Universitet: Danske medier har et problem - persondata ender hos ukendte, eksotiske firmaer

En gennemgang af 1.343 hjemmesider, herunder 71 danske, viser, at flere hundrede tredjeparts-servere kigger med, når du eksempelvis klikker ind på BT.dk, Ekstrabladet.dk, Politiken.dk og så videre for at læse nyheder.

Mange danske medier er ikke et meget bedre end Facebook og Cambridge Analytice: Mediebrugeres søgehistorik, adresse, interesser, shopping-vaner og profilering, høstet ved brug af mange danske medier, havner nemlig i hænderne på annoncører, statistikfirmaer og andre ukendte virksomheder, hvor de bruges som grundlag for profilering, annoncering og meget andet.

Derfor står medierne over for et stort oprydningsarbejde foran sig. For som noget nyt skal medierne nemlig have styr på data, når persondataforordningen træder i kraft på fredag d. 25. maj.

Det viser ny forskning fra Aalborg Universitet.

Forskernes gennemgang af 1.343 hjemmesider, herunder 71 danske, viser, at flere hundrede tredjeparts-servere kigger med, når du eksempelvis klikker ind på BT.dk, Ekstrabladet.dk, Politiken.dk og så videre for at læse nyheder.

Her indsamler mange af tredjeparts-serverne personoplysninger, som de blandt andet bruger til at målrette reklameannoncer eller som i tilfældet med Cambridge Analytica til at påvirke folks politiske ståsted.

De personlige informationer kan også blive videregivet uden samtykke, og på den måde bliver din søgehistorik, din adresse, dine interesser, dine shopping-vaner og et bud på, hvem du egentlig er som person, spredt ud til tusindvis af reklameannoncører, statistikfirmaer og meget mere, lyder advarslen fra Aalborg Universitet.

Hvad der sker med de personlige oplysninger, og hvad de bliver brugt til, har hidtil ikke været de danske firmaer bag hjemmesidernes ansvar, men det bliver det, når den nye lov træder i kraft, anfører universitetet.

»Sagen er den, at det meget svært at finde ud af, hvilke informationer der bliver indhentet, givet videre, og hvad de bliver brugt til. Ved hjælp af cookies og såkaldt ’finger-printing’ har annoncører indtil nu relativt frit kunne indhente, hvad de ville, uden at gøre brugerne opmærksomme på det, men det ændrer sig nu,« siger Jannick Kirk Sørensen, der er forsker og Ph.d. ved Communication, Media and Information Technologies (CMI) på Aalborg Universitet, ifølge en meddelelse.

Sporene ender hos eksotiske firmaer

Jannick Kirk Sørensen har sammen med Ph.d. Sokol Kosta, begge Center for Communication, Media and Information technologies, undersøgt, hvor mange tredjepart-servere der kigger med på forskellige hjemmesider.

I Danmark topper BT.dk med 218 tredjeparts-servere efterfulgt af Ekstrabladet.dk (216), Politiken.dk (184) og Lokalavisen.dk (177).

Fremover skal de alle sammen - med forskernes ord - have 'pinligt tjek på,' hvad der sker med de data, som hundredvis af firmaer indhenter fra brugerne af deres hjemmesider.

»Når man følger sporene fra mange af de her tredjepart-servere, ender de af og til hos et eksotisk firma uden firmaadresse. Fra d. 25. maj skal medier, websider og andre firmaer kunne forklare, hvordan de passer på personlige oplysninger. Derfor skal blandt andre de danske medier have gang i et ekstremt omfattende oprydningsarbejde, så de kan dokumentere, at alle deres samarbejdspartnere overholder de nye regler for de oplysninger, som de indhenter,« forklarer Jannick Kirk Sørensen.

Færre reklameindtægter til medierne

Konsekvenserne for medierne kan blive, at de mister indkomst gennem reklameindtægter. Fundamentet for reklameindtægter gennem webannoncer er meget præcise brugeroplysninger.

Kan en tredjeparts-server eksempelvis finde ud af, at du har kigget på billetter til Thailand tre gange inden for den seneste uge, at du rejser til Thailand hver juni måned, og at du ofte er villig til at betale meget for dine billetter, vil rejsebureauer stå i kø for at betale en høj pris for at smide en reklame for flybilletter til Thailand på de hjemmesider, som du besøger lige nu. Kan rejsebureauerne til gengæld kun se, at du har været inde og besøge Momondo.dk, vil de betale mindre.

