GDPR med Readspeaker och Talande webb (Browsealoud)

Ett av sommarens fynd i årets GDPR-motionerande av offentlig sektor är de två vanligaste tjänsterna för att få webbsidor upplästa. Båda tjänsterna drar åtminstone ibland nytta av USA-baserade IT-företags molntjänster som underleverantörer.

Sammanfattning:

Bakom Talande webb (företaget Funkas namn på Browsealoud för den svenska marknaden) tycks vi hitta USA-baserade IT-bolaget Amazon. För Readspeaker alternerar det mellan USA-beroenden och det GDPR-vänliga Tyskland.
54% av kommuner och regioner har antingen Talande webb eller Readspeaker. De som har det bakom ett korrekt samtycke räknas nog inte in här.
Att ha en tredjepart från tredjeland, som USA, gör myndighetens webbplats problematisk ur GDPR-hänseende, om inte uppenbart olaglig. Även om driften sker i ett EU-land.
Det finns de som gör rätt! Kolla in Götene kommun. De har en EU-baserad version av Readspeaker som dessutom förutsätter ett aktivt samtycke innan. Snyggt jobbat!

Delrapporter i GDPR-motionerandet:

Del 1 handlar om USA-beroende molntjänster för uppläsning - Readspeaker och Talande webb. I del 1 hittar du också mycket av problembilden, begrepp och bakgrund som inte läggs tid på i efterföljande delrapporter.
Del 2 om Kundo i offentlig sektor. Om CLOUD Act och Executive Order 12333.
Del 3 listar samtliga tredjeparter för alla kommuner och regioner.
Del 4 undersöker vilka mejlsystem som kommuner och regioner har.

Innehållsförteckning och snabblänkar:

Vad är frågan till kommunerna och regionerna?
Majoriteten har antingen tredjeparten Readspeaker eller Talande webb - men måste de?
- Det går att göra rätt (med Readspeaker i alla fall)
Vad är problemet med tredjeparter i tredjeland, egentligen?
- Transparency reports – övergripande information om hur mycket data som delats med USA:s myndigheter
Att prata GDPR, Schrems 2, SCC och USA-aktörer med offentlig sektor
- ”Vår leverantör säger […], så allt är lugnt!”
- Kedja av aktörer som sprider ut ansvaret på någon annan
Låt oss då se efter hur det ligger till…
Svar från Browsealouds svenska återförsäljare Funka nu AB
Vad är problemet då? Röjandet av personuppgift!
- ”Vi erbjuder dig att samtycka till våra cookies!”
- När får man dela personuppgifter utanför EU/EES genom ett samtycke?
Obehörigt röjande av personuppgifter eller sekretess
Men om det amerikanska företaget har ett dotterbolag i EU då? Nej!
IP-adresser är en personuppgift
Vilka har då Talande webb och Readspeaker i offentlig sektor sommaren 2022?
Finns konsekvenser av att svara missledande vid upphandling?
Hur ligger det till med Talande webb / Browsealoud om man nu undersöker det själv?
- ”…vår leverantör som åter bekräftar att samtliga servrar för Talande webb ligger inom EU”
Checklista för 10 minuters snabbkoll av en leverantör
Tillägg 2022-08-17 angående Readspeaker
Outro
- Källkod i Python

Jag kan lika gärna inleda med vad min avsikt med denna bloggpost är, så det inte uppstår onödiga missförstånd. Jag vänder mig emot att kommunerna röjer mina och andra invånares personuppgifter till aktörer som inte lyder under EU:s lagstiftning. Aktörer som inte kan hållas ansvariga för hur de i sin tur delar med sig av våra uppgifter. Sen hur kedjan av leverantörer och dessas underleverantörer ser ut lägger jag mig inte i. Men det tycks nära på omöjligt att föra denna dialog med offentlig sektor utan att de bemöter det med fraser som liknar ”men vår leverantör sa att det är lugnt”, ”de har stängt av statistiken nu” eller ”jag frågade leverantören i år igen och de säger återigen att det är lugnt”.

Specifikt för den här typen av molntjänst, att möjliggöra uppläsning av text, är det väldigt vanligt att företaget Funka nu AB nämns, det citeras mig vad namngivna profilerade personer på Funka svarat och jag tipsas om att ta fortsatta ”frågor” direkt med dem. Och det har jag gjort mest för att inte fastna i diverse påståenden om att allt är tryggt så som det är byggt. Jag har inget emot Funka. Tvärtom! Jag tycker de får viktiga grejer gjorda inom tillgänglighetsområdet och jag beundrar dem för deras insatser. Nog om Funka för nu.

Jag är varken jurist eller Sveriges främsta GDPR-expert! Men kan tycka att nivån svensk offentlig sektor håller är så skrämmande låg att även jag nog kan komma med fler klargöranden än felaktigheter. Den erfarenhet jag har av GDPR är utöver omvärldsbevakningen att jag representerade kommunikationsavdelningen på Västra Götalandsregionen i det interna GDPR-projektet 2018. Med extra fokus på digitala medier och särskilt webbanalys eftersom GDPR-säker webbanalys är mitt egentliga specialområde sedan tio år nu.

Hittar du något fel är du varmt välkommen att höra av dig så lovar jag att komma med en rättelse. Du hittar mig på Linkedin och Mastodon bland annat.

I botten på bloggposten hittar du dels min enkla metod för att ta en snabbtitt på alla dessa påståenden om att en organisation till fullo följer lagen/GDPR. I slutet hittar du också källkod för Python om du själv vill leta efter något särskilt på offentlig sektors webbplatser.

Vad är frågan till kommunerna och regionerna?

I juli 2021, för ett år sedan alltså, mejlade jag samtliga kommuner och regioner meddelandet att jag besökt deras webbplats och hittat tredjeparter. Då ville jag be dem om en komplett lista med tredjeparter de delat min IP-adress med. Mejlet för 2021 var varianter av nedan:

Jag var idag 23:e juli inne på er kommuns webbplats under kvällen. Jag tror att ni har åtminstone ett verktyg som samlar in min IP-adress utan mitt samtycke. Mina frågor är därför:

1. Vilken rättslig grund vilar er behandling av min personuppgift på?

2. Vilka leverantörer och deras eventuella underleverantörer har ni på grund av er webbplats design skickat min personuppgift till (IP-adress och eventuell annan fingerprinting)?

Det här gäller alltså rätten till information jag som datasubjekt har enligt GDPR.

Rätt till information om hur dina personuppgifter hanteras (Integritetsskyddsmyndigheten)

2022, nu när jag gjort en uppföljning av primärt de värsta exemplen från förra året, har min fråga till kommunerna varit en variation på:

”Vilken laglig grund hävdar ni för att dela min/besökarnas IP-adress med denna tredjepart?”

Nära på alltid med en skärmdump från EU-varianten av PageXray där man kan se vilka tredjeparter de har vid en sidvisning på deras webbplats i juli 2022, samt att jag ofta också nämner tredjeparterna vid namn.

Nej, jag nämner inte i år det där analysföretaget som förra året hotade med att dra mig som privatperson inför Marknadsdomstolen. Jag fokuserar på alla andra 2022, men i denna bloggpost på molnbaserade uppläsningsverktyg.

Majoriteten har antingen tredjeparten Readspeaker eller Talande webb - men måste de?

Bland kommunerna är det enkelt att fokusera på Readspeaker och Talande webb (Browsealoud) eftersom det finns på majoriteten av webbplatserna. Närmare bestämt på 166 av 310 webbplatser. Knappt 54 procent har alltså någon av dessa två alternativ för att underlätta för somliga av besökarna att få innehållet uppläst. En funktion som vissa i denna användargrupp väljer att använda är sin pryls inbyggda funktion. Exempelvis VoiceOver är populär på Apples prylar.

Ett flertal av de jag mejlat med säger att de är tvungna att erbjuda denna funktionalitet på grund av lagstiftning. Jag tippar på att de avser DOS-lagen eller möjligen diskrimineringslagen. Jag har på min arbetsplats Västra Götalandsregionen (VGR) varit högst delaktig i tillgänglighetsarbetet de senaste 10 åren, har suttit i referensgruppen för de nationella webbriktlinjerna i flera år och kan inte dra mig till minnes att jag någonsin hört att man är tvungen att ha en uppläsningsfunktion. I VGR har vi inte haft det. Min blinda VGR-kollega använde det hen har installerat i form av egna hjälpmedel, samma med två andra blinda jag känner. Och sist jag talade med en dyslektiker om dessa funktioner tyckte hen inte att webbplatsernas egna uppläsningsfunktioner var något att hänga i granen. Men jag är ändå öppen för att det här är viktigt för några.

Det jag tänker här är att den implementation de allra flesta valt för denna funktion blandar in en tredjepart i tredjeland, vilket gör att man i onödan bryter mot GDPR i sin iver att följa DOS-lagen så som man tolkat den. Ifall man för den gruppen som nu faktiskt uppskattar uppläsningsfunktioner istället hade inhämtat ett korrekt samtycke på förhand så hade alla vi andra inte behövt offra våra rättigheter till ett privatliv till förmån för en annan grupp som förstås också har rättigheter.

Det går att göra rätt (med Readspeaker i alla fall)

I september 2021 tipsades det i Webperfs nyhetsbrev om att Mikael Jonsson på Statens servicecenter erbjöd andra lite support.

”Hämtar ni ReadSpeaker för varje sidladdning? Onödig data och inte så integritetsskyddande tyckte jag och tog med stöd av ReadSpeakers support fram en lösning som bara hämtar data/lämnar IP-spår när användaren aktiverar tjänsten.”

