Overvågningskapitalisme, persondata & GDPR
“Jeg har HIV, hvad nu?”, “Jeg ønsker at afslutte min graviditet”, “Symptomer på at være alkoholiker”, “Forsikring til kræftpatienter”.
Det er eksempler som disse, som udsatte borgere kan stille på på statslige og offentlige hjemmesider i deres jagt på information og svar.
Næsten ti måneder efter at GDPR trådte i kraft, scannede vi EU’s regeringshjemmesider med Cookiebot-teknologi og opfangede alle cookies og al tracking på disse hjemmesider.
Har du brug for at genopfriske forbindelsen mellem cookies og GDPR er forbundet? Læs vores blogpost: GDPR & cookies.
Vi indsatte spørgsmål, som de overfor nævnte, i søgemaskiner, for at finde frem til de specifikke sundhedsplatforme, som EU-borgere med størst sandsynlighed ville besøge i deres søgen efter officielle råd.
Og så scannede vi disse platforme. Resultatet er alarmerende:
Langt de fleste officielle, statslige hjemmesider i EU skjuler trackere fra tredjeparter. Over halvdelen af de offentlige sundhedsplatforme faciliterer sporing uden at være klar over det.
Dette betyder, at når udsatte borgere vender sig mod deres statslige hjemmesider og offentlige sundhedssites for at søge information og hjælp om sensitive emner, kigger adtech firmaer* med og høster deres data.
*I rapporten bliver begrebet “adtech” brugt som fællesbetegnelse for den kommercielle sporing af hjemmesidebrugere, samt de firmaer, som står bag dette; uanset at en del af denne sporing kan være udført med andre kommercielle hensigter end at målrette annoncer til brugeren.
Hvad er adtech firmaer og hvordan tjener de penge på min data?
Når først data er blevet opsnappet af trackere, kan det i teorien blive brugt til hvad som helst af hvem som helst. Data er ude af brugerens og selv hjemmesidernes hænder.
Mest sandsynligt er det, at de nu cirkulerer i den billionstore dataindustri, hvor de flettes sammen med andre oplysninger for at opbygge skræmmende detaljerige personlige profiler – også kaldet profilering – der så sælges videre til højstbydende på auktioner i reklamenetværker.
Profilering bliver ofte brugt til at målrette annoncer, sælge dig produkter, udbrede ideer, skræddersy alt lige fra brugeroplevelse til produktpris, samt forudse dine fremtidige handlinger. I de forkerte hænder kan disse data benyttes til at bestemme hvorvidt du har ret til forsikring, eller om en mulig arbejdsgiver skal hyre dig eller ej.
Personlig profilering kan indeholde…
- data om din placering og bevægelser helt ned til gade, gadenummer og sågar etage,
- dine vaner og interesser,
- din vennekreds, din familie og dit ophav,
- din beskæftigelse og din løn,
- politiske og religiøse overbevisninger,
- din alder, køn og seksuel orientering,
- hvad du fejler og hvad du frygter,
- dine planer, drømme og håb.
Denne viden sammenflettes omhyggeligt – når du scroller og klikker på internettet, eller bevæger dig rundt i den fysiske verden med dit device i lommen – ved hjælp af usynlige og (tilsyneladende) harmløse cookies, samt lignende sporingsteknologi, der bliver smuglet ind af tredjeparter på hjemmesider og i apps og – som vores rapport viser – selv på officielle, offentlige hjemmesider i EU-medlemslande.
Og det er, i sin essens, overvågningskapitalismens logik. Begrebet ”overvågningskapitalisme” beskriver den æra, vi utilsigtet er havnet i. I overvågningskapitalismen gælder det, som Shoshana Zuboff beskriver i “The Age of Surveillance Capitalism”, at jo mere data man har, jo større andel af markedet ejer man.
Overvågningskapitalismen er resultatet af tyve år med et gennemgribende ureguleret internet; GDPR og den kommende ePrivacy Regulation er reaktioner på dette – et forsøg på at genoprette og forankre brugeres rettigheder og privatliv online.
Hvordan kommer trackerne ind?
Hvordan kommer trackerne ind? I rapporten afdækker vi, at 89% af officielle regeringshjemmesider i EU’s medlemslande tillader kommerciel sporing fra tredjeparter. Det samme gælder for 52% af startsiderne på de nationale sundhedsplatforme.
Det er værd at bemærke her, at disse hjemmesider ikke kun er officielle, statslige sider i EU-lande, som håndhæver GDPR-lovgivningen; de er også offentlige hjemmesider, som ikke har nogen former for reklamebaseret indkomst.
Så hvorfor er der overhovedet trackere her? Hvad bestiller de, og hvordan kommer de ind?
Det korte svar er, at de kommer ind gennem indlejrede services såsom videoafspillere, knapper til hurtig deling på sociale medier, webanalyseværktøjer, fotogallerier og kommentarfelter.
Hvorfor? Mange gratis plugins fra tredjeparters hjemmesider tjener på at smugle trackere ind, der som trojanske heste, åbner bagdørene til hjemmesider og baner vejen for, at adtech firmaer kan spore og høste data.
Selvom disse tredjeparters teknologier øjensynligt er gratis, har de en pris: brugernes privatliv.