Større tryghed og hurtigere surfing

Konsekvenserne ved GDPR for danskerne vil formentlig blive, at de vil opleve en ændring i de annoncer, som de bliver præsenteret for. De vil måske også opleve, at det bliver hurtigere at browse rundt på nettet, fordi deres egen computer ikke længere skal kommunikere med hundredvis af andre computere, vurderer forskerne.

Formentlig skal de kommunikere med langt færre, efterhånden som de forskellige websteder får ryddet ud i antallet af tredjepart-servere, som kigger med. Til sidst, men ikke mindst, får danskerne forhåbentlig tryghed i at vide, at der kommer til at være mere styr på, hvem der har adgang til deres personlige oplysninger, og hvad der sker med dem, når først tredjeparts-serverne har indsamlet dem.

»Vi vil nok se en voldsom reduktion i antallet af tredjepartsservere, fordi det bliver næsten umuligt at holde styr på, hvad alle de her servere laver, hvad de gør med brugeroplysningerne, og om brugerne har givet tilladelse til, at de må indhente dem. I stedet vil vi nok se, at de forskellige hjemmesider vil samarbejde med nogle få store samarbejdspartnere, «siger Jannick Kirk Sørensen.

Forskningen er igangværende og fortsætter frem til juni 2019, hvor forskere vil kunne se langtidseffekten af implementeringen af GDPR.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (24)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Poul-Henning Kamp Blogger

Jeg er faktisk ikke sikker på at de er nået helt i bund.

Ifølge folk jeg kender i den her branche er der 200-300 servere der "får et bid" hver gang man" ser en "well-monetized media home page."

Meget af det foregår i form af realtids auktioner over reklamepladsen, hvor velsegmenterede informationer om brugeren, siden og reklamepladsen spredes i realtid og deltagerne sender deres bud.

Kunderne i disse auktioner varierer fra velkendte annonce virksomheder der viser milliarder af annoncer om dagen og andre der kun viser en håndfuld om året, men allesammen ser hvad der foregår på hele den del af nettet de har købt sig adgang til.

  • 15
  • 0
Thomas Toft

Hvad med at kigge i egen kode-suppe? Godt nok er der ikke 200+ der har fingrene med i kagen her, men der er i hvert fald 8 styk 3. part der får et besøg ved hver Version2 indlæsning.

Det er vel Version2 der skal hente mine oplysninger hos dem når jeg bedre om alt de har indsamlet den vej?

Både Chartbeat, Emediate og TNS Gallup er Google Analytics real-time data alternativer og læser alle med på Version2. Så er der også lige et par fra Google.

  • 14
  • 0
Leif Glering

Ghostery har blokeret 5
uBlock har blokeret 21

tns-gallup.dk
google-analytics.com
googletagmanager.com
ad1.emediate.dk
static.chartbeat.com
linkedin.com
facebook.com
twitter.com
plus.google.com

  • div indlejrede svg filer på version2.dk
  • 5
  • 0
Bjarne Nielsen

Godt nok er der ikke 200+ der har fingrene med i kagen her, men der er i hvert fald 8 styk 3. part der får et besøg ...

Du ser kun toppen af isbjerget. Der er meget mere end et niveau, og du kan ikke se, hvem der snakkes videre med.

Se f.eks. illustrationen her: https://en.m.wikipedia.org/wiki/Ad_exchange som giver et billede af dybden, men ikke af bredden. Og tænk så over, at jo mere hvert led kan beskrive dig til næste led, jo bedre pris kan de få, og jo større chance for at få lov at sælge dig og din opmærksomhed.

PHK har ganske givet langt bedre forbindelser end jeg, og trods det hører jeg også tal i samme størrelsesorden, som dem, han fortæller om.

  • 7
  • 0
Henrik Sørensen

Fra på fredag så kontakt de enkelte medier og bed om at få ALLE de data de har om dig OG alle de data som vil kunne sættes sammen til at identificere dig fx IP adresse, browser ID og andet gøgl.

Bed også om at få en oversigt over hvem de har givet adgang til disse data eller hvem de har delt dem med, samt bed om at få angivet hvilket specifikt formål den enkelte bid data er indsamlet med, hvor længe den bliver gemt, hvornår du har afgivet samtykke til at dele disse informationer.

Når du modtager de efterspurgte data kvitterer du med at bede om at få slettet alle eller de af dig udvalgte informationer ligesom du trækker ethvert samtykke tilbage.

