Offentlige hjemmesider sladrer til Google og Facebook

Illustration: MI Grafik
Kommuner, styrelser og ministerier deler oplysninger om borgeres besøg på offentlige hjemmesider med globale it-giganter. I strid med EU’s regler, siger jurist.

Danske myndigheder lader amerikanske it-giganter som Facebook og Google følge med i borgernes færden på deres hjemmesider, når de søger efter alt fra kommunale tilbud om misbrugsbehandling til dagplejetilbud.

I en opgørelse fra Ingeniøren deler 20 ud af 85 undersøgte offentlige sider oplysninger om besøget gennem alt fra ‘synes godt om’-knapper til reklame-cookies. Vel at mærke før, borgerne har haft chancen for at fravælge cookies.

Professor Thomas Hildebrandt fra Københavns Universitet kalder det uforsvarligt, at myndighederne sender data om danskernes brug af offentlige tjenester til USA:

»Det er et stort problem, at myndighederne reelt ikke ved, hvor informationer om borgerne havner, og at vi som borgere ikke kan undgå at få krænket privatsfæren. Vi har ikke noget reelt valg,« siger han.

I foråret trådte EU’s databeskyttelsesforordning (GDPR) i kraft med stramme krav til behandling af persondata, og Catrine Søndergaard Byrne, der er persondatajurist ved Labora Legal, fastslår, at datadelingen strider mod GDPR – selv hvis borgerne gav samtykke.

»Når en offentlig hjemmeside ringer Facebook op og oplyser, at nu har den her borger besøgt siden, så mener jeg ikke, det er i samfundets interesse eller et legitimt formål. Tværtimod. Det er en klar overtrædelse af GDPR,« siger hun.

Specielt brugen af Facebooks sociale plugins tyder på manglende forarbejde, mener hun. It-giganten fik i sommer en bøde af det britiske datatilsyn for ikke i tilstrækkelig grad at have beskyttet data fra 87 millioner brugere, der blev høstet og udnyttet af det politiske konsulentfirma Cambridge Analytica.

»Så er der noget galt. Den viden, vi nu har om Facebook, bliver myndighederne nødt til at tage med i deres overvejelser, når de sam­arbejder med dem,« siger hun.

Uvidende om datadeling

15 af de undersøgte sider brugte såkaldte sociale plugins. De lader besøgende ‘dele’ og ‘synes godt om’ indhold, men lader også virksomheder som Facebook følge med i, hvem der besøger en side. Det var de ikke klar over i Gladsaxe Kommune:

»Da vi gik til leverandøren, bestilte vi en hjemmeside, som opfyldte alle lovkrav på området. Så det er selvfølgelig vores ansvar, men vi handlede i god tro, for vi fik ikke den vare, vi bestilte,« siger kommunikationschef Ulla Baden.

Lignende svar kommer fra andre myndigheder. Men undskyldningen holder ikke, mener formand for IT-Politisk forening Jesper Lund:

»Den her tracking skal simpelthen ikke ske på offentlige hjemmesider, og hvis en myndighed ikke ved, hvad et plugin gør, så skal de bare ikke bruge det, så simpelt er det,« siger han.

Undersøgelsen og den manglende viden om dataindsamlingen afslører ifølge Venstres it-ordfører, Torsten Schack, at det offentlige stadig fokuserer for lidt på it-sikkerhed.

»Det er dybt problematisk. For hvis det her kan ske, uden at man rigtig har tænkt over det, så kan man jo godt blive bekymret for, hvilke andre ting man heller ikke lige har fået styr på,« siger han.

Denne artikel stammer fra Ingeniøren, fredag. Læs om hele undersøgelsen og sagen i avisen.

Illustration: MI Grafik
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Juul

...giver INTET til hjemmesiden - de er kommet fordi nogen bevidst har bedt om dem, fordi de syntes det var en god ide.

Med de undtagelser, hvor det er udvikleren der mener at det er en god ide og/eller at den side jeg nu skaber for kunden skal da være lige så lækker som alle de andre jeg har set rundt omkring (uden at tænke på sikkerhed nødvendigvis)

Problemet er det sammen hver gang, der er ikke fokus på it-sikkerhed.

Jeg håber snart at Datatilsynet kommer offentligt ud og viser hvilken straf sådan en sag som denne giver. Jeg håber et er en betydelig straf for det er principelt at der er databehandleraftale, at ejeren af hjemmeside ikke har fulgt op (kontrolleret efterlevelse af loven) og/eller at ejeren ikke har forholdt sig til om dataindsamlingen er nødvendig og propritionel med brugerens ret til beskyttelse.

Axel Nielsen

Offentlige sider, snitflade mellem borger/stat/kommune m.fl. skal absolut ikke fedtes ind i 3. parts datadeling, overhovedet!

Det kan simpelt hen ikke være rigtigt at vi ikke kan finde ud at at lave sobre, velfungerende og hurtige sider, uden alt muligt skrammel.

