligare än tidigare. Samtidigt har situationen visat vilka möjligheter samhällen med täta nätverk har att införa nya verksamhetsmodeller, till exempel för att organisera hjälp som bygger på frivilligverksamhet för krigets offer. Det har sagts att vi lever under det ”första stora informationskriget”, som pågått åtminstone sedan år 2014. Eftersom spänningarna i informationsmiljön har ökat samtidigt som en allt större del av vår vardag pågår i digitala miljöer av olika slag, är frågan om transparens inom insamlingen och användningen av data viktigare än någonsin.
En grundläggande fråga med tanke på demokratins framtid är hur vi skulle kunna övergå från ”den digitala oligarkin” till en ”digital demokrati”, där vi alla har bättre insyn i och kontroll över de data som samlas in om oss, och där vi också har verktyg som gör det möjligt för oss att använda dessa data på de sätt som vi själva vill. På ett mer allmänt plan gäller detta också hela nationer, och till exempel Europa, som blivit svårt på efterkälken inom utvecklingen av dataekonomin i jämförelse till exempel med USA och Kina.
Vi vet sedan tidigare att den monopolistiska och icke-transparenta dataekonomin av dagens modell är en flaskhals som bromsar upp den omfattande användningen av data för att förnya ekonomin och samhället. Resultaten av utredningen Digital makt och kriget i Ukraina understryker att digital makt som bygger på icke-transparent insamling och användning av data även är ett hot för vår rätt till nationellt självbestämmande. Samtidigt är det också viktigt att se vilken potential denna digitala nätverksbaserade makt har som en kraft som förnyar demokratin.
EU:s dataskyddsförordning fungerar fortfarande inte i praktiken
Det behövs fungerande spelregler för att sprida fördelarna med data till fler samhällsområden och företag i dag. EU:s dataskyddsförordning (GDPR) trädde i kraft för fyra år sedan. Trots det är medborgarnas ställning i fråga om deras egna data fortfarande inte i ordning. Lagen skyddar EU-medborgarna i sig, men det finns inga verktyg till exempel för att kontrollera insamlingen och användningen av data om enskilda människor i praktiken, och särskilt de stora plattformbolagen förhåller sig påtagligt likgiltigt till dem.
Ett bra exempel var den uttröttningskamp som Sitras egen testperson Riitta Vänskä hade med Facebook. För att utöva de rättigheter som GDPR möjliggör skickade Vänskä sju olika meddelanden till Facebook under ett fem veckor långt utbyte av meddelanden.
Facebook hänvisade Vänskä om och om igen till plattformens allmänna dataportal, även om den begärda informationen inte fanns att få där och Vänska i detalj specificerat de uppgifter som hon begärde i sina meddelanden. I tre av meddelandena var hon tvungen att upprepa samma sak: Facebooks allmänna dataportal ger inte tillräckligt med information utan företaget ska leverera alla påkallade uppgifter till den som lämnat informationsbegäran. Företagets fjärde meddelande var nio A4-sidor långt, och en enskild länk i meddelandet kunde vara sju rader lång.
När denna artikel skrivs har det gått mer än två månader sedan denna informationsbegäran gjordes, och Facebook har fortfarande inte lämnat uppgifterna i enlighet med EU:s dataskyddsförordning. Facebook besvarade informationsbegäran fem olika gånger, men verksamhetsmetoden var överlånga e-postmeddelanden och upprepad styrning av den som lämnat informationsbegäran till invecklade allmänna uppgifter som innehåller många länkar. Avslutningsvis konstaterade företaget att det inte levererar någon ny information och att företaget enligt sin tolkning iakttar lagarna.
De som gjorde utredningen är experter i området, men trots detta var det oftast svårt och tidskrävande att uträtta ärenden hos företagen. Största delen av de företag som valdes till objekt i utredningen lät helt bli att svara på informationsbegäran, eller så svarade de bristfälligt. I typiska fall utelämnades väsentlig information till exempel om data som köpts av utomstående parter eller om information som härletts eller profilering som gjorts utifrån data som samlats in om personen.
Medborgarna har tills vidare inga verktyg och klara instruktioner som de kan använda när de uträttar ärenden hos företagen, så att deras rätt till kontroll över sina egna data skulle genomföras på det sätt som föreskrivs i lag. Beslutsfattarna är fortfarande endast halvvägs när det gäller regleringen i lag. Den första förutsättningen för en rättvis dataekonomi är att den genuina transparensen förstärks.
Situationen är oroväckande, eftersom utredningen Digital makt visar att utvecklingen stampat på stället under de två senaste åren.
Sitra utredde genomförandet av de individuella datarättigheterna och dataskyddsförordningen för första gången i utredningen Digispår i slutet av år 2019. Där testade sex testpersoner hur mycket data som samlas in om oss och hur många aktörer får data under två veckor. I projektet utreddes också hur EU:s dataskyddsförordning (GDPR), som då varit i kraft i ett halvår, gav transparens och möjligheter att kontrollera insamlingen och användningen av data.
Utredningen visade bland annat att data samlas in i mycket stora mängder och att data överfördes via den egentliga serviceproducenten till ett stort antal tredje parter av vilka 70 procent var amerikanska företag. Som mest överfördes data från en testperson under två veckor till 135 tredjeparter, dvs. till parter som är utomstående i förhållande till tjänstens användare och osynliga för honom eller henne.
