Oavsett om du gör sökningar på nätet eller använder ditt kreditkort lämnar du digitala spår, som sparas i register.

Antag till exempel att din mobil frågar om du godkänner att ”anonyma data” skickas för att ge dig en bättre upplevelse. Eller du kanske betalar en semla på cafét med kreditkortet, och sedan använder du samma kreditkort till att köpa böcker och kläder på nätet.

Mobilen och ditt kreditkort är exempel på sådant som avslöjar var du befunnit dig och vad du haft för dig. Informationen lagras i olika register, där ditt namn inte ska kunna avslöjas.

– Kraven på på personlig integritet innebär att vi inte vill att någon ska kunna se exakt vad vi personligen haft för oss, och var vi befunnit oss timme för timme, säger dataforskaren Daniel Gillblad.

90 procent av personernas identitet avslöjades

Men amerikanska forskare har nu testat ett ”anonymiserat” kreditkortsregister och visat hur de kunde peka ut namnen på 90 procent av de 1,1 miljoner personerna i registret.

– Det vi lär oss av den här forskningen är att vi verkligen måste tänka över vad det betyder när något ”anonymiseras”. Att det här är anonymt är en sanning med modifikation, och vi behöver tänka på det när vi går med på att lämna ifrån oss personliga data, säger Yves-Alexandre de Montjoye, en av forskarna bakom studien.

Företags och myndigheters register använder ofta en typ av ”anonymisering” där varje användare får ett ID-nummer, som inte i sig kan kopplas till en viss person. Men den nya forskningen visar alltså att det lätt går att ta reda på vilka personer som döljer sig bakom olika ”anonyma” ID-nummer i datorregister.

”Slående lätt att återidentifiera”

Den svenske forskaren Daniel Gillblad har läst den nya amerikanska studien och tycker att den tydligt bevisar något som tidigare mest funnits som ett orosmoln:

– Det som är slående är att det här bekräftar det som vi dataforskare har misstänkt – att det är ganska lätt att återidentifiera individer i datamängderna som alltmer sprids mellan företag och myndigheter, säger Daniel Gillblad, som leder liknande forskning om stora datamängder på forskningscentret SICS i Kista.

Det som de amerikanska forskarna konkret kommit fram till är att du bara behöver ha två fakta om en person i en databas på 1,1 miljoner personer, för att med mer än 50 procents sannolikhet kunna peka ut rätt ”anonymiserad” person i databasen.

– Du behöver känna till väldigt lite om en person för att kunna veta vem det är i databasen. Det räcker till exempel med att du vet att jag köpte en semla i ett köpcenter igår vid lunchtid och sedan köpte några kläder vid lunchtid idag i ett annat specifikt område i stan, förklarar Daniel Gillblad.

När personen är avanonymiserad kan vi sedan ofta se precis vad hen haft för sig under en lång tidsperiod, vilket är just meningen att man inte ska kunna när registren är anonymiserade. Det kan handla om var man befunnit sig olika tidpunkter, och vad man gjort eller inhandlat.

Facebook och Google samlar ”anonym” data

Även i våra mobiler godkänner vi ofta att det skickas ”anonymiserad data” till olika appar och till företag som Facebook och Google, och enligt Daniel Gillblad är det riskabelt att betrakta den här informationen som anonym.

– Redan som det är nu så läcker vi en massa information via andra kanaler. Du kanske meddelar var du är på Facebook eller Instagram. Du twittrar om att du köpte en kaffemaskin på något visst ställe, och så vidare.

– Det här visar att när företag sprider hela såna här datamängder, till exempel i forskningssyfte eller av andra skäl, så är det något som måste vägas emot vilken nytta man kan ha av de här registren.

”Vi måste vänja oss”

Daniel Gillblad tror att fördelarna med de här dataregistren är så stora att de kommer att fortsätta användas.

– Vi vill ju ha möjlighet att utnyttja den här mängden data. Hur folk rör sig till exempen för att kunna bygga våra städer på ett smart sätt.

– Bitvis måste vi kanske som de här forskarna skriver vänja oss vid en annan typ av inställlning där vi vet att det alltid finns en möjlighet att återidentifiera oss ur den här typen av anonymiserade databaser.

Daniel Gillblad själv använder inte sociala medier, delvis på grund av en medvetenhet om de här riskerna.

– Jag är lite petig med sånt här. Det är också en allmän inställning jag har att allt sånt som vi delar med oss av på sociala medier går att koppla till oss även om det är anonymiserat i databaserna. Jag tror inte att någon skulle göra något emot mig men det är ändå en obekväm känsla att möjligheten finns.

Den nya studien publiceras i vetenskapstidskriften Science idag.