2. Whitespace
Innehåll
● Vad har undersökts / metod?
● Varför är dataskydd viktigt?
● Hur såg det ut 2021
● Övergripande skillnad 2022 ⬆️
● Detaljer om 2022
● Frågor och återkoppling
2
3. Whitespace
Om Marcus…
Webbanalytiker och
verksamhetsutvecklare
på produktbyrån
Whitespace
Marcus Österberg
Jobbat med webben sedan 1998,
webbanalys sedan 2002, och de
senaste 11 åren med det
integritetsvänliga analysverktyget
Matomo.
Roller som produktägare för analys
(hos VGR), senior rådgivare i VGR:s
GDPR-projekt, samt utvecklingsledare.
Författare till böcker som:
Webbstrategi för alla (2014),
Webbanalys – förstå och förbättra
användarnas upplevelse (2016) och AI
för bättre hälsa (2020).
3
3
4. Whitespace
Vad har
undersökts /
metod?
● Regionernas startsidor på webben har körts genom
Dataskydd.net’s tjänst Webbkoll - kolla in
webbkoll.dataskydd.net
● Metoden är automatisk! Med andra ord har inget
aktivt samtycke givits i enlighet med GDPR art 6.1,
så annan laglig grund behöver finnas
● 2022: Om inga tredjeparters molntjänster i
tredjeland (läs 🇺🇸) upptäckts har webbplatsen
analyserats på djupet
4
5. Whitespace
Whitespace
Varför är
dataskydd
viktigt?
Privatliv är en mänsklig
rättighet
5
“Ingen får utsättas för godtyckligt ingripande i fråga om
privatliv, familj, hem eller korrespondens[...]”
– artikel 12, FN:s konventioner om mänskliga rättigheter
“[...] var och en gentemot det allmänna skyddad mot
betydande intrång i den personliga integriteten, om det
sker utan samtycke och innebär övervakning eller
kartläggning av den enskildes personliga förhållanden.”
– grundlagen, regeringsformen 2 kapitlet 6 paragrafen
“Var och en har rätt till skydd för sitt privat- och familjeliv,
sitt hem och sin korrespondens.”
– artikel 8.1, Rätt till skydd för privat- och familjeliv,
Europakonventionen
6. Whitespace
Whitespace
Varför är
dataskydd
viktigt?
Dataskydd är reglerat
6
1. GDPR ≈ vilken rättslig grund åberopar
du/personuppgiftsansvarig för personuppgiftsbehandling?
a. Inhämtat samtycke – tänk cookie-meddelande
b. Avtal – som i en kundrelation, leverantören har klausul
om att handskas med personuppgifter
c. …
2. ePrivacy – Lag om elektronisk kommunikation (LEK)
a. Nödvändiga kakor versus övriga kakor – 2003 föddes
alla cookie-dialoger i.o.m. denna lag
3. Tillämpningsspecifika lagar
a. Patientdatalagen – patienters personuppgifter
b. Offentlighets- och sekretesslag – vem får ta del av
vilken information?
c. Lag om tystnadsplikt vid utkontraktering av teknisk
bearbetning eller lagring av uppgifter – vem är din
tjänsteleverantör?
4. Organisationens egna policies
a. Policy kring dataskydd och informationssäkerhet – hur
strikt är man?
b. Informationsklassning – dokumenterad acceptans om
vilken information man har i vilket system
7. Whitespace
Hur såg det ut
2021?
🤯
● 20 av 21 regioner hade USA-baserade tredjeparter
redan på startsidan av sin webbplats.
● Knepiga resonemang från regioners
dataskyddsombud, exempelvis nedan som om ett
jakande samtycke vore obligatoriskt:
“När du kommer fram till [webbplatsen] bör du
komma fram till följande som gör att du godkänner
(samtycker) till tre typer av kakor.”
● Idén att användares IP-adresser kunde behandlas
på ett anonymt sätt frodas fortfarande.
7
8. Whitespace
Övergripande
skillnad 2022
Augusti 2022
Helt utan tredjeparter (på startsidan) 🤯
● Region Jönköpings Län
● Västra Götalandsregionen – VGR
Med potential till endast EU-baserade tredjeparter (på startsidan) 🙌
● Region Östergötland
● Region Västmanland
● Region Uppsala
● Region Skåne
Region Jämtland Härjedalen har Google, Microsoft och Facebook.