– Mikael Jonsson (Linkedin)

Just denna implementation har, i mitt tycke, Götene kommun fått till. De blandar inte in någon uppläsningstjänst innan användaren aktivt klickat på en knapp för att få det uppläst, och innan tredjeparten Readspeaker, för uppläsning, laddas in behöver man som användare samtycka till tredjeparten - som inte ens tycks ha beroenden utanför EU. Wow!

Se och lär vad en förhållandevis liten kommun fixar när de ger det ett ärligt försök!

Vad är problemet med tredjeparter i tredjeland, egentligen?

Bakom många av dessa tredjeparter, som för uppläsningsfunktioner i detta fallet, skymtar det allt som oftast amerikanska flaggor. Dessa brukar jag skärmdumpa och bifoga i min fråga till respektive kommun eller region när jag ber dem förklara sig.

Vi kan i denna bloggpost behöva lägga lite tid både på begrepp men också själva problembilden.

Begrepp:

Datasubjekt – personen ifråga som en personuppgift berör. Den som registrerats.
Förstaparts-cookie – ibland ett begrepp för att poängtera att en cookie som sätts i din webbläsare kommer direkt ifrån den part du interagerat med. Jämför med tredjeparts-cookie som avser en part som inte var uppenbart involverad men ändå ”lyssnade in”, vanligtvis annonstjänster på nätet.
Tredjepart – en ytterligare part som inte är någon av de två som är part i en interaktion av något slag. Man skulle kunna säga att det är en dold part eller av någon av de två ursprungliga parterna inbjuden att lyssna in eller bidra utan att det är uppenbart att denne är med som utomstående.
Extraterritoriell lagstiftning – handlar om att ett land tillämpar sin egen lagstiftning på områden utanför nationens gränser. Exempel är USA som kräver att USA-baserade företag inhämtar eller samlar in uppgifter man har tillgång till exempelvis i ett datacenter även om det rent geografiskt råkar ligga i ett EU-land. Vilket exponerar EU-invånares personuppgifter med inkompatibel lagstiftning i tredjeland.
Gag order – order om att inte berätta att företaget lämnat ut känsliga uppgifter till USA:s myndigheter. Finns inom FISA-lagstiftningen bland annat.
Tredjeland – ett GDPR-juridiskt begrepp som avser när personuppgifter blir tillgängliga för någon i ett land utanför EU/EES-området. Det kan inträffa genom att en aktör som lyder under extraterritoriell lagstiftning blir inblandad.
Adequacy decision – ett beslut som kan tas av EU-kommissionen som pekar ut vilka länder som bedöms vara kompatibla med EU-invånares rättigheter enligt GDPR. USA återfinns inte på listan, däremot Kanada, Japan, Nya Zeeland, med flera.
IP-adress – lite som en hemadress i den fysiska världen, men i den digitala en global nätverksadress över internet. Det är en personuppgift då den kan peka på en person och är definitivt en personuppgift i händerna på aktörer som lyssnar in bakom kulisserna på massor av de webbplatser vi besöker. En IP-adress kan delas av flera personer och byts ut emellanåt.
Schrems-domarna – namngivna efter aktivisten Max Schrems som utmanat EU-kommissionens beslut i EU-domstolen och vunnit två gånger så här långt. Schrems och hans aktrivistgrupp NOYB har gjort ett exempel av tredjelandsproblemet och särskilt Facebooks möjligheter att flytta data med personuppgifter från EU till USA.
Privacy Shield – juridiskt ramverk som i och med Schrems 2-domen upphävdes. Kunde fram till 16:e juli 2020 användas för att dela data mellan EU-USA.
Standardavtalsklausuler – SCC (Standard Contractual Clauses) på engelska, var en avtalsmässig mekanism som nästintill tillintetgjordes med Schrems 2-domen 16:e juli 2020 av EU-domstolen. Det var standardformuleringar man kunde använda i relationen med USA-baserade leverantörer. Dock fastslogs att dessa leverantörer ändå inte kunde skydda personuppgifterna på hemmaplan på grund av extraterritoriell lagstiftning. Efter Schrems 2-domen är det upp till den personuppgiftsansvarige att göra en analys om uppgifterna kommer att skyddas tillfredsställande i varje enskilt fall. Mer om hur Uppsala universitet resonerat post-Schrems 2.

Problembilden är ungefärligen att myndigheter, stora som små, inte gör särskilt noggranna undersökningar av sina leverantörer innan de bäddas in på deras webbplatser. På detta sätt får aktörer som inte (enbart) lyder under vår lagstiftning reda på uppgifter om oss. Om hur vi rör oss på webbens olika webbplatser, vad vi klickar på, vilka varor vi lägger i kundvagnen, och så vidare.

Transparency reports – övergripande information om hur mycket data som delats med USA:s myndigheter

Dessa uppgifter i händerna på aktörer som lyder under främmande lagstiftning blir mer eller mindre frekvent delade med deras EU-främmande myndigheter. Företagen tvingas dela eller hämta ut uppgifter de har åtkomst till.

I USA:s lagstiftning FISA (Foreign Intelligence Surveillance Act) finns något som kallas för gag orders. Det går ut på att de USA-baserade företag som tvingas lämna ut känsliga uppgifter inte får lov att berätta om det. För någon alls.

Detta har utmanats av de stora IT-bolagen men står fast.

Microsoft, Google to sue over FISA gag order (CNET, 2013)

De USA-baserade IT-jättarna delar lite övergripande statistik om hur vanligt detta utlämnande är i sina så kallade transparency reports. En kritisk person skulle vilja jobba lite med definitionerna av vad man menar med utlämnande, sökning, med mera.

Det finns nämligen i vissa fall, för USA-baserade myndigheter, öppna kanaler där de liksom prenumererar på data snarare än att kravställa ett enstaka utdrag som är begränsat till historisk data.

Men att amerikanska myndigheter missköter sig även gentemot sin egen befolkning, som till skillnad från oss i EU ska skyddas av deras lagstiftning, är välkänt sedan Edward Snowden kom med sina avslöjande för snart 10 år sedan.

Att prata GDPR, Schrems 2, SCC och USA-aktörer med offentlig sektor

En helknasig grej i den mejldialog jag har med offentlig sektor är att det är som att föra debatt om hur verkligheten beskrivs på bästa sätt. Först med kommuner som ofta kan verka som att de helst vill slippa se efter ifall de ens gjorde någon hemläxa när GDPR infördes 2018. I vissa fall får någon IT-person förneka att de har problematiska tredjeparter, de kan påstå att de har låst ner allt med avtal, eller menar att tredjeparterna i alla fall aldrig sett min fullständiga IP-adress trots de skärmdumpar jag skickar om att tredjeparterna haft direktkommunikation med min dator.

En annan populär grej är att fråga sin leverantör ifall de följer GDPR. Gissa vad leverantörerna svarar på en så pass laddad fråga..?

”Vår leverantör säger […], så allt är lugnt!”

Många av kommunerna jag haft kontakt med tycks nämligen ha pratat med sin leverantör av funktionen att få webbsidan uppläst, både 2021 och nu 2022, med anledning av mina nyfikna frågor. Frågan jag ställt till alla kommuner och regioner är vilken laglig grund (enligt GDPR) som de hävdar för att blanda in tredjeparter på sina webbplatser. Frågan grundar sig på att en IP-adress är en personuppgift, vilket blir extra problematiskt när en aktör som inte lyder under EU-rätt kommer över den och ännu värre om tredjeparten likt Facebook och Google har som affärsmodell att hålla koll på vad vi alla gör på nätet.

Leverantören av Talande webb (Funka nu AB) hävdar att de har sina servrar i EU och att de inte egentligen hanterar några personuppgifter. 2021 stängde de av statistiken. Vad nu det innebar för oss som hamnade i statistiken dessförinnan. Exempelvis skriver Funkas VD till Storfors kommun 9:e augusti 2021 att:

”Bekräftar härmed att vi stängt av er statistik / analytics funktion för Talande Webb på er hemsida www.storfors.se”

Med andra ord hamnade mitt besök på kommunens webbplats i denna statistik, men det är inget någon tycks vilja adressera. Och ja, Funkas VD nämner också det här vi brukar höra i sammanhang med Google Analytics, att; ”För er information så har information som samlats in varit helt anonymiserad. Den har ej kunnat spårats till någon användare.”

Låt oss för en stund låtsas som att tänkandet att anonymisering skulle funka.

Och under hösten 2021 skulle all teknik flyttas till EU, enligt uppgift från kunden Storfors jag mejlat mina frågor till, som citerade in nedan svar (korrekt får jag förmoda) från Funkas VD:

”Det pågår även just nu ett arbete hos leverantören att byta leverantör att hosta tjänsten Talande webb (Brows Aloud) fullt ut inom EU. Det beräknas vara klart inom ett par månader.”

– Storfors kommun, 25:e augusti 2021

Ja det är väl bra. De verkar försöka ta frågan på allvar. Ska flytta grejer till EU och så vidare. Just därför tog jag en titt ett år senare för att se vad som uträttats.

Kedja av aktörer som sprider ut ansvaret på någon annan

Talande webb är ett av Funka nu AB försvenskat erbjudande av Browsealoud. Browsealoud drivs av företaget Texthelp Ltd. Browsealoud har även på andra områden varit kontroversiella. Det man kan läsa sig till på Wikipedia är:

”BrowseAloud has been criticised by technologists for the need to use a mouse to select text before BrowseAloud would read it.”

och

”On 11 February 2018, a Sunday, over 4,200 BrowseAloud customers (some sources said over 5,000) had their websites infected with Coinhive code after BrowseAloud, hosted on Amazon Web Services, was hacked.”

