Teknik

Svenska myndigheter lämnar ut dina surfvanor

Foto: Artur Marciniec / Alamy

• Utländska bolag kartlägger besökare på svenska sjukhus och myndigheters webbplatser. När du läser om till exempel sexuell läggning rapporteras det till ett reklamföretag i USA.

• DN kan nu visa vilka företag som vet mest om hur vi surfar på nätet.

• Granskningen bygger på en unik genomgång av samtliga .se-sajter, över 1,3 miljoner webbplatser.

1 2 3

Text: Linus Larsson. Grafik: Andreas Lundegård, Stefan Rothmaier

På Region Skånes webbplats finns information om länets vårdcentraler och sjukhus. Vad som inte framgår är att detaljerade uppgifter om besök på sajten även slussas vidare till en server i USA.

Det sker via så kallade delningsknappar, en funktion som gör det lätt att dela sidan på Facebook och Twitter. Koden som genererar knapparna laddas in från en server i USA och i bakgrunden sker mycket som hålls hemligt för besökaren.

Att använda nätet en vanlig dag innebär att man lämnar ifrån sig stora mängder information. Många företag har specialiserat sig på att kartlägga människors smak och intressen, uppgifter som används för att rikta reklam. Sådana data har varit drivande i webbens ekonomi och gratistjänster i många år. Men DN:s kartläggning visar att spårningsföretagen också finns på många webbplatser som tillhör kommuner, myndigheter och landsting.

Företaget som loggar besök på Region Skånes webbplats heter Addthis. Det får tillgång till uppgifter som exempelvis ip-nummer, information om webbläsaren och vilket land besöket sker från.

Men det är inte allt. DN har granskat nätverkstrafiken mellan sjukhusets webbplats och det amerikanska företaget. Där ingår detaljerad information om vad personen läser om, i form av en rad nyckelord. Dessa slås ihop med andra uppgifter om besökaren, varpå alltihop skickas för registrering till Addthis server.

Går man exempelvis in på Centrum för sexuell hälsa vid Skånes universitetssjukhus är några av nyckelorden som skickas ”homosexualitet”, ”klamydia” och ”aids”. Nyckelorden tillsammans med ett unikt id-nummer gör att företaget kan följa besökaren på mängder med andra webbplatser.

Att samla in data om besökare är Addthis själva affärsmodell. I sin egen dokumentation medger företaget att information om medicins­ka tillstånd loggas, men uppger att de mest känsliga uppgifterna inte sparas.

I en lång lista definierar företaget vilka hälsouppgifter som sparas, där ingår bland annat magbesvär och viktminskning. Könssjukdomar nämns inte, men företaget skriver samtidigt: ”Vi är medvetna om att andra kan ha andra uppfattningar om vilka kategorier om hälso- och finansiell data som är känsliga.”

Läs mer: Så skyddar du dig från att bli spårad på nätet.

Region Skåne är bara en i raden av offentliga webbplatser som släpper in Addthis. Spårningsföretaget finns på minst 10.800 svenska sajter, varav flera tillhör andra landsting och myndigheter. Några av dem är Uppsala läns landsting, Bolagsverket, Polisen och Krist­demokraterna.

Samma kod finns också på Skatteverkets webbplats. Där rapporteras nyckelord som ”skatteflykt”, ”skilsmässa” och ”skyddad adress” till servern. Även Kronofogdemyndigheten använder Addthis, vilket medför att besök på webbplatsen rapporteras, markerade med ord som ”utmätning” och ”vräkning”. Enligt Addthis egen dokumentation hör uppgifter om privatpersoners ekonomi till det som loggas när företaget bygger profiler över användare.

Man måste fråga sig varför kommuner och myndigheter ska använda de här knapparna. Jag tror inte de känner till vad som händer i bakgrunden.

– Man måste fråga sig varför kommuner och myndigheter ska använda de här knapparna. Jag tror inte de känner till vad som händer i bakgrunden. De är nog väldigt aningslösa, säger Anne-Marie Eklund-Löwinder, säkerhetschef på Internetstiftelsen i Sverige.

Addthis är inte det enda företaget som kartlägger svenskars surfvanor. Det enskilt största nätverket har Googleägda Doubleclick, med minst 74.600 svenska sajter. De sex största spårningsföretagen har sin kod på över 10.000 svenska webbplatser vardera.

Läs mer: Mobilen spårar dig – överallt

Granskningen bygger på en unik genomgång som DN har gjort av alla sajter under toppdomänen .se. Ju fler webbplatser som ingår i ett nätverk, desto mer detaljerad bild av besökarens vanor kan byggas.

– Man har ingen aning om hur den här informationen används, om den säljs vidare eller vad som händer, säger Anne-Marie Eklund-Löwinder.

Facebook har 49.510 sajter i sitt nätverk. Dessa använder sig av ”gilla-knappar”, som rapporterar besöket till Facebooks servrar även när man inte klickar på knappen. Enda kravet är att användaren någon gång tidigare har besökt Facebook.

DN:s granskning visar att 86 procent av Sveriges kommuner och 53 procent av myndigheterna har någon form av spårningsfunktion på sina webbplatser. Spårningsfunktioner finns även på privata bloggar, på så gott som alla stora e-handelssajter och är mycket vanliga på reklamfinansierade sajter. Där återfinns alla stora medieföretag, bland dem Dagens Nyheter (se artikel här intill).

Många spårningsföretag beskriver informationen som anonymiserad, men det är mer komplicerat än så enligt Anne-Marie Eklund-Löwinder:

– Ju mer data du har om en användare och hennes beteende, desto säkrare kan du vara på vem det är.