En måned efter at du har fået bekræftelse på at de har slettet alle data, så beder du påny om indsigt i de data de har indsamlet og stemmer svaret ikke med dine forventninger, så anmelder du det hele til Datatilsynet ...

Det bliver en massiv nedsmeltning, men der ER brug for at der for alvor bliver rusket op i alt det der foregår i det skjulte og hvor der omsættes for enorme summer med dig og mig som varen der sælges.

Jeg vil gerne have reklamer, der er tilpasset mig, men jeg vil ikke have dyrere priser på mine varer, blot fordi selskaberne kan se, at jeg er en hyppig kunde, der ikke er specielt prisfølsom.

Nogen må genopfinde etikken og moralen og sætte den i en eller anden form for system så vi kan skille de gode fra de onde.

  • 20
  • 0
Deleted User

Det bli’r skisme sjovt.

Version 2 kan godt forberede sig på mit skriv allerede. Ikke fordi jeg er specielt ude efter dem, men som fagmedie må man kunne forvente af dem, at de er helt oppe på dupperne.

I øvrigt er jeg spændt på, hvordan de vil håndtere f.eks. facebooks dataindsamling for websidebesøg fra ikke-medlemmer, og hvordan de vil sikre en sletning af mine data - smil!

  • 3
  • 0
Anne-Marie Krogsbøll

Hører netop i "Orientering", at vejledningerne om GDPR lader vente på sig - nu 2 dage før ikrafttræden.

Måske er de bare helt ærligt ikke blevet færdige - men kan en sådan forsinkelse måske også bruges bevidst til at føre politik med? Vil det f.eks. kunne bruges til at holde virksomhederne fri fra de store bøder, som Pape jo nok ikke har så meget lyst til at bødebelægge, og til at begrænse brugernes rettigheder, indtil vejledningerne er på plads? En "formildende omstændighed"?

  • 6
  • 0
Anne-Marie Krogsbøll

Tak for svar, Henrik Sørensen. Du har nok ret - men det peger jo så også på, at området i hvert fald ikke er højprioriteret mht. at få det til at glide. Gad vide, hvor mange der arbejder med at få vejledningerne færdige? Og om målet er at implementere GDPRs hensigter - eller obstruere disse?

Det er da ret utroligt, at vejledningerne ikke er på plads 2 dage før - og at der ikke er et højere ramaskrig om det.

  • 3
  • 0
Bjarne Nielsen

Jeg forstår godt, hvor du er på vej hen, og tro mig, jeg er helt enig i, at der er brug for at få rusket op i tingenes tilstand. Men vores nye ret er en gave, og bør bruges med omhu og omtanke.

En måned efter at du har fået bekræftelse på at de har slettet alle data, så beder du påny om indsigt i de data de har indsamlet ...

Jeg mener at have læst et sted at "gratis" ikke var til diskussion, hvis det var i omegnen af en gang om året. Uden at være juridisk skolet, så ville du IMHO nok kunne komme igennem med, at det er rimeligt at følge op, og derfor får den anden gang gratis også.

Men en gang om ugen, som jeg har hørt andre tale om, er ikke rimeligt - vel ligefrem grænsende til chikane - og så vil vi kunne skulle betale rimelige omkostninger. Jeg mener ikke, at vi kan nægtes indsigten, men det kan komme til at koste, hvis det bliver for tit.

Og når man tænker over det, så er det vel også ganske rimeligt.

Det bliver en massiv nedsmeltning, men der ER brug for at der for alvor bliver rusket op i alt det der foregår i det skjulte og hvor der omsættes for enorme summer med dig og mig som varen der sælges.

Det er jeg helt enig i, men vi bør overveje om det kan opnås med andre og mindre vidtgående midler end en 'nedsmeltning'.

Og så skal vi overveje, hvad der bliver sat i stedet, når vi ødelægger ting. Det er ikke nok, at ønske sig noget forandring, vi skal også have en god idé om, hvad dette andet er - ellers står vi pludselig med en Trump eller en Brexit.

Så brug din ret, når du har brug for det.

Og tænk dig om, hvis du bruger den med et politisk formål; at bruge den for at få indsigt, er helt i orden, specielt hvis denne indsigt er rimeligt, men i praksis forholdes os (jeg kigger på dig, Pape).

Hvis man vil bruge det til aktivisme, så overvej det meget grundigt - man kan nemt komme til at ødelægge mere end man opnår.

