Skjult datadeling hos myndigheder er uetisk

Partner i Labora Legal,
Catrine Søndergaard Byrne.
Partner i Labora Legal, Catrine Søndergaard Byrne.
(Foto: PR)

Samtaler mellem borgere og myndigheder bør være fortrolige. Derfor er den udbredte tracking af borgerne på myndighedernes hjemmesider, ofte uden samtykke, ifølge eksperter ikke bare i strid med GDPR, men også uetisk. Manglende viden om reglerne og jagt på billige IT-løsninger er forklaringer på, at datahøsten alligevel får lov til at fortsætte.

Mange offentlige hjemmesider har i lighed med forretninger og virksomheder fået indbygget sladrehanke, der fortæller helt udevedkommende techvirksomheder om dit besøg på den pågældende side. Det er ikke bare i form af cookies. Research på 250 myndighedssider, som to studerende ved CBS har gennemført viser, at sladrehankene er ofte indbygget i forskellige hjemmesiders services fx programmer til videovisning, der høster disse data i det skjulte og nogle gange med henblik på at sælge dem videre til andre firmaer, der lever af at tegne forskellige profiler af internettets brugere.

Voldsomt digitaliserede
Der har været en holdning hos myndighederne om, at internetsikkerhed handler om, at man som bruger selv kobler data sporing fra, men det er i praksis mere end vanskeligt. Den britiske app-udvikler Rob Sturgeon fortalte således, mandag, på medio.com om et eksperiment, hvor han blokerede sin iphone for tracking i en uge og alligevel blev sporet 4.341 gange af 33 platforme, der sendte data til 29 virksomheder, hvoraf de færreste var nogen han kendte.

”Det er uheldigt, at så mange, og ikke mindst myndigheder, overser disse sladrehanke. Vi er voldsomt digitaliserede i Danmark. Bogstaveligt talt kan man ikke henvende sig til sin kommune uden først at have været forbi kommunens hjemmeside og bestilt tid hos borgerservice, og det bør man kunne gøre uden, at uvedkommende 3. parter får del i de data,” siger partner i Labora Legal, Catrine Søndergaard Byrne.

Ekstremt strenge krav
Formeldt yder GDPR en ganske god beskyttelse af borgernes persondata. Datatilsynets afgørelse om DMI’s brug af cookies fra februar i år slog fast, at den dataansvarlige skal have et legitimt formål både til at indsamle data og til at dele dem med tredje parter. Dermed blev klart, at der stilles særlige krav til anvendelsen af 3. parts cookies og datadeling på hjemmesider.

”Det spiller ingen rolle om hjemmesiden er en del af det offentlige eller ej, men fordi det offentlige sjældent har et sagligt og legitimt formål til at anvende 3. parts cookies, så er det vanskeligt for myndigheder at anvende dem, og der er ekstremt strenge krav til samtykket til at bruge cookies,” siger Catrine Søndergaard Byrne.

Gælder også på en landing page
Rammer en borger/bruger fx en landing page via en søgning, har man ofte ikke haft mulighed for at givet et samtykke, som opfylder kravene til et gyldigt samtykke. Derfor må der kun bruges helt nødvendige cookies på en landing page.

”Der er desværre rigtig mange, som bygger hjemmesider uden egentlig at være klar over disse regler. Og bureauerne, som hjælper med det, er ofte marketings-drevne, og de kan typisk ikke forstå, hvis man som hjemmesideejer ikke vil gøre brug af alle de lækre marketings- og tracking features, som fx Google tilbyder,” siger Catrine Søndergaard Byrne.

Automatisk datadeling
Men cookies er ikke det eneste værktøj til datahøst.  Teknologien har udviklet sig ekstremt, så ”sladrehankene”, som omfattes af den juridiske definition på ”tekstfil” eller ”program”, som vi i daglig tale kalder Cookies ikke længere er så enkle at gennemskue.

