SlideShare une entreprise Scribd logo

Dagar om Lagar 2022: Molntjänster i tredjeland på regionernas webbplatser

Marcus Österberg
Marcus Österberg

Presentation om skillnaden mellan mängden problematiska tredjeparter på regionernas webbplatser 2021-2022.

Internet
1  sur  10
Télécharger pour lire hors ligne
Whitespace Molntjänster i tredjeland på regionernas webbplatser Marcus Österberg // Dagar om Lagar 2022 221111 kl. 11 🤯 1
Whitespace Innehåll ● Vad har undersökts / metod? ● Varför är dataskydd viktigt? ● Hur såg det ut 2021 ● Övergripande skillnad 2022 ⬆️ ● Detaljer om 2022 ● Frågor och återkoppling 2
Whitespace Om Marcus… Webbanalytiker och verksamhetsutvecklare på produktbyrån Whitespace Marcus Österberg Jobbat med webben sedan 1998, webbanalys sedan 2002, och de senaste 11 åren med det integritetsvänliga analysverktyget Matomo. Roller som produktägare för analys (hos VGR), senior rådgivare i VGR:s GDPR-projekt, samt utvecklingsledare. Författare till böcker som: Webbstrategi för alla (2014), Webbanalys – förstå och förbättra användarnas upplevelse (2016) och AI för bättre hälsa (2020). 3 3
Whitespace Vad har undersökts / metod? ● Regionernas startsidor på webben har körts genom Dataskydd.net’s tjänst Webbkoll - kolla in webbkoll.dataskydd.net ● Metoden är automatisk! Med andra ord har inget aktivt samtycke givits i enlighet med GDPR art 6.1, så annan laglig grund behöver finnas ● 2022: Om inga tredjeparters molntjänster i tredjeland (läs 🇺🇸) upptäckts har webbplatsen analyserats på djupet 4
Whitespace Whitespace Varför är dataskydd viktigt? Privatliv är en mänsklig rättighet 5 “Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens[...]” – artikel 12, FN:s konventioner om mänskliga rättigheter “[...] var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.” – grundlagen, regeringsformen 2 kapitlet 6 paragrafen “Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.” – artikel 8.1, Rätt till skydd för privat- och familjeliv, Europakonventionen
Whitespace Whitespace Varför är dataskydd viktigt? Dataskydd är reglerat 6 1. GDPR ≈ vilken rättslig grund åberopar du/personuppgiftsansvarig för personuppgiftsbehandling? a. Inhämtat samtycke – tänk cookie-meddelande b. Avtal – som i en kundrelation, leverantören har klausul om att handskas med personuppgifter c. … 2. ePrivacy – Lag om elektronisk kommunikation (LEK) a. Nödvändiga kakor versus övriga kakor – 2003 föddes alla cookie-dialoger i.o.m. denna lag 3. Tillämpningsspecifika lagar a. Patientdatalagen – patienters personuppgifter b. Offentlighets- och sekretesslag – vem får ta del av vilken information? c. Lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter – vem är din tjänsteleverantör? 4. Organisationens egna policies a. Policy kring dataskydd och informationssäkerhet – hur strikt är man? b. Informationsklassning – dokumenterad acceptans om vilken information man har i vilket system
Whitespace Hur såg det ut 2021? 🤯 ● 20 av 21 regioner hade USA-baserade tredjeparter redan på startsidan av sin webbplats. ● Knepiga resonemang från regioners dataskyddsombud, exempelvis nedan som om ett jakande samtycke vore obligatoriskt: “När du kommer fram till [webbplatsen] bör du komma fram till följande som gör att du godkänner (samtycker) till tre typer av kakor.” ● Idén att användares IP-adresser kunde behandlas på ett anonymt sätt frodas fortfarande. 7
Whitespace Övergripande skillnad 2022 Augusti 2022 Helt utan tredjeparter (på startsidan) 🤯 ● Region Jönköpings Län ● Västra Götalandsregionen – VGR Med potential till endast EU-baserade tredjeparter (på startsidan) 🙌 ● Region Östergötland ● Region Västmanland ● Region Uppsala ● Region Skåne Region Jämtland Härjedalen har Google, Microsoft och Facebook. Utan inhämtat samtycke. 8
Whitespace Detaljer om 2022 Regionerna har i urval: ● Google-tjänster som Analytics, Tag Manager, Fonts ● Funka Nu’s tjänst Talande webb (svensk Browsealoud, med Amazon som underleverantör, som utvann kryptovaluta i användares webbläsare 2018…) ● Jquery.com (har hackats 2-3 gånger) ● Fontawesome ● Cloudflare ● Meta/Facebook-tjänster som Instagram ● Microsofts CDN ● Optimizely (f.d. Episerver) Källa: webperf.se/articles/offsekts-tredjeparter-2022/ Vilka är tredjeparterna? 9
Whitespace Whitespace Det var alles… Frågor? Kommentarer? Mejla mig på marcus.osterberg@whitespace.se 10

Recommandé

Blockkedjor mars 2017
Blockkedjor mars 2017Blockkedjor mars 2017
Blockkedjor mars 2017
Buzzter
 
Triggerfish och gdpr
Triggerfish och gdprTriggerfish och gdpr
Triggerfish och gdpr
Jakob Pernvik
 
Molntjänster i staten
Molntjänster i statenMolntjänster i staten
Molntjänster i staten
Pensionsmyndigheten
 
Webbstrategi Internetexpo 090217
Webbstrategi Internetexpo 090217Webbstrategi Internetexpo 090217
Webbstrategi Internetexpo 090217
Bjorn Elmberg
 
Stöd och hjälp för kommunernas arbete med öppna data
Stöd och hjälp för kommunernas arbete med öppna dataStöd och hjälp för kommunernas arbete med öppna data
Stöd och hjälp för kommunernas arbete med öppna data
Magnus Kolsjö
 
Logganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseLogganalys med Elastic & Findwise
Logganalys med Elastic & Findwise
Findwise
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 
Införande av digitalt eArkiv
Införande av digitalt eArkivInförande av digitalt eArkiv
Införande av digitalt eArkiv
Jörgen Aaröe
 

Recommandé

Blockkedjor mars 2017
Blockkedjor mars 2017Blockkedjor mars 2017
Blockkedjor mars 2017
Buzzter
 
Triggerfish och gdpr
Triggerfish och gdprTriggerfish och gdpr
Triggerfish och gdpr
Jakob Pernvik
 
Molntjänster i staten
Molntjänster i statenMolntjänster i staten
Molntjänster i staten
Pensionsmyndigheten
 
Webbstrategi Internetexpo 090217
Webbstrategi Internetexpo 090217Webbstrategi Internetexpo 090217
Webbstrategi Internetexpo 090217
Bjorn Elmberg
 
Stöd och hjälp för kommunernas arbete med öppna data
Stöd och hjälp för kommunernas arbete med öppna dataStöd och hjälp för kommunernas arbete med öppna data
Stöd och hjälp för kommunernas arbete med öppna data
Magnus Kolsjö
 
Logganalys med Elastic & Findwise
Logganalys med Elastic & FindwiseLogganalys med Elastic & Findwise
Logganalys med Elastic & Findwise
Findwise
 
Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?Personlig integritet – möjliggörare eller hinder för verksamheten?
Personlig integritet – möjliggörare eller hinder för verksamheten?
Transcendent Group
 
Införande av digitalt eArkiv
Införande av digitalt eArkivInförande av digitalt eArkiv
Införande av digitalt eArkiv
Jörgen Aaröe
 
Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23
Lars Blixt
 
Cloud presentation
Cloud presentationCloud presentation
Cloud presentation
Johan Sjöberg
 
Future Magazine #1/2015 - Swedish edition
Future Magazine #1/2015 - Swedish edition Future Magazine #1/2015 - Swedish edition
Future Magazine #1/2015 - Swedish edition
Semcon
 
Sajttrender 2017 - av digitalbyrån Fröjd
Sajttrender 2017 - av digitalbyrån FröjdSajttrender 2017 - av digitalbyrån Fröjd
Sajttrender 2017 - av digitalbyrån Fröjd
Fröjd Interactive
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
cloudnine
 
Öppna data - öppen förvaltning intro
Öppna data - öppen förvaltning introÖppna data - öppen förvaltning intro
Öppna data - öppen förvaltning intro
Peter Krantz
 
IBM Lotus - Dokumentdelning i modern portalmiljö
IBM Lotus - Dokumentdelning i modern portalmiljöIBM Lotus - Dokumentdelning i modern portalmiljö
IBM Lotus - Dokumentdelning i modern portalmiljö
IBM Sverige
 
Öppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamhetenÖppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamheten
Magnus Kolsjö
 
Webbmöte införa e arkiv
Webbmöte införa e arkivWebbmöte införa e arkiv
Webbmöte införa e arkiv
Jörgen Aaröe
 
Webbmöte införa e arkiv
Webbmöte införa e arkivWebbmöte införa e arkiv
Webbmöte införa e arkiv
DirSys
 
Konsumentmakt januari 2018
Konsumentmakt januari 2018Konsumentmakt januari 2018
Konsumentmakt januari 2018
Buzzter
 
Frågesport 2009
Frågesport 2009Frågesport 2009
Frågesport 2009
Johan Groth
 
Makrotrender stian holst
Makrotrender stian holstMakrotrender stian holst
Makrotrender stian holst
Bjørn Sloth
 
Webbstrategidagarna 2009 2
Webbstrategidagarna 2009 2Webbstrategidagarna 2009 2
Webbstrategidagarna 2009 2
Bjorn Elmberg
 
Caperio & MAQS Juridik i molnet
Caperio & MAQS Juridik i molnetCaperio & MAQS Juridik i molnet
Caperio & MAQS Juridik i molnet
★ Niklas Dahl ★
 
Senaste nytt från boverket 2016 1
Senaste nytt från boverket 2016 1Senaste nytt från boverket 2016 1
Senaste nytt från boverket 2016 1
Vianova Systems Sweden AB
 
AI för bättre hälsa (3:e mars 2020 hos VGR)
AI för bättre hälsa (3:e mars 2020 hos VGR)AI för bättre hälsa (3:e mars 2020 hos VGR)
AI för bättre hälsa (3:e mars 2020 hos VGR)
Marcus Österberg
 
Nuläge: AI för bättre hälsa
Nuläge: AI för bättre hälsaNuläge: AI för bättre hälsa
Nuläge: AI för bättre hälsa
Marcus Österberg
 
Från forskning till digitaliserad verklighet: med- och motgångar
Från forskning till digitaliserad verklighet: med- och motgångarFrån forskning till digitaliserad verklighet: med- och motgångar
Från forskning till digitaliserad verklighet: med- och motgångar
Marcus Österberg
 
AI i hälso- och sjukvård - maskininlärning, datorseende och språkanalys
AI i hälso- och sjukvård - maskininlärning, datorseende och språkanalysAI i hälso- och sjukvård - maskininlärning, datorseende och språkanalys
AI i hälso- och sjukvård - maskininlärning, datorseende och språkanalys
Marcus Österberg
 
HealthTech Arena – Lindholmen, Göteborg
HealthTech Arena – Lindholmen, GöteborgHealthTech Arena – Lindholmen, Göteborg
HealthTech Arena – Lindholmen, Göteborg
Marcus Österberg
 
Strategiskt arbete med AI för life science
Strategiskt arbete med AI för life scienceStrategiskt arbete med AI för life science
Strategiskt arbete med AI för life science
Marcus Österberg
 

