Den här artikeln fungerar inte med mobiler i strömsparläge. Stäng av strömsparläget om det är på, och ladda om sidan!

Din plats till salu – Appar spårar var du är – uppgifterna säljs öppet

Text: Kristoffer Örstadius och Linus Larsson

PUBLICERAD 2019-04-23 15:00

Hundratusentals svenskar blir gps-spårade via appar i mobilen – dygnet runt. Nu kan vi avslöja hur informationen säljs öppet.

Dagens Nyheter har fått tillgång till en av de databaser som säljs. Den består av nästan en miljard loggade positioner i Sverige – vid allt från psykiatriska mottagningar till skolor och bostäder.

Loggningen beskrivs av säljarna som anonym, men i databasen kunde vi enkelt identifiera enskilda. ”Verkligen obehagligt”, säger Björn Sjögren, en av de som fått sitt rörelsemönster sålt.

Tänk att någon har en databas som kartlägger var du har rört dig. Varje plats du har varit på. Var du är på natten. Hur du åker till jobbet, träffar en vän, besöker ett sjukhus. Kanske tillbringar en natt på ett annat ställe än vanligt.

Tänk sedan att databasen är till salu. Att företag har gjort till sin affärsidé att sälja detaljerad information om ditt rörelsemönster, registrerat av appar i din mobiltelefon. Att en kartläggning av varje plats du har besökt kostar några tusenlappar.

DN kan i dag ge en unik inblick i den internationella handeln med data över hur människor rör sig. Vi har kunnat ta del av, och analysera, en av de databaser som bjuds ut till försäljning. Den omfattar omkring en miljard sparade positioner, som var och en visar exakt var en människa har befunnit sig vid ett visst tillfälle.

Den som köper databaserna kan se var hundratusentals svenskar har befunnit sig vid olika tidpunkter.

Hur de förflyttat sig. Var de bor, jobbar och är på fritiden.

Uppgifterna rör vanliga, svenska mobilanvändare. De flesta vet sannolikt inte att deras exakta position har sparats – och nu säljs öppet på marknaden.

I den här granskningen, som publiceras i flera delar, kommer vi kontrollera företagens påståenden om att informationen är anonym. Vi kommer också visa hur människor kan följas på extremt privata platser, hur de spåras på psykiatriska mottagningar och på väg till skolor.

Det finns minst ett tiotal etablerade aktörer på marknaden som säljer data om människors rörelsemönster. De vänder sig till allt från finansbranschen till detaljhandeln och stadsplanerare och beskriver datan som värdefull för att lära sig om hur människor rör sig, var de shoppar och kan nås med reklambudskap.

För att förstå vad som finns till försäljning utgav sig DN för att företräda ett analysbolag inom detaljhandel. Vi vände oss till en rad dataföretag i branschen med frågan: Vilken data om svenskar har ni och vad kan ni erbjuda? Ett bolag berättade att de har sin avlyssningskod i hundratals mobilappar. Ett annat berättar att det spårar över 300.000 mobiler inom Sveriges gränser. De gör klart att de vill sälja. Ju mer data och ju fler mobiler, desto högre pris.

Ett återkommande löfte i branschen är att informationen samlas in anonymt. Men den databas som DN har kunnat granska, och som exemplen i denna artikel bygger på, visar att sådana garantier inte håller, när folk spåras dygnet runt.

Visserligen innehåller informationen varken namn eller adresser. Men där finns mängder med loggningar nattetid i människors bostäder, ofta återkommande natt efter natt. I många fall fortsätter spårningen under dagen, med resor till arbetsplatsen tydligt markerade.

Med så detaljerad information är det ofta omöjligt att hålla en människas identitet hemlig. En sådan loggning pekar ut en vit 1940-talsvilla i Nacka, öster om Stockholm.

Villan är idylliskt belägen invid ett skogsparti. Här har ägaren av en Samsung-mobil blivit loggad över tusen gånger. Både natt- och dagtid.