Utan inhämtat samtycke.
8
9. Whitespace
Detaljer om
2022
Regionerna har i urval:
● Google-tjänster som Analytics, Tag Manager, Fonts
● Funka Nu’s tjänst Talande webb (svensk
Browsealoud, med Amazon som underleverantör,
som utvann kryptovaluta i användares webbläsare
2018…)
● Jquery.com (har hackats 2-3 gånger)
● Fontawesome
● Cloudflare
● Meta/Facebook-tjänster som Instagram
● Microsofts CDN
● Optimizely (f.d. Episerver)
Källa: webperf.se/articles/offsekts-tredjeparter-2022/
Vilka är tredjeparterna?
9
Hej
“Hur ser utsikten ut med tanke på statistiken?” är arrangören Lars Lindskölds vitsiga beskrivning av vad jag kommer prata om här.
En kanske mer deklarerande titel vore något i stil med “molntjänster i tredjeland som våra regioner använder”.
>>
Det här är agendan för min stund nu på förmiddagen.
Jag gör en uppföljare från mitt bidrag på förra årets Dagar om Lagar, på samma tema helt enkelt!
Det blir helt kort om vilken metod som använts, att saker kanske inte ser jättebra ut i år heller men att det åtminstone blivit en hel del bättre.
Jag kommer redogöra mer detaljer om varför dataskydd är viktigt och nämna de mer uppenbart problematiska tredjeparterna som regionerna använder. Vissa är generellt problematiska utifrån GDPR- och Schrems 2-perspektiv runt behandlandet av personuppgifter, andra för att de inte tycks ha koll på sin informationssäkerhet och hur det gått ut över kundernas slutanvändare, det vill säga invånarna ur det här perspektivet.
>> Först ska jag snabbt presentera mig själv
>> Så varför spelar det här roll?
Att jobba med dataskydd har både juridiska och moraliska anledningar.
Att ha ett privatliv är en mänsklig rättighet. Det är det korta svaret!
Det längre svaret är att vi MÅSTE jobba med dataskydd. För utan ett skydd och bedömningen att personuppgifter har ett skyddsvärde så kan vi inte leva upp till olika konventioner och andra regleringar.
MÄRK VÄL att jag inte ens har med GDPR bland mina exempel här. DET ÄR INTE GDPR DET ÄR FEL PÅ, vilket vissa envisas med att hävda. FELET skulle i så fall vara i de mänskliga rättigheter som världen enades om efter andra världskriget. FELET skulle handla om våra värderingar. Som att MITT ÄR MITT och DITT ÄR DITT.
Så jag köper inte snacket om att vi behöver riva upp GDPR för att den är för sträng, att den hindrar oss att köpa in amerikanska molntjänster, och allt annat som brukar diskuteras.
Ska vi riva upp Europakonventionen också?
Jag kan inte se att molntjänster från EU-främmande aktörer ska väga så pass tungt i ena vågskålen att vi är beredda att ignorera allt annat. Ursäkta en grov förenkling av diskussionen.
>> Så hur regleras den här behandlingen av personuppgifter, jo…
Bland annat i GDPR, som sätter någon form av konkretisering, definition och spelregler av vad behandling av personuppgifter handlar om.
I artikel 6 finns exempelvis en lista med de omständigheter för EXAKT NÄR behandling av personuppgifter kan anses lagliga. Den listan tycks inte alla dataskyddsombud ha tagit in - vilket jag strax återkommer till.
Vi fick en uppdatering av den så kallade kaklagen nu i augusti. Det som heter ePrivacy utomlands eller LEK i Sverige.
Sen finns det också tillämpningsspecifika exempel. Som Patientdatalagen, OSL, lag om tystnadsplikt, med mera.
För en webbplats eller webbtjänst som vänder sig till invånare är det förstås relevant för en region.
Mitt favoritexempel från när jag jobbade på Västra Götalandsregionen var den vårdmottagning på ett av sjukhusen som har en mottagning vid namn GAYHÅLSAN.
