Kundo i svensk offentlig sektor – post-Schrems 2

---

Sammanfattat:

1. 12 st kommuner har i juli 2022 molntjänsten Kundo på sin startsida.
2. Kundo nämner själva sitt intresse för att leva upp till GDPR, samtidigt som de har USA-baserade biträden som Amazon Web Services och New Relic.
3. Vid en direkt fråga på Linkedin framkommer det att de även råkat inkludera amerikanska HubSpot bakom kulisserna på kundernas webbplatser.

---

Delrapporter i GDPR-motionerandet:

• Del 1 handlar om USA-beroende molntjänster för uppläsning - Readspeaker och Talande webb. I del 1 hittar du också mycket av problembilden, begrepp och bakgrund som inte läggs tid på i efterföljande delrapporter.
• Del 2 om Kundo i offentlig sektor. Om CLOUD Act och Executive Order 12333.
• Del 3 listar samtliga tredjeparter för alla kommuner och regioner.
• Del 4 undersöker vilka mejlsystem som kommuner och regioner har.

---

Innehållsförteckning och snabblänkar:

• CLOUD Act och Executive Order 12333
  • EO 12333 från 1981
• Är GDPR allt för sträng och en bromskloss?
  • Är de mänskliga rättigheterna för stränga?
  • Att ha ett privatliv är en rättighet
• Hur kan en molntjänst för kundtjänst se ut hos offentlig sektor?
  • 1. Nämns Privacy Shield eller SCC av Kundo?
  • 2. Var står servrarna?
  • 3. Vilka subprocessors / underleverantörer listar Kundo?
  • 4. Exempelimplementation av Kundo
• Prata med en kommun om Kundo som tredjepart med beroenden till tredjeland…
  • Krishantering och ”Förändringens fyra rum”
  • Förändring är jobbigt
• Exempeldialog 2021-2022 med en svensk kommun angående Kundo
  • Svar och gensvar
  • Allmänt intresse 2021
  • Ny titt 2022 - angående Kundo
  • Webbkunnig tar över dialogen - nu är tydligen den lagliga grunden samtycke istället…
  • Svårt att ge samtycke när jag varken hittar Kundo-chatten eller det samtycke som tydligen ska finnas där
  • Avrundning där det spelas med öppna kort
• Vilka kommuner och regioner har Kundo?
• Mer om GDPR-motionerandet 2021-2022

---

Nu i del 2 tar vi oss en titt på en annan typ av molntjänst som förekommer i offentlig sektor, nämligen kundtjänst. Eller medborgarservice kanske vi borde kalla det. Vissa är allergiska med god anledning mot att offentlig sektor skulle kunna ha invånare som sina kunder.

Vi kommer också bredda diskussionen om lagstiftningar som påverkar vilka molntjänster som går i kollision med lagstiftningen vi har i Sverige och EU. Som så ofta är USA-baserade företags molntjänster med på åtminstone litet hörn när man lyfter på locket och ser efter, men problemet hade varit detsamma om det varit något annat land som inte respekterar de rättigheter vi EU-invånare har till ett privatliv. En av lagarna som tas upp i denna bloggpost känner du säkert igen, den andra (regleringen) är mindre känd, men tillsammans med FISA-lagen utgör de en sorts topp-tre över varför just USA är svåra i sammanhanget av molntjänster.

CLOUD Act och Executive Order 12333

Utländsk lagstiftning är av förklarliga skäl en djungel. Och jag är varken Tarzan eller jurist. Del 1 av denna bloggserie tog upp FISA702 som handlar om hur underrättelseinhämtning görs på ett USA-internt lagligt sätt. Du har säkert också hört talas om CLOUD Act (Clarifying Lawful Overseas Use of Data Act).

CLOUD Act kommer av bl.a. FBI:s behov av att tvinga fram data från USA-baserade företag även när dessa data låg utanför USA:s geografiska gränser.

”The situation was highlighted from a 2013 drug trafficking investigation, during which the FBI issued an SCA warrant for emails that a U.S. citizen had stored on one of Microsoft's remote servers in Ireland, which Microsoft refused to provide.”

– CLOUD Act (Wikipedia)

CLOUD Act är precis som FISA en lag som inte helhjärtat älskas av USA:s egna IT-företag. FISA utmanades av Microsoft och Google, CLOUD Act är definitivt riktat mot Microsoft med tanke på den utbredning av molntjänster de har över klotet. Det är förstås en affärsmässig risk, utöver eventuella moraliska ställningstaganden, för Microsoft när deras globala marknad påverkas av företagets hemlands lagstiftning. Att USA:s myndigheter kräver att deras företag inhämtar uppgifter runt hela klotet är friktion i kundrelationerna, inte minst i länder som inte fullt ut litar på hur dessa uppgifter behandlas i USA.