– Controversies - BrowseAloud (Wikipedia)

Ja, Texthelp har Amazon som sin underleverantör för Browsealoud. Det återkommer om man söker lite på nätet. Redan här borde man dra öronen åt sig. Precis som jag brukar avråda från att hämta Javascript-ramverket Jquery från Jquery.com just för att de haft ett slappt säkerhetsarbete och det utsätter ens egna besökare för säkerhetsrisker.

Apropå säkerhetsrisker pekade James Royal-Lawson mig i riktningen mot hans Twitter-tråd i januari 2021. Han konstaterar att Browsealoud:

Injicerar en Google Tag Manager-container i webbplatserna, ibland utan att användaren behöver aktivera något. Säkerhetsrisk då alla med åtkomst till denna GTM kan injicera valfri kod på kundwebbarna.
Texthelp Ltd använde GTM för att stoppa in trumvirvel Google Analytics på kundwebbarna…

Även kommunens närmsta leverantör ger mig, utöver tvärsäkra uttalanden om lagligheten (utan att besvara grundproblemet kring tredjeland), också tipset att prata med deras underleverantör;

”Som sagt är detta inte mitt expertområde, det viktiga är att våra samarbetspartners uppfyller EUs regelverk och det gör de. Om du är intresserad av hur Texthelp resonerar kring ägande föreslår jag att du pratar med dem.”

- Susanna Laurin, @funkanu på Twitter, 19:e juli 2022

En annan i mängden kommuner som tycker jag borde nöja mig med svaret från deras leverantör är Storfors Kommun. Det är lite som att jag som datasubjekt borde göra GDPR-jobbet åt dem och prata direkt med Funka, det vill säga kommunens leverantör:

”Hej igen, jag vidarebefordrar svaret från Talande webb. Du får gärna prata med dem ytterligare om det finns fler frågor."

Den enda som verkar hysa minsta tvivel här tycks vara jag och jag förväntas själv jaga runt efter svar i alla led av motvilliga aktörer. Det var nog inte vad lagstiftaren tänkte sig.

Låt oss då se efter hur det ligger till…

Eksjö kommun är en av kommunerna som jag kollat läget med även 2022. De svarar angående Talande webb:

”Utifrån ditt mejl har jag haft en förnyad kontakt med vår leverantör som åter bekräftar att samtliga servrar för Talande webb ligger inom EU, och utöver detta hanterar Talande webb inga personuppgifter.

Många av de så kallade ”look-up-verktyg” som finns är baserade på amerikanska servrar, och visar därför att Browsealoud pratar med USA även fast tjänsten inte gör det, verktygen visar helt enkelt fel information.

Så utifrån detta är mitt svar åter att det inte finns någon laglig grund för personuppgiftsbehandling att hänvisa till.”

– Eksjö kommun, 18:e juli 2022

Det deras leverantör talar om som ”look-up-verktyg” är nedan, tror jag. PageXray. Ett EU-baserat verktyg, men visst, det finns en utan EU i sin adress och den är säkert baserad i USA.

Bild 1: Om man då testar Eksjö kommuns webbplats med EU-varianten av PageXray så syns en amerikansk flagga.

Det är nog ovanstående ”bevis” som Eksjös leverantör Funka motsätter sig.

Låt oss gräva vidare i hur Eksjös webbplats ser ut…

Bild 2: Kört Eksjös domän genom appen Net Analyzer. De har Amazon AWS som namnserver.

Gräver man lite i Eksjös beroenden till tredjeparter dyker Amazon Cloudfront och Amazon AWS upp som namnservrar. Det står visserligen ”EU” i den adressen. Kan det vara detta leverantören av Talande webb avser och en kommunkund formulerat som att de 2022 tagit ”en förnyad kontakt med vår leverantör som åter bekräftar att samtliga servrar för Talande webb ligger inom EU”?

Min IP-adress, och alla andra besökare till Eksjös webbplats, tycks alltså landa hos en tredjepart. Åtminstone det är vi överens om.

Det vi inte är överens om ännu är ifall delandet av ens uppgifter till Amazon - i slutänden - innebär att kommunen misslyckats med GDPR. Kanske är denna DNS-referens till Amazon något annat än Talande webb?

Är Amazons EU-baserade serverhallar i tredjeland?

Jag menar att Amazon, likt de andra företagen som inte enbart lyder under EU-rätt, är tredjeland även när deras serverhallar råkar stå inom EU. Så oavsett om det i ovanstående exempel med Eksjös namnserver med Amazon är internt slarv eller när Talande webb drar nytta av Amazons EU-infrastruktur så är det oförenligt med GDPR.

Men du behöver inte lita på mig. Låt oss ta en titt i historien. Närmare bestämt till juli 2016 när Privacy Shield-ramverket kom till. Varför kom det till? Jo, enligt EU-kommissionen, som har rollen att dela ut adequacy decisions för om våra personuppgifter är trygga i andra länder, handlade Privacy Shield om:

”This new framework protects the fundamental rights of anyone in the EU whose personal data is transferred to the United States as well as bringing legal clarity for businesses relying on transatlantic data transfers.”

– The EU-U.S. Privacy Shield (European Commission, 2016)

EU-kommissionen talar här om data som förflyttas till USA, inte om data som potentiellt stannar kvar på USA-baserade företags servrar i EU.

Extraterritoriell lagstiftning

Så hur ligger det till med personuppgifter på servrar ägda av Apple, Amazon, Google, Facebook, Microsoft et al, när de rent fysiskt är placerade inom EU? Här kommer begreppet extraterritoriell lagstiftning in. Att ett land har lagstiftning som tvingar personer och företag som lyder under landets lagar att följa de nationella lagarna även utanför landets gränser. Sådana lagar har USA, men för rättvisans skull bör det nämnas att de inte är ensamma. Att just USA är i skottlinjen, och ständigt problematiska i sammanhanget, är för att de dels har väldigt framgångsrika IT-företag, dels att åtminstone vi i EU betraktar dem som en vänligt sinnad nation.

Det tror jag är grunden till varför vi har så mycket slitningar när det just är USA som kommer på tal. Andra länder som har en liknande lagstiftning är det sällsynt att vi använder deras molntjänster och många av de länderna betraktar nog svensken i gemen som mindre demokratiska stater.

Ett snarlikt ärende var när USA:s Trump-administration bråkade om att de inte ville att Kina skulle ha kontroll över amerikanska TikTok-användares data.

TikTok a Year After Trump’s Ban: No Change, but New Threats (Wired, 2021)

FISA: Foreign Intelligence Surveillance Act

En sådan lag som stökar till det för EU-organisationer som vill använda USA-baserade företags molntjänster (även i EU) är tidigare nämnd FISA 702.

Foreign Intelligence Surveillance Act-arkiv, Jonas Leijon skriver om USA:s lag FISA

Att dessa USA-baserade bolag i realiteten tvingas lämna ut data framgår bland annat av deras transparency reports, se ovan. Och USA:s lagstiftning på området begränsar sig inte till dess nationsgränser, den är extraterritoriell och inkluderar även EU-länder.

Så det borde inte behöva vara någon debatt om USA-baserade företags servrar på EU-mark. Vi vet att dessa företag:

Är USA-baserade företag.
Att USA:s lagstiftning är extraterritoriell, vilket inkluderar även deras servrar i EU.
USA använder sig av denna lagstiftning, vilket syns genom bolagens transparency reports och att flera av IT-företagen utmanat FISA-domstolens ”gag orders” i domstol.
EU-domstolen i utslag konstaterat att USA:s lagstiftning inte är kompatibel med EU-invånares rättigheter.

Men det är förstås ett praktiskt sätt att förklara sig och senare kunna hävda att ”man inte kände till detta”, ”gjort så gott man kan under omständigheterna” eller ”gjort som alla andra”. Dessvärre har många organisationer strategin att övervintra de perioder när EU-domstolen klargjort att detta förfarande är just olagligt. Vi är i en sådan olaglig period nu sedan juli 2020 och många hoppas nog kunna köra vidare med sina USA-bolag som leverantörer.

Att hålla tummarna är ingen IT-strategi! Istället borde man ha en reservplan man började exekvera i juli 2020 när Privacy Shield skrotades. Man borde värnat sin digitala suveränitet istället för att flyta med strömmen mot ett tredje vattenfall i form av en ganska realistisk Schrems 3-dom!

”Men Browsealoud.com är inte på en amerikansk server”

Det finns så många varianter på den argumentation som kommer via offentlig sektor när man ställer nyfikna frågor och mer initierade följdfrågor.

Perstorps kommun argumenterar sommaren 2022 med mig:

”Du har ställt frågor gällande Browsealoud. Du har framförallt ställt frågor om hur Browsealoud förhåller sig till Schrems II-domen. Talande Webb ansluter inte till någon amerikansk server. Både www.browsealoud.com och plus.browsealoud.com finns på servrar baserade i EU. Talande Webb samlar inte in data, spårar inte IP-adresser och skickar ingen personuppgifter till någon amerikansk server. Schrems II-domen är således inte applicerbar på tjänsten.”

– Kundtjänst, Perstorps kommun, 25:e juli 2022

Bild 3: EU-varianten av PageXray menar att där finns amerikanska beroenden i Perstorps webbplats.

Ok. Men låt oss titta vidare och anta att PageXray eventuellt misstagit sig.

Perstorps kommun menar i sitt mejlsvar att de två Browsealoud-domänerna de nämner är i EU och inga personuppgifter skickas till en amerikansk server. Det finns en del otydligheter i deras mejlsvar som vore önskvärt att reda ut, men låt oss använda de två omnämnda domänerna (plus.browsealoud.com & www.browsealoud.com) och kolla vad som händer från min 4G-uppkoppling med Telenor här i norra Västra Götalands län.

Traceroute: Låt oss spåra vilken väg trafiken tar till domänen www.browsealoud.com

Jag tänker att ett koncept kallat traceroute blir användbart här. Vad är det?

