Dataskydd på webben för offentlig sektor

Dataskydd är en mänsklig rättighet som även finns inskriven i flera viktiga lagstiftningar om elektroniska nät och informationssamhällets tjänster. Men idag saknas metoder för att verkställa dataskydd i teknisk infrastruktur.

Projektet handlar om att hjälpa olika aktörer i samhället att bygga webbplatser på ett sådant sätt att individers rätt till dataskydd upprätthålls. Målet är att göra webbplatser inom svensk offentlig sektor bättre ur dataskyddssynvinkel, och i förlängningen främja den allmänna medvetenheten om dataskydd inom webbutveckling.

Idén är att skapa och tillhandahålla en uppsättning verktyg som kan användas för att utvärdera hur pass väl en webbplats stämmer överens med tekniska best practices inom dataskydd och hur väl den följer andemeningen i gällande lagstiftning på området.

Den primära delen av projektet är en webbtjänst med ett automatiskt testverktyg där besökaren anger en URL att kontrollera. Servermjukvaran kör sedan diverse olika tester och presenterar resultatet för besökaren. Sajten betygsätts enligt olika kriterier. Resultatrapporten förklarar vad som är dåligt eller bra och varför samt beskriver vilka ändringar som kan göras för att förbättra betyget.

Den sekundära delen är en interaktiv karta där tjänstemän och medborgare kan undersöka läget i sin egen kommun eller hitta andra kommuner att inspireras av. Denna karta presenteras på en undersektion till webbtjänsten ovan.

Projektet drivs av Anders Jensen-Urstad och Amelia Andersdotter, Dataskydd.net.

Blogginlägg om projektet:

Dataskydd.net har utvecklat Webbkoll, ett webbaserat verktyg där privatpersoner kan testa hur bra webbplatser är på dataskydd. Dataskydd är informationssäkerhet för privatpersoner: att veta och godkänna vem man har kontakt med, hur uppgifter om en själv sprids, och om eller när det kan påverka en själv.

För varje webbplats som testas med Webbkoll har vi också bifogat till testresultaten åtgärder man kan vidta för att bli bättre på dataskydd ifall man administrerar en webbplats. Testet, förklaringen av testresultaten, och tipsen på åtgärder finns på både svenska och engelska.

Varför dataskydd?

När en privatperson surfar på internet lämnar den efter sig en stor rad digitala spår. Ofta lämnas spåren inte bara till de webbplatser som privatpersonen vet om att den besöker, utan till ett stort antal andra webbplatser och företag också. Webbkoll kontrollerar i vilken utsträckning webbplatsen man faktiskt besöker håller de digitala fotspåren till sig själv.

Vi granskar till exempel användningen av säkra (krypterade) anslutningar (det som gör att webbläsaren visar ett grönt hänglås eller att webblänken läser https:// istället för http://). Säkra anslutningar gör så att de som trafiken passerar igenom – till exempel internetoperatören, arbetsplatsen eller skolan – inte kan se exakt vad en person gör.

Vi granskar också hur mycket information som läcks till reklamplattformar, innehållsleverantörer, sociala nätverk och andra tredjepartstjänster. Vi tar dels reda på vilka tredjeparter som information läcks till, och i vilken utsträckning tredjeparterna försöker kartlägga webbesökaren genom användning av webbkakor (antingen förstapartskakor eller tredjepartskakor). Vi rekommenderar också privatlivsvänliga alternativ till en del av de vanligaste externa tjänsterna.

Till sist granskar vi om webbplatsen skyddar mot referrer-läckor. När en användare klickar på en länk till exempelvis Facebook så berättar webbläsaren normalt för Facebook exakt vilken sida användaren kom från. Att dessa ”referrers” utgör ett integritetsproblem har varit känt sedan länge, men inte förrän nyligen har det varit möjligt för webbplatsinnehavare att säga åt webbläsaren att inte läcka referrers.

Kommunundersökningen

Under året har vi också gjort en djupare granskning av svenska kommuners webbplatser (https://dataskydd.net/kommuner/). I denna granskning besökte vi upp till fem djuplänkar på varje kommunal webbplats för att få kunna göra mer exakta bedömningar av kommunernas nuvarande nivå av dataskydd och vilka åtgärder som behövs i framtiden. Vi betygsatte kommunerna på en skala från A till E, där A är bästa betyg.

I början av sommaren (30 maj) hade 217 kommuner det sämsta betyget. I slutet av sommaren (20 augusti) hade bara 204 kommuner sämsta betyg. Hela sex kommuner har infört ett skydd mot referrers-läckor. Det är en välkommen modernisering av det kommunala webblandskapet i Lidköping, Enköping, Ljusdal, Sandviken, Tierp och Örnsköldsvik. Fem kommuner har infört krypterade anslutningar under sommaren (Emmaboda, Halmstad, Höganäs, Partille och Tanum). Det förklarar att antalet kommuner med betyget C har ökat från 16 till 20 (två kommuner har trillat ned till D-betyget efter att ha infört okrypterade extrafunktioner på sina hemsidor under sommaren). Bland kommunerna med betyget C utmärker sig Stenungsund och Sävsjö, som inte lämnar vidare uppgifter om sina webbesökare till reklamplattformar och andra tredjeparter. Ingen kommun har dock nått upp till varken nivå B eller nivå A än så länge.

Vi tror att de dåliga betygen till stor del beror på omedvetenhet om problemen och vilka lösningar det finns. Detta försöker vi råda bot på, och vi tror således också att många kommuner kommer att förbättra sig – det är bara en tidsfråga.