Contenu connexe

Similaire à Dagar om Lagar 2022: Molntjänster i tredjeland på regionernas webbplatser

Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
cloudnine
 

Similaire à Dagar om Lagar 2022: Molntjänster i tredjeland på regionernas webbplatser (16)

Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23Dokumenthantering och GDPR digital summit 2017 11-23
Dokumenthantering och GDPR digital summit 2017 11-23
 
Cloud presentation
Cloud presentationCloud presentation
Cloud presentation
 
Future Magazine #1/2015 - Swedish edition
Future Magazine #1/2015 - Swedish edition Future Magazine #1/2015 - Swedish edition
Future Magazine #1/2015 - Swedish edition
 
Sajttrender 2017 - av digitalbyrån Fröjd
Sajttrender 2017 - av digitalbyrån FröjdSajttrender 2017 - av digitalbyrån Fröjd
Sajttrender 2017 - av digitalbyrån Fröjd
 
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka påInför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
Inför EU:s nya dataskyddslagstiftning (GDPR) – vad du behöver tänka på
 
Öppna data - öppen förvaltning intro
Öppna data - öppen förvaltning introÖppna data - öppen förvaltning intro
Öppna data - öppen förvaltning intro
 
IBM Lotus - Dokumentdelning i modern portalmiljö
IBM Lotus - Dokumentdelning i modern portalmiljöIBM Lotus - Dokumentdelning i modern portalmiljö
IBM Lotus - Dokumentdelning i modern portalmiljö
 
Öppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamhetenÖppna data - nytta och utmaningar för verksamheten
Öppna data - nytta och utmaningar för verksamheten
 
Webbmöte införa e arkiv
Webbmöte införa e arkivWebbmöte införa e arkiv
Webbmöte införa e arkiv
 
Webbmöte införa e arkiv
Webbmöte införa e arkivWebbmöte införa e arkiv
Webbmöte införa e arkiv
 
Konsumentmakt januari 2018
Konsumentmakt januari 2018Konsumentmakt januari 2018
Konsumentmakt januari 2018
 
Frågesport 2009
Frågesport 2009Frågesport 2009
Frågesport 2009
 
Makrotrender stian holst
Makrotrender stian holstMakrotrender stian holst
Makrotrender stian holst
 
Webbstrategidagarna 2009 2
Webbstrategidagarna 2009 2Webbstrategidagarna 2009 2
Webbstrategidagarna 2009 2
 
Caperio & MAQS Juridik i molnet
Caperio & MAQS Juridik i molnetCaperio & MAQS Juridik i molnet
Caperio & MAQS Juridik i molnet
 
Senaste nytt från boverket 2016 1
Senaste nytt från boverket 2016 1Senaste nytt från boverket 2016 1
Senaste nytt från boverket 2016 1
 

Plus de Marcus Österberg

Html5, responsive design och phonegap
Html5, responsive design och phonegapHtml5, responsive design och phonegap
Html5, responsive design och phonegap
Marcus Österberg
 

Plus de Marcus Österberg (20)

AI för bättre hälsa (3:e mars 2020 hos VGR)
AI för bättre hälsa (3:e mars 2020 hos VGR)AI för bättre hälsa (3:e mars 2020 hos VGR)
AI för bättre hälsa (3:e mars 2020 hos VGR)
 
Nuläge: AI för bättre hälsa
Nuläge: AI för bättre hälsaNuläge: AI för bättre hälsa
Nuläge: AI för bättre hälsa
 
Från forskning till digitaliserad verklighet: med- och motgångar
Från forskning till digitaliserad verklighet: med- och motgångarFrån forskning till digitaliserad verklighet: med- och motgångar
Från forskning till digitaliserad verklighet: med- och motgångar
 
AI i hälso- och sjukvård - maskininlärning, datorseende och språkanalys
AI i hälso- och sjukvård - maskininlärning, datorseende och språkanalysAI i hälso- och sjukvård - maskininlärning, datorseende och språkanalys
AI i hälso- och sjukvård - maskininlärning, datorseende och språkanalys
 