”Traceroute är ett program för diagnostik av datornätverk. Det används för att spåra vilken väg trafik i nätet routas, vilken väg det tar. I Windows heter motsvarande kommando tracert.”

– Traceroute (Wikipedia)

Nej, jag är verkligen inget proffs på nätverksteknik men det här känner även jag till. Så vilken väg tar en förfrågan från min mobiltelefon belägen några mil från Åmål och Bengtsfors?

Det kan utföras med alla möjliga system och det är viktigt att komma ihåg startpunkten för en sån här fråga eftersom en destination nås på olika sätt beroende på var man börjar. Jag börjar exakt mitt emellan Åmål och Bengtsfors, i Sverige. Jag använder Iphone-appen Net Analyzer igen och matar in domännamnen som Perstorp är trygga med.

Bild 4: Skärmdump från Net Analyzer där plus.browsealoud.com anropas. Från Dalsland, genom Göteborg till Norge, till USA. Till vänster i form av en lista med mellanlandningar, till höger en visualisering var på jordklotet dessa hör hemma.

Först kommer jag till en svensk IP-adress för att snabbt hoppa runt i Norge. Kanske inte så konstigt, mobiloperatören Telenor är ett norskt företag. Norge räknas i praktiken in i EU:s inre marknad på många områden, men också när det gäller dataskydd. Här skriver EU-kommissionen om EU-länders relation med de länder som fått ett adequacy decision, i det här fallet Sydkorea:

”personal data can flow freely and safely from the European Economic Area (EEA) (the 27 EU Member States as well as Norway, Liechtenstein and Iceland) to that third country”

– Questions & Answers on the adoption of the adequacy decision ensuring safe data flows between the EU and the Republic of Korea

Med andra ord tycks Norge som icke-medlem i EU ha förbundit sig till EU-kommissionens beslut om länder som respekterar våra personuppgifters skydd. Men det är off-topic för nu.

Längst ner i bilden kommer en amerikansk flagga fram bredvid Cloudfront.net som domän. Hoppsan. Rutten från Dalsland mot plus.browsealoud.com landar till sist på andra sidan Atlanten. Enligt ett tillvägagångssätt som är äldre än webben självt och borde vara välkänt bland oss det berör inom webbens utveckling, inklusive dataskyddsombud. Kan jag tycka.

Det är samma visa om jag gör en traceroute på den andra domänen Perstorp är trygga med, www.browsealoud.com

Bild 5: Skärmdump från Net Analyzer där plus.browsealoud.com anropas. Återigen från Dalsland, genom Göteborg till Norge, till USA.

Som allra minst ser man att det är en server kontrollerad av ett amerikanskt företag, och just Cloudfront tycks enligt verktyget Net Analyzer faktiskt också kommunicera över Atlanten.

Men det är ett väldans argumenterande från kommunerna och leverantören att ingen gjort fel och att jag misstar mig.

Och Readspeaker då?

I mina mejl till offentlig sektor är det inte enbart Talande webb jag kommenterar och frågar kring. En annan stor aktör på marknaden är Readspeaker.

Readspeaker har varit mer ombytligt när jag gör stickprov. Det som dyker upp i PageXray är ibland enbart tyska beroenden och ibland USA-baserade. Det är dock alltid samma domän som dyker upp.

I början av mitt mejlande struntade jag i att poängtera problemet med tredjeparten Readspeaker när det råkade bli en tysk flagga.

Men efter att jag tipsat Karlskoga kommun om en annan kommun vars implementering i mitt simpla test visade en tysk flagga återkom Karlskoga om att de har exakt samma implementation som den andra kommunen. Karlskoga kommun svarar mig att:

”Readspeakers servernätverk finns i både Tyskland och USA vilket gör att olika flaggor visas i analysen, beroende på när man gör den. Här nedan är ett exempel från 2022-07-18 10:51 och då visas Tyskland.”

Om det stämmer är det alltså rena lotteriet ifall man som besökare får sin IP-adress delad med tredjeland eller enbart inom EU. Det är ju inte heller bra, men ibland när man per automatik inte blandar in USA är det just då bättre.

Det finns dock en implementation av Readspeaker som faktiskt är bra. Vi återkommer till hur exempelvis Statens servicecenter och Götene kommun löst detta.

Svar från Browsealouds svenska återförsäljare Funka nu AB

Jag har på mitt privata Twitter-konto pingat in Susanna Laurin på Funka. Dels för att hon likt mig är tillgänglig av sig i sociala medier men också för att jag tidigare ställt en fråga om just GDPR / sekretess till henne med anledning av deras tjänst som tillgänglighetsgranskar dokument. Dokument kan ha ett känsligt innehåll och därför tyckte jag det var på sin plats med ett klargörande innan jag själv tog ställning om det är ett verktyg jag i min tur kan rekommendera andra.

Nedan svar återkom Susanna om efter några vändor av precisering av vad frågan med Talande webb / Browsealoud egentligen handlar om:

”Hej, nu har jag lyckats få svar trots semestrar. Följande information kommer från Texthelp, bolaget som utvecklar och förvaltar Talande Webb (Browsealoud på engelska). Funka är partners och återförsäljare av Talande Webb i Sverige.

Talande Webb ansluter inte till någon amerikansk server. Både browsealoud.com och plus.browsealoud.com finns på servrar baserade i EU. Talande Webb samlar inte in data, spårar inte IP-adresser och skickar ingen information till någon amerikansk server.

Talande Webb levereras från den Amazon-slutpunkt som ligger geografiskt närmast användaren. Om man använder ett USA-baserat verktyg för geokontroll kan resultatet se ut att visa att Talande Webb kommer från USA. Vilket alltså inte är relevant för våra kunder baserade i Sverige.”

– Tweet 1, 2 och 3 av Susannas svar till mig, 19:e juli

Här är det alltså jag som gör det kommunerna vill - pratar direkt med deras leverantör av något jag upplever inte riktigt tycks hålla måttet. Återigen möts jag av argumentet att amerikanska företags servrar i ett EU-land är oproblematiska. Och visst har vi god igenkänning av formuleringen i mitten av ovanstående citat? Det är väldigt nära det svar som flera av kommunerna ger.

Notera också följande: ”Om man använder ett USA-baserat verktyg för geokontroll kan resultatet se ut att visa att Talande Webb kommer från USA.”

Jag tippar på att hänvisningen till ett ”USA-baserat verktyg” är på grund av de mejl jag skickat till offentlig sektor om Funkas tjänst. I åtminstone ett fall har jag påvisat att de domäner som anropas av webbplatserna för att inkludera Talande webb har beroenden till USA. Detta genom att med ett WHOIS-verktyg peka på att Browsealoud.com’s namnservrar är kopplade till Amazon AWS DNS-servrar och domänens CNAME drivs av Cloudfront, en Amazon-tjänst.

browsealoud.com whois lookup

Om jag använder en app i min mobil som spårar trafiken steg för steg fram till dessa domäner (se ovanstående bilder med Net Analyzer) så kommer jag även med den metoden fram till att Funkas tjänst Talande webb förlitar sig på USA-baserade Amazon.

Men det håller varken offentlig sektors dataskyddsombud, IT- eller kommunikationspersonal eller Funka själva med om. Ska man tro att de faktiskt undersökt saken eller bett någon som kan området kolla åt dem? Jag tvivlar!

Senare i denna bloggpost kommer hur Funkas underleverantör Texttalk Ltd själva beskriver sin tjänst. Det är lite av en rykande pistol, eller snarare två stycken rykande pistoler. Vilket jag som datasubjekt tycker att någon borde ha brytt sig om att kolla upp det här senaste året de haft på sig. Det är bara en googlesökning bort, trots allt!

Men låt oss gå igenom lite mer av problembilden kring personuppgifter först.

Vad är problemet då? Röjandet av personuppgift!

I GDPR:s artikel 6 framgår det vilka alternativ som utgör laglig behandling av personuppgifter. Kan de här aktörerna inom offentlig sektor jag kontaktat inte åberopa någon av dessa är man ute på hal is.

Åtminstone en av dessa behöver användas och tillämpas på korrekt sätt för att det ska vara lagligt att handskas med en personuppgift:

a) Samtycke: Den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål.
b) Avtal med den registrerade: Behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.
c) Rättslig förpliktelse: Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige.
d) Skydda grundläggande intresse: Behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person.
e) Myndighetsutövning och uppgift av allmänt intresse: Behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.
f) Intresseavvägning: Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn.

Det är alltså något av a-f i ovanstående lista man kan hävda som den lagliga grunden för att alls handskas med våra personuppgifter.

Rättslig grund för behandling av personuppgifter (Integritetsskyddsmyndigheten)

Denna fråga brukar jag också jaga offentlig sektor med i mina mejl. Det är ibland ett kort svar att de gör det för att de är tvungna av annan lagstiftning. Ibland med hänvisning till vilken lag de tänker på.

Vissa gör dock misstaget att hävda att samtycke finns. Det är en usel väg att gå både om man inte riktigt har koll eller faktiskt även om man tror sig ha det. Samtycke är värt att försöka undvika så långt som det är möjligt.

”Vi erbjuder dig att samtycka till våra cookies!”

Det är inte bara att hävda samtycke. Som vissa svar jag fått, likt ”vi hävdar samtycke för man kan acceptera cookies på vår webbplats”. Av den enkla anledningen att det finns en lista med krav för att ett samtycke, enligt GDPR, ska vara giltigt. Bland annat att samtycket ska vara:

Aktivt. Det duger inte att man frågat om samtycke, det måste aktivt ges!
Specifikt och informerat. Det duger inte att ha ett cookie-meddelande som ”Vi sparar cookies och låter även tredjeparter sätta cookies i din webbläsare”. Det är inte specifikt nog att ta ett informerat beslut om man samtycker.
Frivilligt. Tänk på maktförhållandet mellan dig och den som frågar ska vara jämlikt. Det går att diskutera hur frivilligt det är när en kommun alls frågar med tanke på deras skyldighet enligt lag att erbjuda en anslagstavla, vilket de flesta gör på sina webbplatser. Får de diskriminera de som inte vill samtycka?
Möjligt att återkalla. Det behöver finnas en mekanism att både återkalla ett givet samtycke och då backa tillbaka samtliga under tidens tredjeparters insamling av personuppgifter. Behöver jag nämna att detta blir svårt med USA-baserade företag som inte får berätta om de lämnat ut uppgifterna till sina myndigheter, som inte behöver bry sig om EU:s lagstiftning?

Att en aktör i offentlig sektor har ett cookie-meddelande på sin webbplats misslyckas med samtliga krav om användaren, likt mig, struntar i att ens svara. Då har de inget de kan påstå är aktivt och bevisbördan ligger på dem när de (som de flesta gör) ändå delat uppgifterna vidare till tredjeparter. Vår tillsynsmyndighet IMY tipsar om att samtycke ofta varken är lämpligt eller ens möjligt:

”En vanlig missuppfattning är att det alltid krävs samtycke för att få behandla någons personuppgifter, men ofta är det varken lämpligt eller ens möjligt att stödja sig på den registrerades samtycke. Överväg därför alltid först om ni kan stödja personuppgiftsbehandlingen på någon av de andra rättsliga grunderna.”

– Samtycke som rättslig grund (Integritetsskyddsmyndigheten)

IMY tipsar också om att endast fråga efter samtycke ifall man kan respektera ett nej. Och säg att man nu fått ett korrekt samtycke (om det nu ens är möjligt med USA-baserade företag inblandade) men att personen ifråga återkallar samtycket. Vad gör man då?

När får man dela personuppgifter utanför EU/EES genom ett samtycke?

Ett annat bra tips från IMY är under vilka omständigheter man får föra ut personuppgifter från EU med samtycke som grund:

”För att det ska vara lagligt att föra över personuppgifter till tredje land, det vill säga till ett land utanför EU/EES, måste den personuppgiftsansvariga ha stöd för det i dataskyddsförordningen. En situation där en sådan överföring kan vara tillåten är om den registrerade har gett sitt uttryckliga samtycke efter att ha blivit informerad om riskerna som är förknippade med tredjelandsöverföringen.”

– Samtycke som rättslig grund (Integritetsskyddsmyndigheten)

Kort och gott; använd inte samtycke som laglig grund i GDPR om du nu inte verkligen vet vad du ger dig in på!

Bekymret kanske är uppenbart med spridandet av personuppgifter för somliga. Risken är att personuppgifterna röjs till aktörer som inte lyder under GDPR och de rättigheter och skyldigheter som regleras inom EU. Och nej, det krävs inte att man kan bevisa att personuppgifter kommit på avigvägar eller att någon obehörig bevisligen behandlat dem på ett felaktigt sätt.

Obehörigt röjande av personuppgifter eller sekretess

Konceptet kallas för ”obehörigt röjande” och är en del av stridsfrågan för de som tycker att USA-baserade företags IT-tjänster är frid och fröjd så länge maskinerna i fråga står inom EU. Debatten handlar inte bara om personuppgifter utan också om annan information som behöver skyddas. Exempelvis för att det lyder under sekretesslagstiftning, i Sverige bland annat Offentlighets- och sekretesslagen som kom 2009. Populärt förkortat OSL.

Nyligen har en annan typ av sekretessbehov exemplifierats i att Sveriges Radio granskats av Dagens Nyheter sommaren 2022. Än så länge har det inte synts till någon kunnig inom IT-säkerhet som med trovärdighet avfärdat problematiken.

It-säkerhetsexpert dömer ut SR:s säkerhetsarbete (DN, juli 2022)

Sveriges Radio har låtit obehöriga konsulter komma över sekretessbelagda uppgifter och som grädde på moset haft sekretessbelagd information i USA-baserade molntjänster.

”Men först molnfrågan: SR hävdar att molnanvändning är oproblematisk för man har avtal med molnleverantören. Verkligen? Har SR helt missat både Schrems och Schrems II-domarna i EU-domstolen och vad generaladvokaten sa om amerikanskt rättsystemet? Earth calling SR!”

– Robert Malmgren (Twitter 21:a juli, 2022)

Vi på andra sidan debatten påtalar att man på inget sätt kan garantera sekretessen bara för att något geografiskt lagrats i ett EU-land. Att bevisbördan landar hos den som behandlar personuppgifterna / sekretessuppgifterna och huruvida de skulle kunna kopiera denna information om de nu ville. Tänk nu FISA 702, USA-baserade företags transparensrapporter och det faktum att vi vet att USA bedriver spioneri mot svenska intressen. Se debaklet med SAAB som offentliggjordes 2020 som ett aktuellt exempel på detta.

Källor till DR: USA bedrev spionage mot Saab – med hjälp av danska underättelsetjänsten (SVT Nyheter)

Ibland vill ju dessa företags nationella myndigheter och domstolar ta del av dessa uppgifter och de bryr sig inte om de nu råkar ligga på en server i ett EU-land. Specifikt för USA är att dessa företag rutinmässigt förbjuds att berätta när de gått sina myndigheter till mötes, vilket gör att EU-invånares rätt till ett privatliv inte kan garanteras. Vad lär vi oss av detta? Inte mycket i några breda lager, tycks det!

”Ja, jo, men bevisa att dina uppgifter har spridits! Schack matt, din haverist! Du får ingen kompensation för vårt slarv!”

Angående om ett röjande behöver konstateras eller ej ger Integritetsskyddsmyndigheten klara direktiv:

”Det krävs inte att någon faktiskt har tagit del av personuppgifterna för att det ska ha inträffat ett obehörigt röjande, utan incidenten består av själva "röjandet av uppgifter". Enkelt förklarat har någon "röjt personuppgifter som inte skulle röjas”.”

– Vad innebär obehörigt röjande? (Integritetsskyddsmyndigheten)

I mer uppenbara fall av slarv frågar jag ibland aktören i offentlig sektor hur de ställer sig till kompensation. IMY skriver så här i frågan om kompensation:

”Om du kan visa att du har lidit skada har du i princip rätt att få ersättning av antingen den personuppgiftsansvariga eller personuppgiftsbiträdet. De får i sin tur reglera detta sinsemellan. En personuppgiftsansvarig eller ett biträde har dock ingen skyldighet att betala ersättning om de kan visa att de inte på något sätt är ansvariga för skadan.”

– Rätt till skadestånd (IMY)

För den personuppgiftsansvariga att bevisa att de inte är ansvariga blir nog väldigt svårt för dem, så frågan kokar nog ner till hur vi som datasubjekt visar att vi lider skada.

Bonnier Business Media betalar ut 3000 kr för upprepade misslyckanden

Vad jag känner till finns ingen praxis eller givna belopp i den här relationen. De GDPR-fall som rönt uppmärksamhet är de böter som kan få betalas, men de tillfaller inte oss som är datasubjekt. De böterna kan vara upp till 4% av organisationens omsättning. Det är anledningen till att summorna kan bli så enorma.

Dock menar Bonnier Business Media att deras praxis är 3000 kr, vilket de faktiskt betalat ut till mig, tro det eller ej, efter att de vid två tillfällen råkat lägga tillbaka mina personuppgifter i deras kundhanteringssystem trots att jag krävt att de aldrig mer behandlar mina uppgifter.

Det är ett nästintill komiskt fall. Min fru blir uppringd på sin mobil (vars nummer just då var registrerat på mig, pga familjeabonnemang), hon hänvisar till mig. Bonniers säljare ringer upp mig och jag frågar nyfiket var hon hittat mina kontaktuppgifter. Jag får reda på att jag låg i något register hon hade tillgång till som gjorde det troligt att jag borde vara intresserad av deras nyhetsbrev om digitalisering av vården. Inte alls otroligt då jag jobbade på Västra Götalandsregionen och avdelningen hette ”Vårdens digitalisering”. Men tydligen behövde säljaren komplettera mina uppgift med ett sätt att få kontakt. Då berättar säljaren att mitt (fruns) nummer fanns att finna på en av de här gudsförgätna registerwebbplatserna som gömmer sig bakom ett utgivningsbevis. Ja, nu var det tredje gången gillt Bonnier inte gjort sitt jobb, men till deras kredd var det inget tjafs den här gången om att de felat.

”Hej Marcus! Provade precis att ringa dig. Jag ansvarar för marknad på Bonnier News och har precis hört vad som hänt dig. Vill såklart beklaga samt sätta mig in i ärendet. Har du möjlighet att ringa mig?”

Samt senare meddelande med en skärmdump om genomförd utbetalning via Danske bank:

”Hej! Betalning utgår imorgon och borde sitta på kontot innan helgen. Hör av dig på måndag om inget dykt upp. Ha ett fint höstlov. Allt gott/förnamn”

Nej jag vill inte ha pengar av kommunerna och tycker inte att de förtjänar att få betala GDPR-böter heller. Men är det för mycket begärt att de medger fel? Det tycker inte jag. Vissa medger fel men nekar kompensation när det kommer på tal. Det accepterar jag också.

Existerar laglig grund när behandlingen av personuppgifter inbegriper tredjeland

Och frågan är om en kommun eller någon annan i offentlig sektor får lov att hävda någon rättslig grund över huvud taget när de borde veta att man blandar in en aktör i ”tredjeland”, det vill säga en organisation som inte lyder under EU:s lagstiftning.

