Varför är Origos GDPR övertramp allvarlig?
Varför är det så allvarligt att Origo rekryterat till sin panel i slutet på SJ:s kundundersökningar? En händelse min kollega Mikael rapporterade om för ett par veckor sedan och kan läsas här: GDPR, kundurval och upphandlingar
Den korta versionen:
Origo har behandlat SJ:s register utanför sin rättsliga grund som underbiträde. Något som borde utredas av Integritetsskyddsmyndigheten (IMY) då det är en känd incident och kanske faktiskt är så illa att det leder till sanktionsavgifter.
SJ har rättslig grund att undersöka sina kunders upplevelse i egenskap av kund till SJ. Eftersom SJ inte är ett undersökningsföretag anlitar de ett sådant för att genomföra undersökningen. Det är ofta bra. Undersökningsföretag som följer vår branschs etiska regler säkerställer anonymiteten. Samt att vi vet hur man bäst frågar för att få en förståelse. Tyvärr kan jag inte gå i god för Origos hantering kring något av detta. Bara att jag behöver skriva detta inlägg är illa nog.
När SJ skall undersöka sina kunder med hjälp av Origo ger man dem mandat att agera utifrån SJ:s rättsliga grund för vad de får göra med sitt kundregister. Detta säkerställs via ett underbiträdesavtal. Avtalet reglerar vad Origo får göra på SJ:s mandat.
Det är alltså SJ:s rättsliga grund som är den yttersta begränsningen för vad SJ och de som agerar i SJ:s intresse får göra. Men oftast är ett underbiträdesavtal mer inskränkt. T.ex. att man i detta fall för SJ:s räkning skall undersöka resenärernas upplevelse av sin resa med SJ, inget mer.
Origo har inte rätt att marknadsföra sig, tjäna pengar på kundregistret eller sälja något. SJ får så klart marknadsföra sig, tjäna pengar genom att sälja resor till sina kunder. Men det får garanterat inte Origo.
Utifrån undersökningsbranschens etiska (ESOMAR) regler får man heller inte marknadsföra eller sälja något i en undersökning. Därför får vi som undersökningsföretag kontakta även de som är NIX:ade.
Det vi fick reda på var att i slutet av SJ:s kundundersökning erbjuds SJ:s kund att gå med i Origos panel som hanteras av CINT.
När Origo gör reklam och rekryterar till sin panel går Origo över från att vara underbiträde till att behandla registret som sitt eget. SJ har troligtvis inte heller rätt att lämna ut sitt register för att användas av Origo på detta sätt. Men vi vet att Origo gjorde detta utan SJ:s vetskap, det finns heller ingen vinning för SJ att göra så. Origo säger att det var ett isolerat misstag. Misstag eller inte är det en misstänkt incident som borde anmälas till IMY.
Vad som gör det ännu mer komplicerat är att Origos panel förvaltas av paneldatabasleverantören Cint, ett separat företag. När man blir medlem i Origos panel ingår man ett avtal med Cint. SJ:s kunder har då slussats över till Cint. Origo verkar lämna över SJ:s kunder till Cint. (Jag har själv testat hela denna process eftersom vem som helst kan bli medlem i Origos panel, oavsett om man åkt med SJ eller inte)
Väl i Origos panel på Cints databas säljs dina svar till många. Cint säger själva att de har kunder som Nepa, Kantar Sifo, Ipsos, RAM, för att nämna några undersökningsföretag som köper intervjuer från de som har sina panelmedlemmar i CINT. Många av dessa har jag själv som Origo medlem fått svara på frågor från. Så SJ:s kundregister hamnar på ett sätt även hos många andra indirekt.
Kan det vara ett isolerat misstag?
Enligt Origo var det ett isolerat misstag. Då kan man fundera lite på sannolikheter. Det är ju alltid intressant. Vi fick reda på det av en kollega i branschen som åkt tåg och efter resan fått en undersökning. Eftersom personen känner till GDPR:s utmaningar för just vår bransch kontaktades Mikael på Novus eftersom vi ju tyvärr verkar vara de enda som lyfter etik och integritetsfrågor kring undersökningsbranschen.
Mikael reagerade och skrev blogginlägget refererat till ovan. SJ läste det och fick Origo att omedelbart stoppa detta. Origo säger att det var ett enstaka misstag.
Varje DAG reser 140 000 personer med SJ. Ca 30 miljoner resor om året.
Fråga ett: Hur troligt är det att bara en person får det av SJ:s alla tusentals resenärer? Sedan skall denna person vara en som förstår GDPR och alltså:
1: haft turen att bli utvald i en kundundersökning (om inte alls som reser får undersökningen)
2: haft oturen att vara den enda som fått detta misstag.
Nu vet jag inte hur många som får SJ:s resenärsundersökning. Men det är MYCKET troligt att väldigt många, jag skulle gissa att alla fått denna länk, snarare än att den ”råkat” komma just nu.
Hur omfattande misstaget är går faktiskt att undersöka!
Vill man utreda detta är det faktiskt mycket lätt att göra genom att via en undersökning fråga en slumpmässigt utvald grupp bland de som svarat på resenärsundersökningen om de blivit erbjudna att gå med i en panel i slutet av undersökningen. Men det bör så klart inte ske av Origo, utan ett oberoende undersökningsföretag.