Vid sjutiden på morgonen lämnar en bil platsen och kör västerut. På motorvägen blir punkterna tätare, ett tecken på trafikstockning.

Gps-punkter sparas både när personen reser och är stilla. Som mest sparas positionen var femte sekund.

Samma telefon loggas återkommande dagtid vid Nacka sjukhus – ett tydligt tecken på att det är personens arbetsplats.

Hem och arbetsplats, är man anonym när båda avslöjas?

Nej. Bakom datapunkterna finns Björn Sjögren, verksamhetschef på Nacka sjukhus, som har spårats i månader utan att veta om det.

Han har låtit DN granska all data om honom. Bilden som framträder visar hur detaljerad spårningen är. På arbetet och på fritiden. Dygnet runt.

Med Björn Sjögrens tillåtelse har DN gått igenom allt som finns om honom i databasen. Promenader, resor till jobbet, besök hos anhöriga – allt ger avtryck i form av koordinater som placerar honom på en exakt plats vid en exakt tid. Han är långt ifrån den enda som har spårats så ingående. Det tog DN bara några minuter att identifiera Björn. En mängd svenskar hade enkelt kunnat identifieras på samma sätt.

Loggningen nattetid var avgörande för att han skulle vara lätt att hitta. Natt efter natt registrerades hans position i villan i Nacka. En snabb slagning var allt som behövdes för att se vilka som bodde där. När man dessutom kunde se att han tillbringade dagarna på Nacka sjukhus, stod det klart att det inte kunde röra sig om någon annan.

– Man kan se var jag har mitt arbetsrum och hur jag rör mig inom sjukhuset. Det är väldigt precist, säger han när DN visar honom spårningen i sjukhusbyggnaden.

Loggningen följer honom på ärenden till andra sjukhus i Stockholmsområdet...

...när han stannar på Lidl för att handla mat.

I mitten av december: Björn spåras vid ett bostadshus öster om Stockholm.
– Jag var och hälsade på min mamma. Hon bor där. Jag minns inte just datumet, men jag ser ju att det är där hon bor. Det är otroligt detaljerat.

En natt avviker – den tillbringas på Grand hotel i Saltsjöbaden. Spårningen är så exakt att den placerar honom i hotellets östra flygel.
– Det stämmer bra. Vi hade en konferens, någon gång i januari. Jag har bara varit där en gång. Man ser till och med var jag hade mitt rum, säger han.

Hans position har loggats mer än 2.000 gånger under några månaders tid. Allt fördes in i en av de databaser som säljs av dataföretag.

Men mobilspårningen visar inte bara utflykter och vardagliga rörelsemönster. Den fångar också in människor i djupt privata situationer. Många platser, där vi har hittat lagrade positioner, är så känsliga att vi har valt att inte göra någon vidare analys, eftersom det skulle kunna peka ut en enskild person. Vi har också valt att inte redovisa datum för några av dessa besök.

Det handlar om spårning av människor när de söker vård på sjukhus. Går till skolan.

Vissa har till och med kartlagts när de besöker begravningsplatser:

Det är eftermiddag, en höstdag i Göteborg. Exakt klockan 15:30:47 viker en person av från Kålltorpsgatan in bland gravarna på Östra kyrkogården.

Mobilen rör sig i 4,5 kilometer i timmen. Det motsvarar vanlig promenadtakt. Loggningen är exakt, och berättar även vilken version av Iphone personen har.

Här strosar besökaren i lite mer än 4 minuter. På platsen finns flera gravar.

Vad personen nog inte vet är att dennes position registreras av en app i mobilen. Det sker flera gånger i minuten.

Informationen skickas via internet till ett utländskt företag. Sedan bjuds den ut till försäljning som en del av bolagets handel med positionsdata.

Personen fortsätter promenaden genom kyrkogården mot den sydöstra delen.

