Kommunale tvangs-cookies smager grimt

For flere måneder siden afslørede DR, at det var en udbredt kommunal praksis at lække detaljer om borgernes besøg på kommunale websider til kommercielle virksomheder.

Årsagerne var en blanding af ligegyldighed eller teknisk uvidenhed hos de involverede myndigheder. Dermed var en række dybt personlige data, som opstår i den digitale kontakt mellem borger og kommune, i farezonen for at blive misbrugt til kommercielle formål. Meldingen fra kommunal side var dengang løfter om bod og bedring.

Men i midten af september måned genbesøgte dagbladet Politiken så de kommunale hjemmesider med nedslående resultat. Hver femte kommune anvender stadigvæk cookies, som via tjenesten Addthis bliver anvendt kommercielt.

Det er tilsyneladende mangel på kommunal it-ekspertise, som er årsagen til det sikkerhedsmæssige svigt:

“Jeg tror grundlæggende ikke, at kommunerne har forstået, hvad de her cookies kan og gør. På offentlige hjemmesider læser borgerne typisk om følsomme ting, såsom sygdomme eller bistand, og de oplysninger kan ende med at blive koblet sammen med deres fysiske adresse i et register om eksempelvis diabetespatienter,” sagde Anette Høyrup, seniorjurist i Forbrugerrådet Tænk og næstformand i Rådet for Digital Sikkerhed, til Politiken.

Uanset om det er ligegyldighed eller inkompetence, så bør vi som borgere insistere på, at offentlige it-systemer er sikret så godt som muligt mod den slags misbrug. I det lys kræver det ikke alene omhyggelighed, når der skal vælges leverandører til kommunale it-løsninger, men også grundlæggende overvejelser om, i hvilket omfang personnære oplysninger overhovedet skal deles med andre parter end den enkelte borger og det offentlige.

Intet alternativ

Størsteparten af kommunerne anvender Google Analytics til statistik, og der er stadig mange kommuner, som uddeler tredjeparts-cookies. Det har vi som borgere ikke givet tilladelse til, og i modsætning til kommercielle ydelser kan vi ikke bare skride ud af den digitale butik, når det drejer sig om kommunale borgerbetjeningsløsninger. Derfor påhviler der de offentlige it-systemer en særlig pligt til at fungere i pagt med de bedste databeskyttelsesprincipper. Og derfor må vi som borgere med rette stille lokale krav til, at kommunerne tager sig sammen og beskytter vores data maksimalt.

Kommentarer (16)
Claus Juul

Ja og kommunerne er også ligeglade med at et AppleID ikke må oprettes at personer under 13 år, min egen kommune har skrevet at vi skal bruge fars/mors oplysninger, dog med datterens skole e-mail konto......, jeg har set andre kommuner skrive at man skal lyve om alderen!!!!
Jeg tænkte det kan da ikke være rigtigt, så jeg kontaktede Apple support, de startede med at sige at jeg bare kunne lyve, da jeg så bad om det på skrift, fik piben en anden lyd, de vendte så tilbage med at jeg kunne benytte et Apple Student ID, til hvilket jeg så svarede at det ikke er muligt i Danmark, og det kun er Amerikanske Skoler der er med i programmet (ikke alle), det skal lige siges at jeg talte med en dansk supporter.
Til sidst vendte de tilbage med at man selvfølgelig ikke må lyve når man udfylder sin AppleID "ansøgning".
Og det kunne jeg få på skrift.

Så nu ligger der en sag hos min kommune med, hvor jeg forespørger på hvordan de forholder sig til at det.

Jesper Lund

de mener at de i samråd med Apple at der skal benyttes en fiktiv fødselsdato, kender jeg amerikanske jurister godt nok, vil jeg mene at det har de ikke på skrift.

Hvorfor kan skolen ikke bare oprette et aftal fiktive identiteter (som NN1, NN2, etc) på disse iPads? Det er sikkert i strid med Apple ToS, men når skolen sammen med Apple kan aftale at eleverne bare skal lyve om deres alder, kan de vel også aftale med Apple at skolen indtaster nogle fiktive identiteter.

Lige nu bliver eleven afpresset et samtykke for at deltage i undervisningen. Det er næppe lovligt, dog med det forbehold at dette er en privatskole.

Jan Lunddal Larsen

Nu har dette ikke meget med cookies at gøre, men det har i et godt stykke tid været muligt oprette Apple ID til børn under 13, så længe de kommer ind under familiedeling.

