Hoppa till huvudinnehåll

Finländska myndigheter avslöjar fortfarande hur du surfar på deras sajter - experter kritiska

Spårare
Spårare Bild: Yle / Timo Kallio cookies,google analytics

Webbsidor som upprätthålls av den offentliga sektorn sparar oftast information om vad du läser. Den informationen används i många fall av företag för att visa dig sådan reklam som just du är intresserad av.

Så kallade cookies eller kakor finns på många olika håll på nätet - till exempel på företagssajter och myndighetssajter.

Problemet är störst inom den privata sektorn men många experter anser samtidigt att just den offentliga sektorn har ett extra stort ansvar i att inte läcka medborgarnas data.

De aktuella spårarna gör det möjligt att följa med webbsidsbesöken. Man kan alltså till exempel se vilka sidor enskilda användare har läst och hur länge, med mera.

Datamaterialet hamnar ofta hos utländska företag som kan sälja det vidare och kombinera det med persondata de har köpt eller samlat in på annat håll. Det har blivit en stor affärsverksamhet som omsätter mycket pengar.

Det faller enligt min uppfattning utanför det som myndigheter borde syssla med.― Markku Suksi, professor i offentlig rätt

Markku Suksi som är professor i offentlig rätt vid Åbo akademi är kritisk till att den offentliga sektorn hjälper till med det här, genom att använda spårare.

– Det faller enligt min uppfattning utanför det som myndigheter borde syssla med. Den såkallade ändamålsbundenhetsprincipen i lagen tycker jag dikterar en försiktighet för myndigheterna för myndigheterna beträffande användning av spårare på myndigheternas webbsidor.

Svenska Yle berättade om spårningen redan för två år sedan, men den har fortsatt ungefär som förr.

Bland annat följande aktörer använder fortfarande den kritiserade spåraren Addthis: Hangö stad, Ingå kommun, Karleby stad, Kimitoöns kommun, Lappträsk kommun, Raseborgs stad, Vanda stad, Regionförvaltningsverket, NTM-centralerna och Helsingfors universitet.

Addthis är ingen liten okänd aktör. Spåraren sparar hundratals miljarder datauppgifter i månaden från sidor över hela världen och hör till de största på datamarknaden.

Också Googles och Facebooks spårningstjänster förekommer på många offentliga webbplatser i Finland.

Jag tycker att det rent ut sagt är fräckt.― Dataombudsman Reijo Aarnio

Dataombudsmannen Reijo Aarnio var år 2016 kritisk till att många offentliga webbsidor använde spårare.

– Jag tycker att det rent ut sagt är fräckt, eftersom myndigheter inte ska läcka information om att medborgare har sökt information på deras sidor, och särskilt inte så att folk kan identifieras, kommenterade han.

Företagen bakom spårarna uppger att de samlar in data anonymt men Aarnio bedömde att det i praktiken kan vara möjligt att identifiera folk.

Till exempel kan data från spåraren Google analytics kombineras med Gmail-konton, eller så kan man räkna ut vem det handlar om utifrån vilka alla sidor han eller hon besöker, påpekade Aarnio och tillade att IP-adressen också kan kombineras med personuppgifter någon annanstans på nätet.

Min uppfattning är att myndigheter inte ska läcka information om att medborgare har sökt information på deras sidor.― Internetexperten Anne-Marie Eklund Löwinder, invald i Internet Hall of Fame

Internetexperten Anne-Marie Eklund Löwinder, säkerhetschef på den allmännyttiga organisationen Internetstiftelsen i Sverige (IIS), är inne på samma linje.

– Min uppfattning är att myndigheter inte ska läcka information om att medborgare har sökt information på deras sidor, och särskilt inte så att det går att identifiera en enskild användare, säger hon till Svenska Yle.

Anne-Marie Eklund Löwinder
Anne-Marie Eklund Löwinder. Anne-Marie Eklund Löwinder Bild: Daniel Roos porträtt,Stiftelsen för Internetinfrastruktur,Anne-Marie Eklund Löwinder

Hon är för övrigt den enda personen från Sverige som har valts in i Internet Hall of Fame, ett hederspris som tilldelas personer vars livsverk har utgjort betydande bidrag till utvecklingen och förbättrandet av internet. Finländaren Linus Torvalds har också fått priset.

Strängare regler snart här

EU:s nya dataskyddsförordning som börjar tillämpas den 25 maj ställer dessutom högre krav på den som behandlar personuppgifter. Säkerheten är extra viktig om personuppgifterna anses vara av känslig natur.