Den mottagningens information finns på sjukhusets webbplats och säkerligen via webbtjänsterna hos 1177.se
Så vad yrar jag om här? Jo, att användarbeteende på webben kan avslöja personuppgifter. I det här fallet att användaren är EN MAN SOM HAR SEX MED ANDRA MÄN. Det är förstås en extra känslig personuppgift och kan genom användarens IP-adress knytas till en individ.
Om man nu (VILKET VGR INTE GÖR LÄNGRE) har med tredjeparter på en sådan sida på webbplatsen bidrar man till att lägga ett pussel åt tredjeparter. Som försvaret brukar påminna oss medborgare om i tid av kris så ska vi behålla våra pusselbitar för oss själva.
>> Nog om detta. Hur såg det ut förra året?
Förra året hade alla regioner utom Västra Götalandsregionen dåliga tredjeparter redan på startsidan. Jag nöjde mig då med att konstatera just det, att det såg illa ut.
Jag mejlade samtliga anonymt och ställde ett antal frågor som relaterade till mina rättigheter enligt GDPR.
Det var många som inte briljerade på mina frågor. Några svarade inte inom varken den där månaden de har på sig, eller de maximalt tre månader man kan få som uppskov. Andra gav mig förvirrade svar som om jag av ett DSO behövde hjälp att hitta JA-KNAPPEN för att samtycka.
Samtycke lärs ut redan på förskolan. Status på ett samtycke ska respekteras. Ett ja betyder ja, tills vidare och under samma omständigheter. Nej betyder nej.
Och ett uteblivet svar är då verkligen inte ett JA-svar.
Det här är ju inte skitsvårt egentligen!
Förra året var uppfattningen (INTE BARA BLAND REGIONERNA) vanlig att det skulle gå att anonymisera IP-adressen som en användare på webben har.
Mest hår-resande dialogen jag haft om detta kommer inte från en region, men från en IT-chef som gick i polemik om hur kommunikation över internet fungerar.
Hens position var att den för varje användare långa lista med tredjeparter de hade i själva verket inte alls hade möjlighet att komma över användarnas IP-adresser i klartext. Denna uppgift maskades och skickades nämligen bakom kulisserna enligt hen.
Tydligen har jag likt stålmannen röntgensyn. Om det nu inte förhåller sig som så att denna kommunala IT-chef yrar i nattmössan.
>> Så hur ser det ut i jämförelse nu, 2022?
Västra Götalandsregionen får med sig Region Jönköping på den korta listan av de utan tredjeparter PÅ SIN STARTSIDA. Guldstjärna till dem!
MEN, jag nämnde att jag analyserade på djupet när det inte redan på startsidan framgick problem.
Både VGR och Jönköping har problematiska tredjeparter någonstans på sina webbplatser, de var inte svåra att hitta.
De fyra regionerna Östergötland, Västmanland, Uppsala och Skåne står ut på så sätt att de tredjeparter jag hittade redan på startsidan inte var uppenbart problematiska. De kan mycket väl vara det av den enkla anledningen att allt inte går att avgöra som utomstående analytiker. Men låt oss hellre fria än fälla här.
Jämtland-Härjedalen sticker ut av den enkla anledningen att de har tre stycken av de kända USA-baserade molntjänsterna redan på startsidan. Men se dem mer som ett exempel då en klar majoritet har åtminstone någon av dessa. Det är nog en tröstande tanke för de som vill och behöver bättra sig, att man knappast är ensam om sitt (ÅTMINSTONE ENLIGT MIG) tveksamma resultat.
>> Alla de som inte nämns här har tredjeparter som är så välkända att det inte behöver granskas ifall en viss tredjepart har beroenden till USA eller ej.
Det här är inte en komplett förteckning utan ett urval av tjänster som kan vara kända i bredare lager än vi som jobbar med webbutveckling.
Det finns ett företag jag inte nämner sedan förra året då de så pass gärna ville få tyst på mig att de hotade att dra mig som privatperson inför marknadsdomstolen. Låt oss inte fastna i det.
Jag har inte heller listat GDPR-vänliga molntjänster som regionerna använder. Exempelvis Vizzit som är ett helsvenskt alternativ till Google Analytics.
Det var vad jag hade att berätta om idag. Tack för din uppmärksamhet!
Några frågor, reaktioner eller kommentarer på detta?
>>