En vinternatt tidigare i år började en mobiltelefon rapportera sin position inifrån byggnaden som rymmer den psykiatriska mottagningen vid Hudiksvalls sjukhus. Spårningen är så detaljerad att man tydligt ser var i byggnaden mobiltelefonen, och alltså sannolikt personen som äger den, befinner sig. Det är exakt där psykosmottagningen är belägen, där akut psykiskt sjuka tas emot dygnet runt.

Precis som alla loggningar lades den in i databasen och bjöds ut till försäljning. Följande natt rapporterades ytterligare en lång rad loggningar på samma plats.

Många av de som har spårats på så känsliga platser har även fått sin position loggad på annat håll, ett tecken på att de skulle kunna följas och sannolikt identifieras. DN har i dessa fall alltså valt att inte göra någon fortsatt kartläggning.

Kring flera skolor sker intensiv loggning. I många fall är spåren så detaljerade att man kan följa en person på morgonens promenad mot skolbyggnaden, rörelserna mellan klassrum och se hur punkterna på eftermiddagen lämnar byggnaden.

07:02:54 Strax efter klockan sju på morgonen kommer en person gående mot en grundskola i Huddinge kommun, söder om Stockholm. Färden har påbörjats i ett bostadsområde.

07:04:09 Kort därefter släntrar personen över gräsmattan, förbi parkeringen och mot skolans entré. Allt loggas och skickas till ett utländskt dataföretag för att bli handelsvara.

Under dagen följer ett stort antal loggningar i och omkring skolans lokaler.

Mot eftermiddagen leder spåren ut mot entrén igen. Rörelsen är sannolikt personen som avslutar sin skoldag och börjar lämna byggnaden.

Datapunkterna i det material DN har kunnat granska ska inte sammanblandas med trafikdata från mobiloperatörer, som också innehåller information om människors position. Frågan om hur mycket information operatörer ska spara om sina kunder, och hur polisen ska få tillgång till den, har blivit politiskt brännhet.

EU-domstolen stoppade den svenska lagen om trafikdatalagring, vilket fick polisen att varna för att allvarliga brott inte skulle kunna lösas. Nyligen presenterade inrikesminister Mikael Damberg sitt förslag för att återinföra den. I förslaget regleras just positionsdata allra hårdast, den ska bara sparas i två månader.

Men när loggning av rörelsemönster sker kommersiellt i appar, då gäller helt andra spelregler. I stället förvandlas informationen till en handelsvara – kyrkogårdspromenaden, sjukhusbesöket, den sena krognatten.

Illustrationen visar fingerade uppgifter, men motsvarar det viktigaste innehållet i den data som säljs.

Tekniskt sett består databasen av otaliga rader med information, där varje rad motsvarar en loggad position med koordinater, tidsstämpel och viss bonusinformation om mobiltelefonens modell och mjukvara.

I många fall finns ett unikt id för mobiltelefonen, som gör det möjligt att följa dess rörelse under lång tid.

Handeln med positionsdata är inte på något sätt unik för Sverige. En granskning i New York Times i vintras visade ett liknande mönster. Tidningen såg spårning på alltifrån skolor till en abortklinik. Det gick enkelt att identifiera människor, utifrån var de loggades nattetid och dagtid.

”Det är inte allmän egendom hur jag rör mig och vad jag gör”, säger Björn Sjögren, som kartlagts av apparna utan sin vetskap. Foto: Lars Lindqvist

Björn Sjögren på Nacka sjukhus säger att han var väl medveten om att man lämnar digitala spår efter sig. Men han reagerar kraftigt på att de blir en handelsvara.

– Det är verkligen obehagligt. Jag hade ju kunnat vara någon som jobbade mer kliniskt med patienter, till exempel med hemsjukvård. Då hade man kunnat spåra vilka jag besöker, säger Björn Sjögren när han får se hur han har registrerats.

– Jag har ingenting att dölja, men i orätta händer kan det ändå bli väldigt obehagligt. Det är inte allmän egendom hur jag rör mig och vad jag gör.