- Annonser -
  • Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

”Våra kunders integritet är av högsta vikt för oss”

Läs valfri integritetspolicy. Med hög sannolikhet inleds den med en mening om hur mycket företaget värnar om kundernas integritet. Fråga dig nu huruvida det påståendet faktiskt stämmer, uppmanar IT-säkerhetsexperten Karl Emil Nikka.

-

- Annons -

Denna krönika är ursprungligen publicerad i Aktuell Säkerhet nr. 4 2022, som utkom den 10 juni 2022

Läs valfri integritetspolicy. Med hög sannolikhet inleds den med en mening om hur mycket företaget värnar om kundernas integritet. Fråga dig nu huruvida det påståendet faktiskt stämmer.

Låt oss ta apoteksskandalen från i våras som exempel. Den började när Sveriges Radio avslöjade att statliga Apoteket skickade information till Facebook om kundernas receptfria webbköp. Tillsammans med ett unikt id-nummer fick Facebook reda på när kunder köpte exempelvis klamydiatest och inkontinensskydd (under förutsättning att kunderna hade accepterat marknadsföringskakor).

Apoteket skriver i sin integritetspolicy att ”alla våra kunder ska känna sig trygga med att vi hanterar deras personuppgifter på ett ansvarsfullt sätt”. Av samma policy framgår att Apoteket använder både Facebooks och Googles kundmatchning för att medlemmar ska kunna ta del av Apotekets annonser.

Skandalen fortsatte när nätjätten Apotea anmälde sig själva till Integritetsskyddsmyndigheten efter att ha delat kund- och varukorgsinformation med Facebook. I en kommentar till Sveriges Radio meddelade Apoteas vd att incidenten orsakades av att en enskild anställd hade råkat slå på dataöverföringen.

Statliga Apoteket och nätjätten Apotea är långt ifrån ensamma om att ångra sin datadelning. I slutet av 2020 anmälde försäkringsbolaget Folksam sig själva efter att ha delat känslig information, till exempel köp av facklig försäkring eller gravidförsäkring, med annonsnätverk. Året därpå anmälde Länsförsäkringar sig själva av samma grundorsak. Enligt Länsförsäkringars pressmeddelande hade funktionen ”avancerad matchning” aktiverats av ett handhavandefel.

Misstag som dessa kan alltid ske. Risken för att de sker går dock att påverka. En webbplats delar ingen data med Facebook utan att en utvecklare faktiskt aktiverar kopplingarna dit. Facebooks spårningspixel, som förekommer på var och varannan webbplats, hamnar inte på webbplatserna av en slump. Google Analytics spårar inte användarna runt hela webben utan att världens webbplatsutvecklare först har lagt in Googles spårningsskript. Allt detta är aktiva handlingar.

Jag är fullt införstådd med hur viktiga dessa annonsnätverk är för många verksamheter. Många företag anser säkert att annonsnätverken är helt avgörande för att upprätthålla försäljningen. Debatten om annonsnätverkens berättigande och GDPR-förenlighet lämnar jag därför därhän. Jag vill däremot poängtera vikten av att konfigurera integrationen med annonsnätverken korrekt. Om ett företag väljer att dela data med utomstående aktörer är det av högsta vikt att företaget har full koll på exakt vilken data som lämnas ut.

Företagets ansvariga person måste också vara medveten om att datan har lämnat företagets egen kontroll. Vad som sker med datan därefter ligger inte längre i det egna företagets händer. I fallet med Facebook (Meta) ligger datan i stället i händerna på ett företag som byggdes under mantrat ”Move Fast and Break Things”. En hel del har förbättrats sedan det mantrat fasades ut och efter att Cambridge Analytica-skandalen blossade upp, men än finns det mycket kvar att göra. Det visade amerikanskkanadensiska Vice som i april publicerade ett läckt dokument från Facebooks integritetsingenjörer. I det dokumentet skrev Facebooks egna anställda att de inte hade en adekvat kontroll över hur systemen använde datan och vad den användes till. Påståendet är mest problematiskt för Facebook själva eftersom sådan datahantering är oförenlig med GDPR (Facebooks presstalesperson förnekar att dokumentet visar på några regelefterlevnadsproblem). Påståendet är samtidigt problematiskt för alla företag som har delat sina kunders data med Facebook utan att kunderna önskat det.