Om man tittar på CLOUD Act med mer positiva ögon så gör lagen precis vad den heter - den klargör vad som förväntas av IT-företagen som är baserade i USA. Det är värt att notera att Microsoft, Amazon, Apple och Google stöttade lagens tillkomst. Kanske för att det var otydligt innan och mer påfrestande att ta ställning vid olika krav om utlämnande av data?

EO 12333 från 1981

En Executive Order (EO) är ett beslut som tas direkt av USA:s president, i det här fallet Ronald Reagan 1981. När Executive Order 12333 togs var det fortfarande drygt en handfull år kvar innan webben skulle uppfinnas och kanske 15 år kvar innan webben började bli något folk hört talas om.

Executive Order 12333 (Wikipedia)

Poängen med EO 12333 är insamlandet av underrättelserinformation, bedrivandet av kontraspionage, etc. Att man skulle kränka andra länders lagar var man väl medveten om, det framgår också i ordern, 2.3 (i):

”Incidentally obtained information that may indicate involvement in activities that may violate federal, state, local or foreign laws”

– Executive Orders (National Archives)

Är GDPR allt för sträng och en bromskloss?

Ibland klagas det på att GDPR bromsar vår digitala utveckling, att patienter dör för att vi är rädda för tredjelands molntjänster och att vi halkar efter andra länder. Att GDPR-liknande lagstiftning dyker upp i allt fler länder kan vara ett tecken på att vi i EU har något bra i vår lagstiftning och kanske snarare är en föregångare?

Jag brukar gilla att vända på diskussionen. Det görs ganska ofta per automatik i mitt för det mesta överanalyserande huvud. Precis denna omvända ingång till diskussionen är det jag tagit under mina föreläsningar om GDPR-trygg webbanalys på senare tid.

Är de mänskliga rättigheterna för stränga?

Det vi inte hör är kritik mot FN:s konvention om mänskliga rättigheter.

”Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens […]”

– artikel 12, FN:s konventioner om mänskliga rättigheter

Inte heller är det Europakonventionen man hör att folk vänder sig emot.

“Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.”

– artikel 8.1, Rätt till skydd för privat- och familjeliv, Europakonventionen

Eller vår svenska grundlag.

“[…] var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.”

– grundlagen, regeringsformen 2 kapitlet 6 paragrafen

Ja det är klart att det i stunden kan kännas opraktiskt att man inte kan välja exakt vilken leverantör som helst på marknaden. Samtidigt är det väl bara de som inte tycker att det här med dataskydd är ett legitimt krav som beklagar sig.

Jag menar, det är trots allt bara ett i mängden av alla krav man ställer upp inför det val man slutligen landar i. Precis som vilken startkostnad det handlar om, förvaltningskostnader, driftform, etc, etc. Inte heller är laglighet / compliance någon nyhet bland de som håller på med upphandling eller avtal.

För de som lyder under lagen om offentlig upphandling (LoU) finns det exempelvis krav på att det som upphandlas inte ska diskriminera de med funktionsnedsättningar. Visserligen också regler många inte tar på så stort allvar, trots att även det är en mänsklig rättighet att få delta i samhället.

Att få ha ett privatliv är en rättighet

Det här med att respektera individernas privatliv är en av de liberala rättigheter som växte fram som en självklarhet i Europa efter inhumaniseringen och alla fasor folk genomled under andra världskriget.

Att jag ingår i den gruppen som värnar ovan nämnda rättigheter kommer nog inte som en överraskning om du läst vad jag brukar skriva. Jag pekar gärna istället på att de drakoniska lagarna som USA har låter dem samla in vår information och att det både är fel och slapphänt digitalisering.

Nog om regler. Låt oss testa oss igenom Kundos molntjänst.

Hur kan en molntjänst för kundtjänst se ut hos offentlig sektor?

Jag har tack vare de ständiga kontrollerna av offentlig sektor på Webperf rätt enkelt att hitta vilka tredjeparter som används någonstans. Men även genom de manuella testerna jag gör under GDPR-motionerandet sedan 2021 så dyker det upp lite oväntade fynd.

Kundo har jag snubblat över vid några av årets stickprov. Så om vi praktiserar den simpla metod för GDPR-koll som förklarades i första posten i denna serie, vad hittar vi då?

1. Nämns Privacy Shield eller SCC av Kundo?

En praktisk grej när man letar efter vissa ord på en webbplats är att gå via Google. En sökning som denna site:www.kundo.se privacy shield. Till skillnad från nära på alla andra så nämns Privacy Shield i ett sammanhang som aktuellt nog förklarar hur det ligger till sedan 2020. Det vill säga att det inte är giltigt längre.

GDPR - Kundo lagrar enbart data inom EU (Kundo)

Man kan lite läsa in att de inte är absolutister när det gäller att undvika USA:s molnaktörer, men det är å andra sidan nära på ingen annan heller. De skriver att de följer utvecklingen noga. Bra det!

”Vi får många frågor kopplade till personuppgifter och dataskydd. Här kan du läs mer om Kundos roll, hur vi arbetar och hur vi följer gällande lagstiftning. Som en lokal europeisk aktör är vi alltid extremt noggranna med att följa gällande lagstiftning och vi kan med stolthet konstatera att vi bland våra kunder återfinner några av de aktörer med högsta möjliga krav inom detta område, både inom offentlig och privat sektor.”

…

”Följer Kundo GDPR?

Ja, Kundos produkt och verksamhet uppfyller alla krav i GDPR.”

– Hjälp & support (Kundo)

Hög svansföring inom personuppgifter och dataskydd! Samt tvärsäkert uttalande återigen att man följer GDPR.

”Hur resonerar Kundo kring Schrems II?

Som en följd av Schrems II domen har Kundo avvecklat all form av behandling utanför EU/EES. Vi har också säkerställt att vi har uppdaterade underbiträdesavtal på plats där den uppdaterade versionen av Standard Contract Clauses framgår i enlighet med EDBPs rekommendationer.

För underbiträden med huvudsäte i tredje land har även en riskanalys, så kallad Data Transfer Impact Assessment (TIA), genomförts. Vänligen kontakta oss på support@kundo.se om ni önskar tillgång till denna.”

– Hjälp & support (Kundo)

Här nämns SCC samt att det finns underbiträden i tredjeland, men att det gjorts bedömningar om dessa. Innan man köper in Kundo är det nog klokt att begära ut dessa bedömningar och nagelfara.

Punkt 1 kan summeras som inte helt betryggande på grund av dessa SCC:er och biträden i tredjeland.

2. Var står servrarna?

”Vi på Kundo har valt att enbart lagra personuppgifter i EU. Det är vad som efterfrågas av många av våra kunder och som en lokal nordisk aktör är våra kunders trygghet inom just det det här området naturligtvis extra viktigt för oss.”

– GDPR - Kundo lagrar enbart data inom EU (Kundo)

”Var behandlar Kundo data och personuppgifter?

Kundo behandlar* personuppgifter (och all annan data) på servrar inom EU.”

– Hjälp & support (Kundo)

Ja i EU är ju en bra start, men vi behöver veta exakt vilka aktörer som blandas in. Det hade förstås varit ett önskvärt svar att de själva ägde sina servrar och att de hade driften själva eller hos en namngiven svensk driftaktör. Punkt två är inte helt avgjord.

3. Vilka subprocessors / underleverantörer listar Kundo?

Kundo har en pedagogiskt ambition med sina texter men också ibland tvärsäkra uttalanden. Den där typen man kan få äta upp när det visar sig inte stämma:

”Dels följer vi givetvis GDPR, men vi är också måna om att vara extra tydliga och pedagogiska med hur detta görs.”

– Det här behöver du veta om förändingarna i GDPR (Kundo)

Vilka utöver Kundo bidrar med deras molntjänst? Som tur är redovisar Kundo detta på sidan om underbiträden.

Bild 1: Kundo listar två underbiträden som snabbt känns igen som amerikanska; Amazon Web Services och New Relic.

Att Amazon Web Services är amerikanska vet nog de flesta, men även New Relic har jag i närminnet som USA-baserade. Att dessa två har syftet ”Huvudsaklig driftsmiljö” och ”Drift/övervakning” får det att verka som att de gör fundamentala saker i Kundos driftmiljö.

Med andra ord är vi på punkt 3 inne på ett potentiellt misslyckande, åtminstone om vi nu drar gränsen vid vad USA:s myndigheter kan tvinga Amazon och New Relic att hämta ut. Exempelvis med en FISA-förfrågan, vilket varken Kundo eller Kundos kunder behöver få reda på tack vare det som kallas gag orders.

Om man inte redan är avskräckt kan man alltid ställa motfrågan till Kundo om det finns varianter av deras tjänst där inga USA-baserade företag involveras - ens på EU-mark. De verkar faktiskt vara väldigt öppna och jag misstänker att Kundo går att diskutera med även om man önskar ha en mer strikt GDPR-efterlevnad än den nivån Kundo valt.

