Sök Logga in

Region Gotland har släppt en ny webbplats - hur bra blev det?

Marcus Österberg Skapad 2024-04-06, uppdaterad 2024-09-27 5 minuters läsning Tillgänglighet DOS-lagen GDPR
Foto på Visbys ringmur. Bild tagen av Helen Simonsson, ccbysa-licens.

Tidigt i februari lanserade Region Gotland sin nya webbplats. Här tas en titt på den utifrån regelefterlevnad som tillgänglighet, GDPR och kaklagen.

En sak som slår en direkt är att Region Gotland i sin tillgänglighetsredogörelse nämner att den ”här webbplatsen är delvis förenlig med lagen om tillgänglighet till digital offentlig service”. Det är intressant i sig. Region Gotland berättar helt öppet att de inte följer lagen med sin nysläppta webbplats. De får pluspoäng för att de är ärliga, men DOS-lagen är inte något man kan välja att bara delvis följa. Så här beskrivs det i lagstiftningen:

“[…] en teknisk lösning som står under aktörens kontroll ska följa tillgänglighetskraven enligt föreskrifter som har meddelats med stöd av denna lag.”
Lag (2018:1937) om tillgänglighet till digital offentlig service

Region Gotland har släppt en ny webbplats som de vet om bara delvis följer tillgänglighetskraven som lagstiftningen kräver. I sin nyhet om den nya webbplatsen nämner de dock att de haft ett fokus på tillgänglighet.

”Ny design med fokus på tillgänglighet och användarvänlighet anpassad för att fungera bra på mobiltelefoner och andra mindre skärmstorlekar.”
Välkommen till nya gotland.se

Hur tillgänglig är nya Gotland.se?

Det här är inte en perfekt metod, men det går rätt snabbt att se ifall det är fullt av enkelt funna tillgänglighetsbrister. Som titten på Ockelbo kommuns tillgänglighet nyligen är det lätt gjort att låta datorn lägga en stund på att kravla igenom webbplatsen och ge en sammanställning. I nedan körning har jag låtit Axe Core vara testmotor via Webperf-testerna, kört med WCAG 2.1 nivå AA samt ha med förslag på god praxis.

Det blir också en fråga om hur man definierar ”webbplats”. I Region Gotlands tillgänglighetsredogörelse nämns i ingressen gotland.se och våra delwebbplatser så man får förmoda att det inkluderar subdomäner, exempelvis etjänster, som inte har sin egen redogörelse. Men med tanke på den enorma förekomst av brister på etjanster.gotland.se är nog inte den subdomänen nylanserad.

Om jag testar både etjanster- och gotland.se är det 78 % av sidorna som har minst en tillgänglighetsbrist, och totalt 15 olika typer av fel som Axe kan identifiera. Nämligen:

  1. Kontrasten mellan bakgrundsfärg och förgrundsfärg är inte tillräckligt stor.
  2. Vissa länkar har inte ett igenkännligt namn
  3. Vissa formulärelement har inte etiketter
  4. <html>-elementet har inget [lang]-attribut
  5. [user-scalable="no används i elementet <meta name="viewport">, eller också är värdet på attributet [maximum-scale] mindre än 5.
  6. Listor innehåller inte enbart <li>-element och stödelement för skript (<script> och <template>).
  7. Alla bildelement har inte [alt]-attribut
  8. Vissa element saknar kopplade etikettelement.
  9. Element med synliga textetiketter har inte matchande maskinläsbara etiketter.
  10. Tabellerna använder inte <caption> i stället för celler med [colspan]-attributet för att ange textning.
  11. Rubrikelementen har inte ordnats i följd i fallande ordning
  12. Vissa knappar har inte namn som hjälpmedlen kan använda
  13. Namnen för button-, link- och menuitem-elementen är inte igenkännliga.
  14. Namnen för inmatningsfälten för ARIA är inte tillgängliga
  15. Några eller alla obligatoriska underordnade element med [role] saknas för element med ARIA-rollen [role].

I sin tillgänglighetsredogörelse nämner Region Gotland bara fyra sorters fel; bilders alternativtexter, PDF-dokument, rubriker i oordning och förstoring av text. Men ovanstående lista med 15 fel hittas relativt kvickt på drygt hundratalet sidor.

Det jag misstänker avses som Gotlands nya webbplats är nog gotland.se utan någon subdomän. Den ser betydligt bättre ut, men både de själva och jag kan hitta brister. Då ser det istället ut så här:

  • 392 st webbsidor på https://gotland.se har utvärderats
  • På 12 av dessa sidor upptäcktes tillgänglighetsbrister.
  • Frekvensen av sidor med brister är 3,1% och av sidorna med brister hittades i genomsnitt 1,3 st brister per sida.
  • Det förekommer 4 st olika sorters fel på webbplatsen. Dessa är följande:
    1. Kontrasten mellan bakgrundsfärg och förgrundsfärg är inte tillräckligt stor.
    2. Tabellerna använder inte <caption> i stället för celler med [colspan]-attributet för att ange textning.
    3. Vissa <frame>- eller <iframe>-element saknar titel
    4. Rubrikelementen har inte ordnats i följd i fallande ordning

Kontrastförhållandet kan mycket väl vara en falskpositiv och att det är anledningen till att det inte nämns i tillgänglighetsredogörelsens brister, men att iframes saknar titlar nämns inte och kan bekräftas på åtminstone sex olika sidor.

Här har du sammanställningar av vilka sidor som har brister och vilken brist det handlar om:

Lyssna på webbsidan

Skärmdump av VoicOver på en Mac-dator där det pratas om Rek.ai-tjänsten innan webbplatsen introduceras

Ifall man lyssnar på webbsidan är man förvisso mer ambitiös än många andra, men det är inte raketkirurgi och definitivt en del av att leva upp till DOS-lagen.
Av någon anledning läser VoiceOver på en Mac-dator upp något obegripligt sök skript, tom komplementärt om Rek.ai innan man kommer till webbplatsens innehåll. Antagligen har man inte kodat webbplatsen med lyssnande användare i åtanke.

GDPR och kaklagen (aka ePrivacy och Lagen om Elektronisk Kommunikation)

Om man kollar Region Gotlands sida om cookies med Webbkollen märker man att oavsett eventuellt samtycke runt GDPR eller kakor så händer vissa saker. Rek.ai, Readspeaker och Piwik PRO får bidra som tredjeparter. Piwik PRO får också sätta en kaka utan samtycke, vilket nog tillsynsmyndigheten PTS lär ha en åsikt om den är att klassa som nödvändig då de inte godtog Matomo i somras. Kakan ppms_privacy_nnn har en livstid på 12 månader. Det är lite väl generöst utan ett samtycke.

Skärmdump av hur Region Gotland informerar om cookies

Så som Region Gotland frågar om cookies är rätt snyggt. Det finns enkel åtkomst både till att tacka ja till alla kakor och bara de nödvändiga. Det som brister är dock den icke-understrukna länken Mer information om kakor (cookies) som bara med färg visar att den är en länk. Bristande tillgänglighet vid information om kakor gör att man kan ifrågasätta samtyckets giltighet.

Infosec då?

Vad man menar med säkerhet varierar förstås. Dock nämns säkerhet i nyheten om denna nya webbplats.

“Bygger på en plattform med hög säkerhetsnivå.”
Välkommen till nya gotland.se

Man har inte alls implementerat en CSP (Content Security Policy) och inte heller någon SRI (Subresource Integrity). Det innebär att de gör sina besökare till potentiella offer ifall Rek.ai, Readspeaker eller Piwik PRO blir hackade. Eller någon annan tredjepart de kan tänkas lägga in någonstans.

Är det troligt att något sådant kan inträffa? Ja! En konkurrent till Readspeaker råkade ut för detta 2018 vilket drabbade webbplatser som 1177, ett gäng kommuner och faktiskt Gotland själva.
Javascript-miner installerad på hundratals populära svenska sajter (Kryptera.se)

Det här blir en fråga om både informationssäkerhet men också personuppgifter ifall det är vad attacken fokuserar på.

Avslutningsvis, ja det är svårt att bygga en grymt bra webbplats 2024. Och ovanstående är bara några av de aspekter som spelar in.

Relaterat innehåll

Ironisk illustration över etikett till flaska med fejkad medicin, så kallad ormolja. (Bild av armageddon på deviantart, licens CC BY-NC-ND 3.0))

Fungerar tillgänglighets­lager? Nej!

I veckan uppmärksammades det förmodligen första företaget som säljer ”accessibility overlays” på den svenska marknaden. Så vad är då detta, och funkar de?

Foto på Pajala kyrka, från Wiklimedia

Pajalabostäders tillgänglighet fortsatt under granskning

Pajalabostäder och Ockelbo kommun blev först ut att hotas med vite av Digg på grund av deras dåliga följsamhet till DOS-lagen. Ockelbo fick slutligt besked att det faktiskt blir ett vite, vilket besvarades med att de tyckte det var orättvist. Men, hur går det för Pajalabostäder?