Svenska myndigheter måste sluta att läcka data om svenska medborgares surfvanor

När du besöker en webbplats på internet så har merparten av dessa webbplatser s.k spårningsscript på plats. Detta är inget konstigt och nödvändigt om man skall kunna arbeta professionellt med att förbättra sin webb. Låt mig redan nu göra klart att jag tycker att våra myndigheter skall fortsätta att samla data av just den anledningen, allt annat vore ett stort slöseri med Skattepengar.

Utmaningen är att de flesta webbplatser använder sig av  molntjänster utanför Sverige och då oftast i USA ör att kunna samla in statistik men även för att få andra typer av tjänster levererade. Vanligaste tjänster är Google Analytics.

Men vi skickar bara anonym data

Detta är ett vanligt argument, men det räcker med att titta på GDPR så kan vi tex läsa att IP-adresser kan vara persondata. Det betyder att all kommunikation mot en annan tjänst på internet potentiellt delar persondata. Det går nämligen inte att kommunicera på internet överhuvudtaget utan att dela sin ip-adress med den part man kommunicerar med. Det finns betydligt många fler problem än själva ip-adressen men det räcket egentligen. När en IP adress läcks faller det under det som Datainspektionen klassar som Obehörig åtkomst.

Men Google Analytics sparar inte IP adresser

I Google Analytics introducerades nya funktioner i och med GDRP, där man bla kan ställa in så att ip adressen maskas innan den lagras i databasen.

Det är ju utmärkt, men IP-adressen är faktiskt redan röjd när detta sker. Bara det faktum att Google har hanterat adressen innebär att den är delad och lagrad i andra system utöver själva applikationen Google Analytics och då faller hela GDPR.

Dels så lagras alltid IP adresser i  servernars loggar som man kommunicerar med och på vägen till servern där Analytics körs så passeras en massa nätverksutrustning som också kan se och lagra adressen. Det betyder att uppgiften faktiskt redan är röjd innan den ens nått Google Analytics.

Men hur kan det vara ett problem?

När ett enrop görs på webben så skickas det alltid med en parameter som kallar för referer, det är egentligen adressen på den sidan varifrån själva anropet gjorts.

Så om jag besöker dn.se och så använder DN Google Analytics. Då skickas den adress jag angett hos DN alltid med i anropet till Google (det är en del av internet standarden).

Ett tydligt problem blir tex om jag loggat in och sidans sökväg är:

dn.se/tomas-perssons-sida - Då har man röjt min identitet till samtliga tjänster som anropas.

Som tur är så börjar medvetenheten hos de flesta som jobbar med utveckling av webb vets om detta så de flesta har inte med personuppgifter i sökvägen.

Men tänk om jag tex går till en sida som heter:

dn.se/hur-vet-jag-om-jag-fått-hiv - Nu innehåller sökvägen i sig extremt känslig information och i kombination med min IP adress kan det röja både min identitet och väldigt känsliga uppgifter.

Google arbetar med profiling

Alla Googles gratistjänster bygger på att man skall kunna samla data som i sin tur förbättrar deras annonstjänster. Det gör att alla webbplats-anrop jag gör där de passerar någon av alla Googles tjänster kommer att sparas ned i system för att profilera mig.

Exakt vad som sparas och hur mycket är svårt att veta, men sannolikheten att det finns data hos Google om mig som är känslig och som jag inte ämnat att dela med Google är väldigt stor. Det är väldigt naivt att tro något annat.

Även om Google säker jobbar på att anonymisera data så skulle det vara lätt att identifiera mig om man verkligen vill.

Det är inte bara Google som ser datat

I USA finns sedan 1978 en lag som kallas för F.I.S.A (Foreign Intelligence Surveillance Act) och den ger amerikanska myndigheter som FBI, CIA men främst NSA rätten att avlyssna all data som passerar in på amerikanskt territorium. I praktiken är det en väldigt stor del av all internet trafik i vårt land med tanke på hur stor del av våra tjänster som nyttjar amerikanska tjänster.  Vittnesmål hos f.d anställda hos dessa myndigheter talar om enorma system som inte bara lyssnar på data, utan även sparar ned den.

Skyldiga att lämna ut data

Utöver den strukturerade avlyssningen som sker så har myndigheter även rätt att kräva att amerikanska teknikbolag skall lämna ut data från sina system. Efter skandalen med Edward Snowden 2007 så beslutade sig ett 50 tal tech bolag att deklarera hur ofta de måste lämna ut data. Sedan dess så har antalet förfrågningar ökat markant varje år.

I rapporterna redogörs det även för från vilka länder detta sker och om vi bara tittar på Googles rapport för första halvåret 2019 så lämnar man ut data om svenska användare ungefär 2ggr per dag. Även Microsofts rapport pekar på liknande volymer.

Faktum är att även om dessa bolags servrar ligger i Sverige så är de skyldiga att lämna ut data, så att Amazon bygger datahallar i Sverige har ingen effekt på GDPR. Alla data som lagras där och hos andra bör betraktas som röjd till 3:e makt.

Alternativ till Google Analytics?

Vi arbetar med Open Source verktyget Matomo som vem som helst kan ladda ned och använda som ersättning för Google Analytics.

Vi på Digitalist säljer Matomo som tjänst från svenskägda datahallar i Sverige för att garantera att era besökares data stannar i Sverige.

Vi erbjuder även professionell support kring Matomo och vi är dessutom engagerade i utveckligen av Matomo.

Vill du veta mer?

Kontakta oss om du vill veta mer eller om du kanske vill testköra Matomo (vi erbjuder gratis testperioder i vårt moln).

Vi håller dessutom löpande seminarier kring privacy och datasäkerhet så håll utkik under våra events, eller så kontaktar du oss så berättar vi mer.

No items found.
Matomo

Webbinarium: Matomo webbanalys med fokus på datasäkerhet

Vi kommer att demonstrera Matomo som verktyg, men även prata om webbanalys ur ett privacy-perspektiv.

Läs bloggpost

Webbinarium om Matomo: webbanalys med fokus på privacy och datasäkerhet

Vi kommer att demonstrera Matomo som verktyg, men även prata om webbannalys ur ett privacy-perspektiv och förklara hur Matomo på ett bra sätt kan möta dessa behov.

Läs bloggpost

Var inte blyg, kontakta oss!

Vill du istället prata med en av våra kundansvariga direkt? Klicka här!