Anders Thoresson

integritet

Digitaliseringen finns inte

Publicerad

Digitaliseringen finns inte. Inte framtiden heller. Vi behöver ett brett samtal om teknik och dess tillämpning, som ger plats för både olika tankar om vad teknik är och olika röster om hur den kan påverka.

Den här veckan arrangeras eMedborgarveckan, samordnad av Digidelnätverket. Mitt bidrag har varit sju biblioteksföreläsningar om vad digitalisering är och hur vi kan förhålla oss till den. Den hos Hyltebruks Digidelcenter livesändes på Facebook och går att se i efterhand.

Den här bloggtexten är en mix av lite av det jag sagt, diskussionerna som följt på mina föreläsningar och lite nya funderingar som uppstått i kölvattnet av dem. Några av tankarna har jag redan berört i Digitalsamtal, och därför också några länkar till podden. Var och en av underrubrikerna är egentligen värd ett eget, längre blogginlägg. Och så blir det säkert vad det lider.

Men nu i kortformat.

(Om nu 13000 tecken är kort.)

Digitaliseringen finns inte

En viktig utgångspunkt för diskussionen om digitalisering är att slå fast att digitaliseringen inte finns. Det finns inte en digitalisering, i bestämd form singular. Det finns många olika aspekter av digitalisering, och vi behöver förhålla oss till dem som separata saker.

Varför är det viktigt? Av den enkla anledningen att digitalisering ser väldigt olika ut i ett sågverk, på ett äldreboende och i ett tonårsrum. Om vi i tanken och i samtal försöker samla alla dessa olika former av digitalisering under ett enda paraplybegrepp och sen försöker ta ställning till om Digitaliseringen (bestämd form singular, här till och med med stort D) är bra eller dålig, viktig eller oviktig, lätt eller svår, då kommer vi aldrig hamna rätt. Var och en av oss kommer att lasta begreppet Digitaliseringen med olika idéer om vad det är och därmed diskutera den utifrån helt olika utgångspunkter.

Att tänka på och diskutera olika former av digitalisering gör det möjligt att på ett mer relevant sätt förhålla sig till de olika typernas styrkor och svagheter, möjligheter och utmaningar.

(Digitalsamtal #172 – Det finns inte en Digitalisering med stort D.)

Digitalisering är inte teknik

Jag tror också att det är viktigt att särskilja den underliggande tekniken från tillämpningen. En anledning är att det gör det möjligt att bättre förstå hur nyttan av digitalisering uppstår, och varför viss digitalisering är problematisk.

Det går inte att titta på ett lyckat digitaliseringsprojekt och tro att det ska gå att upprepa bara för att man väljer att använda samma verktyg. ”Om allt du har är en hammare så ser allt ut som en spik.” Ska man lyckas med ett digitaliseringsprojekt går det inte att börja med att gräva i verktygslådan och se vad man har. Man måste börja med att fundera på vad målet är, och sen skaffa en verktygslåda som gör det möjligt att bygga en lösning som tar en närmare det.

Men det omvända gäller också: Om vi tänker på tekniken som en verktygslåda blir det uppenbart att det är vad vi människor väljer att göra med verktygen som spelar roll. Med en hammare går det att bygga fantastiskt nyttiga saker. Men det går också att bygga sånt som orsakar problem och skada på både samhälle och för enskilda individer. Det går det däremot inte att skylla hammaren för. Att ett verktyg som maskininlärning kan ge fördomsfulla system är inte en anledning att döma ut maskininlärning rent generellt. Och det här är ytterligare ett argument för varför vi måste prata om olika former av digitalisering, istället för Digitaliseringen.

Om vi utgår från en Digitalisering och är rädda för fördomsfull maskininlärning, då finns en risk att vi väljer bort alla positiva tillämpningar av tekniken för att undvika baksidorna. Och det tror jag vore olyckligt. Mänskligheten står inför många stora utmaningar, och många av dem kommer vi kunna lösa med hjälp av digitala verktyg. Kolla gärna på seminariet Schyssta algoritmer – människans bästa vän? från Almedalen 2018. Vinnovas generaldirektör Darja Isaksson är en av paneldeltagarna. Hon lyfter diskussionen från att handla om enskilda algoritmer, till tekniktillämpning mer generellt. Och konstaterar att schyssta algoritmer är att se till att tekniken används där den gör nytta för människor.

