Välkommen till Dataskydd.net:s webbkoll för kommuner och myndigheter!

Webbkollen hjälper dig ta reda på vilka dataskyddande funktioner en webbplats använder för att hjälpa dig utöva makt över ditt privatliv. Vi hjälper dig ta reda på i vilken utsträckning en webbplats kartlägger ditt beteende, och om webbplatsen skvallrar till andra, tredjeparter, att kartlägga ditt beteende. Vi ger tips till dem som driver webbplatser på hur man kan sluta ägna sig åt spårning och skvaller i digitala miljöer. Vi har också rekommendationer för vad man ska efterfråga om man vill att en viss webbplats ska bli bättre på dataskydd.

Det här är ett specialprojekt om kartläggning och spårning av webbesökare i offentlig sektor. Den offentliga sektorn är speciell, eftersom den har mandat och finansiering från allmänheten. Det gör att många av de kommersiella avvägningar som oftast leder till kartläggning och spårning av webbesökare – till exempel en önskan om att skicka riktad reklam till särskilda grupper av privatpersoner – inte behöver göras.

Trots detta har vi funnit att kartläggning och spårning av enskildas läsvanor och nyfikenhet när de besöker det allmännas webbplatser är vanlig. Resultaten av kartläggningen skickas ofta vidare till tredjeparter i näringslivet, som sedan använder informationen om hur enskilda kontaktar myndigheter eller informerar sig om deras verksamhet för att skicka reklam.

Den här texten riktar sig både till privatpersoner som bor i svenska kommuner och som har kontakt med svenska myndigheter, och till dem som fattar beslut om webbplatser i svenska kommuner och på svenska myndigheter.

Vad är dataskydd?

Dataskydd, eller ”skydd av personuppgifter”, är en mänsklig rättighet i Europeiska unionen. Det är en samling administrativa och formella krav på hur personuppgifter behandlas. Syftet med skyddet är att ge individen förutsättningar att utöva sin rätt till privatliv. Dataskyddslagstiftningen garanterar transparens, insyn och valfrihet kring vem man blir påverkad av och på vilket sätt och på vilka villkor denna påverkan äger rum.

Dataskyddslagstiftningen balanserar maktrelationer mellan individer och organisationer. Organisationer får större byråkratiska krav på sig för att utöva inflytande och påverkan mot individer, och individer får starkare garantier för insyn. Svenska myndigheter har bland annat problemet att den svenska lagstiftaren valt att göra mycket särregleringar kring dataskydd för specifika verksamheter. Även om man de senaste åren försökt minska mängden särregleringar, går det långsamt.

Från och med 2018 kommer en ny lag om dataskydd för EU, som kommer vara likadan i hela EU. Fram tills 2018 gäller personuppgiftslagen, en svensk lag som stiftades till följd av EU:s tidigare dataskyddslagstiftning från 1995.

Dataskydd.net:s webbkoll handlar om ett område där det saknas statlig särreglering: webbplatser. Vi har valt att fokusera på webbplatser för att vi vill visa hur enkelt och lätt det kan vara att höja dataskyddet, om man vet vad man ska tänka på.

Varför är det viktigt med dataskydd på webbplatser?

Dataskydd.net har skapat sitt projekt Webbkollen för att göra det lättare för kommuner att hitta kostnadsneutrala och enkla lösningar för att höja dataskyddsnivån på sina webbplatser. För Dataskydd.net har det varit viktigt att i första hand göra det enkelt att göra något bra. Webbplatsen är ofta avsedd att vara medborgarens första kontaktyta med kommunen, webbplatsen och information om kommunens verksamheter. Därför är det viktigt att kommunen redan där visar respekt för sina invånares och besökares rätt till dataskydd.

Projektet är begränsat i sin omfattning. Det är ingen ersättning för det mycket större och grundligare arbete som behöver göras för dataskydd i kommunens många förvaltningsstrukturer (till exempel skolan, befolkningsregister, socialtjänst, och liknande). Statlig särreglering av kommuners verksamheter gör det dock till en större utmaning, av både ekonomiska och rikspolitiska dimensioner, att lösa dataskyddsproblem i kommunernas andra verksamheter. Vår prioritet har varit att hitta sådana förändringar man kan genomföra utan att först få godkännande av regeringen. Det finns helt enkelt bra saker man fortfarande kan göra lokalt!

Vad är ”beteendekartläggning” och ”profilering”?