Alla företag som inte känner att de har full koll på sin webbplats bör åtminstone börja med att skanna sin webbplats med Dataskydds analysverktyg Webbkoll (webbkoll.dataskydd.net). Där går det att knappa in valfri webbadress för att få fram vilken spårningskod och vilka tredjepartsberoenden som laddas in automatiskt (eventuell data som delas direkt från servern syns inte). Resultaten är i många fall både överraskande och skrämmande.

Karl Emil Nikka, IT-säkerhetsexpert och Årets Säkerhetsprofil 2021

Åtgärden är lyckligtvis enkel: företagen bör göra som de ovannämnda apoteken. De bör, tills vidare, plocka bort spårningskoden och stänga av datadelningen om de är osäkra på vilken data som de lämnar ut. Med hög sannolikhet är det ju precis vad deras egen integritetspolicy föreskriver i den inledande meningen: ”våra kunders integritet är av högsta vikt för oss”.

- Annons -

”Hållbara laddprodukter främjar fastighetsbranschens utveckling”

Hallå där Josefin Bengtsson, COO och Head of Marketing för Compleo Nordic. Vilka är Compleo?– Compleo erbjuder allt man behöver för en smart och...

FLER NYHETER

IMY publicerar vägledning för integritetsanalys

IMY publicerar nu ”Vägledning för integritetsanalys i lagstiftningsarbete”. Vägledningen riktar sig främst till de som tar fram författningsförslag som innebär att personuppgifter behandlas, till...
- Annons -

Stärkt system för samordningsnummer

Ett samordningsnummer är en identitetsbeteckning för personer som inte är eller har varit folkbokförda i Sverige, men som ändå har behov av att ha...

Hon blir ny ordförande för Tech Sveriges Hållbarhetsråd

Johanna Giorgi, hållbarhetschef för AddSecure, har utsetts till ordförande för Tech Sveriges hållbarhetsråd.Rådet arbetar aktivt både för att lyfta fram techbranschen som möjliggörare av...
- Annons -

Lagförslag om hjärtstartare i bostadsområden

Det inträffar runt 6 000 hjärtstopp om året utanför sjukhus i Sverige. Genom hjärt-lungräddning överlever ungefär var tionde. Den siffran skulle kunna dubblas om...

Hallå där, Rahmina Khatun, en av tre mottagare av ISACA-stipendiet 2022

Motiveringen lyder:I denna uppsats rätas frågetecknet ut till ett utropstecken och arbetet belyser att kamerabevakning utan tillståndskrav på platser där allmänheten inte äger tillträde...

Utbildning ska ge tågpersonal verktyg för att hantera hot och våld

Anmälda arbetsplatsolyckor orsakade av hot och våld som leder till sjukfrånvaro ligger högt inom spårbunden trafik.* Att ge till exempel tågvärdar och konduktörer ökade...

PAM-as-a-Service ger ett extra lager för ökad säkerhet

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Många allvarliga cyberattacker inleds genom att hackaren lyckas ta över så kallade privilegierade användarkonton....

PTS övade cyberförsvar

Under två dagar, 29-30 november, genomfördes PTS CDX 2022, (CyberDefenceExercise) en teknisk övning tillsammans med deltagare ur sektorn elektronisk kommunikation. Övningen genomfördes på FOI:s...

A-kassans utbetalningar skjuts upp efter cyberattack

Softronic sköter bland annat driften åt a-kassorna, som på grund av attacken meddelat att utbetalningarna från dem kommer att dröja."Av säkerhetsskäl kommer torsdagens utbetalning...

Offren för utpressningsattacker har ökat med 138 procent i Norden

Bland resultaten framkommer att det totala antalet incidenter ökat med drygt fem procent från föregående år. I snitt utsattes varje kund för fler än...

Säkerhet och digitalisering högst prioriterat för företags betalningslösningar inför 2023

Att stärka säkerheten är den satsning som företagen prioriterar allra högst när det gäller betallösningar, visar undersökningen. På andra plats hamnar digitalisering av betalningar,...

Gömmer sig en “cyberspion” i din datainfrastruktur?

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Cyberattacker är svåra att upptäcka. I snitt tar det upp till 287 dagar att...

2Secure anställer informationssäkerhetskonsult

Erik Baumgardt är i grunden statsvetare och inriktade sig tidigt på säkerhetspolitik och integritetsfrågor.– Jag vill utvecklas och lära nytt och såklart bidra till...

Verktyg ska hjälpa att systematisera och brottsförebygga i skolor

– Tillsammans med Länsstyrelsen i Blekinge har vi på den oberoende tankesmedjan Stiftelsen Tryggare Sverige utvecklat ett verktyg som möjliggör ett kunskapsbaserat och systematiskt arbetssätt...