4. Exempelimplementation av Kundo

Låt oss avsluta med att kolla på en exempelimplementation. I mitt GDPR-motionerande har jag snubblat över Kävlinge kommun som en av kunderna. Men Kundo listar också självmant några kunder. Som Ängelholm, Flen, Trelleborgs kommun, Jordbruksverket, Sveriges Radio och Apoteket.

Men vi kör med Kävlinge.

Bild 2: Provkör Kundo-kunden Kävlinge genom PageXray. Där anges Kundo med amerikanska beroenden.

Testa Kävlinge med EU-varianten av PageXray:

Kävlinge kommun genom PageXray

Här får Kundo en amerikansk flagga. Alltså tycks tredjeparten Kundo bli inblandade automatiskt (utan samtycke) och det involverar en part som är i tredjeland, det vill säga USA. Det ger ett relativt säkert misslyckande i det här deltestet.

Av en händelse blev Kundos VP Engineering uppmärksam på en Linkedin-tråd om att de har beroenden till USA. Han svarade så här:

”Hej - Micke från Kundo här!

Ovan sökning pekar via ett CDN mot vår hemsida - kundo.se - som marknadsför våra produkter. Den hostas hos Hubspot som onekligen har delar kvar i USA som vi planerar att flytta. Tack för att ni hjälpte uppmärksamma detta!

Våra fantastiska tjänster för kundservicehantering ligger dock självklart inom EU/EES området sedan länge!

Hör gärna av er om ni vill veta mer!”

– Mikael Rask i juli 2022 (Linkedin)

Ett initierat, ärligt och uppfriskande svar i jämförelse med nära på alla andra leverantörer som blånekar eller hotar med Marknadsdomstolen när kritik framförs. En annan svensk aktör som är öppna och prestigelösa är rek.ai som sommaren 2021 gav tydliga besked och kort därefter var alla deras kunder i den GDPR-följsamma versionen av deras miljö.

Men trots Kundos tvärsäkra uttalanden om GDPR-följsamhet på deras webbplats har de faktiskt råkat blanda in minst en amerikansk aktör. Och de medger det själva vid en direkt fråga.

För vårt snabbtest kan vi konstatera att Kundo inte tycks följa GDPR trots löften de ger. Dock verkar de ha en bra attityd och kan verka aktuellt att kolla läget med senare när de klippt banden till de här aktörerna i tredjeland.

Prata med en kommun om Kundo som tredjepart med beroenden till tredjeland…

Nu skiftar vi hatt. Jag har alltså 2021 upptäckt Kundo hos några svenska kommuner. Sett den amerikanska flaggan bland kommunens tredjeparter och då ställt frågor till kommunerna om detta då det är kommunerna som är personuppgiftsansvariga (oavsett hur deras kedja av leverantörer agerar).

Teori om krishantering och ”Förändringens fyra rum”

Ibland i denna dialog med en aktör som jag inte släpper av kroken allt för enkelt är det som att det uppstår en sorts utveckling i samtalet över tid. I formen av att de jag mejlar med tvingas ur sin business-as-usual-värld till något så mycket mer besvärligt och energikrävande. De tvingas ta ställning till förändring när det kommer in den här sortens klagan. Att någon anonym invånare lite påfrestande utmanar dem och står på sig.

Jan Scherman skrev det bra i Dagens Nyheter med anledning av Sveriges Radios krishantering här i sommar.

Jan Scherman: SR-krisen gör public service till en valfråga (Dagens Nyheter, 25:e juli 2022)

Korta klipp ur Schermans artikel finner vi följande fem taktiker:

1. Nummer ett: svara inte och lämna inga kommentarer, kanske blåser det över.
2. Steg nummer två blir att, när tystnaden inte håller, slå tillbaka. Gärna självsäkert och arrogant. Det skulle kunna beskrivas som en jag är ofelbar-attityd […]
3. För det tredje bör man, utan närmare precision, påstå att granskningen är felaktig eller irrelevant eftersom den gäller gamla företeelser.
4. En fjärde beteendekategori är att vara på semester och därmed påstå sig vara legitimt oanträffbar.
5. Ett femte alternativ, som får sägas vara extremt sällsynt, är att på något sätt hota granskaren med rättsliga åtgärder eller anmälningar till andra myndigheter och instanser.

Även i GDPR-motionerandet jag gör finns dessa ingredienser, men nästan aldrig alla från en och samma aktör.

1. Många svarade aldrig på mejlet 2021 trots att de är tvungna att svara inom en månad enligt IMY:s vägledning. Vissa svarade inom en månad att de behövde mer tid (vilket ger dem 3 månader att ge ett bra svar) men återkom ibland långt senare eller aldrig så här långt.
2. Här finns många knepiga varianter. En är en IT-chef som står på sig att deras tredjeparter aldrig kunnat komma över min IP-adress eftersom de gör precis allt på serversidan. En annan är Region Gotland som 2021 tycks tro att samtycken är obligatoriska att svara ja på.
3. Massor av kommuner och några regioner förklarar för mig att eftersom de (tror sig ha) slutat med molntjänst x så är det ur världen. Eller att de efter de hörde av mig tagit bort molntjänsten. För att inte nämna när Funka berättade för Storfors kommun _efter_ att jag hört av mig att de då stängt av statistiken. Det avhjälper inte att man redan felat.
4. Att folk är på semester har jag full förståelse för och kan till skillnad från Dagens Nyheter inte se att mitt ärende är så brådskande att de måste agera omgående. Men, en kommun hörde av sig först i januari 2022 när de fick ett mejl i juli 2021 att besvara inom en månad…
5. Well, för mitt GDPR-motionerande förra året hotade en av alla dessa leverantörer med att dra mig som privatperson inför Marknadsdomstolen. Som hot är det möjligen effektivt. Åtminstone i mitt huvud är det en logisk kullerbytta att hota en privatperson för att skriva bloggposter med en lagstiftning som enbart gäller näringsidkare.

Förändring är jobbigt

”Flera forskare har beskrivit den emotionella berg-och-dal-bana en person går igenom i samband med kriser eller större förändringar.

Två av de mest spridda är Claes Janssens ”Förändringens fyra rum” och Kubler-Ross ”Kriskurva”.”

– Är motståndet bara en fas (Leda förändring)

Ovanstående skrivelse nämner fyra tillstånd man befinner sig i, i skiftet från det gamla invanda till det där nya okända:

1. Nöjdhet - tänk att sitta nöjd och glatt omedveten om vad som komma skall.
2. Censur / förnekande – det är en process i sig att medge att man felat, det är tydligt att det kan sitta långt inne trots att vi inte längre har tjänstemannaansvar i Sverige.
3. Förvirring & konflikt - kaoset som uppstår innan man landat tryggt i hur allt fungerar efter krisen/omställningen/förändringen.
4. Inspiration/förnyelse - det kan kännas ganska bra att komma ut på andra sidan av en sån här process. Att man inser att något är bättre än innan, håller en högre nivå, eller liknande.

Apropå punkt 4, förnyelse, berättade jag själv på SKR:s forum DelaDigitalt.se under 2021 att det var jag som låg bakom alla dessa mejl folk diskuterade i en tråd där. De personerna som var där i tråden hade nog alla kommit en bit igenom ovanstående process, kanske någonstans mellan förnekelse och förvirring.

Bild 3: Frågeställning på SKR:s forum DelaDigitalt angående de här mejlen som dykt upp hos kommunerna.

”Jag kan väl avslöja att det är jag som är frågeställaren (på min fritid), åtminstone om frågan gäller 23:e juli och IP-adressen 46.194.179.183.

Hoppas granskningarna blir läsvärda och lärorika. Förstår att det är svåra frågor, men tyckte det var dags att provtrycka systemet nu tre år efter GDPR och ett år efter Schrems 2.”

– Marcus Österberg (deladigitalt.se, 2021)

Mest slående var en kvinna, en i mängden som tydligt skrivit att hon inte hyste några höga tankar om mitt tillvägagångssätt, som senare under hösten återkom till tråden. Hon ville lite påtala sin ändrade ståndpunkt och konstatera att det nog ändå varit en nyttig ”brandövning” för kommunerna. Jag kan här passa på att nämna att jag sedan en vecka tillbaka avslutat min anställning på Västra Götalandsregionen och kommer därför inte riskera att snubbla över kommande diskussioner på DelaDigitalt som berör mina initiativ.

Exempeldialog 2021-2022 med en svensk kommun angående Kundo

Vi kan ta Kävlinge kommun som ett exempel, av den enkla anledningen att de hanterat det snyggast, eller minst dåligt, vilket beror på vad man förväntar sig.

Mitt mejl till Kävlinge juli 2021:

”Jag var idag 23:e juli inne på er kommuns webbplats under kvällen. Jag tror att ni har åtminstone ett verktyg som samlar in min IP-adress utan mitt samtycke. Mina frågor är därför:

1. Vilken rättslig grund vilar er behandling av min personuppgift på?

2. Vilka leverantörer och deras eventuella underleverantörer har ni på grund av er webbplats design skickat min personuppgift till (IP-adress och eventuell annan fingerprinting)?