Kan vi hamna i att när ambulansen hämtar oss efter en trafikolycka så får vi ett formulär där vi samtycket till att vår data behandlas i USA? Jag hoppas inte det. Dels för att det är absurt men också för att det är ett onödigt illustrerande exempel på när något knappast är särskilt frivilligt.

Det är lite i detta sammanhang som ”molnfrågan” hos Region Skåne ska ses angående deras medicinska journalsystem. Skånes leverantör är Cerner, ett USA-baserat företag, som senaste året köpts upp av ett annat USA-baserat företag, Oracle.

I fallet med ett journalsystem är det lite knepigare än de webbtjänster en kommun erbjuder sina invånare. Dels för att det då utan minsta tvivel är vad som betecknas som känsliga personuppgifter, men också för att det finns annan lagstiftning på området - PDL (Patientdatalagen). Inte för att PDL friskriver från ansvar att handskas varsamt med personuppgifter, men ibland upplever tjänstepersoner att olika regler kan kollidera.

Men om det amerikanska företaget har ett dotterbolag i EU då? Nej!

Vi är tillbaka på diskussionen om leverantör & underleverantör på sätt och vis när vi pratar om dotterbolag registrerade i ett EU-land, som ägs av en aktör som utan tvivel lyder under USA:s lagstiftning.

Går det att bevisa att det, säg svenska, dotterbolaget inte behöver, kan eller har möjlighet att dela uppgifter med moderbolaget i USA? Tänk in obehörigt röjande här. Ja då är det väl lugnt men den bevisbördan faller ju på dig som anlitar dem. Här kan liknelsen dras med Region Skåne igen då de fick en försäkran av det svenska bolaget Cerner Sverige AB att det svenska bolaget minsann skulle rådfråga sin svenska kund innan de delade uppgifter till USA. Grovt förenklat.

Men så funkar det ju inte. Om USA vill ha uppgifterna säger de åt amerikanska Cerner / Oracle att hämta de uppgifterna, och vad gör att ett USA-ägt bolags dotterbolag skulle kunna tacka nej till sitt moderbolag? Det är bara ett tramsigt argumenterande att amerikanska moderbolaget skulle få stå för konsekvenserna inför USA:s juridiska system för att deras dotterbolag vägrar följa lagen.

Amerikanska molntjänstleverantörer omfattas av tvingande lagstiftning som potentiellt innebär överföring till USA, även om det är ett dotterbolag i EU. Det är inte konstigare än så.

Och nu har vi en till dom som klargör det (tysk källa).

”Med ett beslut daterat den 13 juli 2022 fattade Baden-Württembergs offentliga upphandlingskammare (Az. 1 VK 23/22) ett landmärkesbeslut i den tidigare olösta frågan om amerikanska leverantörer av digitala server- och molntjänster kan tillhandahålla sina tjänster via europeiska dotterbolag - eller om samarbete med amerikanska leverantörer efter att Privacy Shield avskaffats (jfr EG-domstolen, dom den 16 juli 2020 - Az. C-311/18; ”Schrems-II”) är otillåtet trots användning av s.k. standardklausuler för dataskydd.”

– GRUENDELPARTNER erhåller långtgående beslut om otillåtligheten av moln- och IT-tjänster av amerikanska dotterbolag i Tyskland (Google Translate till svenska)

Notera att ”standardklausuler” (SCC, Standard Contractual Clauses) inte funkar ens med dotterbolag i EU-länder.

Och det är ju så här det ständigt blir när våra lagar och diverse kreativa avtal ska prövas i domstol. Samtliga kommer fram till att Google Analytics är oförenligt med EU. Facebook är helt uteslutet och utgör själva huvudnumret i de domar som Schrems drivit och vunnit. Och när de stympade resterna av standardavtalsklausuler testas förhoppningsfullt med ett EU-baserat dotterbolag så får vi avgörandet att inte heller det funkar.

Det som är mest intressant här är väl hur det kommer sig att vi i EU fortsätter att med näbbar och klor hålla oss kvar i dessa molntjänster från tredjeland (läs USA). De måste ju antingen vara grymt bra, helt oemotståndliga i jämförelse med EU-baserade alternativ, ha en otrolig inlåsningseffekt eller så orkar vi inte se oss om efter alternativ. Vad tror du?

IP-adresser är en personuppgift

Men på offentlig sektors webbplatser är det oftast inte tal om medicinska diagnoser eller den typen av särskilt känslig personuppgift. Det som det nästan alltid handlar om är våra IP-adresser och annan information som tredjeparter kan fiska fram ur vår webbläsare vid direktkommunikation mellan oss och dem som tredjepart. Och saker de kan utröna av hur vi rör oss över webbplatsen och alla andra delar av internet de har koll på som tredjepart.

Är då en IP-adress en personuppgift? Låt oss kolla vad vår tillsynsmyndighet, IMY, skriver:

”Exempel på personuppgifter är

[…]

* din IP-adress när du surfar på nätet”

– Vad är personuppgifter? (Integritetsskyddsmyndigheten)

Ibland kommer våra kommuner fram till att de inte anser att en besökares IP-adress är en personuppgift eftersom de ”inte med rimliga medel kan koppla det till en individ”. Nej, det må vara sant i kommunens kontext. Men är det verkligen sant att en IP-adress inte kan betraktas som en personuppgift när kommunen delat den (se ”obehörigt röjande” ovan) med en aktör som inte ens lyder under EU:s lagstiftning? Och är tredjeparter hos en stor andel av alla webbplatser vi i västvärlden tenderar att besöka?

Ibland kommer undvikande svar som att ”de har inte statistik påslaget” eller ”IP-adressen sparas anonymiserad”. Ja, brukar jag tänka, bevisa för mig hur ni vet att det förhåller sig på det sättet.

“Jo det är festligt med den där anonymiseringen som bara anonymiserar för sajtägaren.”

– Nikke Lindqvist ironiserar på Twitter om de påstådda anonymiseringarna

Att man delat min/besökarnas IP-adress med en tredjepart i tredjeland (oftast USA) är det jag brukar skjuta in mig på när jag ställer mina GDPR-frågor till myndigheterna. Det är faktiskt där skon klämmer!

Om en kommun enbart delar min IP-adress med helsvenska internetleverantören Bahnhof AB och Bahnhof missköter sig så kan de hållas ansvariga. Samma sak med svenska webbanalysleverantören Vizzit. Det är lite svårare med Google, Amazon, Microsoft, och för all del kinesiska företag också.

Vilka har då Talande webb och Readspeaker i offentlig sektor sommaren 2022?

24,8% av kommuner och regioner har Talande webb / Browsealoud.

Det har jag kommit fram till genom en simpel ”ordmärkningsmetod” där jag anropat respektive organisations domän eller startsida och där läst HTML-koden som kommer till svar. Om det i HTML-koden nämns referenser till Browsealoud kommer de med i listan nedan. Ifall deras anrop till Browsealoud inte görs på startsidan eller inte görs via HTML-koden kommer de inte synas i listan.

Du har källkoden för transparens i botten av denna bloggpost eller om du själv vill göra liknande tester. Det är Python-kod.

Talande webb / Browsealoud hittas hos följande 77 av 310 st kommuner och regioner:

alingsas.se
arjeplog.se
avesta.se
berg.se
bjurholm.se
bollebygd.se
borlange.se
boras.se
botkyrka.se
ekero.se
eksjo.se
emmaboda.se
essunga.se
flen.se
gnosjo.se
grums.se
hagfors.se
hallsberg.se
jonkoping.se
kalix.se
kalmar.se
karlsborg.se
karlshamn.se
karlstad.se
kiruna.se
knivsta.se
kramfors.se
lekeberg.se
lerum.se
ljungby.se
ljusnarsberg.se
lomma.se
ludvika.se
malmo.se
markaryd.se
mellerud.se
motala.se/kommun/
mullsjo.se
norberg.se
nordmaling.se
norrkoping.se
norrtalje.se
norsjo.se
olofstrom.se
perstorp.se
regionkalmar.se
regionkronoberg.se
regionsormland.se
rvn.se
sigtuna.se
skelleftea.se/invanare/
skurup.se
smedjebacken.se
solleftea.se
storfors.se
sundsvall.se
svedala.se
svenljunga.se
sater.se
soderhamn.se
tanum.se
tingsryd.se
trollhattan.se
upplandsvasby.se
vallentuna.se
vansbro.se
vara.se
vaxholm.se
vilhelmina.se
vannas.se
vastervik.se
vasteras.se
amal.se
are.se
arjang.se
ostragoinge.se
overtornea.se

Metoden och källkoden för detta enkla test hittar du som sagt i slutet av denna bloggpost.

85 av 310 har Readspeaker på sin webbplats

Samma metod har använts för att kolla Readspeaker. Finns referenser i HTML-koden på startsidan, eller ej, till Readspeaker. Som nämnt tidigare alternerar Readspeaker mellan att anropa sitt tyska eller amerikanskt kontrollerade datacenter.

Du hittar exempelvis inte Götene kommun i nedan lista. Det beror på att de har en annan implementation av Readspeaker, en bättre. Som de tagit fram i dialog med leverantören.