HealthTech Arena – Lindholmen, Göteborg
HealthTech Arena – Lindholmen, GöteborgHealthTech Arena – Lindholmen, Göteborg
HealthTech Arena – Lindholmen, Göteborg
 
Strategiskt arbete med AI för life science
Strategiskt arbete med AI för life scienceStrategiskt arbete med AI för life science
Strategiskt arbete med AI för life science
 
AI och machine learning för beslutstöd i hälso- och sjukvård
AI och machine learning för beslutstöd i hälso- och sjukvårdAI och machine learning för beslutstöd i hälso- och sjukvård
AI och machine learning för beslutstöd i hälso- och sjukvård
 
Idéworkshop: AI och machine learning
Idéworkshop: AI och machine learningIdéworkshop: AI och machine learning
Idéworkshop: AI och machine learning
 
Autonom skytteltrafik på sjukhus - idéworkshop
Autonom skytteltrafik på sjukhus - idéworkshopAutonom skytteltrafik på sjukhus - idéworkshop
Autonom skytteltrafik på sjukhus - idéworkshop
 
Webbprestanda à la Västra Götalandsregionen
Webbprestanda à la Västra GötalandsregionenWebbprestanda à la Västra Götalandsregionen
Webbprestanda à la Västra Götalandsregionen
 
Webbanalys - mycket mer än webbplatsstatistik
Webbanalys - mycket mer än webbplatsstatistikWebbanalys - mycket mer än webbplatsstatistik
Webbanalys - mycket mer än webbplatsstatistik
 
Intranätanalys med användaren i fokus
Intranätanalys med användaren i fokusIntranätanalys med användaren i fokus
Intranätanalys med användaren i fokus
 
Effektiv webbkommunikation
Effektiv webbkommunikationEffektiv webbkommunikation
Effektiv webbkommunikation
 
Mätbara mål för webbplatser och e-tjänster
Mätbara mål för webbplatser och e-tjänsterMätbara mål för webbplatser och e-tjänster
Mätbara mål för webbplatser och e-tjänster
 
Webbanalysdagen - Webbanalys: Optimera prestanda
Webbanalysdagen - Webbanalys: Optimera prestandaWebbanalysdagen - Webbanalys: Optimera prestanda
Webbanalysdagen - Webbanalys: Optimera prestanda
 
Användarcentrerad webbanalys
Användarcentrerad webbanalysAnvändarcentrerad webbanalys
Användarcentrerad webbanalys
 
Snabbt och användbart webbgränssnitt
Snabbt och användbart webbgränssnittSnabbt och användbart webbgränssnitt
Snabbt och användbart webbgränssnitt
 
Web Analytics - more than just web statistics
Web Analytics - more than just web statisticsWeb Analytics - more than just web statistics
Web Analytics - more than just web statistics
 
Öppna data: Sagan om en webbservice
Öppna data: Sagan om en webbserviceÖppna data: Sagan om en webbservice
Öppna data: Sagan om en webbservice
 
Html5, responsive design och phonegap
Html5, responsive design och phonegapHtml5, responsive design och phonegap
Html5, responsive design och phonegap
 

Dagar om Lagar 2022: Molntjänster i tredjeland på regionernas webbplatser

  • 1. Whitespace Molntjänster i tredjeland på regionernas webbplatser Marcus Österberg // Dagar om Lagar 2022 221111 kl. 11 🤯 1
  • 2. Whitespace Innehåll ● Vad har undersökts / metod? ● Varför är dataskydd viktigt? ● Hur såg det ut 2021 ● Övergripande skillnad 2022 ⬆️ ● Detaljer om 2022 ● Frågor och återkoppling 2
  • 3. Whitespace Om Marcus… Webbanalytiker och verksamhetsutvecklare på produktbyrån Whitespace Marcus Österberg Jobbat med webben sedan 1998, webbanalys sedan 2002, och de senaste 11 åren med det integritetsvänliga analysverktyget Matomo. Roller som produktägare för analys (hos VGR), senior rådgivare i VGR:s GDPR-projekt, samt utvecklingsledare. Författare till böcker som: Webbstrategi för alla (2014), Webbanalys – förstå och förbättra användarnas upplevelse (2016) och AI för bättre hälsa (2020). 3 3
  • 4. Whitespace Vad har undersökts / metod? ● Regionernas startsidor på webben har körts genom Dataskydd.net’s tjänst Webbkoll - kolla in webbkoll.dataskydd.net ● Metoden är automatisk! Med andra ord har inget aktivt samtycke givits i enlighet med GDPR art 6.1, så annan laglig grund behöver finnas ● 2022: Om inga tredjeparters molntjänster i tredjeland (läs 🇺🇸) upptäckts har webbplatsen analyserats på djupet 4
  • 5. Whitespace Whitespace Varför är dataskydd viktigt? Privatliv är en mänsklig rättighet 5 “Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens[...]” – artikel 12, FN:s konventioner om mänskliga rättigheter “[...] var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.” – grundlagen, regeringsformen 2 kapitlet 6 paragrafen “Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.” – artikel 8.1, Rätt till skydd för privat- och familjeliv, Europakonventionen
  • 6. Whitespace Whitespace Varför är dataskydd viktigt? Dataskydd är reglerat 6 1. GDPR ≈ vilken rättslig grund åberopar du/personuppgiftsansvarig för personuppgiftsbehandling? a. Inhämtat samtycke – tänk cookie-meddelande b. Avtal – som i en kundrelation, leverantören har klausul om att handskas med personuppgifter c. … 2. ePrivacy – Lag om elektronisk kommunikation (LEK) a. Nödvändiga kakor versus övriga kakor – 2003 föddes alla cookie-dialoger i.o.m. denna lag 3. Tillämpningsspecifika lagar a. Patientdatalagen – patienters personuppgifter b. Offentlighets- och sekretesslag – vem får ta del av vilken information? c. Lag om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter – vem är din tjänsteleverantör? 4. Organisationens egna policies a. Policy kring dataskydd och informationssäkerhet – hur strikt är man? b. Informationsklassning – dokumenterad acceptans om vilken information man har i vilket system
  • 7. Whitespace Hur såg det ut 2021? 🤯 ● 20 av 21 regioner hade USA-baserade tredjeparter redan på startsidan av sin webbplats. ● Knepiga resonemang från regioners dataskyddsombud, exempelvis nedan som om ett jakande samtycke vore obligatoriskt: “När du kommer fram till [webbplatsen] bör du komma fram till följande som gör att du godkänner (samtycker) till tre typer av kakor.” ● Idén att användares IP-adresser kunde behandlas på ett anonymt sätt frodas fortfarande. 7
  • 8. Whitespace Övergripande skillnad 2022 Augusti 2022 Helt utan tredjeparter (på startsidan) 🤯 ● Region Jönköpings Län ● Västra Götalandsregionen – VGR Med potential till endast EU-baserade tredjeparter (på startsidan) 🙌 ● Region Östergötland ● Region Västmanland ● Region Uppsala ● Region Skåne Region Jämtland Härjedalen har Google, Microsoft och Facebook. Utan inhämtat samtycke. 8
  • 9. Whitespace Detaljer om 2022 Regionerna har i urval: ● Google-tjänster som Analytics, Tag Manager, Fonts ● Funka Nu’s tjänst Talande webb (svensk Browsealoud, med Amazon som underleverantör, som utvann kryptovaluta i användares webbläsare 2018…) ● Jquery.com (har hackats 2-3 gånger) ● Fontawesome ● Cloudflare ● Meta/Facebook-tjänster som Instagram ● Microsofts CDN ● Optimizely (f.d. Episerver) Källa: webperf.se/articles/offsekts-tredjeparter-2022/ Vilka är tredjeparterna? 9
  • 10. Whitespace Whitespace Det var alles… Frågor? Kommentarer? Mejla mig på marcus.osterberg@whitespace.se 10