Hvis man fx downloader en Google-font til sin hjemmeside, så ligger der i selve anvendelsen af fonten en sladrehank om brugere af hjemmesiden. Det er altså ikke bare et program, der kan aktiveres og deaktiveres. Det vil automatisk sende data om besøget på siden til en tredjepart.

 ”I enhver form for kommunikation mellem borgere og myndigheder er det grundlæggende alene et anliggende mellem netop borgeren og myndigheden. Fortroligheden går forud, for, at der udveksles data med andre aktører.” siger Catrine Søndergaard Byrne og tilføjer, at det endda reelt er undtagelsen, at der kan udveksles mellem forskellige dele af den samme myndighed. Det kræver lovhjemmel.

Stærkt problematisk dataadgang
”Det er stærkt problematisk, at store kommercielle aktører får adgang til kommunikation mellem borgere og myndigheder, og hvor myndighederne end ikke aner, hvad de udvekslede data bruges til,” siger Catrine Søndergaard Byrne.

Hun peger på, at det er hjemmesideejeren eller myndigheden, der har ansvaret for selve videregivelsen af data. Det var det, som Datatilsynet klart slog fast i afgørelsen af DMI-sagen og den i efterfølgende nye vejledning om videregivelse af persondata fra cookies.

Moralsk forpligtelse
Hun peger desuden på, at myndighederne har en moralsk forpligtelse til at gå foran med dataetiske løsninger, både fordi det er det etisk rigtige at gøre, og simpelthen fordi, det er dem, der kan. 

”Det er i realiteten kun det offentlige, som kan skabe den reelle modvægt til den stærkt kommercialiserede høst af data, som sker hele tiden, når vi bevæger os på de digitale motorveje. De har den vægt, der skal til for at kunne stille krav om at minimere dataindsamlingen. Det er i praksis stort set umuligt for almindelige private aktører at stille krav til Google og de andre tech-giganter,” siger Catrine Søndergaard Byrne.

Det er prisen værd
Hun tror, at der vil begynde at ske noget, hvis det offentlige rykker sammen om digitale løsninger, som sikrer dataetikken og stiller dataetiske dokumenterbare krav til leverandørerne. Så vil vi også se, at leverandørerne kan finde ud af at komme med de tilbud.

”Vi elsker gratis medier, omend ”gratis” er så meget sagt. Jeg tror dog, at hvis forbrugerne får et reelt valg og lærer sig at stille krav til produkterne, herunder fx ved at installere etablere diverse annonceblokeringer, så vil mange faktisk godt betale for medieadgang, Vi kan jo se, at forbrugere gerne vil betale til Spotify selvom man kan sagens kan finde sangene gratis på YouTube”, vurderer Catrine Søndergaard Byrne.

En ubekvem historie
Kommunernes Landsforening har ingen kommentarer: ”Vi har nu vendt sagen her i huset, og det er ikke nogle udfordringer, som vi pt. har hørt om, og derfor har vi heller ikke nogen kommentarer,” skriver kommunikationsafdelingen til Complidia. Ingen af de andre myndigheder, vi gentagne gange har henvendt os til, er vendt tilbage med svar ud over Justitsministeriet, der henviste til Erhvervsministeriet, som dog heller ikke vendte tilbage med et svar.

(Erhvervsministeriet har efter publisering kommenteriet historien læs deres kommenta her )

Både datatilsynet og consentmanagement platformen Cookie Information, der også tidligere har undersøgt omfanget af skjulte datadeling opfordrer både virksomheder og myndigheder til give deres hjemmesider et eftersyn og tjekke om de lever op til reglerne. Læs mere her.

 

Skrevet af

Kasper Skaanning

Kasper Skaanning, Journalist

Kasper Skaanning er uddannet journalist, og har bl.a. arbejdet som senior kommunikationskonsulent i Nykredit, i Danske Bank og som informationschef i Scandlines.

Klummer

Se alle