De som gått med i panelen kan också trott att det är SJ:s panel, inte Origos. Vilket är ett problem som kan skada SJ:s varumärke. ”jag gick med i SJ:s panel och får undersökningar varje dag om allt” kan någon tänka.
Man kan alltså göra en populationsuppskattning på ungefär hur många som säger sig fått det. Visst det kan finnas ett minnesfel. Men man kan snabbt få en grov bild av hur omfattande denna incident är och hur länge det pågått.
Men steg ett om jag varit SJ är att anmäla det till integritetsmyndigheten. Då har SJ ryggen fri. För de har inte gjort något annat än anlitat ett undersökningsföretag som gjort fel. Det skall egentligen göras inom 72 timmar. Det kanske redan har gjorts, det vet jag inte. Och även om det inte gjorts så är det bättre sent än aldrig.
Inte första gången
Detta är inte första gången i Origos historia personuppgifter används fel. Det mest uppseendeväckande är när företaget Markör som är del av Origo år 2015 läckte kontaktuppgifter till alla vårdnadshavares som hade barn i Solnas förskolor, när Solna hade upphandlat undersökningstjänster av Markör. Detta var före GDPR, så det ledde endast till ett brott mot ESOMARs etiska regler och en markering från Etiska rådet för marknadsundersökningar, finns att läsa här: ERM-Ä1-2-2015.pdf (etiskaradet-erm.se)
Ett mycket allvarligt fel, skulle jag gissa för man prisat in sig på en så låg nivå att man inte kan göra jobbet med upprätthållen anonymitet. Solna stad köpte nog något som var orimligt billigt.
Går man in med orimligt låga priser blir det både mänskliga fel men det känns också som man introducerar ”systematiska fel” för att ens har råd att göra jobbet. I fallet med SJ så tjänar Origo pengar genom att sälja vidare svar från respondenterna.
Det är inte heller bara leverantörens fel att något är orimligt billigt. Köparen måste också vara medveten om vad som är en rimlig kostnad för ett BRA jobb.
Även om det bara är ett misstag på grund av slarv, vem vet mer vilka uppgifter som också är på vift?
Ett seriöst undersökningsföretag sköter detta
Misstag kan ske, men hanteringen av SJ:s kundregister är ett mycket allvarligt misstag som måste utredas omfattningen kring. Det är det GDPR lagstiftningen är till för. Man får inte slarva med register.
Som upphandlare måste man också vara vaksam, man är ansvarig för sitt register.
Är det FÖR billigt riskerar man incidenter som kan medföra sanktionsavgifter från IMY. Förutom då att man kan få missnöjda kunder
Finns också ett annat problem
Origos panel nyttjas av många andra via Cint. T.ex. Nepa köper intervjuer i Origos panel när de köper från Cints databas.
Origos panel är självrekryterad
Origo har byggt upp en självrekryterad panel, jag och många kollegor har nu valt att gå med där för att bättre kunna förstå Origos affärsmodell. Det var bara att klicka på rekryteringslänken på Origos hemsida. Den är borttagen nu, det kanske också var ett ”misstag”?
Men på några klick var man med i panelen. Även om inte alla är självrekryterade har man saboterat panelen genom att vem som helst kan gå med. Väl med får man otroligt många undersökningar, flera om dagen från allsköns undersökningsföretag.
Det innebär också att t.ex. Nepa gör undersökningar baserat på självrekryterade paneler. Jag har själv svarat på flera Nepa undersökningar via Origos panel, även från Ipsos. För att nämna några hyfsat kända undersökningsföretag.
Även det är en påminnelse till de som köper undersökningar från Origo, Nepa eller andra som jobbar med Cint. Du har ingen aning om vilka undersökningar respondenterna svarar på. Hur många man svarar på. Och de som svarar är sannolikt bara ute efter belöningen eftersom man får så otroligt många. Man orkar inte svara på flera om dagen under en längre period. Det slår sönder tillförlitligheten på svaren direkt.
Novus äger en helt slumpmässigt rekryterad panel
Man kan bara nå våra panelmedlemmar via Novus undersökningar, vi kan säkerställa att vi inte överutnyttjar några och att man inte blir någon prisjägare som bara klickar igenom så många undersökningar man kan för att tjäna några kronor. Novus undersökningar är också i genomsnitt 5 minuter, våra frågor är designade av Novus, och resultatet är åsiktsmässigt representativt för svenska folket.
Vi säljer aldrig vidare respondenter, vi köper heller inte från Cint. Blir du slumpmässigt utvald att vara med i Novus undersökningar då kan du vara säker på att det är Novus undersökningar som du kommer få svara på. I genomsnitt en i månaden och de är korta och uppfyller de krav vi ställer för att kunna leverera tillförlitliga resultat till våra kunder. Det är viktigt för våra respondenter och det är viktigt för våra kunder. Tar man inte ansvar åt båda hållen skadas undersökningarnas tillförlitlighet.
Här är ett litet klipp på hur Novus gör tillförlitliga undersökningar, och hur man faktiskt måste arbeta som ett seriöst undersökningsföretag för att undersökningarna skall vara tillförlitliga:
Torbjörn Sjöström
Vd
Novus