Notes de l'éditeur

  1. Hej “Hur ser utsikten ut med tanke på statistiken?” är arrangören Lars Lindskölds vitsiga beskrivning av vad jag kommer prata om här. En kanske mer deklarerande titel vore något i stil med “molntjänster i tredjeland som våra regioner använder”. >>
  2. Det här är agendan för min stund nu på förmiddagen. Jag gör en uppföljare från mitt bidrag på förra årets Dagar om Lagar, på samma tema helt enkelt! Det blir helt kort om vilken metod som använts, att saker kanske inte ser jättebra ut i år heller men att det åtminstone blivit en hel del bättre. Jag kommer redogöra mer detaljer om varför dataskydd är viktigt och nämna de mer uppenbart problematiska tredjeparterna som regionerna använder. Vissa är generellt problematiska utifrån GDPR- och Schrems 2-perspektiv runt behandlandet av personuppgifter, andra för att de inte tycks ha koll på sin informationssäkerhet och hur det gått ut över kundernas slutanvändare, det vill säga invånarna ur det här perspektivet. >> Först ska jag snabbt presentera mig själv
  3. >> Så varför spelar det här roll?
  4. Att jobba med dataskydd har både juridiska och moraliska anledningar. Att ha ett privatliv är en mänsklig rättighet. Det är det korta svaret! Det längre svaret är att vi MÅSTE jobba med dataskydd. För utan ett skydd och bedömningen att personuppgifter har ett skyddsvärde så kan vi inte leva upp till olika konventioner och andra regleringar. MÄRK VÄL att jag inte ens har med GDPR bland mina exempel här. DET ÄR INTE GDPR DET ÄR FEL PÅ, vilket vissa envisas med att hävda. FELET skulle i så fall vara i de mänskliga rättigheter som världen enades om efter andra världskriget. FELET skulle handla om våra värderingar. Som att MITT ÄR MITT och DITT ÄR DITT. Så jag köper inte snacket om att vi behöver riva upp GDPR för att den är för sträng, att den hindrar oss att köpa in amerikanska molntjänster, och allt annat som brukar diskuteras. Ska vi riva upp Europakonventionen också? Jag kan inte se att molntjänster från EU-främmande aktörer ska väga så pass tungt i ena vågskålen att vi är beredda att ignorera allt annat. Ursäkta en grov förenkling av diskussionen. >> Så hur regleras den här behandlingen av personuppgifter, jo…
  5. Bland annat i GDPR, som sätter någon form av konkretisering, definition och spelregler av vad behandling av personuppgifter handlar om. I artikel 6 finns exempelvis en lista med de omständigheter för EXAKT NÄR behandling av personuppgifter kan anses lagliga. Den listan tycks inte alla dataskyddsombud ha tagit in - vilket jag strax återkommer till. Vi fick en uppdatering av den så kallade kaklagen nu i augusti. Det som heter ePrivacy utomlands eller LEK i Sverige. Sen finns det också tillämpningsspecifika exempel. Som Patientdatalagen, OSL, lag om tystnadsplikt, med mera. För en webbplats eller webbtjänst som vänder sig till invånare är det förstås relevant för en region. Mitt favoritexempel från när jag jobbade på Västra Götalandsregionen var den vårdmottagning på ett av sjukhusen som har en mottagning vid namn GAYHÅLSAN. Den mottagningens information finns på sjukhusets webbplats och säkerligen via webbtjänsterna hos 1177.se Så vad yrar jag om här? Jo, att användarbeteende på webben kan avslöja personuppgifter. I det här fallet att användaren är EN MAN SOM HAR SEX MED ANDRA MÄN. Det är förstås en extra känslig personuppgift och kan genom användarens IP-adress knytas till en individ. Om man nu (VILKET VGR INTE GÖR LÄNGRE) har med tredjeparter på en sådan sida på webbplatsen bidrar man till att lägga ett pussel åt tredjeparter. Som försvaret brukar påminna oss medborgare om i tid av kris så ska vi behålla våra pusselbitar för oss själva. >> Nog om detta. Hur såg det ut förra året?