27% av kommunerna och regionerna har Readspeaker, nämligen följande:

arvidsjaur.se
arvika.se
bengtsfors.se
boden.se
bollebygd.se
borgholm.se
boxholm.se
degerfors.se
eda.se
enkoping.se
eskilstuna.se
eslov.se
fagersta.se
falun.se
gavle.se
habokommun.se
haparanda.se
herrljunga.se
huddinge.se
hudiksvall.se
hellefors.se
herjedalen.se
hoganas.se/Invanare/
hogsby.se
hoor.se
karlskoga.se
kinda.se
koping.se
laholm.se
ljusdal.se
lund.se
lysekil.se
malung-salen.se
morakommun.se
munkfors.se
molndal.se
monsteras.se
morbylanga.se
nora.se
nordanstig.se
nassjo.se
ockelbo.se
orsa.se
osby.se
ragunda.se
gotland.se
regionjh.se
norrbotten.se
regionstockholm.se
regionuppsala.se
regionvastmanland.se
regionostergotland.se
rattvik.se
sala.se
salem.se
sandviken.se
sjobo.se
skovde.se
solna.se
strangnas.se
stromsund.se
surahammar.se
savsjo.se
torsby.se
tranas.se
tyreso.se
uppvidinge.se
vadstena.se
valdemarsvik.se
varberg.se
vimmerby.se
vaxjo.se
ydre.se
ystad.se
ange.se
astorp.se
atvidaberg.se
alvdalen.se
alvkarleby.se
engelholm.se
odeshog.se
orebro.se
osteraker.se
osthammar.se
overkalix.se

Götene kommun har hittat en Readspeaker-implementation inom EU (och Sverige)

”[…] ja, om man inte i URL:en pekar ut att endast EU-servrar ska användas så har de USA som backup. Deras hemmaservrar är Sverige med Tyskland och USA bakom. Vi tog det ett steg längre och stängde av backuppen helt. Så vi kör på bara svenska servrar och skulle det gå ned en stund så slutar tjänsten fungera då. Men nedtid är ju relativt ovanligt så… och den svenska flaggan på Pagexray är ju så fin att se ;)

Men hälsa Karlskoga att de fixar det lätt om de vill strypa USA. Readspeaker var väldigt villiga att hjälpa till med alla möjliga tänkbara nycker jag hade. Så tills något av dina tester visar annat så tror jag att vi har en väldigt grym tjänst riggad för tillfället”

– Adrian Braekke på Götene kommun (Linkedin, 19 juli 2022)

Götene kommun har, utöver ett aktivt samtycke med fråga om man accepterar cookies för att få webbplatsen uppläst, också gjort en annan implementation än de andra och anropar följande domän:
app-eu.readspeaker.com

Vilket ser ut att behålla trafiken inom EU.

app-eu.readspeaker.com diagnostic tools (WHOIS)

Finns konsekvenser av att svara missledande vid upphandling?

Ja det kan finnas konsekvenser av att ge vilseledande information vid en upphandling. Molnstrategen Arman Borghem ställer nedan retoriska fråga på Linkedin:

”Upphandlingsnördar där ute, känner ni till om LOU 13 kap. 3 § p. 9 någonsin har använts för att utesluta en leverantör som kryssat i att den uppfyller ett tilldelningskriterium fastän det inte är sant?”

– LOU: Kan en anbudsgivare uteslutas för att ha vilselett om sin uppfyllelse av ett tilldelningskriterium? (Arman Borghem, juli 2022)

Så det korta svaret är ja. Det kan finnas konsekvenser. Det må vara en komplex sak att bevisa att leverantören visste att de gav ett missledande svar i en upphandling och ett första steg är att upphandlare faktiskt börjar kolla om det som påstods vid en upphandling faktiskt levererats. I min egna (bittra) erfarenhet på tillgänglighetsområdet och upphandlingar så görs det här nästan aldrig. Att som upphandlare se mellan fingrarna på de här områdena bidrar till att det aldrig blir en sund konkurrens. Att de som faktiskt uppfyller kraven alltid ligger lite för högt i pris och inte får chansen att leverera enligt kravbilden.

Men jag ser fram emot att alla som svarat ”jovisst, alla våra servrar är i EU” angående GDPR får sina avtal avslutade.

Hur ligger det till med Talande webb / Browsealoud om man nu undersöker det själv?

Om man nu inte köper en kommuns, eller regions, påstående om att allt är lugnt. Eller deras närmsta leverantör, i det här fallet Funka nu AB.

Då kan man göra det man inte borde behöva men som ofta visar sig snabbt leda till fynd som både Funka själva och deras kund borde ha koll på. Det är bara en googlesökning bort.

By the way, jag gillar det Funka gör. Vill poängtera det ännu en gång! Jag har gått en bra kurs hos dem om tillgänglighet i dokument och tycker de fyller en viktig roll att driva på inom tillgänglighetsområdet i Sverige. En annan av mina hjärtefrågor!

Hade jag fått önska hade Funka återkommit med bevisbara fakta att de inte alls har beroenden till USA istället för snacket om servrar i EU. Det återstår att se om de väljer att ge ett rakt svar eller om de gör som andra företag jag tidigare brukade gilla och rekommendera, och hotar med att dra mig som privatperson och alla jag känner inför Marknadsdomstolen för att jag framför kritik.

”…vår leverantör som åter bekräftar att samtliga servrar för Talande webb ligger inom EU”

Apropå snacket om servrar i EU så är det inte något jag nödvändigtvis har en avvikande uppfattning kring. De har dock underleverantörer som inte begränsas av vår lagstiftning, vilket gör den geografiska platsen irrelevant även om nu servrarna stått i svenska säkerhetspolisens källare.

Den Talande webb-kund som gjort sin hemläxa kan hitta dokumentation som säger precis det jag funnit - att amerikanska Amazon står för drift.

Problemet jag vill peka på med denna bloggpost hoppas jag framkommit minst en gång vid det här laget. Att man i offentlig sektor allt för sällan tycks anstränga sig med att kolla upp sina leverantörer. En enkel Google-fråga med leverantörens namn och ”gdpr” kommer man ofta långt på.

Låt oss pröva på denna simpla metod jag tycker offentlig sektor borde praktisera utöver att fråga sina leverantörer. Tror mig, det här är inte raketkirurgi. Häng med!

Checklista för 10 minuters snabbkoll av en leverantör

Hela det här med GDPR kan kännas tröstlöst och sjukt tråkigt. Jag fattar det. Om du ändå tragglat dig ner ända hit i min bloggpost så kan jag avslöja min enkla metod för att snabbgranska en leverantör. Nej, jag ber inte om de exakta avtalsvillkoren eller frågar om villkoren kan komma att ändras löpande under avtalstiden. Många faller redan under nedan snabbtitt som inte tar många minuter att genomföra.

Vi kan etablera några kriterier. Saker vi letar efter i dokumentation. De är:

Om leverantören skriver att de förlitar sig på Privacy Shield så vet man att de inte har koll, eftersom det stöp med Schrems 2-domen 2020. Mer eller mindre samma sak med SCC (Standard Contractual Clauses, standardavtalsklausuler på svenska) då man själv (du!) tar på sig bevisbördan att inget ont kan hända genom delandet av personuppgifter med tredjeparterna. Och SCC:er funkar enligt tysk domstol inte ens om det är med ett EU-baserat dotterbolag, ifall moderbolaget är i tredjeland (läs USA).
Skriver de att man har servrar i EU men inte nämner exakt vem som kontrollerar all den tekniska infrastrukturen? Då kan du med god anledning ana att de väljer att inte nämna någon av de stora IT-bolagen från USA. Då har du tredjelands- och röjandeproblematiken om du blir kund.
Listar man sina subprocessorer/underleverantörer? Bra, men kolla om det är företag listade som hör hemma utanför EU och inte är i ett land med ett giltigt adequacy decision från EU-kommissionen. Spoiler: USA är inte i den listan. Norge är ok, precis som några andra EU-nära länder.
Provkör några befintliga referenskunders tjänster med verktyg som PageXray-EU. Syns det flaggor för tredjeparter som inte är EU-länder eller länder utan adequacy decisions? Be leverantören förklara sig och nöj dig inte med svar som ”heh, jo det är ofarligt pga serversidan” eller ”servern står ju i ett EU-land”.

Se där! Fyra grejer att hålla koll på. Inte raketkirurgi.

Övningskör GDPR-bakgrundskoll av Talande webb / Browsealoud

Vi börjar med Talande webb, som vi snart upptäcker är en svensksåld variant av Browsealoud. Det skulle synas i vilka anrop som görs av befintliga kunder ifall vi ber Funka nu AB om referenser, om vi inte som nu letar upp egna exempel.

Låtom oss googla, följande fras browsealoud privacy shield. Andra träffen när jag söker tycks vara en marknadsplats där företaget självt (Texthelp Ltd) beskriver sin produkt. Där går att finna att de har ett beroende till Google, Amazon AWS eller Sugar CRM. Vi tar det till anteckningarna - potentiellt tredjelandsproblem:

”Services are hosted by Google, Amazon AWS and Sugar CRM all of which guarantee uptime. Other information may be available on request.”

– Browsealoud (Digital Marketplace, gov.uk)

Vi hittar också att de förlitar sig på Privacy Shield vilket varit ogiltigt i över två år nu, för ingen har väl missat Schrems 2-domen?

”Data storage and processing locations

EU-US Privacy Shield agreement locations”

– Browsealoud (Digital Marketplace, gov.uk)

Så vad anger Texthelp i sin integritetspolicy förutom att de enligt sin egen mening lever upp till GDPR?

”All data stored by Texthelp is stored according to our Information Security Policy .

- Privacy Policy for Texthelp Products (2022-07-19)

Det blir lite meta när integritetspolicyn gör ett påstående om GDPR-följsamhet och andra länders liknande lagstiftning, men att man hänvisar till ännu en policy. En som reglerar informationssäkerhet.

Vad hittar vi då i Texthelps informationssäkerhetspolicy?