Känsliga personuppgifter kan till exempel vara sådana som avslöjar något av följande:

  • Ras eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i fackförening
  • Uppgifter som rör hälsa eller sexualliv

Säkerhetschefen Eklund Löwinder säger att en myndighet därmed till exempel bör avstå från att spåra med Addthis eller Google analytics på sidor som hänvisar till rätt ungdomsmottagning, till information om olika hälsotillstånd, vårdnadstvister, villkor för skilsmässa och så vidare.

– Ännu värre är om en offentlig webbplats har Google analytics på sidor som vänder sig till homosexuella. Då blir det ett uppenbart integritetsproblem eftersom det handlar om uppgifter som rör hälsa och sexualliv. I mitt tycke är det här olämpligt.

Google analytics under lupp.
Google analytics under lupp. Bild: Ingvar Björk Google Analytics

Hon tillägger att en myndighet måste fråga sig om de ens vill utsätta sig för en sådan här risk genom att använda spårare.

– Ja, de borde definitivt fundera på det här. I synnerhet med den diskussion som nu förs om Facebook, Google och andra stora teknikföretag och deras hantering av användardata.

Eklund Löwinder betonar att användare behöver få tydlig information om att deras användningsmönster samlas in och skickas för uppsamling hos exempelvis Google i de fall där det förekommer.

– Den som ansvarar för informationsinsamlingen måste ställa sig frågan om vem som äger informationen, och om Google anser sig äga den, vad får de göra med den? Vad är det man ger tillåtelse till?

Tracker mapper
Flera olika webbplatser använder samma spårare. Tracker mapper Bild: F-Secure tracker mapper

Regeringen har ändå föreslagit att den offentliga sektorn i Finland inte ska behöva betala sanktionsavgifter för att bryta mot dataskyddsförordningen.

"Detta motiveras med att myndigheterna är bundna av kravet på laglighet i förvaltningen, tjänsteansvar och skadeståndsansvar. Påförande av administrativa påföljdsavgifter på myndigheter bedöms på nytt senare utifrån inkommen rättspraxis och erfarenheterna av lagens tillämpning", står det i ett pressmeddelande från Justitieministeriet.

Advokaten Kim Parviainen på advokatbyrån Castrén & Snellman säger för sin del att spårningen inte nödvändigtvis är olaglig.

– Så länge man aktivt berättar att man gör det här så kan det vara okej, menar han.

Han talar alltså här om läget just nu - innan EU:s dataskyddsförordning har trätt i kraft.

På en del myndighetssidor med spårningskakor så nämns det ändå inte att användaren spåras.

NTM-centralerna spårar

Till exempel Närings-, trafik- och miljöcentralernas webbsidor använder spåraren Addthis.

Direktör Jarmo Kovero säger att tanken med det här är att användare lätt ska kunna dela webbplatsens innehåll på sociala medier. Spårningskomponenten, som är gratis, skapar nämligen särskilda delningsknappar.

Vi har varit medvetna om att användardata säljs vidare.― Jarmo Kovero, direktör

Kovero medger ändå att det är naivt av myndigheten att använda Addthis.

– Ja, det kan man nog säga. Det har varit ett medvetet val att gå in för att använda den här enkla lösningen. Vi har varit medvetna om att användardata säljs vidare, säger han.

Efter att Svenska Yle tog kontakt så lovar Kovero att den externa spårningen ska tas bort från NTM-centralernas webbsidor. Det ska ske ännu den här veckan.

– NTM-centralerna kommer att övergå till en helt egen tjänst och datamaterialet ska sparas på egna servrar.

Kovero menar att det dessutom är viktigt att undvika alla externa spårningstjänster, till exempel den vanliga tjänsten Google analytics, för att inte läcka användardata till Google heller.

Också Helsingfors universitet lovar att se över sin användning av spåraren Addthis.

Mer kontroll över datamaterialet

Under de senaste två åren har flera myndigheter gått in för att använda betalda spårningstjänster, som låter dem ha exklusiv användarrätt över datamaterialet.

Då får alltså den kommersiella aktören inte sälja användardata vidare eller använda det för sina egna syften.

Till exempel Helsingfors stad, Esbo stad, Kyrkslätt kommun samt flera ministerier använder i dagens läge den inhemska tjänsten Snoobi analytics.

– Våra kunder i den offentliga sektorn är noggranna med att de själva ska ha användarrätt över datamaterialet om besökarna, och att det inte ska få användas av något företag eller säljas vidare, berättar Ville Häkkinen som är produktägare på Snoobi analytics.

Yle använder Google analytics på sin sajt. Du kan läsa mer om det till exempel i den här artikeln från år 2016.

Det går också att försöka skydda sig mot att bli spårad på nätet.

Läs också

Nyligen publicerat - Inrikes