Sen tror jag att det kan finnas verktyg i den digitala verktygslådan som så ofta används i problematiska tillämpningar att användningen av dem måste begränsas, kanske till och med förbjudas. Men oftast tror jag att det är tillämpningen inte tekniken i sig som vi bör fundera kring när skruvar på regelverk och lagstiftning.

(Digitalsamtal #188 – Så får artificiell intelligens fördomar.)

Fler röster behövs i samtalet

Att det inte går digitalisering som enbart teknik innebär också att fler än tekniker måste vara delaktiga i samtalet om tekniken och dess användning. Just nu rusar utvecklingen av självkörande bilar framåt. Ingenjörer hos alla fordonstillverkare är dem som bäst förstår hur en bil ska bli självkörande. Men det är inte troligt att de också är bästa på att förstå vilka konsekvenserna av självkörande fordon blir.

På många håll och på många nivåer runt om i landet behöver de som planerar den fysiska infrastrukturen fundera på vad självkörande bilar gör med behovet av parkeringsplatser och motorvägar. Inom sjukvården behöver man också fundera på vad självkörande bilar kommer att få för konsekvenser. Färre olyckor är ett av de drivande argumenten bakom teknikutvecklingen. Färre trafikskadade på akutmottagningar runt om i världen, alltså. Men en sökning på ”self driving cars organ donation” visar på ett möjligt dilemma: Färre trafikolyckor innebär färre organ att transplantera. Vad innebär det för sjukvårdens rutiner för att välja mottagare i en transplantation? Får det konsekvenser för den illegala handeln med organ?

Redan i utvecklingen av teknik finns det därför all anledning att inkludera så många kompetensområden som möjligt, för att på bästa möjliga sätt förstå både positiva och negativa konsekvenser.

Men det tvärdisciplinella gäller också i tillämpningen. Jag hör att digitalisering i många verksamheter fortfarande ses som ett teknikprojekt, och därför många gånger hamnar på bara it-chefen och it-avdelningen att hantera. Men en it-chef eller en it-tekniker har inte nödvändigtvis den detaljförståelsen för hur det ser ut ute i verksamheten. Vilka problem som finns att lösa, vad kärnuppdraget faktiskt är.

Rapporten The Malicious Use of Artificial Intelligence: Forecasting, Prevention, and Mitigation, som vintern 2018 publicerades av forskare från 14 institutioner, lyfter bland annat fram bristande teknikförståelse och teknikintresse hos lagstiftarna som en stor utmaning. En annan risk lyfts är att de som utvecklar tekniken är ovilliga att diskutera teknikens problem.

Det är ofta affärsmodellen som skaver

Föreläser man om digitalisering är det just nu omöjligt att inte hamna i diskussioner om personlig integritet, distraktioner och skärmtid. Men också här tror jag att det är viktigt att fortsätta hålla isär underliggande teknik från tillämpning.

Jag läser just nu boken  The Age of Surveillance Capitalism av Shosanna Zuboff. Den handlar om hur data har blivit en viktig råvara i en tid när annonsfinansiering är det viktigaste och vanligaste sättet att bygga en affärsmodell för konsumenttjänster. Men i boken blir det också uppenbart att det är just affärsmodellen som är det stora problemet. Eftersom individdata är så viktig för den görs intrång i den personliga integriteten, därför överutnyttjas notifieringarna i mobilen för att få användarna att plocka upp telefonen och därför hamnar vi också i diskussionen av skärmtid.

Vem ska hjälpa barnen att få en sund relation till sina skärmar?

Mobiltelefoner kan vara oerhört distraherande, med ständigt plingande notifieringar. Om det tror jag att vi alla kan vara överens.

Det går också att sträva mot en framtiden med färre digitala distraktioner. Men här och nu måste vi förhålla oss till verkligheten som den faktiskt ser ut. Högljudda debattörer låter allt för ofta, enligt min åsikt, diskussionen om skolans digitalisering handla om skärmtid istället för undervisningens innehåll. (Se där, ett konkret exempel på problemet med Digitaliseringen som samlingsbegrepp!)

För det första tycker jag att det är ett stort problem att innehållet i de nya styrdokument som började gälla för grundskolan 2018 reduceras till att handla om skärmarnas vara eller icke-vara i klassrummen. Skolan ska ta sig an digitalisering på väldigt många olika sätt, där mycket inte alls handlar om vilka verktyg som eleverna ska använda, utan vad de ska lära sig.

För det andra så kan man fundera på var barnen ska få lära sig hantera distraktionerna i mobiltelefonen om inte i skolan. Jag har aldrig hört en motståndare till mobilförbud som menar att telefonerna ska få användas hur som helst i klassrummen, att det ska vara okej att spela Fortnite på mattelektionen och skrolla flödet i Instagram på kemin. Däremot att telefonen kan användas som ett verktyg när det passar. Och när det inte passar, då ska den ligga i ljudlöst läge i jackfickan eller väskan. Om inte eleverna i skolan får lära sig de verktyg och inställningar som faktiskt finns för färre och minskade distraktioner i mobilen, var ska de lära sig om dem då? Är det rimligt att utgå från att de elever som har störst problem att låta telefonen ligga när den inte behövs i skolarbetet kommer lära sig det på egen hand utanför skoltid?

Den personliga integriteten

Den personliga integriteten. Jag pratade om den i veckans föreläsningar, och den kom flera gånger upp i diskussionerna efteråt.

Jag tycker att det här är en svår nöt.

Å ena sidan är den personliga integriteten viktig, av oerhört många anledningar. Till exempel så håller alla de här argumenten för ett starkt skydd av den personliga integriteten som jag spaltade upp i en text 2015 fortfarande. I min yrkesutövning som journalist är integriteten viktig som en del i källskyddet. (Ett av de senaste avsnitten av podden Recode/Decode är för övrigt väldigt intressant lyssning på just det temat: Whistleblowers have never been more important — or more at risk, says Whistleblower Aid CEO John Tye.)

Å andra sidan så har vi till exempel hur artificiell intelligens och maskininlärning öppnar dörren till allt bättre diagnos- och behandlingsmetoder. Men AI och ML är datakrävande lösningar, och i fallet med sjuk- och hälsovård så är det ofta data om enskilda individer som behövs.

Hur viktar vi rätten till personlig integritet mot möjligheten att få en tidig och korrekt diagnos på ett potentiellt livshotande tillstånd?

(Digitalsamtal #198 – Internetkunskap med fokus på integritet och #194 – Tekniken i akutsjukvårdens frontlinje.)

De etiska konsekvenserna när teknik som väljs bort

Den offentliga debatten kring digitalisering handlar väldigt mycket om konsekvenserna, inte minst de etiska, av den teknik vi väljer att använda. För att återvända till de självkörande bilarna så har en populär tankelek varit att fundera över hur en självkörande bil kommer att välja vem den kommer att köra ihjäl när en olycka är omöjlig att undvika.

Jag tror att det ofta kan vara nog så viktigt att göra den omvända tankeleken: Om vi låter bli att använda den här tekniken, vilka konsekvenser får det? Vem drabbas om vi inte ersätter en nuvarande, mänsklig och analog process, med en digital? Vilka kommer att drabbas av trötta, påverkade eller stressade mänskliga bilförare?

Framtiden finns inte heller

Jag inledde det här inlägget med att konstatera att Digitaliseringen inte finns. Det samma går att säga om framtiden. Den finns inte heller. Inte i bemärkelsen att den är förutbestämd.

Vi kan alla vara med och påverka hur den blir. Är vi tekniker, genom de lösningar vi är med och bygger. Är vi lagstiftare, genom de regelverk vi sätter upp. Är vi beslutsfattare, genom den teknik vi väljer att implementera. Är vi användare, genom hur vi väljer att utnyttja tekniken.

Sex frågor till dig

Den här veckan har också gett upphov till några frågor, sex stycken närmare bestämt, som jag ställde till Digitalsamtals lyssnare i onsdags. Du som läser det här får gärna också svara på dem:

  • Hur pratar ni om digitalisering i din verksamhet – med breda penseldrag eller väldigt konkret?
  • Vilka kompetenser är med i diskussionerna om digitalisering – är det tekniker, verksamhetsansvariga, personal, användare, andra grupper?
  • Är diskussionerna i första hand fokuserade på tekniken – eller på vad det är ni vill åstadkomma med hjälp av tekniken?
  • Hur pratar ni om konsekvenserna av digitaliseringen – som ett direkt resultat av den underliggande tekniken eller hur den används?
  • Hur pratar ni om konsekvenserna av att avstå från att digitalisera?
  • Hur diskuteras kraven på de digitaliserade processerna – finns det förväntningar på att de ska vara felfria eller görs jämförelser med hur väl dagens processer fungerar?