Men ja, det skal ske noget. Ikke bare her, men rigtig mange steder.

  • 10
  • 0
Henrik Sørensen

@Bjarne Nielsen

Hvis man vil bruge det til aktivisme, så overvej det meget grundigt - man kan nemt komme til at ødelægge mere end man opnår.

Der er ikke noget at ødelægge. Det har etik- og moralforladte virksomheder i undergrunden af marketingbranchen allerede klaret for os - og det er en del af svaret på, hvorfor vi har fået GDPR.

Jeg er enig i, at der skal være et formål med at anmode om data. Det skal i min optik ikke være for at jagte dem der opfører sig ordentligt, men for at få skik på alle de, der ikke gør.

Konsekvenserne bliver måske, at vi så skal til at betale up-front for indhold i større omfang end det er tilfældet i dag. Så må det blive sådan! Forhåbentlig afføder det nye spændende forretningsmodeller, som er transparente og etisk forsvarlige

  • 6
  • 0
Anne-Marie Krogsbøll

Henrik Sørensen:

Der er ikke noget at ødelægge. Det har etik- og moralforladte virksomheder i undergrunden af marketingbranchen allerede klaret for os


Sådan set enig - men faren er vel at komme til at ødelægge selve GDPR. Hvis "systemet" druknes i søgsmål (og det ser jeg for mig), så giver det måske Pape og andre en undskyldning for at afmontere selve GDRP - "Force Majeure", som de vil være begejstrede for. Det er vel en nedsmeltning af selve det håndhævende system, der er den største fare - ikke nedsmeltning af de enkelte skurkagtige virksomheder (har jeg misforstået din kommentar?).

  • 6
  • 0
Bjarne Nielsen

Hvis "systemet" druknes i søgsmål (og det ser jeg for mig) ...

Jeg er (næppe overraskende) enig med Henrik i, at målet må være at få skik på rodet, og derfor deler jeg din (og Henriks) bekymring om, at der slet ikke er ressourcer nok. Det er sjældet at de, som bør tilses, mener at det er brug for mere tilsyn. Fartglade bilister taler jo heller ikke for mere fartkontrol, vel?

Og er man konspiratorisk anlagt, så er der næppe noget, som ville passe dem bedre, end at systemet blev oversvømmet med ligegyldige sager, så de "farlige" naturligt bliver forhalet. For os vil det være langt bedre, at få nogle principielle sager igennem, som kan bruges fremadrettet.

På den anden side, så er dette (heldigvis!) ikke noget, som kun bevæger sig på nationalt plan, og der er derfor en naturlig grænse for, hvor meget nationalt fodslæberi kan forhale.

  • 4
  • 0
Mads T. Jensen

nej nej nej nej, som vi læste under "Udbredt SEO trick hos netbutikker"-indlægget, så gælder helt almindelige regler og love ikke for version2, bare de selv har vurderet at det er ok.

Du bedes derfor skrive til dem på redaktionen - så får du nemlig ikke et svar tilbage (jeg fik f.eks. intet svar da jeg spurgte til deres kursus-sider og betalings-model, selvom Mølsted opfordrede mig til at skrive).

  • 1
  • 0
Allan S. Hansen

Sådan set enig - men faren er vel at komme til at ødelægge selve GDPR. Hvis "systemet" druknes i søgsmål (og det ser jeg for mig), så giver det måske Pape og andre en undskyldning for at afmontere selve GDRP - "Force Majeure", som de vil være begejstrede for. Det er vel en nedsmeltning af selve det håndhævende system, der er den største fare - ikke nedsmeltning af de enkelte skurkagtige virksomheder (har jeg misforstået din kommentar?).

Jeg er helt enig at det er en reel risiko.
Fordi jo mere jeg læser og sætter mig ind GDPR og sammenligner med tekniske implementeringer - jo mere forekommer det mig som om der er en række mere eller mindre uforudsete (af politikerne) følgeeffekter (backup styring, logs, bekræftelse af identitet m.m.) som virkelig kan skabe problemer for mange hvis GDPR følges til bogstavet - hvilket det nok vil gøre i starten.
Og selvom jeg er meget stærk fortaler for tiltag som GDPR var tiltænkt og har masser af sølvpapirs hatte på når det kommer til mine data, så kan jeg godt frygte et stormløb mod firmaerne for at få data/slettet data efter GDPR går "live" og at det vil blive "misbrugt" blot fordi man kan.
Og dette kan blive brugt til at modificerer lovgivningen når de finder ud af alle problemerne og det hele vil så udvandes og så risikerer vi blot at ende tilbage i den sump af data-overforbrug vi allerede er i med en masse ekstra omkostninger.

