Illustrationen er lavet i samarbejde mellem Føljetons “naturlige“ intelligens og en kunstig intelligens på platformen MidJourney.
De ved allerede, hvor du bor, hvor mange penge du har, og “hvad du har på rullebladet“, altså på straffeattesten eller hos inkasso. Nu vil de også vide, om du køber cigaretter i smug på vej hjem fra festen, eller hvor ofte du spiser koteletter til aftensmad.
Sådan indledte det norske statsmedie NRK for få uger siden en nyhed, der har medført et ramaskrig i landet: Den norske statistikmyndighed, Statistisk Sentralbyrå (SSB), pendanten til Danmarks Statistik, kræver nu af landets supermarkedskæder, at de skal dele alt det data, de har om, hvad nordmændene bruger penge på.
Det har SSB egentlig allerede vidst i en årrække: Forskellen er bare, at personer, der deltog frivilligt, før i tiden selv håndskrev detaljerede lister på et stykke papir for at hjælpe myndighederne med at beregne skattepolitik og størrelsen på børnebidrag.
Men den slags er både tidskrævende og fejlbehæftet, for som SSB selv siger til NRK, “skulle du helst vide, hvad koteletten koster“. Derfor har de i det sidste årti diskuteret muligheder for at digitalisere processen for dels at gøre den nemmere – og for at lave bedre forbrugerstatistik ved at kombinere kvitteringsdata med fx indtægt og uddannelse.
Ingen har mulighed for at sige nej: Dagligt vil SSB indhente 2,4 mio. kvitteringer fra NorgesGruppen, Coop, Bunnpris og Rema1000, der tilsammen dækker 99 pct. af dagligvarehandlen i Norge. Også betalingsfirmaet Nets bliver pålagt at dele deres betalingsinformationer. Kvitteringsdata kan nemlig kobles til de enkelte betalingskort, som SSB, der er forankret under det norske finansministerium, skriver i en cost-benefit-analyse.
Men hvor meget har staten egentlig ret til at vide om den enkelte borgers dagligdag og vaner? Beslutningen har medført kritik fra juraeksperter og de pålagte aktører, herunder Nets, der klager over, at det er “problematisk og indgribende for den enkelte borger“, ligesom flere borgere udtrykker, at de nu hellere vil ty til kontanter.
NorgesGruppen, der bl.a. ejer Kiwi, Meny, Spar og Joker, har klaget til Datatilsynet, som fredag i sidste uge bad om en formel redegørelse fra statistikbureauet over, hvor lang tid de vil gemme oplysningerne, og om indsamlingen overhovedet er “forholdsmæssig“. Redegørelsen er ikke kommet endnu, men foreløbigt holder SSB fast i, at der ikke er “nogen andre måder at gøre det på“.
Spørgsmålet er så bare, om det er nødvendigt. Her indvender statistikmyndigheden, at den samlede “samfundsnytte“ er større end omkostningen. Og at de tager alle sikkerhedsforanstaltninger, såsom at sikre pseudonymisering af kontonumre, at data så tidligt som muligt ikke er på individniveau, at kun få mennesker får adgang til individdata, mens ingen har adgang til alt, og at alle har tavshedspligt. Men kritikerne frygter stadig den overhængende risiko for datalæk, som man i Norge har set det i politiet, Stortinget, industrifirmaet Hydro og medievirksomheden Amedia.
“Vi vil lege med alle dem, der vil lege med os“
Det norske statistikbureau har i årevis modtaget transaktionsdata på virksomhedsniveau. Mens de altså nu også kan tillade sig at kræve individdata efter paragraf 10 i den norske statistiklov, forholder det sig anderledes i Danmark. Her kan Danmarks Statistik (DST) kræve data fra virksomheder, så længe det handler om medarbejdere og interne regnskaber, men ikke om kunderne, så længe det skal bruges til statistik.
Siden 2011 har DST modtaget ugentlige stregkodedata fra de største supermarkedskæder, der dog kun gælder vare og pris, og som i dag dækker ca. 80 pct. af supermarkedshandlerne. Og herhjemme har man de samme udfordringer som i Norge med de årlige forbrugerundersøgelser, der sker på frivillig basis, hvor deltagerne selv indberetter deres forbrugsmønstre.
“Danmarks Statistik kan ikke kræve af virksomhederne, at de deler detaljerede data om deres kunder, men vi kan spørge,“ siger Katja Møller Hjelvang, chef for pris- og forbrugskontoret i DST, til Føljeton.
“Det er ikke nogen hemmelighed, at vi leder med lys og lygte efter måder, vi kan gøre forbrugsundersøgelser både bedre og billigere. Vi vil lege med alle dem, der vil lege med os, men vi kan ikke kræve af virksomhederne, at de udleverer data om deres kunder.“
Men supermarkederne har allerede personhenførbare oplysninger opbevaret – fra når vi kører kortet gennem maskinen eller bruger loyalitetsapps. I 2015 lød det fra det daværende Dansk Supermarked (i dag Salling Group), at de anvendte kvitteringsdata for at kunne forbedre reklamer og se, hvilke varer der oftest blev købt sammen, samtidig med at de gemte den såkaldte hashværdi for hver transaktion – et unikt nummer, der potentielt kan kobles til dit Dankort. Dog uden at anvende den.
De danske Meny-butikker, der ejes af NorgesGruppen, begyndte samme år at lave unikke købsprofiler for brugere af deres loyalitetskort. Også Storebox, der administrerer MobilePay’s betalingsløsninger, opbevarer hashværdien fra kvitteringen, selvom formand for IT-politisk forening Jesper Lund, udtalte, at det kan være på kant med loven om betalingsmidler.
Dengang sagde den daværende funktionschef i Dansk Supermarked, Kim Kraglund, til techmediet Version2, at de altså i fremtiden gerne ville kunne bruge værdien for at koble køb til den enkelte og faktiske kunde, så der ikke længere var tale om anonyme data: “Selvfølgelig vil disse oplysninger på sigt være interessante at sætte sammen i forhold til loyalitet, Big Data-analyse osv. Men alt sammen på sigt. Og under alle omstændigheder – og det ligger os kraftigt på sinde – så skal brugeren godkende, hvis vi skal bruge deres data.“
Føljeton har kontaktet Salling Group for at høre, om de har arbejdet videre på idéen siden da. Det afviser de at svare på. /Emma Louise Stenholm
Rema1000 i Norge oplyser, at det norske krav ikke gælder danske butikker. Det samme har Meny/Dagrofa gjort, siden artiklen blev publiceret. Også SSB skriver til Føljeton, at der kun er bedt om adgang til transaktionsdata fra norske butikker, mens danske statsborgere bosat i Norge, og med et betalingskort med den nationale betalingsløsning BankAxept, vil få deres transaktioner registreret. Danske turister i Norge falder dermed uden for dataindsamlingen.