Svenska organisationer spårar besökare på känsliga webbplatser

Bris, Roks och IOGT är tre av många organisationer som utlovar anonymitet – men samtidigt spårar sina webbplatsbesökare med en mängd olika spårningstjänster. ”Detta är fruktansvärda uppgifter som du nu berättar för oss”, säger Jenny Westerstrand, ordförande för Roks. 

Sveriges Radios Ekotredaktion avslöjade nyligen att ett 80-tal offentliga webbplatser skickar personuppgifter vidare till Google. Granskningen har lett till att flera myndigheter har anmält sig själva till Integritetsskyddsmyndigheten. 

Nu kan Ny Teknik avslöja att även ickestatliga organisationer som utlovar anonymitet, och ska erbjuda en trygg plats på nätet, har webbplatser som skickar ip-adresser och andra, ännu mer personliga, data vidare till Google, Facebook, Linkedin och en rad andra företag. De organisationer som Ny Tekniks har granskat gör det här i olika utstäckning – men alla har någon form av spårning som skickas till tredje part.

Webbplatsen för Roks, Riksorganisationen för kvinnojourer och tjejjourer i Sverige, skickar inte bara data till Google och Facebook utan övervakar även musklick och tangentbordsinmatning, skickar data vidare till nio annonsnätverk och använder cookies från totalt 19 tredjepartsaktörer såsom exempelvis Adobe, Oracle och Media Math.

Det visar en undersökning som Ny Teknik har gjort med ett enkelt spårningsverktyg.

Jenny Westerstrand, ordförande för Roks Foto: TT

– Detta är fruktansvärda uppgifter som du nu berättar för oss. Vi hade ingen aning om detta och vi ska nu genast gå till vår webbyrå för att åtgärda detta, säger Jenny Westerstrand, ordförande för Roks. 

Påverkar Facebooks algoritmer 

Att Facebook får reda på att en användare går in på Roks webbsidor påverkar Facebooks algoritmer, vilket exempelvis kan styra vilken reklam, inlägg och gruppförslag som visas för användaren. 

– Det intressanta här är ju inte specifikt vilka personliga data som samlas in, utan det intressanta är att algoritmerna som visar annonser och intressen inte tar hänsyn till din integritet och ditt välbefinnande. Eftersom folk är sammanvävda på sociala nätverk som Facebook så innebär det att de kan presentera förslag för dig och dina vänner som avslöjar dina och dina vänners relationer och vanor. Gäller det våld i hemmet kan det bli direkt farligt, säger Per Axbom, som är egenföretagare med fokus på digital strategi.

Läs mer: GDPR: Sverige utfärdar sanktionsavgift mot Google

Roks är långt ifrån ensamma om att med hjälp av cookies berätta för omvärlden vilka som besöker sajten. Det gör även Bris – Barnens rätt i samhället – som utlovar anonymitet för de barn som kontaktar organisationen. 

Bris spårar visserligen inte musklick och tangentbordstryck, men använder både Google Analytics och Facebooks pixeltjänst. Enligt Ny Tekniks undersökning får åtta annonsaktörer reda på besöket, bland dem Microsoft och Warner Media, samt totalt tio tredjepartsaktörer – inklusive Linkedin. Trots det påstår Bris själva att webbplatsbesökarna är anonyma.

Foto: TT

”Bris.se använder Google Analytics och Microsoft Application Insight. Inga person- eller ip-adresser lagras. Vi använder verktygen för att kunna se hur besökare använder webbplatsen och kunna göra förbättringar. Bris kuratorstöd är helt anonymt och vi har starka säkerhetslösningar för all data som rör stödverksamheten. Det är också vårt löfte, att varje barn som kontaktar Bris är anonymt om hen önskar, och att inga personuppgifter lagras om barn som kontaktar Bris”, skriver Bris kommunikationschef Anna Holmqvist i en skriftlig kommentar till Ny Teknik.

Historisk förklaring till spårningen 

Per Axbom har en förklaring till varför så många aktörer spårar så mycket – och den är kort och gott att ”så har man alltid gjort”.

– Webbvärlden är ung och i webbutbildningarna lär man sig inte så mycket om integritet utan främst om att försöka ge webbplatsägaren så mycket information om användarna som möjligt för att på så vis kunna skapa maximalt användarvänliga tjänster, säger han.