Jo, att bolaget Texthelp förlitar sig på SCC (Standard Contractual Clauses, standardavtalsklausuler på svenska) med Amazon. Vilket innebär att Amazon dyrt och heligt lovar att inte slarva runt med uppgifterna (förutsatt att det nu inte är USA:s myndigheter som frågar, för då lämnar de omgående ut data i strid med GDPR):

”GDPR Compliance & International Data Transfers

Texthelp Billing & Contact Data and Customer/User data (name only) is stored in Amazon Web Services (AWS). The Texthelp Group have entered into Standard Contractual Clauses with AWS to ensure we comply with the GDPR rules on international transfers. We have also included Standard Contractual Clauses in our End User License Agreements to cover the transfer of personal data from end users in the EU to AWS data centers based in the United States. This complies with data protection requirements and GDPR legislation when transferring data belonging to EU citizens outside the EU.”

- Texthelps informationssäkerhetspolicy (19:e juli, 2022)

I juli 2022 har en domstol i ett EU-land dessutom förtydligat att inte heller EU-baserade dotterbolag är ok ifall moderbolaget är baserat i USA. Men nu talar Texthelp om moderbolaget Amazon och de där SCC som lämnar bevisbördan på dig som kund att Amazon inte kan tvingas lämna uppgifter vidare till sina myndigheter i USA. Well…

75% fel med Browsealoud så här långt - låt oss testa en implementation då…

Vi tar till anteckningarna att av våra fyra kriterier har Talande webb (Browsealoud från Texthelp i förlängningen) misslyckats med tre så här långt. Vi letar upp en befintlig kund och kollar hur en implementation kan se ut.

Jag hittar Eksjö kommun, kollar in eksjo.se med EU-varianten av PageXray och finner då en amerikansk flagga bredvid Browsealoud.

Om man nu vill gräva lite djupare i varför det är en amerikansk flagga (och inte känner sig så tekniskt lagd) kan man köpa Iphone-appen Net Analyzer för 45 kronor eller motsvarande för Android.

Network Analyzer App

Det är skärmdumpar du sett tidigare i denna bloggpost. Där framgår det (märk väl: när jag inte är på VPN och befinner mig i Sverige) att ett av Amazon datacenter varit med bakom kulisserna i min förfrågan för Eksjö. Men låt oss tvivla lite eftersom det där var i Eksjös DNS, det kanske är Eksjös IT-avdelning som fumlat? Det vet bara de själva.

Om vi då med de anrop Eksjö gör (och många kommuner menar är lugnt) faktiskt anropar www.browsealoud.com och plus.browsealoud.com med appen Net Analyzers Route-funktion (en så kallad traceroute) från våra mobiltelefoner (utan VPN så vi inte har en endpoint på något konstigt ställe) när vi befinner oss i Sverige. Se tidigare skärmdumpar från mobil för resultat.

Då dyker Amazon och USA upp återigen. Om vi nu tänker att det kanske inte gjordes ett anrop över Atlanten har vi fortfarande kvar tredjelandsproblemet att Amazons datacenter i EU inte heller funkar. Inte ens om de nu hade ett EU-baserat dotterbolag.

100% fel enligt GDPR-kriterierna - ställ frågan till leverantören?

Låt säga att den här leverantören är helt oemotståndlig. Då kan vi väl trots denna research ge dem chansen att få förklara sig och redogöra för en eventuell implementation vi råkar ha missat? Precis detta har Readspeaker gjort med Statens servicecenter och Götene kommun. Grymt bra och föredömligt!

Tror du att det är värt att fråga leverantören om de har en version där de vågar ta gift på att en kund inte exponeras för GDPR-risker? Oavsett hur det blir med ett eventuellt Privacy Shield 2.0 senare i höst (betänk att nuvarande lösning varit olaglig i 2 år nu) och att leverantören har en förmåga att hantera ett framtida utslag i EU-domstolen till Schrems / NOYB:s fördel?

Ja för all del, fråga dem. Men bifoga gärna din research så de får en chans att reda ut eventuella missförstånd. Personligen hyser jag visst tvivel kring Funka nu AB efter allt sprattlande och tvärsäkra uttalanden de gjort. De har via sina kunder både 2021 och 2022, samt på direkta frågor 2022, fått chansen att klargöra ifall de är med på noterna. Så här långt är vi ganska överens i frågan om datacenter i EU. Jag och Funka är dock inte överens om:

Vem som kommer över min fullständiga IP-adress.
Huruvida ”anonymisering” av IP-adresser är relevant.
Om USA-baserade företags behandling av personuppgifter i EU exponerar uppgifterna för tredjeland.
Att deras egen underleverantör (Texthelp Ltd) hävdar laglig grund som inte existerade varken 2021 eller 2022. Det vill säga Privacy Shield och SCC. SCC skjuter bara över problemet på Funkas kunder, men det berättar inte Funkas medarbetare på Twitter, däremot att det här ”[…] alltså inte är relevant för våra kunder baserade i Sverige.”
Huruvida organisationer i EU-länder riskerar problem med denna kedja av leverantörer som i botten, enligt egen utsaga, välvilligt tolkat, hänger på den sköra tråden att SCC nu i just Sverige inte skulle vara olagligt om man nu inte gjort som Uppsala universitet konstaterar och utfört sin egen analys av det juridiska läget att blanda in USA-baserade aktörer.

Om du med god anledning tror dig veta mer än EU-domstolen och alla de EU-länders utslag i detaljfrågor, samt gjort din egen analys av röjandeproblematiken i relation till USA-baserade underleverantörer, ja, för alla del. Dela min IP-adress med dessa, men glöm inte att berätta för mig och hela världen om dina juridiska fynd. Det finns MASSOR med andra i EU som hoppas att du både har koll på det juridiska läget och kan bevisa det.

Jag är beredd att tro att Talande webb och en fulimplementation av Readspeaker är förenligt med GDPR. Exempelvis genom SCC. Det känns minst sagt otroligt. Men tills vidare känner jag att bevisbördan ligger hos respektive aktör i offentlig sektor i relationen till mig som besökare/datasubjekt. Det är kommunerna och regionerna som antingen borde genomföra denna analys på riktigt, fixa sin implementation likt Götene kommun eller göra sig av med de tredjeparter där de inte kan bevisa sin lagliga grund.

Övningskör nu på egen hand!

Nu får du uppgiften att övningsköra ovanstående simpla metod. Börja med Götene kommun, sedan kollar du upp Leksands kommun.

Vad hittar du?

Tillägg 2022-08-17:
Jag har hört att Readspeaker menar att den amerikanska flaggan på PageXray-EU för deras tjänst är felaktig. När jag idag kollar upp det verkar de mycket riktigt ha sin drift hos CDN77 i EU. Samtidigt tillämpade jag ovanstående checklista och fann att Readspeaker förlitar sig på SCC med amerikanska Hubspot. De skriver följande i sin integritetspolicy:

“Mot bakgrund av ovannämnda ändamål för ReadSpeakers behandling, kan dina personuppgifter komma att överföras till HubSpot som behandlar sådana uppgifter för vår räkning i USA. USA anses inte garantera samma skyddsnivå för personuppgifter som EU:s dataskyddsförordning. Vi har emellertid ingått biträdesavtal med HubSpot som omfattar EU:s standardavtalsklausuler för personuppgiftsbiträden, och som en följd av detta, omfattas dina personuppgifter detta till trots av tillräckligt skydd. Du kan få en kopia av dessa klausuler genom att skicka en begäran till gdpr@readspeaker.com.”
– Readspeakers integritetspolicy (läst 2022-08-17)

Detta är första punkten av de fyra i ovanstående checklista. Så om jag funderade på att bli kund till Readspeaker hade jag ställt lite frågor om detta, exempelvis om detta gäller tjänsten på min webbplats. Om denna överföring görs genom SCC så är det mitt problem som personuppgiftsansvarig att göra en egen analys av vad det innebär i termer av skydd av personuppgifter.

Outro

Jag hoppas den här bloggposten kan komma till nytta för någon. Som tidigare nämnt gör jag gärna rättelser om jag klantat till något, slarvat för mycket med min research. Eller om någon annan vill komma till tals så är Webperf.se öppen för den som i sak vill bemöta exempelvis denna bloggpost.

Om det inte framgått genom mitt upprepade sätt att skriva denna text i jag-form så är denna bloggpost en privat betraktelse och inget någon annan person eller organisation ska lastas för. Sen att jag har och har haft arbetsgivare under mitt snart 25-åriga yrkesliv som eventuellt profilerat sig inom dataskydd, integritet eller GDPR hör inte hit. Detta är ett ämne som intresserar mig. Sen har jag i viss utsträckning också haft med mig intresset på mina arbetsplatser.

Så kom inte och hota mig eller någon organisation med Marknadsdomstolen. Bemöt mig i sakfrågorna och jag kanske som privatperson faktiskt kommer hålla med dig. Och även om jag inte håller med dig lämnar jag gärna utrymme till ditt bemötande här på Webperf.se!

Källkod i Python

Nedan kod kan du köra exempelvis i Google-tjänsten Colab, direkt i webbläsaren, om du vill kolla själv.

Google Colab

För att istället kolla Readspeaker byter du ut där det står ”browsealoud” till ”readspeaker”. Jag har också kortat bort listan med alla kommuner och regioners webbadresser så koden inte ska svälla över bredderna. Hör av dig om du vill ha en lista över alla kommuner eller regioners webbadresser.


import requests
useragent = 'Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)'
headers = {'user-agent': useragent}

webpages_to_check = ['https://www.ale.se', 'https://www.alingsas.se']

print("URL;HTTP code;Browsealoud")

for webpage in webpages_to_check:
i = 0

try: 
r = requests.get(webpage, timeout = 20, headers = headers)

#print(r.text.lower())

if 'browsealoud.com' in r.text.lower():
i += 1
print(f"{webpage};{r.status_code};Yes")
else:
print(f"{webpage};{r.status_code};No")
except:
print(f"{webpage};Error;Error")