- Annonser -
  • Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

”Våra kunders integritet är av högsta vikt för oss”

Läs valfri integritetspolicy. Med hög sannolikhet inleds den med en mening om hur mycket företaget värnar om kundernas integritet. Fråga dig nu huruvida det påståendet faktiskt stämmer, uppmanar IT-säkerhetsexperten Karl Emil Nikka.

-

Denna krönika är ursprungligen publicerad i Aktuell Säkerhet nr. 4 2022, som utkom den 10 juni 2022

Läs valfri integritetspolicy. Med hög sannolikhet inleds den med en mening om hur mycket företaget värnar om kundernas integritet. Fråga dig nu huruvida det påståendet faktiskt stämmer.

Låt oss ta apoteksskandalen från i våras som exempel. Den började när Sveriges Radio avslöjade att statliga Apoteket skickade information till Facebook om kundernas receptfria webbköp. Tillsammans med ett unikt id-nummer fick Facebook reda på när kunder köpte exempelvis klamydiatest och inkontinensskydd (under förutsättning att kunderna hade accepterat marknadsföringskakor).

Apoteket skriver i sin integritetspolicy att ”alla våra kunder ska känna sig trygga med att vi hanterar deras personuppgifter på ett ansvarsfullt sätt”. Av samma policy framgår att Apoteket använder både Facebooks och Googles kundmatchning för att medlemmar ska kunna ta del av Apotekets annonser.

Skandalen fortsatte när nätjätten Apotea anmälde sig själva till Integritetsskyddsmyndigheten efter att ha delat kund- och varukorgsinformation med Facebook. I en kommentar till Sveriges Radio meddelade Apoteas vd att incidenten orsakades av att en enskild anställd hade råkat slå på dataöverföringen.

Statliga Apoteket och nätjätten Apotea är långt ifrån ensamma om att ångra sin datadelning. I slutet av 2020 anmälde försäkringsbolaget Folksam sig själva efter att ha delat känslig information, till exempel köp av facklig försäkring eller gravidförsäkring, med annonsnätverk. Året därpå anmälde Länsförsäkringar sig själva av samma grundorsak. Enligt Länsförsäkringars pressmeddelande hade funktionen ”avancerad matchning” aktiverats av ett handhavandefel.

Misstag som dessa kan alltid ske. Risken för att de sker går dock att påverka. En webbplats delar ingen data med Facebook utan att en utvecklare faktiskt aktiverar kopplingarna dit. Facebooks spårningspixel, som förekommer på var och varannan webbplats, hamnar inte på webbplatserna av en slump. Google Analytics spårar inte användarna runt hela webben utan att världens webbplatsutvecklare först har lagt in Googles spårningsskript. Allt detta är aktiva handlingar.

Jag är fullt införstådd med hur viktiga dessa annonsnätverk är för många verksamheter. Många företag anser säkert att annonsnätverken är helt avgörande för att upprätthålla försäljningen. Debatten om annonsnätverkens berättigande och GDPR-förenlighet lämnar jag därför därhän. Jag vill däremot poängtera vikten av att konfigurera integrationen med annonsnätverken korrekt. Om ett företag väljer att dela data med utomstående aktörer är det av högsta vikt att företaget har full koll på exakt vilken data som lämnas ut.

Företagets ansvariga person måste också vara medveten om att datan har lämnat företagets egen kontroll. Vad som sker med datan därefter ligger inte längre i det egna företagets händer. I fallet med Facebook (Meta) ligger datan i stället i händerna på ett företag som byggdes under mantrat ”Move Fast and Break Things”. En hel del har förbättrats sedan det mantrat fasades ut och efter att Cambridge Analytica-skandalen blossade upp, men än finns det mycket kvar att göra. Det visade amerikanskkanadensiska Vice som i april publicerade ett läckt dokument från Facebooks integritetsingenjörer. I det dokumentet skrev Facebooks egna anställda att de inte hade en adekvat kontroll över hur systemen använde datan och vad den användes till. Påståendet är mest problematiskt för Facebook själva eftersom sådan datahantering är oförenlig med GDPR (Facebooks presstalesperson förnekar att dokumentet visar på några regelefterlevnadsproblem). Påståendet är samtidigt problematiskt för alla företag som har delat sina kunders data med Facebook utan att kunderna önskat det.

Alla företag som inte känner att de har full koll på sin webbplats bör åtminstone börja med att skanna sin webbplats med Dataskydds analysverktyg Webbkoll (webbkoll.dataskydd.net). Där går det att knappa in valfri webbadress för att få fram vilken spårningskod och vilka tredjepartsberoenden som laddas in automatiskt (eventuell data som delas direkt från servern syns inte). Resultaten är i många fall både överraskande och skrämmande.

Karl Emil Nikka, IT-säkerhetsexpert och Årets Säkerhetsprofil 2021

Åtgärden är lyckligtvis enkel: företagen bör göra som de ovannämnda apoteken. De bör, tills vidare, plocka bort spårningskoden och stänga av datadelningen om de är osäkra på vilken data som de lämnar ut. Med hög sannolikhet är det ju precis vad deras egen integritetspolicy föreskriver i den inledande meningen: ”våra kunders integritet är av högsta vikt för oss”.

FLER NYHETER

RICO – stilbildande amerikansk lag mot skumrask och annan organiserad brottslighet – Del 2

Ett område där RICO anses ha haft särskilt stor betydelse är insatser mot övergrepp i rättssak. Sådana kan omfatta bland annat hot mot vittnen,...

Ny koncern inom lås och beslag

– Vi delar ambitionen om att bli större och starkare i Norden, för att bättre utveckla vårverksamhet. Sammanslagningen skapar grunden för långsiktig finansiell stabilitet,...
- Annons -

Rapport: Vart femte tjänste­företag drabbat av cyberattacker

Cyberangreppen mot företag, myndigheter och organisationer har ökat i takt med digitaliseringen och försämrad säkerhetspolitisk situation. Rysslands invasion av Ukraina har också inneburit ett...
- Annons -

SLR inleder samarbete med Copiax

– I syfte att erbjuda ytterligare kompetensutveckling för fler personer i säkerhetsbranschen har SLR och Copiax träffat en överenskommelse om samverkan. Copiax har nu...

Umeåföretaget dubblar personalstyrkan – stort behov av trygghetsskapande åtgärder

Nya på företaget är Roger Söderlund, utbildningsansvarig, Peter Angerbjörn, senior analytiker och jurist, samt byråprofilen Emma Sundqvist, marknads- och kommunikationsansvarig.– Jag är jätteglad för...
- Annons -

IMY: Polisen måste bli bättre på att gallra i misstankeregistret

I registret finns personuppgifter om den som är skäligen misstänkt för brott eller har begärts överlämnad eller utlämnad för brott. Enligt lagen om misstankeregister...

Ny head of innovation på KPMG

– Målet är tydligt, KPMG ska erbjuda branschens mest innovativa, värdeskapande och relevanta digitala tjänster, för Sveriges alla företag och organisationer. Jag ser verkligen...

Securitas och Ludvika kommunfastigheter förnyar avtal

Securitas kommer även att ansvara över fastighetsjour för akuta ärenden utanför kontorstid och trygghetsjour för hyresgästernas trygghet och boendemiljö.– Tack vare avtalet Securitas har...

UNDERSÖKNING: 82 % av svenska organisationer upplevde betydande säkerhetsincidenter det senaste året 

Statistiken kommer samtidigt som cyberhoten ökar och säkerheten och IT-teamen förväntas hålla sina organisationer skyddade från sådana hot. 91 procent av de tillfrågade uppgav att de...

Svensk utbildning hjälper IT-proffs i karriären

Vad är det för kurser och vad får man lära sig?– Vi arbetar för ISACA här i Sverige och hjälper bland annat säkerhetschefer, IT-revisioner...

HiQ vinner ramavtal med Statens Servicecenter

– Det är väldigt roligt att vi vinner detta ramavtal. Cyberhot är en stor del av dagens digitala samhälle, och att organisationer arbetar förebyggande...

”Hållbarhet är också säkerhet”

Ett exempel är den marknadsplats för klimat som nyligen lanserades; Data Collaboration for the Climate, vars syfte är att lyfta och sprida data och...

RICO – stilbildande amerikansk lag mot skumrask och annan organiserad brottslighet

Efter andra världskriget blev amerikanerna medvetna om att dåvarande lagstiftning inte räckte till för att förebygga och hejda den organiserade brottsligheten. Myndigheterna kunde komma...

Advenica förstärker säljorganisationen

I rollen som VP Sales Sweden har Rickard Nilsson börjat. Han har lång erfarenhet från kommersiella roller inom försäljning & management, främst inom automationsbranschen....
- Annons -