  6. Förra året hade alla regioner utom Västra Götalandsregionen dåliga tredjeparter redan på startsidan. Jag nöjde mig då med att konstatera just det, att det såg illa ut. Jag mejlade samtliga anonymt och ställde ett antal frågor som relaterade till mina rättigheter enligt GDPR. Det var många som inte briljerade på mina frågor. Några svarade inte inom varken den där månaden de har på sig, eller de maximalt tre månader man kan få som uppskov. Andra gav mig förvirrade svar som om jag av ett DSO behövde hjälp att hitta JA-KNAPPEN för att samtycka. Samtycke lärs ut redan på förskolan. Status på ett samtycke ska respekteras. Ett ja betyder ja, tills vidare och under samma omständigheter. Nej betyder nej. Och ett uteblivet svar är då verkligen inte ett JA-svar. Det här är ju inte skitsvårt egentligen! Förra året var uppfattningen (INTE BARA BLAND REGIONERNA) vanlig att det skulle gå att anonymisera IP-adressen som en användare på webben har. Mest hår-resande dialogen jag haft om detta kommer inte från en region, men från en IT-chef som gick i polemik om hur kommunikation över internet fungerar. Hens position var att den för varje användare långa lista med tredjeparter de hade i själva verket inte alls hade möjlighet att komma över användarnas IP-adresser i klartext. Denna uppgift maskades och skickades nämligen bakom kulisserna enligt hen. Tydligen har jag likt stålmannen röntgensyn. Om det nu inte förhåller sig som så att denna kommunala IT-chef yrar i nattmössan. >> Så hur ser det ut i jämförelse nu, 2022?
  7. Västra Götalandsregionen får med sig Region Jönköping på den korta listan av de utan tredjeparter PÅ SIN STARTSIDA. Guldstjärna till dem! MEN, jag nämnde att jag analyserade på djupet när det inte redan på startsidan framgick problem. Både VGR och Jönköping har problematiska tredjeparter någonstans på sina webbplatser, de var inte svåra att hitta. De fyra regionerna Östergötland, Västmanland, Uppsala och Skåne står ut på så sätt att de tredjeparter jag hittade redan på startsidan inte var uppenbart problematiska. De kan mycket väl vara det av den enkla anledningen att allt inte går att avgöra som utomstående analytiker. Men låt oss hellre fria än fälla här. Jämtland-Härjedalen sticker ut av den enkla anledningen att de har tre stycken av de kända USA-baserade molntjänsterna redan på startsidan. Men se dem mer som ett exempel då en klar majoritet har åtminstone någon av dessa. Det är nog en tröstande tanke för de som vill och behöver bättra sig, att man knappast är ensam om sitt (ÅTMINSTONE ENLIGT MIG) tveksamma resultat. >> Alla de som inte nämns här har tredjeparter som är så välkända att det inte behöver granskas ifall en viss tredjepart har beroenden till USA eller ej.
  8. Det här är inte en komplett förteckning utan ett urval av tjänster som kan vara kända i bredare lager än vi som jobbar med webbutveckling. Det finns ett företag jag inte nämner sedan förra året då de så pass gärna ville få tyst på mig att de hotade att dra mig som privatperson inför marknadsdomstolen. Låt oss inte fastna i det. Jag har inte heller listat GDPR-vänliga molntjänster som regionerna använder. Exempelvis Vizzit som är ett helsvenskt alternativ till Google Analytics.
  9. Det var vad jag hade att berätta om idag. Tack för din uppmärksamhet! Några frågor, reaktioner eller kommentarer på detta? >>