Beteendekartläggning är när man tittar på hur en viss person, eller grupp av personer, typiskt beter sig. Till exempel att de ofta besöker vissa undersidor, behöver slå upp vissa ord i en ordbok eller att de hamnat på webbplatsen genom att använda någon särskild sökmotor. Beteendekartläggning används för att förutsäga vad olika kategorier av människor kan antas tycka är intressant, svårt eller lustigt.

Profilering är när man använder beteendekartläggning för att sortera in människor i olika grupper. Vanligtvis särbehandlar man sedan den kartlagda gruppen baserat på dess förväntade preferens.

Både profilering och beteendekartläggning är vanligt i reklamindustrin. Det används för att bestämma vilken sorts reklam man får se på olika webbplatser. Till exempel kan småbarnsföräldrar eller personer som känner småbarnsföräldrar i högre utsträckning än andra få se reklam för nappflaskor, blöjor och barnvagnar. I ökad utsträckning används profilering även för att bestämma vilket tidningsinnehåll man får se när man besöker en dagstidning. Man kan till exempel få korta artiklar om nyfödda barn ifall man står i en kö (och har ont om tid) och samtidigt är i ”rätt ålder” för att gå i barntankar, eller långa artiklar om nyfödda barn ifall man sitter på ett tåg (och därför har mer tid).

Profilering också användas för att utforma politiska åtgärder, till exempel genom att utforma samhällsinformation för särskilda grupper eller områden, eller vidta åtgärder mot eller för en särskild grupp baserat på dess förväntade egenskaper. Denna sorts politiska påverkansarbete kallas för ”nudging”, och kan också användas för att öka acceptansen i olika sociala grupper för vissa typer av åtgärder.

Vad menar ni med att en webbplats ”skvallrar” till tredjeparter?

Skvaller innebär att information om någons beteende, läsning eller preferenser lämnas över till någon annan än den som driver webbplatsen.

På den moderna webben har det blivit vanligt att webbplatser inte drivs från en och samma plats. När man besöker en webbplats på webben kommer man inte bara i kontakt med den som driver webbplatsen, utan även med alla de företag och organisationer som den som driver webbplatsen har samarbeten med. Om den som driver webbplatsen lämnar över uppgifter om en besökare till någon av dessa tredjeparter är det skvaller, eftersom det vanligtvis inte framgår för besökaren att något överlämnande sker.

Det kan till exempel handla om att en webbutik lämnat över uppdraget att profilera besökare till ett reklamföretag, eller att en myndighet byggt sin webbplats så att man automatiskt lämnar information om sitt beteende till ett reklamföretag. Oftast är det reklamföretag som är tredjeparter och mottagare av skvaller.

Kan det inte vara bra att göra allt som går att göra för att förbättra webben?

”Förbättring” är ett värderingsord som betyder olika saker för olika personer. I regel är det inte bra att göra saker bara för att det går och för att det inte uttryckligen är förbjudet.

Dataskydd.net vill vända på frågeställningen om webbförbättringar: har besökare på kommunens webbplats en skyldighet att hjälpa kommunens webbutvecklare bli nöjda med sitt jobb?

Våra tekniska tips ger vägledning i hur man kan göra en bra webb utan att förutsätta att besökare vill berätta för reklamföretag och andra tredjeparter vad de vill veta om kommunen.

Har besökare på kommunens webbplats en skyldighet att hjälpa kommunens webbutvecklare bli nöjda med sitt jobb?

Enkelt uttryckt nej. Besökare på kommunens webbplats uppfyller vanligen sina skyldigheter gentemot kommunen genom att betala skatt och följa lagen. I förhållande till kommunal webbutveckling är det kommunen som har skyldigheter gentemot individer, inte tvärtom.

EU:s allmänna dataskyddsförordning

Den allmänna dataskyddsförordningen från EU träder i kraft 25 maj 2018 och handlar om att balansera makten mellan de som påverkar individer (typiskt sett företag och myndigheter) och individerna själva. Den kan upplevas som lite lurig eftersom den innehåller många formkrav, men misströsta inte! Alla tips från Dataskydd.net:s Webbkoll är 100% förenliga med dataskyddslagstiftningen och mer därtill.