Råd til hjemmesideejere
Rapporten viser hvor udbredt sporing er på statslige og offentlige hjemmesider, der ikke er finansieret af annoncer og reklamer. Resultaterne indikerer, at mange andre ikke-kommercielle hjemmesider sandsynligvis også fungerer som platforme for online overvågning, vel at mærke i det uvisse.
Den gode nyhed er, at det kan undgås.
Følg disse trin for at sikre at du overholder og beskytter dine brugeres privatliv, når du inkluderer tredjeparters services på din hjemmeside:
- Skab dig et detaljeret overblik over hvor meget sporing, der optræder på din hjemmeside.
- Fjern enhver uønsket sporing fra din hjemmesides kode.
- Tilbyd brugere fuld gennemsigtighed og kontrol over sporingen på siden – dvs. tillad dem at kunne tænde og slukke for trackere efter eget ønske.
Er du bekymret for den nuværende sporing, der finder sted på din hjemmeside? Prøv testen på vores hjemmeside for at finde ud af, om du overholder Prøv testen på vores hjemmeside for at finde ud af, om du overholder persondataforordningens krav.
Eksempel: ShareThis som trojansk hest
Irlands offentlige sundhedsplatform, the Health Service Executive (HSE), har på deres hjemmesider installeret den populære sociale app ShareThis, der automatisk tilføjer knapper, som gør det lettere for brugere at dele information på tværs af diverse sociale medie platforme.
Ved første øjekast ligner den gratis service, ShareThis, en gave til hjemmesideejere, men er i virkeligheden noget nærmere en trojansk hest, der slipper trackere løs fra mere end tyve forskellige ad tech firmaer, på hver af de sider, som servicen er indlejret på.
Ved at analysere hjemmesiderne tilknyttet HSE.ie, fandt vi, at ShareThis smugler yderligere 25 andre trackere ind, der alle sporer brugeres data uden samtykke. Det blev bekræftet gennem på de sider, der bliver linket til ved søgninger på emner såsom ”dødelighedsrater hos kræftpatienter” og ”symptomer på fødselsdepression”.
Selvom udbydere, som HSE, selv kontrollerer hvilke tredjeparter, de tilføjer til deres hjemmesider, har de ingen reel kontrol over, hvilke yderligere ”fjerdepartier”, disse tredjeparter smugler ind.
ShareThis lader til at være blevet installeret på alle hjemmesider tilhørende www.HSE.ie. Det indikerer, at en stor del af den irske befolknings sundhedsdata er blevet lækket – vedvarende og usynligt – til kommercielle aktører.
Selvom HSE.ie’s cookiepolitik bekendtgør ShareThis’ egne cookies, nævner de ikke de 25 andre trackere, som ShareThis smugler med ind. Det kunne tyde på, at den irske sundhedssektor med HSE ikke selv er klar over disse aktiviteter.
Hvem tracker brugerne?
På tværs af både statslige som offentlige hjemmesider fandt vi 112 sporingsvirksomheder, som videresender data til i alt 131 hjemmesider eget af tredjeparter.
To aspekter heraf er særligt bekymrende:
Ti af disse firmaer maskerer overlagt deres identitet, eftersom der ikke er nogle hjemmesider at finde forenden af deres domæner; ligeledes er oversigten over deres domæneejerskab skjult. Hvem er de?
2. Google udfører dobbelt så meget tracking som noget andet firma. Google styrer de øverste tre trackere fundet i dette studie: YouTube, DoubleClick og Google.com.
Gennem sammenfletningen af disse services, kan Google spore brugere på 82% af de statslige regeringssider i EU, samt 43% på startsiderne hos diverse sundhedsplatforme.
Eftersom Google har kontrol med mange af internettets førende platforme, såsom Google Analytics, Google Maps, YouTube etc., er det ingen overraskelse, at Google har større succes med at opnå adgang til hjemmesider, med formål at spore, end nogen anden. Det er særdeles bekymrende, at Google er i stand til at krydskombinere dets sporing med brugerdata fra populære end-user services såsom Google Mail, Google Search og Android apps (for blot at nævne et par), med det formål at koble brugeres adfærd online med personers identitet ude i det virkelige liv.
Figur 1: Top 5 trackere på statslige EU-domæner
Figur 2: Top 5 trackere på sundhedsplatformes startsider
Opsummering på “Adtech overvågning i den offentlige sektor”
I denne artikel har vi beskrevet nogle af fundne fra vores rapport, der blev udgivet 18. marts 2019.
DOWNLOAD RAPPORTDenne rapport er produktet af vores frustration. Ved hjælp af vores scanningsteknologi har vi fået et lille indblik i den tiltagende epidemi af ukontrolleret online overvågning, der trives på tværs af internettet.
For nogle læsere vil disse fund og konklusioner være chokerende nyt. For andre vil de måske være gammel nyt.
Til begge er vores budskab, at det kan undgås og stoppes.
Vi opfordrer alle hjemmesideejere – offentlige som private – at tage ansvar for den sporing, der finder sted på jeres hjemmesider, jævnfør de forpligtelser der er fulgt med GDPR og anden lovgivning.
Skab gennemsigtighed – både for dig selv og for dine hjemmesidebrugere – og giv brugerne et reelt valg når det kommer til hvordan deres bliver benyttet.
Ressourcer
Rapporten: Adtech Overvågning i den Offentlige Sektor