Derudover kan man med iOS 9 udrulle apps, der binder sig til det enkelte device i stedet for at kræve Apple ID.

Lidt spændt på at se, hvad vores skole gør, når de inden længe endelig indfører et MDM-system.

Umiddelbart ser det ud til, at alle iPads skal slettes, så ungerne mister deres data.

Hvis det (logisk nok) er fordi man vil have iPads i supervised mode, kan man bevare sine data, hvis en elevs iPad blev byttet med en andens.

Morten Ihlemann Larsen

I USA kan overtrædelse af en EULA give en lang fængselsstraf, da uautoriseret brug eller adgang betragtes som hacking. Det er naturligvis en af de love der ikke altid håndhæves med mindre der er politisk eller økonomisk interesse i det. Det sker nok ikke i dette tilfælde. Men der er folk der ar blevet anholdt i lufthaven ved ankomst til USA.

Povl Hansen

Kan ikke se af der er noget galt i det som kommunen anbefaler
"vi skal bruge fars/mors oplysninger, dog med datterens skole e-mail konto"

Det gør apple glad fordi du som faren opretter en konto i dit navn (jeg går ud fra af du er over 13 år) det gør skolen glad fordi du i email feltet skriver datterens email

Povl H. Pedersen

Du laver bare en family account til dit barn.
Det fungerer i DK, og jeg har lavet til min søn på 8 år, så han har egen gamecenter profil etc. Og jeg skal godkende alle hans køb.

Så Apple har en løsning til børn. Men det kræver en konto til en ansvarlig voksen.

Lars Lundin

Du laver bare en family account til dit barn.
Det fungerer i DK, og jeg har lavet til min søn på 8 år, så han har egen gamecenter profil etc. Og jeg skal godkende alle hans køb.

Så Apple har en løsning til børn. Men det kræver en konto til en ansvarlig voksen.

Jeg vil så mene at man er en uansvarlig voksen, hvis man spiller sit barn i hænderne på Apple, der herefter kan overvåge alt hvad barnet foretager sig online.

Hjemme hos mig bruger vi Ubuntu, og knægtens mobil er en Nokia uden Internet.

Bent Andersen

Mindst 95% af alle cookies er fuldkommen unødvendige, hvis vi medregner tracking cookies. Det er så slag på tasken herfra, jeg har ingen undersøgelse at hænge det op på og er ikke selv web programmør. Jeg længe haft et par add-ons aktiveret og har stort set ingen problemer når jeg surfer. Dog siger det sig selv, at en senere session ikke kan huske hvad jeg tidligere har foretaget mig, men det har jeg det helt fint med. Java script er derimod - ikke overraskende - afgørende for funktionaliteten.

Det der sludder for en sladder om at vi har brug for at du accepterer cookies for at kunne hjælpe dig er bare en undskyldning for at sælge eller måske hovedløst bortgive dit IP nummer og din historik og helst også din browser canvas (så vi lige kan identificere hvor mange klienter der er i husstanden).

Det kan man så ikke fortænke kommercielle virksomheder i, men hvis vi taler stat, kommune og andre drevet af statsmidler, fx DR, så bør de straks kigge deres praksis efter, jf. indholdet af artiklen.

Jesper Lund

Det kan man så ikke fortænke kommercielle virksomheder i, men hvis vi taler stat, kommune og andre drevet af statsmidler, fx DR, så bør de straks kigge deres praksis efter, jf. indholdet af artiklen.

Tjaaah, det er efterhånden for systematisk på offentlige hjemmesider til at det bare kan være uvidenhed og menneskelige fejl.

Lad os som case tage det seneste skud på stammen af offentlige hjemmesider.

Regeringens nye fine informationshjemmeside om den kommende folkeafstemning om retsforbeholdet
http://3december.dk/
indeholder tracking elementer fra mindst en 3. part reklameudbyder (Adform). Det er naturligvis ikke nævnt i det cookie samtykke, som man i øvrigt ikke kan sige nej til, hvilket ellers er et krav på offentlige websites.

Gad vide hvilken type (re)targeting reklamer der planlægges her?

Eller skal vi kalde tingene ved deres rette ord: politisk manipulation af borgerne, som med de berømte radikale cookies fra folketingsvalget i 2011. Læs mere her med reklamebureauets egne ord, da de skulle vinde en pris for kampagnen (siden slettet fra det oprindelige site)
http://blog.privacytrust.eu/public/Cases/Advertising_Effectiveness_Award...

Jesper Lund
Formand, IT-Politisk Forening

Log ind eller Opret konto for at kommentere