Det viktigaste i dataskyddsförordningen är förordningens grundläggande principer. Det svåraste med dataskyddsförordningen är att det inte alltid är så lätt att följa andemeningen i principer som innebär att man måste ta stor hänsyn till andra. Här kommer en genomgång av förordningens principer i förhållande till webbkollen:

Laglighet, korrekthet och öppenhet

Det ska vara tydligt för en enskild vad som gäller vid behandlingar av personuppgifter. (5(1)(a))

På Dataskydd.net:s webbkoll ser vi detta som att privatpersoner ska ha en möjlighet att förstå vilka tredjeparter de ställs i kontakt med genom att besöka en webbplats. Om ett reklamföretag eller något annat företag får del av personuppgifter, och möjlighet att påverka privatpersonen genom den tillgången, ska privatpersonen kunna ta reda på det. Man ska inte behöva ha en Master i Webbutveckling eller använda särskilda tekniska verktyg för att kunna förstå vem som får möjlighet att påverka en själv. Principen om öppenhet är lätt, men vill man inte vara helt transparent finns bestämmelser om vad man inte får låta bli att berätta i förordningens artiklar 13-20.

Det innebär också att privatpersoner ska få reda på när saker går fel: om man har samlat in information om privatpersonen som sedan riskerar att ha läckt, bör enskilda få reda på det. I förordningen heter detta ”information till den registrerade om personuppgiftsincident” och reglerna finns i artikel 34.

Ändamålsbegränsning

Personuppgifter ska samlas in för specifika och angivna syften. (5(1)(b)) Dessa syften ska vara tydliga och begripliga för enskilda. Artikel 13-20.

Ändamål med insamlingen är ett ganska vitt begrepp, och kan innefatta allt från marknadsföring till att ”förbättra webben”. På Dataskydd.net:s webbkoll föredrar vi metoder att förbättra webben och webbplatsen som inte kräver datainsamling från enskilda. Därför har vi en massa tips på hur man kan förbättra sin webb i en dataskyddande riktning.

Uppgiftsminimering

Man ska inte samla in fler uppgifter än vad som är absolut nödvändigt för ändamålet. (5(1)(c))

Beroende på vilket ändamål man har valt, kan det här innebära olika mängder personuppgifter. Dataskydd.net:s webbkoll gör det enkelt att ta reda på hur man kan låta bli att både samla in och att läcka information om privatpersoner. Vill man ändå samla in personuppgifter i större eller mindre utsträckning, behöver man dels vara öppen med det (individen ska förstå vilka uppgifter som samlas in och varför de är viktiga för ändamålet), och så behöver man förhålla sig till reglerna i dataskyddsförordningens kapitel 4. Baktanken med detta regelverk är att den som vill kartlägga och spåra andra ska behöva tänka igenom varför och på vilket sätt den vill göra detta, så att det inte sker bara för att det går.

Korrekthet

Personuppgifter ska vara stämma överens med verkligheten och uppdateras om de är felaktiga.

Den här principen rör i första hand information som registreras av myndigheter eller företag till exempel i kreditgivningsindustrin. I webbutveckling och marknadsföring är det vanligare att man arbetar med ”luddiga” mängder av personuppgifter, och konsekvensen av att man felklassificeras av sin webbspårare är vanligen inte värre än att man får felaktigt riktad reklam när man rör sig i online-miljöer.

Lagringsminimering

Man ska inte spara uppgifter längre än nödvändigt.

Den här rättigheten anknyter till ändamålsbegränsning och dataminimering. Dataskydd.net:s webbkoll gör det enkelt att inte behöva tänka så mycket på den här principen.

Integritet och konfidentialitet

Personuppgifter ska behandlas på ett säkert sätt, både organisatoriskt och tekniskt.

Dataskydd.net:s webbkoll gör det enkelt att se vilka tekniska skyddsåtgärder för dataskydd som finns på plats. Vi har identifierat åtgärder som inte borde kräva några större organisatoriska förändringar: de flesta av våra tips går snabbt att genomföra, och de kostar lite. Vår målsättning är att göra det så enkelt för privatpersoner som möjligt att utöva sina rättigheter, samtidigt som de som bygger webbplatser får enkla tumregler att ge privatpersoner denna möjlighet.

Ansvarsskyldighet

Den som är ansvarig för webbplatsen är ansvarig för att principerna följs.

Eftersom ansvar är jobbigt ger Dataskydd.net:s webbkoll en stor mängd tips och tricks för dataskyddande webbplatser som förmodligen går längre än vad man skulle bli fälld för i en domstol. Vi vill åstadkomma minsta möjliga administrativa börda för bästa möjliga dataskydd. Anledningen till att dataskyddsförordningens regler gör det mer byråkratiskt och tråkigt att inte dataminimera, är för att varje samhällsaktör ska behöva tänka på hur man utövar inflytande över andra.