Facebook pressas om planerna på krypterad kommunikation

Publicerad

USA:s utrikesminister är en av de toppolitiker som pressar Facebook om företagets planer på att införa kryptering i många av plattformens chattfunktioner. Det som i decennier kallats för kryptokriget fortsätter alltså.

”Security enhancements to the virtual world should not make us more vulnerable in the physical world” är, enligt Buzzfeed, en av formuleringarna i ett brev som snart kommer att skickas till Facebook, undertecknat av bland andra toppar från USA, Storbritannien och Australien. (Vice har förresten inte valt en riktigt lika nyanserad rubrik som Buzzfeed.)

Det är givetvis lätt att sympatisera med det resonemanget.

Men det är också viktigt att komma ihåg det omvända: Om säkerhetslösningar på nätet försvagas kan det också göra oss mer sårbara.

Precis som så mycket annat när det gäller nätet är frågan om kryptering inte svartvit.

Jag förstår att Facebooks annonserade satsning på krypterad kommunikation är ett problem för polis och säkerhetsmyndigheter. Och kring de här resonemangen hörs ofta ”har du inget att dölja har du heller inget att oroa dig för”.

Men när jag är ute och föreläser om digitalt självförsvar brukar jag påminna dem som lyssnar om att det inte bara är myndigheter i jakt på brottslingar som är intresserade av att avlyssna internettrafik. En svartsjuk person vill se vad partnern chattar om, ett företag vill försöka hitta källan som läcker till journalisterna på lokaltidningen.

Nu verkar det inte som om brevet till Facebook kommer att argumentera emot all kryptering. Däremot uppmanas Facebook tänka på allmänhetens säkerhet genom att designa lösningen så att rättsvårdande myndigheter ska kunna få tillgång till chattmeddelanden. Det här är vad som brukar kallas för bakdörrar, sätt att låsa upp krypton för dem som anses behöva det. Problemet med dem är att ”nycklarna” till dem, kännedomen om hur bakdörrarna öppnas, kan komma på drift. Eller att personer som är betrodda med att öppna dem använder dem på sätt som det inte är tänkt.

Det här är också aspekter som vi måste ha med i diskussionen. Sveriges Radios vd Cilla Benkö skrev i en debattartikel nyligen om problemen med förbud mot anonyma kontantkort och tankarna på bakdörrar in i krypterade chattar. Den är läsvärd. (Men jag har också ett utkast till ett blogginlägg som kommer att problematisera Benkös debattartikel. Den texten dyker antagligen upp här i nästa vecka.)

Läs också gärna texten om olika nyanser av personlig integritet som jag publicerade häromveckan. Eller den jag skrev i november 2015, med anledning av en intervju som Dagens Nyheter hade gjort med Edward Snowden: Man behöver inte vara kriminell för att ha något att dölja – det räcker med att vara barn.

Provtänker: Vad är etiskt att välja bort?

Publicerad

Vid det här laget är det uppenbart att alla nya möjligheter till datainsamling och dataanalys gör att vi kan dra slutsatser och lärdomar om bland annat mänskligt beteende på ett sätt som tidigare inte gått. Halvvägs in i Shoshana Zuboffs bok The Age of Surveillance Capitalism har jag börjat fundera på vilka möjligheter till kunskap som är etiska att välja bort.

The Age of Surveillance Capitalism är en tjock bok. Den väcker många tankar om digitalisering och samhälle som jag med all säkerhet kommer att återkomma till under hösten och vintern. Där jag är i boken just nu skriver hon bland annat om de kritiserade experiment som Facebook gjorde för några år sedan, då man testade att skruva vissa användares flöde åt det mer negativa hållet medan andra Facebook-användare fick se mer positiva statusuppdateringar från vännerna.

Kritiken handlar bland annat om att Facebook utförde de här försöken utan att användarna kände till dem. Den kretsar också kring Facebooks möjlighet att utnyttja den här typen av datainsamling och dataanalys för att på olika sätt påverka användarnas tankar och beteenden åt olika håll.

Men oavsett vad man tycker om hur Facebook genomförde det här och liknande experiment, och hur kunskaperna i teori och praktik kan utnyttjas finns det ett viktigt principiellt resonemang att föra här:

Digitaliseringen ger oss nya möjligheter att samla in och analysera data. Det gör det möjligt att lära nya saker, om människors beteenden och om annat.

Det går att vända och vrida på det här på flera olika sätt.

En ingångspunkt, den som kanske är den vanligaste: Var går gränsen för vilken data som är etiskt möjlig att samla in – och vilka analyser av den är vi bekväma med?

En annan ingångspunkt, som man inte hör lika ofta: Var går gränsen för vilken data vi kan låta bli att samla in – och vilka analyser kan vi inte med gott samvete avstå från att göra?

Vi pratar ofta om de etiska aspekterna av de teknikval som görs. Men var är diskussionen om etiken kring den teknik som väljs bort? I Almedalen arrangerade forskningsinstitutet RISE 2018 en paneldebatt under rubriken Schyssta algoritmer – människans bästa vän? Vinnovas generaldirektör Darja Isaksson var med i panelen, och hon lyfte frågan från enskilda tillämpningar till ett systemperspektiv. I en artikel i IVA-aktuellt hösten 2018 sammanfattade jag hennes resonemang så här:

Eftersom mänskligheten kommer att behöva artificiell intelligens för att lösa några av det stora globala utmaningarna – som klimatfrågan, matförsörjning och hållbara transporter – är ”schyssta algoritmer” också att se till att tekniken verkligen används där den gör nytta.

Själv famlar jag efter riktigt bra svar på de här frågorna. För det är ju väldigt lätt att tycka att teknik ska användas till bra saker och inte till dåliga. Men det är svårt att säga vad som är bra och vad som är dåligt.

Det är uppenbart att det som så många gånger är enkelt att måla upp verkligheten som svartvit – ”datainsamling är integritetskränkande och dataanalys gör det möjligt att påverka oss på massor av dåliga sätt” – när den i själva verket är full av gråskalor – ”viss data är givetvis integritetskänslig, men för samhällets bästa måste vi tillåta att den används för just den här typen av analys”.

Men jag tror att en sak är uppenbar. Vi måste sluta diskutera teknikens möjligheter utifrån de problematiska tillämpningar vi reagerar på idag. Och i stället fundera på hur samma teknik kan användas till andra saker.

(Vilket för övrigt knyter an till en annan fråga som jag grubblar på, men som får vänta till en annan gång: Just nu ställs ofta personlig integritet i första rummet. Men är den personliga integriteten alltid det mänskliga värde som ska prioriteras? Och i så fall, vilken aspekt av personlig integritet? Men, som sagt, det får bli en annan gång.)

Foto: Nick Tiemeyer.

Provtänker: Flera nyanser av personlig integritet

Publicerad

”Hur många integriteter har du?” Om det känns som om frågan inte är skriven på särskilt bra svenska har du rätt. Ordet ”integritet” hör till de oräknebara substantiven. Kanske är det åtminstone en delförklaring till varför vi ofta pratar om ”personlig integritet” som om den bara är en enda sak. Men det måste vi sluta med.

Fredagen den 6 september handlade DN:s toppnyhet om webbläsartillägg som spionerar på användarna. ”Så avlyssnas och säljs hela din surfhistorik” löd rubriken på det första nyhetsuppslaget i tidningen.

Det här är ett vanligt sätt som personlig integritet diskuteras och debatteras idag: Digital datainsamling i smyg. Ofta utförd av it-jättar som Google och Facebook, även om det just i det här fallet rörde sig om mindre aktörer.

Men den som bläddrade vidare i samma DN hamnade på sidan 26, vinjetten Insidan och rubriken ”Min sambo har fått in och läst mina mejl och meddelanden”. Så kan frågan om personlig integritet också se ut. Inte insamling av ”datasmulor” utförd av mer eller mindre anonyma aktörer på nätet, utan personer i ens närhet som läser ens tankar i klartext.

