Offentlige hjemmesider sladrer til Google og Facebook

Kommuner, styrelser og ministerier deler oplysninger om borgeres besøg på offentlige hjemmesider med globale it-giganter. I strid med EU’s regler, siger jurist.

Danske myndigheder lader amerikanske it-giganter som Facebook og Google følge med i borgernes færden på deres hjemmesider, når de søger efter alt fra kommunale tilbud om misbrugsbehandling til dagplejetilbud.

I en opgørelse fra Ingeniøren deler 20 ud af 85 undersøgte offentlige sider oplysninger om besøget gennem alt fra ‘synes godt om’-knapper til reklame-cookies. Vel at mærke før, borgerne har haft chancen for at fravælge cookies.

Professor Thomas Hildebrandt fra Københavns Universitet kalder det uforsvarligt, at myndighederne sender data om danskernes brug af offentlige tjenester til USA:

»Det er et stort problem, at myndighederne reelt ikke ved, hvor informationer om borgerne havner, og at vi som borgere ikke kan undgå at få krænket privatsfæren. Vi har ikke noget reelt valg,« siger han.

I foråret trådte EU’s databeskyttelsesforordning (GDPR) i kraft med stramme krav til behandling af persondata, og Catrine Søndergaard Byrne, der er persondatajurist ved Labora Legal, fastslår, at datadelingen strider mod GDPR – selv hvis borgerne gav samtykke.

»Når en offentlig hjemmeside ringer Facebook op og oplyser, at nu har den her borger besøgt siden, så mener jeg ikke, det er i samfundets interesse eller et legitimt formål. Tværtimod. Det er en klar overtrædelse af GDPR,« siger hun.

Specielt brugen af Facebooks sociale plugins tyder på manglende forarbejde, mener hun. It-giganten fik i sommer en bøde af det britiske datatilsyn for ikke i tilstrækkelig grad at have beskyttet data fra 87 millioner brugere, der blev høstet og udnyttet af det politiske konsulentfirma Cambridge Analytica.

»Så er der noget galt. Den viden, vi nu har om Facebook, bliver myndighederne nødt til at tage med i deres overvejelser, når de sam­arbejder med dem,« siger hun.

Uvidende om datadeling

15 af de undersøgte sider brugte såkaldte sociale plugins. De lader besøgende ‘dele’ og ‘synes godt om’ indhold, men lader også virksomheder som Facebook følge med i, hvem der besøger en side. Det var de ikke klar over i Gladsaxe Kommune:

»Da vi gik til leverandøren, bestilte vi en hjemmeside, som opfyldte alle lovkrav på området. Så det er selvfølgelig vores ansvar, men vi handlede i god tro, for vi fik ikke den vare, vi bestilte,« siger kommunikationschef Ulla Baden.

Lignende svar kommer fra andre myndigheder. Men undskyldningen holder ikke, mener formand for IT-Politisk forening Jesper Lund:

»Den her tracking skal simpelthen ikke ske på offentlige hjemmesider, og hvis en myndighed ikke ved, hvad et plugin gør, så skal de bare ikke bruge det, så simpelt er det,« siger han.

Undersøgelsen og den manglende viden om dataindsamlingen afslører ifølge Venstres it-ordfører, Torsten Schack, at det offentlige stadig fokuserer for lidt på it-sikkerhed.

»Det er dybt problematisk. For hvis det her kan ske, uden at man rigtig har tænkt over det, så kan man jo godt blive bekymret for, hvilke andre ting man heller ikke lige har fået styr på,« siger han.

Denne artikel stammer fra Ingeniøren, fredag. Læs om hele undersøgelsen og sagen i avisen.