På tisdagen lovade Region Skåne att se över hur Addthis används på webbplatsen.

– Det här får vi titta närmare på och hantera omgående, säger Magnus Heide, teknisk projektledare på Region Skåne.

Efter samtalet uppdaterades sajten med information om webbkakor från Addthis, något som tidigare saknades.

Min bedömning är att vi sannolikt kommer ta bort den.

En av få myndigheter som informerar om Addthis är Skatteverket. Magnus Forsheden, chef för extern kommunikation, uppger att myndigheten redan genomför en granskning av hur sajten använder webbkakor. Det kan betyda att Addthis försvinner.

– Min bedömning är att vi sannolikt kommer ta bort den, säger han.

– Vi borde ha gjort den här översynen tidigare och utvärderat just denna produkt mer.

Även Kronofogden lovar en granskning.

– Självklart ska vi inte samla in information som inte bidrar till att göra webbplatsen bättre för besökarna. I de delar vi gör det nu är det ett förbiseende och vi ska självklart se över det, säger Kent Lindholtz på Kronofogdens kommunikationsstab.

DN har sökt företaget Addthis för en kommentar.

Fakta. Så gjorde vi granskningen

DN har tagit del av en förteckning över samtliga 1,3 miljoner domännamn som finns under toppdomänen .se. Listan har lämnats ut av Internetstiftelsen i Sverige.

DN har byggt ett eget datorprogram som gjort en skanning. Programmet har besökt en hemsida, sparat ner alla webbkakor i en databas, tömt webbläsaren på webbkakor och sedan påbörjat en skanning av nästa hemsida. Facebook sätter endast kakor om besökaren har varit inne på sajten vid tidigare tillfällen. Som komplement har vi därför genomsökt hemsidornas källkod efter särskilda Facebook-kodsnuttar. Sökningen tog tre månader och gjordes med hjälp av tio servrar utplacerade i olika delar av världen.

Fakta. Så skyddar du dig från att bli spårad

Så kallade kakor, eller cookies på engelska, används på så gott som alla webbplatser och kan vara nödvändiga för att de ska fungera. Men man kan stänga av kakor som spårar ens surfande under lång tid.

Två inställningar kan ändras i din webbläsare. Dels kan du sluta acceptera kakor från tredje part, vilket ofta är reklam- och spårningsföretag. Dels kan du automatiskt rensa kakorna varje gång webb­läsaren stängs av. Nackdelen är att du behöver logga in på exempelvis din e-post på nytt varje gång du startar webbläsaren.

Här hittar du inställningarna:

Google Chrome

Inställningar > Visa avancerade inställningar (finns längst ner) > Innehållsinställningar.

Markera ”Blockera cookies och webbplatsdata från tredje part”. Om du vill rensa kakor varje gång webbläsaren startar om, markera även ”Behåll bara lokala uppgifter tills du stänger webbläsaren”.

Firefox

Inställningar > Sekretess. Under ”Historik”, ändra inställningen ”Firefox kommer spara” från ”Spara historik” till ”Använda anpassade inställningar för historiken”. Du kan då ändra ”Tillåt tredjepartskakor” till ”aldrig”. Här har du även möjlighet att markera ”Rensa historiken när Firefox avslutas”.

Internet Explorer

Verktyg > Internet­alternativ > Sekretess. Flytta sedan skjut­reglaget för att avgöra vilka kakor som ska accepteras.

Tips:

• Alla de stora webbläsarna har i dag så kallade ”Do not track”-funktioner. Med den aktiverad skickas en uppmaning till alla webbplatser du besöker att inte spåra ditt surfande. Men det är frivilligt för sajter att följa uppmaningen, så det har ifrågasatts hur meningsfullt det är att använda funktionen.

• Moderna webbläsare har också funktioner för att surfa ”spårlöst”. Man öppnar då ett speciellt webbläsarfönster, där inga kakor sparas. Funktionen kallas inkognito-läge, privat surfning eller Inprivate-läge. Det är dock opraktiskt att använda detta som en permanent lösning.

Källa: DN

”Integritetsfrågan är viktig för oss”

Charlotte Svensson, DN:s chef för digital affärsutveckling, svarar på frågor om hur DN.se använder spårningsfunktioner och webbkakor.

På DN.se finns många spårningsfunktioner och webbkakor från tredje part. Varför?

– Vi är till stor del en reklamfinansierad sajt. De som köper annonserna vill kunna se hur många gånger och hur länge de visas. Förutom detta används kakor i första hand för att analysera vår egen trafik och för sociala medier.

– Integritetsfrågan är viktig för oss. Vi arbetar just nu med en större omgörning av webbplatsen och ser då över hur vi arbetar med externa parter.

Hur används den information som samlas in?

– Vi har en datapolicy som begränsar vad annonsörerna får göra. Externa reklamföre­tag får i princip bara kontrollera att deras annonser visas som de ska. När vi skriver avtal med analysverktyg strävar vi alltid efter att information enbart ska kunna användas av oss.

– För inloggade användare gäller särskilda regler, Bonniers allmänna villkor och personuppgiftslagen.

Hur informerar ni läsarna om det här?

– Vi har information om DN.se:s webbkakor på sajten. Där beskriver vi också hur du kan ställa in din webbläsare och själv bestämma hur kakor ska hanteras. I övrigt inväntar vi en tillsyn som Post- och telestyrelsen genomför just nu. Den kommer att ge oss riktlinjer för hur information ska läggas ut.

DN:s serie. Våra övervakade liv