Anonyma alkoholisters webbplats skickar inga data någonstans, men däremot kan personer som har besökt aa.se senare få se Googleannonser baserat på sitt besök på webbplatsen. Nykterhetsrörelsen IOGT:s webbplats skickar data till Google och Facebook om besöket, men inte till några övriga aktörer.

– Vi har inget intresse av att veta vilka som varit inne på vår hemsida. Vi har inga register. Att människor litar på anonymiteten i AA är grundläggande för vår verksamhet, säger Bernt G, som är kontorsansvarig på Anonyma alkoholister.

Läs mer: Norsk app kan röja coronasmittades identitet

Att vara helt anonym på nätet i dag är en utmaning för vanliga webbsurfare, och för webbplatsinnehavare så gäller det att tydligt kunna motivera och förklara sitt syfte med att spåra sina användare. 

– Hur allvarligt det är att bli spårad på olika sätt beror på sammanhanget. I vilken kontext sker datainsamlingen och hur tydligt är det för användarna vilka data som en aktör eventuellt samlar in? Detta är viktiga uppgifter som varje webbansvarig person har, säger Caroline Olstedt Carlström, gdpr-expert på Cirio Advokatbyrå.

Hon är även ordförande i Forum för dataskydd, en organisation som på olika sätt försöker upplysa om hur man kan bidra till ett ökat integritetsskydd i samhället.  

– Vi ser tydligt att många organisationer saknar en intern förvaltningsorganisation som fokuserar på dataskyddsfrågor, vilket leder lätt leder till misstag och att många aktörer ibland helt enkelt bryter mot lagen, säger Caroline Olstedt Carlström.

Dataskyddsfrågor trillar mellan stolarna

Hon berättar att många företag gjorde rejäla arbeten inför den 25 maj 2018 då EU:s dataskyddsförordning gdpr började gälla som lag i Sverige och då ersatte den tidigare personuppgiftslagen, pul. Samtidigt har inte lika mycket hänt efter det och Caroline Olstedt Carlström säger att dataskyddsfrågor ofta är något som trillar mellan stolarna hos företag, myndigheter och organisationer. 

– Många har inte det holistiska tänkandet utan fokuserar endast på enskilda detaljer. Lösningen är att ha en intern process som innebär att man stämmer av internt varje gång som en ny modul införs på hemsidan eller när man på annat sätt använder personuppgifter på något nytt sätt. Man får då en god intern kontroll på dataanvändningen, kan begränsa den vid behov och lär sig då vad som exempelvis behöver informeras om ut till besökarna på webbplatsen, säger hon.

Läs mer: ”Klåfingriga politiker kan skapa internetcensur i EU”

Även små företag och organisationer bör utse någon som är ansvarig för dataskyddsfrågor. 

– Även om man bara är fem personer och ingen är it-specialist så ska man utse en ansvarig och se till att denne är nyfiken på den här typen av frågor. Mycket information finns på webben, och så länge det finns en intern ägare som är nyfiken på, och ansvarar för, dataskydd så kommer man långt, säger Caroline Olstedt Carlström.

Fakta: Sverige inte ensamma 

Organisationen NOYB – European Center for Digital Rights, som grundades av integritetsaktivisten Max Schrem, har tidigare lämnat in 101 klagomål till olika tillsynsmyndigheter i Europa avseende användning av cookies som skickar personuppgifter utanför EU, mer specifikt till Google och Facebook. 

Sex av dessa klagomål hamnade hos Integritetsskyddsmyndigheten, som nu arbetar på att hantera dessa ärenden. Myndigheten samarbetar även med tillsynsmyndigheterna i Europa via den Europeiska dataskyddsstyrelsen, EDPB, för att harmonisera hanteringen av dessa likalydande ärenden. 

Fakta: Så gjorde vi undersökningen 

Ny Teknik använde verktyget Blacklight som har tagits fram av datajournalisten Surya Mattu från den ideella nyhetsorganisationen The Markup. Den visar på ett snabbt sätt vilka spårningssystem som är aktiverade. Prova själv på här.

Viktor Krylmark

Anders Frick

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt