Denna krönika är ursprungligen publicerad i Aktuell Säkerhet nr. 4 2022, som utkom den 10 juni 2022
Läs valfri integritetspolicy. Med hög sannolikhet inleds den med en mening om hur mycket företaget värnar om kundernas integritet. Fråga dig nu huruvida det påståendet faktiskt stämmer.
Låt oss ta apoteksskandalen från i våras som exempel. Den började när Sveriges Radio avslöjade att statliga Apoteket skickade information till Facebook om kundernas receptfria webbköp. Tillsammans med ett unikt id-nummer fick Facebook reda på när kunder köpte exempelvis klamydiatest och inkontinensskydd (under förutsättning att kunderna hade accepterat marknadsföringskakor).
Apoteket skriver i sin integritetspolicy att ”alla våra kunder ska känna sig trygga med att vi hanterar deras personuppgifter på ett ansvarsfullt sätt”. Av samma policy framgår att Apoteket använder både Facebooks och Googles kundmatchning för att medlemmar ska kunna ta del av Apotekets annonser.
Skandalen fortsatte när nätjätten Apotea anmälde sig själva till Integritetsskyddsmyndigheten efter att ha delat kund- och varukorgsinformation med Facebook. I en kommentar till Sveriges Radio meddelade Apoteas vd att incidenten orsakades av att en enskild anställd hade råkat slå på dataöverföringen.
Statliga Apoteket och nätjätten Apotea är långt ifrån ensamma om att ångra sin datadelning. I slutet av 2020 anmälde försäkringsbolaget Folksam sig själva efter att ha delat känslig information, till exempel köp av facklig försäkring eller gravidförsäkring, med annonsnätverk. Året därpå anmälde Länsförsäkringar sig själva av samma grundorsak. Enligt Länsförsäkringars pressmeddelande hade funktionen ”avancerad matchning” aktiverats av ett handhavandefel.
Misstag som dessa kan alltid ske. Risken för att de sker går dock att påverka. En webbplats delar ingen data med Facebook utan att en utvecklare faktiskt aktiverar kopplingarna dit. Facebooks spårningspixel, som förekommer på var och varannan webbplats, hamnar inte på webbplatserna av en slump. Google Analytics spårar inte användarna runt hela webben utan att världens webbplatsutvecklare först har lagt in Googles spårningsskript. Allt detta är aktiva handlingar.
Jag är fullt införstådd med hur viktiga dessa annonsnätverk är för många verksamheter. Många företag anser säkert att annonsnätverken är helt avgörande för att upprätthålla försäljningen. Debatten om annonsnätverkens berättigande och GDPR-förenlighet lämnar jag därför därhän. Jag vill däremot poängtera vikten av att konfigurera integrationen med annonsnätverken korrekt. Om ett företag väljer att dela data med utomstående aktörer är det av högsta vikt att företaget har full koll på exakt vilken data som lämnas ut.
Företagets ansvariga person måste också vara medveten om att datan har lämnat företagets egen kontroll. Vad som sker med datan därefter ligger inte längre i det egna företagets händer. I fallet med Facebook (Meta) ligger datan i stället i händerna på ett företag som byggdes under mantrat ”Move Fast and Break Things”. En hel del har förbättrats sedan det mantrat fasades ut och efter att Cambridge Analytica-skandalen blossade upp, men än finns det mycket kvar att göra. Det visade amerikanskkanadensiska Vice som i april publicerade ett läckt dokument från Facebooks integritetsingenjörer. I det dokumentet skrev Facebooks egna anställda att de inte hade en adekvat kontroll över hur systemen använde datan och vad den användes till. Påståendet är mest problematiskt för Facebook själva eftersom sådan datahantering är oförenlig med GDPR (Facebooks presstalesperson förnekar att dokumentet visar på några regelefterlevnadsproblem). Påståendet är samtidigt problematiskt för alla företag som har delat sina kunders data med Facebook utan att kunderna önskat det.
Alla företag som inte känner att de har full koll på sin webbplats bör åtminstone börja med att skanna sin webbplats med Dataskydds analysverktyg Webbkoll (webbkoll.dataskydd.net). Där går det att knappa in valfri webbadress för att få fram vilken spårningskod och vilka tredjepartsberoenden som laddas in automatiskt (eventuell data som delas direkt från servern syns inte). Resultaten är i många fall både överraskande och skrämmande.
Åtgärden är lyckligtvis enkel: företagen bör göra som de ovannämnda apoteken. De bör, tills vidare, plocka bort spårningskoden och stänga av datadelningen om de är osäkra på vilken data som de lämnar ut. Med hög sannolikhet är det ju precis vad deras egen integritetspolicy föreskriver i den inledande meningen: ”våra kunders integritet är av högsta vikt för oss”.