Tanken bag GDPR er god efter min mening og især nogle firmaer fortjener et slag over nallerne; men nogle af implementeringskravene er dog knap så gode - så det bliver spændende at se hvordan reglerne bliver håndhævet.

  • 1
  • 0
Jannick Sørensen

Lidt detaljer:
Vi har besøgt siderne i alt 15 gang fra februar til nu; de tal vi har præsenteret i pressemeddelsen er gennemsnitstal. Der er for nogle af siderne store udsving min. og max antal forskellige trediepartsservere man møder. Det skyldes formentlig at en stor del af tredieparts-serverne er relateret til real-tids auktioner over annonceplads på hjemmesiden.

På de 15 mediehjemmesider har vi ialt mødt 601 forskellige tredieparts servere indtil nu. Fordelingen af tredieparts servere følger en 'long tail' kurve - nogle få (19 tredieparts servere) er tilstede på mellem 11 og 15 af mediesiderne, 65 på 8-11 af siderne, 4-7 af siderne: 154; og endelig: 1-3 af siderne: 363 forskellige tredieparts servere. Det giver en indikation om hvor mange aktører, der er involveret i annoncering m.m.

Følg projektet her: https://www.researchgate.net/project/European-Web-Privacy-Measurement

  • 3
  • 0
Bjarne Nielsen

forskellige trediepartsservere man møder

Er det målt på klienten, dvs. i "browseren"? Så hvis tallet er f.eks. 100, så har I over tid spurgt om den samme side og fået reklamer og andet godt fra 100 forskellige andre steder end der hvor I spurgte?

Det er jo et yderst interessant tal, men det siger så ikke noget om, hvor mange, som har involveret i auktionerne. For det kan skjule sig bag flere lag af indirection.

  • 2
  • 0
Jannick Sørensen

Hej Bjarne! Det er målt i browseren - vi analyserer HTTP-responses. Næste skridt bliver at kigge på HTTP requests (som vi også har gemt, samt deres status). Vi kan se på data at i mange tilfælde laver én tredieparts server HTTP requests fra browseren til andre tredieparts servere. Formentlig er det auktionsprocessen vi dér kan se. Vi kan derfor også få en idé om hvor mange der involveret i auktionsprocessen.

Vi kan naturligvis ikke sige noget om dén data-trafik der foregår direkte mellem tredieparts serverne, men man kunne forestille sig - på baggrund af tredieparts firmaernes præsentation af deres tjenester til annoncører og publishers, at det omfatter lister med brugere der opfylder bestemte kriterier der er relevante for annoncører.

  • 1
  • 0
Jesper Lund

Vi kan se på data at i mange tilfælde laver én tredieparts server HTTP requests fra browseren til andre tredieparts servere. Formentlig er det auktionsprocessen vi dér kan se.

Noget af det er givetvis cookie synkronisering, for at kunne bruge cookies uden for deres kontekst (domænet hvor de er sat). Det er i hvert fald udbredt i DoubleClick adtech modellen, jf. den officielle dokumentation til udviklere (hvor "buyer" er den som køber vores opmærksomhed).

Men RTB-processen involverer formentlig flere virksomheder end hvad man direkte kan se som 3rd party request fra sin browser, fordi der i auktionen bydes ud fra de profiler (via matching tables), som er opbygget omkring dig på grundlag af tracking IDs der tidligere er registreret i backend databaser.

Men alt dette (herunder identiteten på de 100+ ukendte tredjeparter) skal vi jo oplyses fra fredag kl. 00:00:01, når GDPR finder anvendelse. Jeg sidder klar ved midnat for at checke :)

Jesper Lund
Formand, IT-Politisk Forening

  • 4
  • 0
Hans Nielsen

Ud over at have husket håndklædet.

Er der nogle der har søgt aktindsigt på V2. Kan da se at antal af blokeret ting er faldet. Og at der ikke kommer popup, med at jeg har blokere installeret, og det er vi kede af ?

Da jeg selv altid har brugt prævention på V2, er der ikke meget ide i at jeg ansøger om indsigt.

Andre ?

  • 0
  • 0
Log ind eller Opret konto for at kommentere