När du surfar på webbsidor som upprätthålls av finländska ministerier, städer och sjukvårdsdistrikt sparas en hel del information - till exempel att du läser om könssjukdomar eller skuldrådgivning - hos amerikanska företag. Det här avslöjar Yle Nyheters granskning.
Våra surfvanor övervakas och sparas för att företag ska kunna sälja skräddarsydd reklam som hjälper till att finansiera många av de webbsidor vi använder. Det är ingen stor hemlighet.
Men Yle Nyheters granskning av drygt 70 offentliga webbsidor i Finland visar att också många av dem bidrar. Allt från ministerier, städer och kommuner till sjukhus, nödcentralen, försvarsmakten och polisen läcker data om sina besökare på webben, till exempel till utländska företag.
Spårningen är möjlig på grund av att webbplatserna har inkluderat externa spårare i sin källkod. När du besöker en viss webbsida sparas då en så kallad cookie, eller kaka, på din dator. Den kommer oftast från en annan server och kallas därför mer exakt för tredjepartskaka.
När du senare besöker fler sajter som använder samma spårare kan den läsa av de kakor som sparats tidigare, och alla de här besöken kopplas ihop till en enda användarprofil. Profilen avslöjar vad du troligen har för intressen och sparas på nätet, till exempel på servrar i USA.
En sajt som möjliggör det här är Esbo stad. Det sker via en kontroversiell spårare som kallas Addthis, och som sedan i januari ägs av det amerikanska storföretaget Oracle. Virpi Pakkala, kommunikationsdirektör vid Esbo stad:
- Vi använder Addthis för att ge våra besökare en möjlighet att dela de sidor de vill i sociala medier, förklarar Pakkala.
Det stämmer att det är en funktion som spåraren möjliggör. Den skapar knappar som gör det lätt att dela olika sidor.
Men på Esbo stad känner man inte till att det här samtidigt hjälper det amerikanska företaget att kartlägga besökarnas surfvanor och rikta reklam till dem någon annanstans på nätet.
- Nej, det här är en helt ny sak för oss, medger Pakkala.
Addthis är ingen liten okänd aktör. Spåraren sparar 280 miljarder datauppgifter i månaden från sidor över hela världen och hör till de största på datamarknaden.
Två andra vanliga spårare med bättre rykte än Addthis är Facebook connect och Google Analytics, som också ger webbsidorna en hel del besöksstatistik.
63 av de 72 offentliga finländska webbplatser vi granskade använde någon av de här tre spårarna. Googles spårare förekom på 48 webbplatser, Addthis på 27 och Facebook connect på 16. Vissa använde alltså mer än en.
För Hangö stad har det varit ett medvetet beslut att använda både Addthis och Googles spårare.
- Förstås, ingenting är gratis. Om vi till exempel använder Googles analysverktyg för att samla information om användningen av våra webbsidor så använder storföretaget den informationen för att effektivare kunna rikta och sälja annonser, kommenterar it-stödpersonen Kai Ahola.
Ahola tillägger att det skulle vara svårt att utveckla webbplatsen utan Googles analysverktyg, eftersom det ger nyttig statistik om hur folk använder sidorna.
Han upplever inte heller att datainsamlingen är ett problem.
- Vi behöver inte fundera alltför mycket på de här frågorna. Själv har jag inte sett något problem med det här, säger Ahola och tillägger att staden följer med situationen och vad de övervakande myndigheterna anser.
Dataombudsmannen gillar inte spårandet
Dataombudsmannen Reijo Aarnio är för sin del kritisk till att många offentliga webbsidor använder spårare som hjälper till med att rikta reklam.
- Jag tycker att det rent ut sagt är fräckt, eftersom myndigheter inte ska läcka information om att medborgare har sökt information på deras sidor, och särskilt inte så att folk kan identifieras. Det har med offentlighetsprincipen att göra.
Företagen bakom spårarna uppger att de samlar in data anonymt men Aarnio bedömer att det ändå i praktiken kan vara möjligt att identifiera folk, vilket i de här sammanhangen är olagligt.
Till exempel kan data från Google Analytics kombineras med Gmail-konton, eller så kan man räkna ut vem det handlar om utifrån vilka alla sidor han eller hon besöker, påpekar Aarnio. IP-adressen kan också kombineras med personuppgifter någon annanstans på nätet.
- Det är ett stort problem att de företag som erbjuder analystjänster och spårare har så knepiga användarvillkor att inte ens myndigheter orkar sätta sig in i dem. Och då uppstår sådana här fel, säger Aarnio.
Viss anonymisering finns
Google erbjuder ändå användarna en möjlighet att anonymisera de IP-adresser analysprogrammet samlar in. Dessutom kan företag och myndigheter inom EU självmant aktivera en funktion som gör att användningen blir mer i enlighet med europeisk lagstiftning. Vad det sistnämnda innebär i praktiken är ändå lite oklart.
Till exempel Kommunikationsministeriet meddelar att de har aktiverat de här funktionerna på sin webbplats. Spåraren Addthis, som ministeriet också använder, erbjuder inga sådana här skyddande funktioner. Men efter att Yle Nyheter var i kontakt med myndigheten har de beslutat att ta bort Addthis från sidorna - officiellt för att göra sidorna smidigare.
- Vi kom fram till att Addthis gör våra sidor långsammare att ladda och använda och vi har därför kommit fram till att ta bort spåraren. Dessutom var det inte så många av våra besökare som använde dess delningsfunktioner, kommenterar Antti Ellonen, webbkommunikationschef på Kommunikationsministeriet.
I Sverige har flera myndigheter slutat använda Addthis och andra spårare efter att Dagens Nyheter gjorde en liknande, men ännu större granskning, av temat i höstas. Där har andelen kommuner som har spårningsfunktioner på sina webbplatser sjunkit från 86 till 43 procent. Tidningen gjorde en komplett genomgång av samtliga sajter under toppdomänen .se.
