Svenska myndigheter måste sluta att läcka data om svenska medborgares surfvanor

Dataläckage myndigheter
Tomas Persson
2021-02-14

När du besöker en webbplats på internet så har merparten av dessa webbplatser ett eller flera så kallade spårningsscript på plats. Detta är inget konstigt utan nödvändigt om man skall kunna arbeta professionellt med att förbättra sin webb. Låt mig redan nu göra klart att jag tycker att våra myndigheter skall fortsätta att samla data av just den anledningen, allt annat vore ett stort slöseri med skattepengar.

Utmaningen är att de flesta webbplatser använder sig av molntjänster utanför Sverige och då oftast i USA för att kunna samla in statistik men även för att få andra typer av tjänster levererade. Den vanligaste tjänsten är Google Analytics.

Men vi skickar ju bara anonym data?

Detta är ett vanligt argument, men det räcker med att titta på GDPR så kan vi tex läsa att IP-adresser kan vara persondata. Det betyder att all kommunikation mot en annan tjänst på internet potentiellt delar persondata. Det går nämligen inte att kommunicera på internet överhuvudtaget utan att dela sin ip-adress med den part man kommunicerar med. Det finns många fler problem än själva ip-adressen men det räcker egentligen. När en IP adress läcks faller det under det som Datainspektionen klassar som Obehörig åtkomst.

Men Google Analytics sparar inte IP adresser

I Google Analytics introducerades nya funktioner i och med GDPR, där man bland annat kan göra en inställning så att IP-adressen maskas innan den lagras i databasen.

Det är ju utmärkt, men IP-adressen är faktiskt redan röjd när detta sker. Bara det faktum att Google har hanterat adressen innebär att den är delad och lagrad i andra system utöver själva applikationen Google Analytics och då faller hela GDPR.

IP adresser hamnar alltid i serverns loggar som man kommunicerar med och på vägen till servern där Analytics körs så passeras man en massa nätverksutrustning som också kan se och lagra adressen. Det betyder att uppgiften faktiskt redan är röjd innan den ens nått Google Analytics.

Men hur kan det vara ett problem?

När ett anrop görs på webben så skickas det alltid med en parameter som kallar för referer, det är egentligen adressen till sidan varifrån själva anropet gjorts.

Exempel: jag besöker dn.se och DN använder Google Analytics. Då skickas den adress jag angett hos DN alltid med i anropet till Google (det är en del av internet standarden).

Ett tydligt problem blir tex om jag loggat in och sidans sökväg är:

dn.se/tomas-perssons-sida - Då har man röjt min identitet till samtliga tjänster som anropas.

Som tur är så börjar medvetenheten hos de flesta som jobbar med utveckling av webb veta om detta så de flesta har inte med personuppgifter i sökvägen.

Men tänk om jag tex går till en sida som heter:

dn.se/hur-vet-jag-om-jag-fått-hiv - Nu innehåller sökvägen i sig extremt känslig information och i kombination med min IP adress kan det röja både min identitet och väldigt känsliga uppgifter.

Google arbetar med profiling

Alla Googles gratistjänster bygger på att man ska kunna samla data som i sin tur förbättrar deras annonstjänster. Det gör att alla webbplats-anrop jag gör där de passerar någon av alla Googles tjänster kommer att sparas ned i system för att profilera mig.

Exakt vad som sparas och hur mycket är svårt att veta, men sannolikheten är stor att det finns data hos Google om mig som är känslig och som jag inte ämnat att dela med Google. Det är vore naivt att tro något annat.

Även om Google säkert jobbar på att anonymisera data så skulle det vara lätt att identifiera mig om man verkligen vill.

Det är inte bara Google som ser datat

I USA finns sedan 1978 en lag som kallas för F.I.S.A (Foreign Intelligence Surveillance Act) och den ger amerikanska myndigheter som FBI, CIA och NSA rätten att avlyssna all data som passerar in på amerikanskt territorium. I praktiken är det en väldigt stor del av all internet trafik i Sverige med tanke på hur stor del av våra tjänster som nyttjar amerikanska tjänster. Vittnesmål hos f.d anställda hos dessa amerikanska myndigheter talar om enorma system som inte bara lyssnar på data, utan även sparar ned den.

Skyldiga att lämna ut data

Utöver den strukturerade avlyssningen som sker så har myndigheter även rätt att kräva att amerikanska teknikbolag skall lämna ut data från sina system. Efter skandalen med Edward Snowden 2007 så beslutade sig ett 50-tal tech bolag att deklarera hur ofta de måste lämna ut data. Sedan dess så har antalet förfrågningar ökat markant varje år.

I rapporterna redogörs det även för från vilka länder detta sker och om vi bara tittar på Googles rapport för första halvåret 2019 så lämnar man ut data om svenska användare ungefär två gånger per dag. Även Microsofts rapport pekar på liknande volymer.

Faktum är att även om dessa bolags servrar ligger i Sverige så är de skyldiga att lämna ut data, så att Amazon bygger datahallar i Sverige har ingen effekt på GDPR. All data som lagras där och hos andra bör betraktas som röjd till tredje makt.

Alternativ till Google Analytics?

Vi arbetar med Open Source verktyget Matomo som vem som helst kan ladda ned och använda som ersättning för Google Analytics.

Vi på Digitalist säljer Matomo som tjänst från svenskägda datahallar i Sverige för att garantera att besökarnas data stannar i Sverige.

Vi erbjuder professionell support kring Matomo och vi är även engagerade i utveckligen av Matomo.

Vill du veta mer?

Kontakta oss om du vill veta mer eller om du kanske vill testköra Matomo (vi erbjuder gratis testperioder i vårt moln).

Vi håller dessutom löpande seminarier kring privacy och datasäkerhet så håll utkik efter våra event, eller så kontaktar du oss så berättar vi mer.

No items found.