Jag tror att det finns anledning att försöka hålla det här i huvudet. Att personlig integritet inte är en sak, utan många. Att den beror på sammanhang, relationer och innehåll.

Frågan om vad personlig integritet egentligen är kom upp på en av mina föreläsningar nyligen. Jag lovade att återkomma med några tankar. Det här är den texten. Valde att publicera här, och inte bara skicka till de som satt i publiken den gången, eftersom jag tycker att det här är viktiga frågor att fundera på.

Det som är uppenbart i den fysiska världen blir diffust i den digitala

I den fysiska världen är det här aspekter som vi ofta har en intuitiv känsla för. Vi förstår att det är en sak att stå på ett torg, mitt i en stor folkmassa och prata vitt och brett om vilken favoritglassen är, men en helt annan sak att en sen kväll hemma vid köksbordet prata med sin partner om hur man vantrivs med flera kollegor och nu funderar på att söka ett nytt jobb.

Sammanhanget spelar roll.

Relationen spelar roll.

Och innehållet spelar roll.

I det vi brukar kalla den fysiska världen är sammanhanget och relationerna ofta uppenbara, och därför går det snabbt att bedöma om det är ett lämpligt eller olämpligt tillfälle att ta upp innehållet till diskussion.

På nätet är sammanhang och relation inte lika uppenbara, och därför blir behovet större av att först fundera igenom hur känsligt innehållet faktiskt är.

Hur sammanhanget påverkar integriteten

Den 30 april klev Mark Zuckerberg upp på scenen på F8 2019, Facebooks årliga konferens för utvecklare. Hans presentation kretsade runt ett resonemang om att vi i den fysiska världen har offentliga platser (exemplifierade med stadens torg) och privata utrymmen (här var hans analogi våra vardagsrum). Facebook har så här långt framför allt byggts som en digital motsvarighet till det offentliga rummen. Framöver kommer utvecklingen hos Facebook kretsa mycket kring att skapa en digital motsvarighet till vardagsrummet. Det första Zuckerberg sa, efter att ha hälsat alla välkomna, var ”Today we gonna talk about building a privacy focused social platform”.

Att svenska internetanvändare börjat söka sig åt den typen av plattformar syns bland annat i statistik från Internetstiftelsen. Användningen av Messenger ökar, samtidigt som andra sätt att använda Facebook minskar. Givetvis har Facebook ännu bättre koll på den här förflyttningen, hur snabbt och i vilken omfattning den sker.

Det Zuckerberg pratade om kommer i praktiken bland annat att synas genom ett ökat fokus på just Facebook Messenger, som får en egen app för både Windows och Mac och som dessutom blir ett litet mini-Facebook i sig, med de allra närmaste vännerna. Och att konversationerna kommer att vara end-to-end-krypterade, vilket innebär att det som skickas från en användare stoppas ned i ett ”skyddande kuvert” i hens mobiltelefon eller dator, ett kuvert som bara kan öppnas av mottagarens pryl. Resultatet är att det som skickas är skyddat från avlyssning – ”från hackare, från myndigheter och från oss”, som Zuckerberg sa.

I reaktionerna på Zuckerbergs presentation såg jag någon kalla detta för ”en av största insatserna för skyddad kommunikation mellan privatpersoner någonsin”. På liknande sätt var det många som resonerade när WhatsApp fick kryptering för några år sedan: Genom att lägga till kryptering i etablerade tjänster som redan har miljarder användare blir det inte misstänkt i sig att ha en app som låter användaren kommunicera krypterat och inte behöver vi heller fundera på vad som är värt att hålla hemligt när allt blir skyddat mot avlyssning. Med appar som Signal och Wire har samma skydd mot avlyssning gått att få sedan länge, men eftersom det krävt att man installerat en speciell app har det inneburit en tröskel att börja kommunicera, att man ska komma ihåg att man har den kanalen tillgänglig och i vissa delar av världen ett problem att ha den typen av app i mobiltelefon eftersom det visar att man har något att dölja.

Hur relationer påverkar integriteten

Integritet är något vi har eller inte har i förhållande till andra. Det kan handla om andra människor, och i så fall gör det skillnad om det är personer vi känner och har förtroende för, personer vi känner men inte litar på eller om det är för oss helt okända personer. Men det behöver inte vara enskilda individer. Det kan vara myndigheter eller andra delar av det offentliga. Det kan vara företag eller andra organisationer.

För att göra det ännu mer komplext: Ibland är det relationer vi vet att vi har (som till den snokande partnern i DN:s artikel), ibland relationer vi inte är medvetna om att vi har (företagen som utvecklar webbläsartilläggen som samlar in data).

Hur data påverkar integriteten

För att diskussionen om integritet ska bli intressant och relevant räcker det inte med ett sammanhang och en relation. Det måste också finnas någon form av uppgifter, information, innehåll – jag nöjer mig med samlingsbegreppet data här – som vi antingen är bekväma att andra känner till eller som vi vill hålla för oss själva eller åtminstone begränsade till en mindre krets.

  1. Data vi är medvetna om att vi delar. Hit hör bilderna vi delar på Instagram, statusuppdateringarna du skriver på Facebook och meddelandena du skickar via SMS.
  2. Data andra samlar in om oss, det som brukar klumpas ihop i begreppet ”digitala fotspår”. Vilka webbplatser besöker du, var rör du dig i den fysiska världen, vem är du vän med på Facebook?
  3. Data om oss som skapas genom att analysera annan data som vi lämnat i från oss eller som samlats in. Här ger utvecklingen av maskininlärning och artificiell intelligens allt större möjligheter att hitta självklara eller överraskande samband i stora datamängder. Hur ser sambandet mellan bilderna du laddar upp på Instagram och din mentala hälsa ut, till exempel?

Värt att notera i sammanhanget är att påståenden om att ”data samlas in på ett anonymt sätt” har visat sig mycket svåra att leva upp till i praktiken. Även om man tror att man rensat bort de detaljer som knyter data till en viss individ är det ofta möjligt att göra den kopplingen igen, genom dataanalys.

Vilket verktyg är rätt?

Hela den här diskussionen kopplar till de vardagsråd om vardagstrygghet på nätet som jag skrev om härom veckan. Att hitta sätt att ducka för den kontinuerliga datainsamling som sker på nätet är inte alltid enkelt. En viss förståelse för vad ett webbläsartillägg är och hur de fungerar kanske gör att man kanske undviker att hamna i de problem som DN skev om den 6 september. Men mycket annat är svårt att känna till eller hantera. Som dating-apparna som läcker platsinformation.

Men med mer närliggande problem finns det mer att göra. En snokande partner går att förhålla sig till genom aktiva val av exempelvis kommunikationsverktyg och genom att se till att man har bra lösenord till sina tjänster och prylar.

I den fysiska världen handlar valet av ”verktyg” ofta om att välja plats och tillfälle för var och när vi pratar om något. På nätet är verktygsvalet egentligen lika konkret, men handlar då om e-post kontra chattapp, eller andra tänkbara kommunikationsvägar.

Slutpoäng: Integritet är komplext

Frågan om personlig integritet är komplex och mångfacetterad. Reducerar vi den till att handla om Den Personliga Integriteten, i bestämd form singular, tror jag att det finns en stor risk att vi många gånger kommer hamna snett. Vi behöver, oftare än vad vi kanske tror, ställa olika former av integritet mot varandra, men också integritet mot andra mänskliga värden som också är viktiga. Att det till exempel finns forskning som antyder att det går att ställa tidigare cancerdiagnoser genom att analysera vad människor knappar in i nätets sökmotorer, hur ska vi som samhälle förhålla oss till det?

Foto: Dayne Topkin.

Provtänker: Hur mycket ska användare behöva fundera på säkerhet och integritet?

Publicerad

Under de senaste veckorna har jag ett par gånger skrivit om nätsäkerhet och integritet och vad man som enskild internetanvändare behöver bry sig om. Det finns ett eget ansvar för att göra sin nätvardag trygg. Frågan är hur långt det sträcker sig.

Säkerhetsföretaget Pen Test Partners publicerade nyligen en säkerhetsgranskning av fyra populära datingappar. Men det var inte en granskning som tog sikte på användarnamn, lösenord och den data som användarna matar in i sina profiler. I stället var det hur bra apparna skyddar användarnas fysiska plats, var de för tillfället befinner sig.

Inte vidare värst, visade det sig.

Apparna visar hur långt bort andra användare befinner sig. Men inte i vilken riktning. Därmed är tanken att uppgiften om avstånd ska ge en indikation om hur nära andra användare är, men inte avslöja den exakta platsen.

Men genom triangulering lyckades Pen Test Partners ändå räkna ut det. Triangulering innebär att man vet avståndet från en användare till tre andra punkter. Vet man det går det också att räkna ut var personen i fråga befinner sig. Via tjänsternas API:er, ett gränssnitt in i appen som programmerare kan använda, kunde säkerhetsexperterna lätt låtsas att de var på tre olika platser, samla in avståndsinformation till andra användare och sedan räkna ut var de befann sig.

I slutet av augusti gav jag fem råd som ger en tryggare nätvardag. Det är fem råd som ger en hyfsad basnivå, men som inte på något sätt hjälper till att hantera risker som den här.

I sin sammanfattning konstaterar Pen Test Partners att

this risk level is elevated for the LGBT+ community who may use these apps in countries with poor human rights where they may be subject to arrest and persecution.

För den genomsnittliga användaren av de aktuella tjänsterna ser det inte ut som om platsinformationen andra får är tillräcklig detaljerad för att kunna lista ut var man befinner sig. Det går heller inte att utgå från att en genomsnittlig användare är medveten om hur triangulering går till. Och även om den kunskapen skulle finnas går det inte att se att det via API:et är möjligt att göra vad Pen Test Partners gjorde.

Det är här jag börjar fundera på var gränsen för det egna ansvaret går och vad man kan förvänta sig att företaget som bygger tjänsten tänkt på. Pen Test Partners fortsätter i sin sammanfattning:

App makers must do more to prevent location leakage in their apps and properly communicate this risk to their users.

Som utvecklare, både i bemärkelsen ”enskild programmerare” och ”företag som tillhandahåller en tjänst”, behöver man tänka till ordentligt, göra en riskanalys å sina användares vägnar och se till att tjänsten blir säker utifrån deras situation.

Men tyvärr är det väl som många säkerhetsexperter jag intervjuat genom åren konstaterat: Det är inte bra säkerhetslösningar som lockar användare. Med begränsade resurser för utveckling är det lätt att valet hamnar mellan att bygga säkerhetslösningar som ingen ser eller funktioner som gör att tjänsten eller produkten sticker ut i konkurrensen.

Det finns också en parallell till många av de diskussioner som just nu pågår om föräldrars ansvar för sina barns teknikanvändning, att man behöver läsa på om hur data samlas in, används och delas. Men också här går det att fundera på hur långt det är rimligt och möjligt att sträcka ut det egna ansvaret.

För det första är många användarvillkor svårlästa, långa texter med krångliga begrepp.

För det andra är det inte ens om man läser villkoren självklart vilken information som faktiskt samlas in.

För det tredje, och kanske mest bekymmersamt, är att det är väldigt svårt att veta vilka slutsatser som är möjliga att dra utifrån den data som samlas in.

För varje app som ett barn vill börja använda, är det rimligt att föräldrarna ska ta sig igenom den här trestegsraketen? För varje ny uppkopplad pryl vi installerar i våra hem, är det rimligt att ta sig igenom den här trestegsraketen?

Jag tror att företagen som bygger lösningar så sakteliga är på väg att ge säkerheten ett större fokus, eftersom det börjar bli uppenbart hur hårt säkerhetsslarv kan slå mot verksamheten. Dessutom har lagstiftarna vaknat, med GDPR som det kanske främsta exemplet hittills för att flytta en del av ansvaret för dataanvändning från enskilda användare till företag och andra organisationer.

Men kring GDPR hör jag nu ofta en annan oro, om att den snävar in möjligheterna för mycket. Inte minst är detta resonemang som kommer från forskarhåll, där man ser stora möjligheter för exempelvis sjukvård och medicin i kombination med dataanalys. Men det är tillämpningar som kräver tillgång till data.

Det verkar inte som om vi hittat rätt balanspunkt mellan eget och andras ansvar för säkerhet och dataanvändning. Frågan är var den balanspunkten finns och om vi någonsin hittar den.

Foto: Thor Alvis.

Missa inte min kommande gratis-bok med tips för uppgiftslistan, kalendern och e-posten!