Jeg synes det er OK at der meldes ud på FaceBook, Twitter m.fl., når der er tale om vigtige meddelelser - Der bruges jo også radio, TV og evt. broadcast SMS/Apps.
Det er jo (desværre) sådan, at mange ser deres liv gennem FaceBook eller Twitter og derfor kun kan "råbes" op ad denne vej.

Når det derimod er sider der aktivt opsøges, for at udveksle data, er det da fuldstændig ligegyldigt med et like- eller følg-ikon til en eller anden datastøvsuger.

Væk med det - Det er meget simpelt!

Gert G. Larsen

Men hva data deler de egentlig, reelt, i virkeligheden? Om mig?

Jeg er ikke logget på Facebook og Google, jeg tømmer min browser for cookies.
Hva data får Facebook og Google så om mig?

Får de content fra de sider jeg bruger hos det offentlige?
Får de URL'er? (der kan indeholde CPR-numre på skrammelløsninger stadigvæk)
Eller får de "bare" IP-adresser og nogle generiske tracking-data de måske, måske ikke, har svært ved at sammensætte med noget andet?

Bliv lidt mere skarp på det, så det ikke bare bliver FUD.

Maciej Szeliga

Men hva data deler de egentlig, reelt, i virkeligheden? Om mig?


“Deler” er ikke nødvendigvis en bevidst handling i denne samenhæng. Ved at placere scripts fra Facebook på deres sider sender man information til FB omhvad du foretager dig der, fra storskrald over børnepasning til skilsmisse mv. Når man så har tilstrækkeligt mange information over hvad du foretager dig på nettet kan man stykke en profil sammen over din sociale situation, sygdom, børn, ægteskabelige status, religiøse, politiske og sexuelle orientering. Når de så har din færden på myndighedernes sider bliver det meget mere præcist.
De oplysninger bliver solgt til f.eks. reklamebranchen, medicinalbranchen, ejendomsmæglere, banker, politiske partier, religiøse organisationer, arbejdsgivere eller offentlige myndigheder. Du kan blive ansat eller fyret, få lån eller ikke få det, få tilbud om ny medicin eller blive forbigået på baggrund af hvad FB har fået samlet ind om dig, uden at du ved det og uden at du har en FB konto.

Mogens Lysemose

Får de content fra de sider jeg bruger hos det offentlige?

Nej, men...

Får de URL'er? (der kan indeholde CPR-numre på skrammelløsninger stadigvæk)

Ja netop, og på den måde kan de jo hente sidens indhold.

Hvis du f.eks. søger på misbrugsbehandling, skilsmisse, hjælp til aflastning af pressede forældre eller lign. er det jo særdeles personfølsomt.

Desuden får de så mange oplysninger om din browser og enhed (build-version, skærmopløsning m.v.) at det nærmest kan bruges til at finger-print'e dig, dvs. spore dig næste gang, selvom du sletter cookies.

Christian Schmidt

Medmindre man har boet under en sten i det sidste halve år, vil man være klar over, at GDPR er det store dyr i åbenbaringen for tiden. Det gælder ikke mindst en kommune, som jonglerer med persondata i stor stil. Hvis man ved det mindste om web (hvad de velsagtens gør i kommunens kommunikationsafdeling), er man også klar over, at onlinebrugere er udsat for intensiv tracking stort set overalt på nettet.

Uanset om kommunen har bestilt sin hjemmesiden i god tro eller ej, så virker det ret skødesløst, at man slet ikke har skænket problemstillingen en tanke og spurgt ind til det en ekstra gang. Særligt i en organisation, der formentlig har mange jurister siddende på samme adresse som kommunikationsafdelingen.

Gert G. Larsen

sender man information til FB omhvad du foretager dig der

Hvordan kædes det konkret sammen med mig?

Via mit cpr-nummer? Via session-cookies? Ved at kæde <hvad??> fra de offentlige sites, sammen med <hvad??> som Facebook har?

Eller er det blot at, når Facebook får lov at afvikle arbitrær JS på det offentlige site, må man "antage" at de reelt kan scrape (og manipulere?) hvad det passer dem på sitet?

Jeg er helt enig i bekymringen og formålet fra banditternes side. Men jeg mangler at forstå de konkrete tekniske koblinger.

Bjarne Nielsen

Ved at placere scripts fra Facebook på deres sider sender man information til FB omhvad du foretager dig der, fra storskrald over børnepasning til skilsmisse mv.

Ikke bare det. De får også data alle mulige andre steder fra, og når de får en "autoritativ" information om, at det har ført til et behov for børnepasning eller skilsmisse, så kan de gå tilbage i deres registreringer, og bliver bedre til at forudsige dette udfra de tidligere data. Og så kan de bruge det imod os, som måske endnu ikke engang selv er klar over, at det er den vej vinden blæser for os.

Jeg synes egentlig ikke at der er nogen grund til at det offentlige hjælper dem med det.