Utöver frågorna har jag följande önskningar gentemot er:

1. Att ni lämnar ett registerutdrag till mig gällande min IP-adress 46.194.179.183 och eventuell fingerprinting, dels det ni själva har i era egna system men också det som landat i era inbjudna tredjeparters system.

2. Att ni och era inbjudna tredjeparter raderar mina personuppgifter och meddelar mig när så är gjort.

Om ni inte kan tillmötesgå detta ser jag fram emot ett välmotiverat svar på respektive punkt inom kort.”

– Marcus Österberg under pseudonym, juli 2021

Svar och mitt gensvar

Notera att jag klipper lite i mejlen nedan. Mest för att bara behålla det som är relevant i sammanhanget jag diskuterar samt inte avslöja onödig information.

”På vår hemsida beskriver vi hur vi hanterar cookies och datainsamling när man besöker kavlinge.se .

Vi använder oss av Google Analytics för att samla in besöksstatistik i syfte att kunna förbättra och optimera hemsidans uppbyggnad och tillgänglighet.

Den lagliga grund vi använder oss av är allmänt intresse. […]”

– Kävlinge kommun, 28:e juli 2021

Det här med att hänvisa till en sida om cookies etc på sin webbplats är ganska vanligt. Det är också vanligt att när de faktiskt försöker lista cookies och utomstående aktörer så är listan inaktuell eller att de glömt bort sina tredjeparter helt. För det mesta brukar jag inte kolla in dessa sidor.

Allmänt intresse 2021, men 2022…

Notera också att de hävdar allmänt intresse som laglig grund. Det blir intressant snart.

Mitt svar samma dag:

”Tack för svar. Hänvisar ni till allmänt intresse även för er användning av amerikanska Google Analytics, Kundo samt [censur] (som har Amazon och Cloudflare bakom kulisserna)?”

– Marcus Österberg, senare 28:e juli 2021

Ny titt 2022 - angående Kundo

Nu spolar vi fram ett år. I juli 2022 följer jag upp hur det går för Kävlinge.

”Bra att ni tog bort Google Analytics

Tog idag en titt till på er webbplats och det visar sig att ni har med tredjeparter från ett tredjeland. Nämligen Kundo.

Och det ser inte ut som att det aktiva godkännandet/samtycket slagit igenom på er webbplats.

Så jag har fler frågor:

1. Vilken laglig grund enligt GDPR hävdar ni för att dela min/besökarnas IP-adress med denna tredjepart?

2. Kommer ni anmäla er själva till IMY?”

– Marcus Österberg, 16:e juli 2022

Intetsägande svar och hänvisning till semestertider:

”Kundo är vårt chatt-system, men vi har sagt upp den tjänsten och letar nu efter andra lösningar.”

– ny person på Kävlinge kommun

Inte för att påstå illvilja hos just den här kommunen men det är väldigt vanligt att man får ett svar likt detta om att problemet är löst på ett eller annat sätt. När det gäller Google Analytics vanligen med att man säger att man slutat använda det, och då behöver jag påtala att de fortfarande har kvar spårningskoden.

I det här fallet spelar det inte så stor roll för mig vad de har för avtalsstatus med Kundo, koden ligger fortfarande kvar på webbplatsen.

Så jag är torr och tråkig i mitt svar:

”Då inväntar jag svar på vilken laglig grund ni hävdade medan ni hade dem på er webbplats, det vill säga under mitt besök, samt om ni kommer anmäla er till IMY.”

– Marcus Österberg, 18:e juli 2022

Webbkunnig tar över dialogen - nu är tydligen den lagliga grunden samtycke istället…

”Har läst in mig på konversationen nedan för din kännedom.

Samtycke

Då besökare önskar starta en chatt via kavlinge.se får besökaren aktivt kryssa i en ruta om man läst igenom policyn för personuppgifter och godkänner dessa. Ängelholms kommun använder samma chattfunktion och texten kan du ta del av här (fanns på chat.kundo.se/policy/269/angelholm-kommun/).

Den lagliga grunden blir således ett digitalt inhämtat samtycke.

PUB-avtal

Kävlinge kommun har också ett tilläggsavtal avseende GDPR med underleverantören Kundo. Personuppgifter som samlas in via chatten grundar sig i en bedömning kring vad som krävs för att kunna vara behjälpliga kommuninvånarna/webbplatsbesökaren och lagras i 720 dagar innan det automatiskt gallras.

IMY

Jag kommer att förse kommunjuristen och tillika dataskyddsombudet med detta ärende och vår konversation. Hen får därefter ta ställning till om det är lämpligt att gå vidare med en anmälan till IMY eller ej.”

– webbkunnig person hos kommunen, 28:e juli 2022

Nu har deras lagliga grund skiftat till samtycke. Det är intressant av många anledningar, bl.a. för att det är ett sällsynt dåligt alternativ för den som ska behandla personuppgifter. Mer om samtycke som grund i del 1 av GDPR-motionerandet.

Och utöver det är problemet att de inte fått något samtycke av mig. Kan inte heller se när de skulle ha frågat efter ett samtycke, förutom att jag aldrig klickar på dessa när jag gör mitt GDPR-motionerande.

Svårt att ge samtycke när jag varken hittar Kundo-chatten eller det samtycke som tydligen ska finnas där

Dessutom har jag vid två tillfällen på Kävlinges webbplats försökt hitta den där Kundo-chatten eftersom jag är nyfiken på hur samtycket är utformat. Men som sagt, jag hittar inte ens funktionen. Men min dator har trots detta pratat med Kundos servrar.

”Bra att ni kollar upp det.

Men;

1. Har ni PUB-avtal med HubSpot (som är en underleverantör till Kundo, enligt Kundo själva [länk till Kundos VP Engineerings inlägg på Linkedin]

2. Nämns HubSpot i ert avtal med Kundo?

3. Ni låter HubSpot, via Kundo, komma över min/besökarnas IP-adresser utan att samtycke hämtats innan. Därmed faller argumentet att ni förlitar er på samtycke för det varken är aktivt eller frivilligt. Hur tänker du kring det?”

– Marcus Österberg, senare 28:e juli 2022

Nu börjar vi efter ett väldans massa mejlande komma fram till kärnan.

Webbkunnig person svarar på mina tre frågor:

”Inget avtal med underleverantörer till vår leverantör Kundo

Vi har inget extraavtal med Kundos underleverantörer.

HubSpot nämns inte i avtalet vid namn, utan omfattas av benämningen underbiträden

Det är Kundo som är förpliktade att upprätta PUB-avtal med sina underleverantörer vilket de varit tydliga med att de kan komma att göra i avtalstexten från 2018. Enligt denna har de rätt att anlita underbiträden för behandling av personuppgifter och ska då binda dessa vid skriftliga avtal som ålägger dem samma skyldigheter vad gäller behandling av personuppgifter som regleras i avtalet mellan Kundo och oss.

Nytta kontra ev. risker med att nyttja kommunchatten

Det är lite förenklat att hävda att vi via kommunens chatt delger Kundos underleverantör HubSpot IP-adresser som i sin tur kan orsaka den som initierar en chatt via kavlinge.se skada.

För att det ska bli aktuellt krävs det att man själv initierar en personlig och utelämnande chatt med en kundtjänstmedarbetare på kommunen och att tredje part väljer att ägna tid och resurser på att göra kopplingen mellan chatten, ev. IP-adress och besökarens identitet inom loppet av 720 dagar, efter vilket data raderas.

Ev. nackdelar och risker för kommuninvånarna är således avsevärt mindre än servicefördelen med ytterligare en kontaktväg in till Kävlinge kommun.

Samtycket ges Kävlinge kommun frivilligt av de som vill chatta.

Samtycket ges via kavlinge.se och genom att kryssa i en ruta i chatten. Det är ett frivilligt samtycke och förtroende för att vi hanterar personuppgifterna som insamlas via chatten korrekt. Önskar man inte använda chatten och delge oss de personuppgifter som krävs, kan man istället välja att mejla, besöka eller ringa oss.

Om jag har fel och det inte stämmer, kommer vårt dataskyddsombud att reagera och göra en anmälan till IMY. Som jag nämnde tidigare har jag skickat vidare vår konversation och till henne. Vi vill göra rätt för oss så jag välkomnar hennes granskning av ärendet.”

– webbkunnig person, 29:e juli 2022

Ett ovanligt bra svar. Sen återstår några problem:

1. Att de trasslat in sig i samtyckes-eländet är förstås svårhanterat. Dels för att de inte fått något av mig, dels för att jag kan konfrontera dem med det ifall jag vill.
2. Att Kundo har underleverantörer delegerar inte kommunens ansvar över mina personuppgifter. Man kan välja att snälltolka detta som att det redogörs för mig hur saker ligger till snarare än att de skyller ifrån sig.
3. Jag har inte ens hittat chatten och är därför inte en aktiv användare eller gett ett indirekt samtycke till något Kundo håller på med. Den personuppgiftsansvariga kan helt enkelt inte på ett korrekt sätt beskriva hur deras webbplats faktiskt fungerar.
4. De berättar för en webbutvecklare sedan 25 år tillbaka (mig) att det är ett förenklat resonemang vad som händer med min IP-adress vid ett besök på deras webbplats. Visst kan vi diskutera huruvida det uppstått någon skada och hur stor den nu är.
5. De har trots sitt påstående om samtycke också kastat in ett resonemang kring risk- och intresseavvägning. Hur ska de ha det med sin legala grund?

Avrundning där det spelas med öppna kort

Till slut i den här typen av dialoger brukar jag öppet deklarera mina fynd och posta över dem. Så även i det här fallet.

”Ok, tack!

Jag kan komplettera dina svar med att det krävs faktiskt ingen aktiv handling från mig som besökare av er webbplats för att Kundo + amerikansk underleverantör (Cloudfront, det vill säga Amazon) blandas in. Varken samtycke eller klick på något alls. Så ja, de kommer över min IP-adress enbart genom att jag besökt er startsida.

Jag tog just en titt till på er webbplats bara för att samla lite ”bevis”. Startsidan närmare bestämt. Dubbelkolla detta med en webbutvecklare om du nu tvivlar.

Utan att jag ens lyckas hitta och starta Kundo-grejen på er webbplats sker det direktkommunikation med följande Kundo-adresser:

https://chat.kundo.se/chat/org/957/display_rules/?callback=__rules
https://chat.kundo.se/chat/org/957/status/?callback=__status
https://static-chat.kundo.se/static/hub.677204d7f45c.js
https://org-957.chat.kundo.se/chat-js/957/hub.html
https://static-chat.kundo.se/static/widget.359607fa21d3.js
https://static-chat.kundo.se/chat-js/org/957/widget.js

Eftersom det är direktkommunikation mellan dessa adresser och min dator måste de ha min kompletta IP-adress. Det är så internet funkar.

Den domän som gör att ni (utan samtycke eller aktiv handling) delar min IP-adress med en USA-baserad aktör är static-chat.kundo.se

Se bifogad traceroute och HAR-fil om du inte tror på mig.

Så ja, ni har delat min IP-adress med en tredjepart i tredjeland. Amazon i USA. Ifall ert dataskyddsombud inte tycker det är värdigt en anmälan till IMY önskar jag att ni hör av er för då gör jag anmälan åt er.”

– Marcus Österberg, 29:e juli 2022

I det sistnämnda mejlet bifogar jag dels nedan skärmdumpar om vad som händer när man anropar domänen static-chat.kundo.se, där den ena amerikanska parten är Amazon-molntjänsten Cloudfront. Dessutom skickar jag med en HAR-fil vilket man kan exportera ur sin webbläsares utvecklarläge. En HAR-fil är en sorts arkivfil som berättar hela kontextet som uppstått i en webbläsare. Som här; att Kundos molntjänst gjorde precis det jag påstår att den gjort på kommunens webbplats.

HAR (file format) (Wikipedia)

Bild 4: Två olika USA-baserade IP-adresser anropas vid en fråga till Kundos domän för chat.

Kävlinge har gett ett klart bättre intryck än nästan alla i offentlig sektor jag GDPR-motionerar. De svarar ganska rakt, bemöter och är öppna i att de mycket väl kan tänkas hamna i att anmäla sig själva för tillsyn hos Integritetsskyddsmyndigheten.

Vilka kommuner och regioner har Kundo?

12 st av 310 kommuner och regioner. Metod och källkod är nära på identisk med första delrapporten, bara kollat efter Kundo i koden istället för Readspeaker eller Browsealoud.

20:e juli 2022 hade följande kommuner Kundo på sin startsida:

1. flen.se
2. harnosand.se
3. jonkoping.se
4. karlstad.se
5. kungsbacka.se
6. kavlinge.se
7. lomma.se
8. saffle.se
9. timra.se
10. trelleborg.se
11. atvidaberg.se
12. engelholm.se

Mer om GDPR-motionerandet 2021-2022

• Del 1: GDPR med Readspeaker och Talande webb (Browsealoud) (Webperf, juli 2022)
• 23% av kommunerna kvar i Google Analytics två år efter Schrems 2-domen (Webperf, juni 2022)
• 20 av 21 regioner använder amerikanska molntjänster sommaren 2021 – trots Schrems 2-domen (Webperf, augusti 2021)
• Rek.ai i offentlig sektor – tjänst för personalisering på webben (Webperf, juni 2021)