Google, Addthis och Facebook döljer inte heller att de data de samlar in används för att bygga upp en profil om användaren och för att rikta reklam.
Addthis skriver att det bland annat sparar datorns IP-adress, vilken webbsida man besökte och till exempel vilken sökning man eventuellt gjorde för att hitta fram dit, samt en särskild identifierande kod.
Detaljerade nyckelord loggas
Enligt kollen som Dagens Nyheter gjorde registrerar Addthis dessutom nyckelord som beskriver den specifika webbsida man går in på. Addthis loggade till exempel besök på Centrum för sexuell hälsa vid Skånes universitetssjukhus bland annat med nyckelorden “homosexualitet”, “aids” och “klamydia”.
Åbobon Lajos Parkatti, som har följt med datasäkerhetsfrågor under lång tid, påpekar dessutom att problemet med spårare inte endast handlar om riktad reklam.
- Det som är illa är att någon utomstående samlar omfattande information om oss, och att den här informationen kan användas till allt möjligt.
Han nämner att försäkringsbolag och rekryteringsfirmor i princip kunde köpa datamaterial som visar att folk läst om vissa sjukdomar.
- Dessutom kan information om samhällsrelaterade intressen förekomma. Åsiktsregistrering är förbjuden av goda skäl, men en profil som byggts upp med hjälp av cookies kan användas för att rätt noggrant beskriva en persons politiska hemvist, aktiviteter och nätverk.
Parkatti tillägger att han är riktigt bekymrad över det här.
- Om vi till exempel skulle få en diktatur i västvärlden skulle sådan här insamlad information vara lätt att missbruka. När uppgifter finns samlade kan de läcka.
Också Vasa sjukvårdsdistrikt använder både Addthis och Googles analystjänster. Kommunikationsplanerare Heli Masa säger att avsikten inte har varit att läcka information om besökarna och hon antyder att en förbättring kan vara på gång.
- Vi ska utan vidare utreda det här. Förstås hoppas jag att de människor som söker information på vår webbplats, till exempel om de sjukdomar de har, ska kunna göra det utan att sedan drabbas av skräddarsydd reklam om de här sjukdomarna på andra ställen på nätet, kommenterar hon.
Några timmar efter att den här nyheten publicerades tillägger Masa att sjukvårdsdistriktet kommer att sluta använda Addthis till följd av Yle Nyheters rapportering.
De vanliga avtalsvillkoren räcker ofta inte
Dataombudsman Reijo Aarnio tillägger att om myndigheterna kommer överens om särskilda avtalsvillkor så kan det vara tillåtet för dem att använda de här spårartjänsterna - annars inte.
Han nämner att offentliga webbsidor till exempel kunde försöka kräva att det datamaterial som samlas in måste hållas inom EU och att det inte heller får kombineras med data som samlas in på andra webbsidor.
- Det måste alltid vara möjligt att sköta sina offentliga ärenden privat på nätet, till exempel inom social- och hälsovården, i mentalvårdsfrågor och så vidare, kommenterar han.
Men väldigt få kommuner verkar ha bett om särskilda avtalsvillkor. Yle Nyheter frågade flera webbansvariga för offentliga webbsidor om sådana här förhandlingar hade skett: svaret var nej.
Ett annat alternativ är att webbplatsen köper full rätt till datamaterialet av analystjänsten - till exempel aktörerna Piwik och Snoobi verkar erbjuda den här möjligheten relativt billigt.
Också Google Analytics har en sådan betaltjänst men den kostar 150 000 amerikanska dollar vilket är en stor tröskel för de allra flesta. It-experter Yle Nyheter har talat med tror inte att det finns en enda offentlig webbsida i Finland som betalar för Google Analytics. Google själv har valt att inte kommentera.
Möjligen olagligt att vara otydlig om kakor
Flera offentliga sidor - till exempel Vasa sjukvårdsdistrikt, Hangö stad och Sibbo kommun - låter dessutom bli att nämna att de använder spårande kakor på sina webbsidor. Det här kan vara olagligt enligt Erika Leinonen som är jurist på Kommunikationsverket.
- Om vi fick reda på sådana här fall skulle vi i alla fall utreda dem, tillägger hon.
Det finns ett EU-direktiv om kakor och i Finland har man tolkat det på så sätt att en webbsida måste varna för att kakor används och varför. Det räcker ändå med att den här informationen finns någonstans på webbplatsen - till exempel med liten text på en undanskymd sida.
Leinonen påpekar dessutom att man kan ställa in sin webbläsare så att den inte accepterar kakor. Till exempel kan man blockera endast tredjepartskakor.
Google erbjuder också ett särskilt webbläsartillägg som stoppar företaget från att samla in analysdata om dig.
Bristande övervakning
Vem som ska övervaka de offentliga webbsidor som använder kakor och som dessutom skickar data till servrar utomlands verkar inte vara helt klart. Det har lett till att den här saken egentligen inte uppmärksammas av någon myndighet, och har fallit mellan stolarna.
Kommunikationsverket anser att det är dataombudsmannens ansvar eftersom det handlar om dataskydd. Dataombudsmannen anser för sin del att det är Kommunikationsverkets ansvar eftersom det handlar om kakor.
- Vi har en del kvar att göra när det gäller att komma fram till vilken instans som ska övervaka de här frågorna, kommenterar Aarnio.
Han säger att mer klarhet i myndighetsövervakningen är att vänta så småningom, i samband med att EU-direktivet om digital kommunikation förnyas.
Google, Addthis och Facebook valde att inte kommentera den här nyheten.
Leevi Kokko: Googles spårare hjälper Yle utveckla sin webbplats