Mogens Lysemose

Fandt med google hurtigt en del om hvordan facebook-sporing fungerer:

https://www.version2.dk/artikel/facebook-kan-fuldt-lovligt-spore-din-fae...

og hvor "fantastisk godt" det er:
https://bsocial.dk/blog/facebook-pixel-guide/
f.eks.:

Hvis du opsætter det korrekt, måler Facebooks Pixel på, hvilke handlinger de besøgende på virksomhedens website foretager sig. Det kunne være at tilmelde sig et nyhedsbrev, udfylde en kontaktformular eller lægge en ordre i shoppen.
Informationen sendes videre til Facebook, som herefter inkluderer dataen i rapporten for de annoncer, du kører på din annoncekonto.

Bjarne Nielsen

Hvordan kædes det konkret sammen med mig?

Via mit cpr-nummer? Via session-cookies? Ved at kæde <hvad??> fra de offentlige sites, sammen med <hvad??> som Facebook har?

Der er rigtigt mange måder at gøre det på. Og her er de faktisk ikke særligt interesserede i cpr-nummer, for de skal ikke samkøre med indholdet i vores mange offentlige datasiloer. Det er nok for dem, at de kan genkende dig (og deres data er nok på mange måder bedre til deres formål).

Jeg ville gerne have illustreret det med en henvisning til den langtrukne kæde af påtaler, retssager mv. mod Facebook, som startede i Belgien for adskillige år siden, med den såkaldte _datr cookie, som de ikke bare bruger til at tracke deres egne brugere med, men også alle os andre.

Men hvis man søger på det, så får man en milliard henvisning til "privacy"-politikker (der er lige så meget privacy i dem, som der er hund i hundekiks), som alle nævner netop denne cookie. Og så drukner enhver offentlig omtale om sagen om den cookie.

Husk dog, at den cookie kun er en af de mange måder, hvorpå de gør det. Og metoderne supplerer hinanden, så undgår du den ene en gang imellem og den anden nogle andre gange, så har de dig alligevel.

Per Larsen

Præger denne kommunikation generelt.
Myndigheder - repræsenteret ved kommuner, stat mv. har ikke ressourcerne til at styre det de har gang i. Mantraet er at være med, hvor det sker. Datasikkerhed og borgernes rettigheder kommer i dette tilfælde i anden række.
Når hjemmesider mv. er kørende kommer "lommesmerterne" --- sikkert ganske uventet? Den rationaliseringsgevinst man forventer hhv. forventede holder ikke, og der er ikke ressourcer til at vedligeholde det.
Ydermere kunne man forestille sig, at der er en benefit til rådighed fra div. sociale medier, som kommer tilbage til "kunden", hvis man åbner for dit og dat. Det ved jeg faktuelt ikke, da det ikke er noget der tales højt om? DR er f.eks. helt utrolig god til at reklamere for FB, og det gør de naturligvis helt gratis?

Maciej Szeliga

Eller er det blot at, når Facebook får lov at afvikle arbitrær JS på det offentlige site, må man "antage" at de reelt kan scrape (og manipulere?) hvad det passer dem på sitet?


Koden afvikles på DIN PC, det der er relevant for dem er hvilken side DU er på, koden køres når siden loades i browseren... Den sender i princippet bare "IDx har loadet siden Y" til FB. For FB brugere er IDx så også bundet sammen med deres FB profil - så de kan suge yderligere informationer derfra.

Claus Arberg

Jeg bor i Skanderborg kommune og har lige tjekket deres hjemmeside. Den indeholder desværre også FB plug-ins mm. Den planter også cookies til reklame / video / Siteimprove mm.

Er der andre, hvis kommune også har deres hjemmeside klistret ind i kommerciel overvågning?

Hvordan får man stoppet sin kommune fra kommerciel snagen?

Gert G. Larsen

Koden afvikles på DIN PC, det der er relevant for dem er hvilken side DU er på, koden køres når siden loades i browseren... Den sender i princippet bare "IDx har loadet siden Y" til FB.

Ok, hvis javascriptet er helt tydeligt og gennemskueligt er det sikkert fint nok. Jeg tænkte mere hvis man bruger noget ala script src=ourevilscripts.facebook.com/blah.js, så Facebook reelt har mulighed for at gøre alt muligt ondsindet eller vilkårligt mod indholdet af det pågældende site.
Men sådan gør ingen det vel i virkeligheden...

Lars Christensen

At en offentligt ansat kommunikationschef ikke kender reglerne for digital datasikkerhed samt hvordan man spotter faldgruberne når man bevæger sig indenfor digital databehandling, viser med al tydelighed, at det globale krav fra stort set alle arbejdsgivere om at vi mennesker skal kunne alt, kun er et krav om at udfører jobbet til middelmådighed.
Kom nu ind i kampen og brug kun folk til det de er rigtig gode til. Det er ikke svært, men koster selvfølgelig lidt mere.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder