20 av 21 regioner använder amerikanska molntjänster sommaren 2021 – trots Schrems 2-domen

---

Sammanfattning:

• Kommunikation över internet innebär att man delar med sig av sin IP-adress, vilket är en personuppgift.
• När webbplatser delvis består av tredjeparters molntjänster sprids dessa personuppgifter även till tredjeparterna, deras eventuella underleverantörer och de olika aktörerna kan ha olika regelverk om hur dessa data skyddas eller får sprids vidare.
• EU-domstolen konstaterade sommaren 2020 att det inte går att ha med amerikanska molntjänster (ens från europeisk mark) om det inkluderar personuppgifter. Den så kallade Schrems 2-domen.
• Nästan samtliga svenska regioner misslyckas med detta ett år senare och Schrems 2-domen kan inte anses vara okänd bland de som ansvarar för webbplatser.

---

Hoppa direkt till en viss regions resultat:

1. Region Stockholm
2. Region Uppsala
3. Region Sörmland
4. Region Östergötland
5. Region Jönköpings län
6. Region Kronoberg
7. Region Kalmar län
8. Region Gotland
9. Region Blekinge
10. Region Skåne
11. Region Halland
12. Västra Götalandsregionen
13. Region Värmland
14. Region Örebro län
15. Region Västmanland
16. Region Dalarna
17. Region Gävleborg
18. Region Västernorrland
19. Region Jämtland Härjedalen
20. Region Västerbotten
21. Region Norrbotten

---

Full disclosure:

Jag som skriver rapporten, Marcus Österberg, jobbar på Västra Götalandsregionen (VGR). Den enda regionen som inte har anledning att vara bekymrade över sitt resultat i denna granskning. Visst har jag haft ett finger med i spelet att VGR värnar integritet men kan inte heller ta åt mig äran, det finns många fler som tänker på samma sätt.

---

Bakgrund

Varför granska regionerna? Jo, för till skillnad från när snabbmatskedjan du brukar handla hos klantat sig med något teknisk verkar regionerna i praktiken utan konkurrens. Det finns 21 stycken regioner och när det gäller just hälso- och sjukvård har visserligen inte regionerna monopol då vi får söka vård var vi vill i landet. Det är dock väldigt bökigt, åtminstone inte tillräckligt enkelt för att påverka regionernas verksamhet i någon nämnvärd utsträckning.

Regionerna utför också annan verksamhet. De har ett kulturellt uppdrag, kollektivtrafik, regionutveckling och lite annat. De har ett geografiskt monopol precis som kommunerna, fast på större områden. Det är väldigt svårt att välja bort den region man bor i. Därför behöver de granskas och motiveras om de inte redan gör ett gott jobb för invånarnas bästa.

Regioners digitalisering

Med tanke på den totala dominansen av utomeuropeiska molntjänster skulle man kunna tro att offentlig sektor inte är kapabla att digitalisera på egen hand. Fram till och med 2020 hade cirka tre fjärdedelar Google Analytics på sina webbplatser. Den enorma majoritet som tidigare använde Microsoft Exchange som mejlsystem på egna mejlservrar är på god väg att överlåta kontrollen till Microsofts molntjänst istället, Exchange Online. Om man ifrågasätter att ens personuppgifter hamnar i dessa molntjänster kan man möta både oförståelse och motstånd.

“Office 365-tjänsterna behövs som arbetsverktyg för [de] anställda för att [vi] ska kunna utföra de uppdrag som åvilar [oss] och är en viktig förutsättning för [vår] fortsatta digitalisering.

[…]

[regionen] har mot bakgrund av ovanstående enligt artikel 21 i dataskyddsförordningen tvingande berättigade skäl för behandlingen i Microsofts tjänster som väger tyngre än dina intressen, rättigheter och friheter.“

– chefsjurist i en svensk region

Schrems 2-domen

En sak som inte är så mycket tvivel kring sedan juli 2020 är att amerikanska molntjänster inte är kompatibla med GDPR och EU-medborgares rätt till personlig integritet när det är personuppgifter som behandlas. Även de adresser våra prylar tilldelas för att vi ska kunna använda nätet är en personuppgift. Exempelvis din mobil får en IP-adress för att den ska kunna kommunicera med andra över internet. Denna IP-adress är en personuppgift i sig. Dessutom är en IP-adress en oundviklig sak vilket gör att vi som ansvarar för webbplatser behöver vara försiktiga med vilka vi tillåter bidra till våra webbplatser eftersom de i många fall kommer över våra användares IP-adress.

Introduktion till tredjeparter och GDPR

Vid ett besök på en webbplats är det ofta så att fler än enbart den organisation som är ansvarig för webbplatsen bidrar. De där utomstående som bidrar kallas för tredjeparter, de är varken du eller dem du besöker, de är en tredje part. En part du inte nödvändigtvis vet om att de finns där, även fast det ibland är uppenbart.

En vanlig sådan tredjepart har varit Google Analytics. Google Analytics syns inte på webbplatsen om inte webbplatsägaren valt att berätta om det på sin sida om cookies eller ber om ett samtycke där de nämner att de har Google Analytics. Andra tredjeparter som är lättare att upptäcka är Google Maps, videotjänsten Vimeo och inbäddade flöden från sociala medier.

När de webbplatser vi besöker blandar in tredjeparter i mixen kommer personuppgifterna på vift om vi besökare har direktkontakt med tredjeparterna, vilket oftast är fallet. Egentligen ska varje sådan tredjepart vara en del av ett samtycke innan de tillåts bidra till varje enskild besökares upplevelse. Alternativt att webbplatsägaren har en annan laglig grund. Vilket kan framstå aningen långsökt särskilt i offentlig sektor.

“Godkänn nu våra cookies!”

Och samtycken görs nästan aldrig på rätt sätt. Du kan inte ha missat alla meddelanden på webben där organisationer berättar för dig att de verkligen värdesätter din integritet, samt ofta med fula knep som dark patterns gör det svårt att ens upptäcka annat än att acceptera allt.

Vi som är webbutvecklare kan också enkelt konstatera att du inte behöver svara på dessa meddelanden, kakorna finns redan på din dator i alla fall.

En intressant bekräftelse på antagandet att den enda vägen är att användare av en webbplats är att godta kakor kom från ett dataskyddsombud i en svensk region. Hen förklarade pedagogiskt att:

“När du kommer fram till [webbplatsen] bör du komma fram till följande som gör att du godkänner (samtycker) till tre typer av kakor.”

– dataskyddsombud på en svensk region

Man skulle ju kunna tro att åtminstone ett dataskyddsombud känner till kraven GDPR ställer på hur ett korrekt samtycke går till. Definitionen av samtycke enligt GDPR finns i dess artikel 4, 11:e paragrafen och lyder:

“‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her”

– GDPR Article 4 : Definitions

Samtycke enligt GDPR

Ett samtycke ska alltså vara:

1. Frivilligt – tänk då att man ska kunna avstå och inte med maktmedel behöva samtycka. Alltså är maktrelationen mellan parterna viktig.
2. Specifikt – det vill säga avgränsat till något särskilt. Inte att man frånsäger sig alla rättigheter för alltid, även i omständigheter som ännu inte är uppfunna.
3. Informerat och otvetydigt – exempelvis att man behöver veta till vad och för vem man ger samtycke. Alltså duger inte ett samtycke “Går du med på cookies; Ja eller nej” om det handlar om tredjeparter.

Ett samtycke kan dessutom återkallas och då måste den som inhämtat samtycket “rulla tillbaka” allt, radera allt samt se till att alla eventuella tredjeparter gör samma sak. Jag jobbade i Västra Götalandsregionens GDPR-projekt 2018 delvis, tror jag, för mitt stora intresse inom personlig integritet men också som sakkunnig för webbanalys-området. Det var tydligt att de jurister vi hade i projektet tyckte att samtycke var en usel väg att gå på grund av alla praktiska problem det innebär. Att man borde söka en annan laglig grund om så var möjligt och verkligen fundera på om insamlingen var så pass nödvändig att det motiverade det potentiella arbetet med att hantera samtycken.

En annan grej är att offentlig sektor rimligen inte borde få lov ställa samtyckes-krav på invånare i gengäld till den samhällsservice som organisationen oftast enligt lagstiftning är tvungen att erbjuda. Det rimmar illa med frivilligheten.

“Vi har dock anonymiserat IP-adresserna”

När man diskuterar det här problemet hänvisar vissa organisationer till att de ska ha anonymiserat IP-adresserna. Detta är särskilt vanligt bland de som haft Google Analytics som verktyg för webbanalys och tror att detta är en bra nog åtgärd.

“Jo det är festligt med den där anonymiseringen som bara anonymiserar för sajtägaren.”

– Nikke Lindqvist (Twitter)

Det finns nämligen en inställning man kan göra när man har Google Analytics på sin webbplats där man instruerar Google att inte behålla den kompletta IP-adressen. Det handlar alltså om en önskan gentemot Google och om långtidslagring. Du som läst på om amerikansk lagstiftning och vad Edward Snowden släppte för snart tio år sedan vet att amerikanska myndigheter har sätt att få ut de uppgifter de vill. Dessutom tvingas rutinmässigt de amerikanska IT-företagen att inte berätta för sina kunder när de ska dela med sig av data.

Anonymisering av IP-adresser i Google Analytics är inte tillräckligt (Alexander Gustafsson)

Det går inte att anonymisera IP-adresser om användarens egen dator ska hämta materialet direkt från tredjeparten. Det är inte så internet fungerar. Användarens IP-adress och tredjepartens IP-adress är förutsättningar för att de ska kunna kommunicera med varandra.

Ibland stöter man också på de som menar att det var deras webbserver som hämtade materialet hos tredjeparten. Om så vore fallet skulle dock inte tredjeparterna dyka upp alls i webbläsarens Network-flik i utvecklarläget eller synas i PageXray-tjänsten som är metoden för denna granskning.

Dock är principen möjlig. Exempelvis erbjuder Google verktyg för att man från webbservern ska rapportera uppgifter till Google Analytics, vilket gör att det varken behövs kakor eller direktkommunikation mellan användaren och tredjeparten. I dessa fall är det webbplatsägaren själv som ansvarar för att “anonymisera” IP-adressen och andra uppgifter som kan innehålla personuppgifter - så kallade PII (Personal Identifiable Information).

Metod

För att genomföra granskningen har PageXray använts, precis som i de tester vi gjort sedan i våras på samtliga webbplatser som listas på Webperf. Det är enbart respektive regions startsida som kontrollerats, vilket normalt sett brukar räcka för att hitta saker som inte borde finnas på webbplatsen.

Respektive region nedan har en bild som visar upp vilka tredjeparter de har. Dessa tredjeparter kontaktas alltså utan att användaren gett ett ja-svar i eventuella samtyckes-frågor / cookie-frågor. De struntar helt enkelt i användarens rätt att tacka nej eller ignorera att svara över huvud taget. Det gör att de inte följer kraven för att samtycke ska vara deras lagliga grund för behandling av personuppgifter. Sen vilken laglig grund de hävdar som även omfattar amerikanska IT-företag är oklart.

I samtliga fall är testet kört den 1:a augusti 2021, med EU-versionen av PageXray.

Observera!

När det är en amerikansk flagga bredvid en tjänst betyder det att den tjänsten har amerikanska beroenden eller driftas av en amerikansk organisation. Det gör dem extra problematiska. Eftersom webbplatsen inte inhämtat ett samtycke behöver de förklaras med en annan laglig grund enligt GDPR, och det bör i de flesta fall vara omöjligt om man tänker på EU-domstolens utslag i Schrems 2-domen.

När du hittar en flagga för ett land inom EU är det problematiska att de som ansvarar för webbplatsen behöver ha en laglig grund, för de har i alla fall inte fått ett korrekt samtycke.

Provkör PageXray på egen hand (FouAnalytics)

Region Stockholm

Region Stockholm har ett antal tredjeparter som har beroenden utanför EU. Stockholm efterfrågar inget samtycke för någon av sina tredjeparter så de anser förmodligen att de har en annan laglig rätt att låta dessa tredjeparter ta del av våra IP-adresser / personuppgifter.

Region Stockholms amerikanska tredjeparter:

• Google (Ajax, Translate)
• Jquery
• Siteimprove Analytics

Med tanke på att Jquery(.)com har hackats vid upprepade tillfällen är det en väldigt dålig idé att hämta Javascript därifrån. Rent utav en direkt säkerhetsrisk för besökarna.

Tredjeparter inom EU:

• Dreambroker
• Readspeaker
• Siteimprove Analytics (.io-version)

Region Uppsala

Region Uppsala är lite mer återhållsamma jämfört med sin sydliga grannregion och har bara två tredjepartstjänster som laddas in. Båda amerikanska.

• Episerver
• Readspeaker

Region Sörmland

Sörmland kör främst Google-molntjänster och här dyker webbanalys-verktyget Google Analytics upp för första gången bland regionerna. Notera att Region Sörmland mycket väl kan argumentera för att de ber Google “anonymisera” IP-adresserna som Google samlar in. Men, dels får Google den kompletta IP-adressen genom direktkommunikation och kan också tvingas av amerikanska myndigheter att kontinuerligt ge dem alla uppgifter som kommer Google till del. Du som tvivlar på detta rekommenderas läsa på om PRISM, ett amerikanskt övervakningsprogram Google anslöt sig till 2009.

Region Sörmlands amerikanska tredjeparter:

• Browsealoud
• Google (Fonts, Analytics, Translate)

Svenska tredjeparter:

• Vizzit – ett webbanalysverktyg

Region Östergötland

Region Östergötland har nästan lyckats med att hålla sig inom EU. Anledningen till att de ändå misslyckas är för att Siteimprove Analytics delvis har amerikanska kopplingar enligt PageXray. Sen återstår frågan om vilken laglig grund Östergötland hävdar i och med att de i detta test i alla fall inte fått något samtycke. Hela samtyckesfrågan på webben kan upplevas mindre angelägen om en webbplats åtminstone håller sig till leverantörer enbart inom EU.

Östergötlands amerikanska tredjeparter:

• Siteimprove Analytics

Tredjeparter inom EU:

• Readspeaker
• Siteimprove Analytics (.io-version)

Region Jönköpings län

Region Jönköpings län kör vitt och brett med amerikanska molntjänster för sin webbplats. Det är lite beklämmande att se de två största informationshamstrarna på Region Jönköpings webbplats.

Region Jönköpings amerikanska tredjeparter:

• Bootstrap CDN
• Facebook
• Google (Fonts, Translate)
• Siteimprove Analytics

Region Kronoberg

Region Kronoberg håller verkligen inte igen med att blanda in tredjeparter. De har tillräckligt många amerikanska för att det ska se illa ut. Tänk om Kronoberg skulle bli tvungen att lämna ut ett registerutdrag i enlighet med GDPR, eller radera uppgifter, och för varje invånare blir tvungen att kontakta alla dessa aktörer… Det kan också vara en motivering att minska antalet tredjeparter, så man slipper en så stor administrativ börda.

Region Kronobergs amerikanska tredjeparter:

• Casalemedia
• Facebook
• Google (Fonts, Analytics)
• Microsoft (Linkedin)

Tredjeparter inom EU och länder med adekvat skydd:

• 1rx
• 360yield
• Adform
• Adnxs
• Advertising
• Pubmatic
• Rubiconproject
• Spotxchange
• Unrulymedia

Storbritannien har efter Brexit tagit en egen GDPR-motsvarande lag och sommaren 2021 beslöt EU att skyddet är bra nog. Storbritannien är att betrakta som inom EU ur GDPR:s synpunkt.

Decision on the adequate protection of personal data by the United Kingdom - General Data Protection Regulation (European Commission)

Region Kalmar län

Region Kalmar län använder av någon anledning två olika webbanalys-verktyg. Ett svenskt och ett som har både tyska och amerikanska kopplingar.

Kalmar läns amerikanska tredjeparter:

• Browsealoud
• Fonts.net
• Siteimprove Analytics

Tredjeparter inom EU:

• Siteimprove Analytics (.io-version)
• Vizzit

Region Gotland

Jag har haft ett intressant mejlutbyte med Region Gotland som informationsinsamling för denna granskning. De verkar inte ha förstått att man inte kan slänga upp ett cookie-meddelande och på så sätt friskriva sig och få en laglig grund.

“Grunden för vår behandling av cookies är det godkännande du lämnat, där det även framgår hur du kan göra för att säkerställa att uppgifter inte samlas in.”

– tjänsteperson på Region Gotland

Min fetning:

“Eftersom vi inte haft för avsikt att behandla dina personuppgifter själva eller via biträden utan använder IP-adressen som en nätverksadress för att tekniskt leverera tjänsten, har vi för transparensens skull utformat tjänsten så att den informerar om att webbplatsen kräver användning av cookies för att fungera som den är tänkt. För det fall IP-adressen kan anses vara en personuppgift är det detta informerade godkännande som är grunden för behandlingen.”

– tjänsteperson på Region Gotland

Här sätter de sig i en större knipa genom att tro att de använder sig av ett samtycke som de faktiskt inte fått. I de fall de får ett samtycke från sina användare kan de ändå få problem om det inte lever upp till de krav som ställs på ett samtycke, exempelvis att det ska vara frivilligt, informerat och utan tvetydigheter. Jag skulle tippa på att ingen av deras användare är välinformerade om nedan tredjeparter när de eventuellt klickar ok för ett samtycke. Och dessutom är samtycke något som kan tas tillbaka. Hur skulle Region Gotland hantera det med dessa tredjeparter?

“Vi har utformat tjänsten för att så långt som möjligt skydda den personliga integriteten hos användarna, men kommer att fortsätta utveckla tjänsterna för att stärka skyddet.”

– tjänsteperson på Region Gotland

Jag som själv är webbutvecklare i grunden skulle verkligen inte hålla med om påståendet att “så långt som möjligt skydda den personliga integriteten hos användarna”. Snarare att de är sämre än genomsnittet av regionerna.

Amerikanskt Matomo-moln

Tyvärr fumlade Region Gotland när de skaffade Matomo för webbanalys och skaffade den variant av molntjänst som har amerikanska beroenden. På så sätt blir det lite samma bekymmer som med Google Analytics.

“På gotland.se används cookies för vår besöksstatisk, vi använder oss av Matomo för att göra det integritetskompatibelt så anonymiseras de sista tre byten på IP-adressen exempelvis 192.xxx.xxx.xxx.”

– tjänsteperson på Region Gotland

Så nära men tyvärr ingen cigarr för det bytet av webbanalys-verktyg. De borde förstås ha köpt en molntjänst för Matomo i EU eller driftat det själva.

Region Gotlands amerikanska tredjeparter:

• Google (Ajax, Fonts)
• Matomo Cloud
• Browsealoud
• Datatables
• Fontawesome
• Jquery (tydlig säkerhetsrisk)

Tredjeparter inom EU:

• Jsdelivr

Region Blekinge

Blekinge har bara en tredjepart och i jämförelse med de andra regionerna är det rätt bra, även fast den gärna hade fått vara inom EU. Och som tidigare nämnt är den där anonymiseringen av IP-adresser i Google Analytics inte mycket att hänga i granen.

Region Blekinges amerikanska molntjänster:

• Google Analytics

Region Skåne

Region Skåne har en svensk och en amerikansk tredjepart på sin webbplats. Kanske tänker de att allt med Episerver är svenskt?

Skånes amerikanska tredjeparter:

• Episerver

Tredjeparter i EU:

• Lightsinline

Region Halland

Region Halland har legat riktigt bra till här på Webperf om man ser till det övergripande betyget. När det gäller tredjeparter har de bara en enda.

Region Hallands amerikanska tredjeparter:

• Browsealoud

Västra Götalandsregionen

Om det här vore en tävling skulle Västra Götalandsregionen vara den solklara vinnaren eftersom man inte har några tredjeparter över huvud taget. Det ska nämnas att denna granskning endast kollat på respektive webbplats startsida, vilket varit fullt tillräckligt för de andra regionernas webbplatser.

Jag som tidigare arbetat med Västra Götalandsregionens digitala medier vet dock att om man letar runt på webbplatsen kan man åtminstone hitta videoklipp från den amerikanska videotjänsten Vimeo. Google Maps uteslöts dock redan i designarbetet för nuvarande webbplats med hänvisning till kartor från Lantmäteriet.

Region Värmland

Region Värmland är ganska genomsnittliga i hur de jobbar med tredjeparter och blandar amerikanskt med tyskt.

Värmlands amerikanska tredjeparter:

• Google Fonts
• Myfonts

Tredjeparter inom EU:

• Readspeaker

Region Örebro län

Region Örebro läns egen domän har i sig amerikansk koppling. Jag har inte undersökt hur det kommer sig, men kanske att de köper överbelastningsskydd av någon leverantör med amerikanska beroenden.

Tyskt Matomo-moln

Till skillnad från Region Gotland som hade en amerikansk variant av Matomo Cloud kör Region Örebro län med en tysk. Bra det.

Örebro läns amerikanska tredjeparter:

• Microsoft (CDN)

Tredjeparter inom EU:

• Matomo Cloud
• Visual Studio

Region Västmanland

Region Västmanland har inte så många tredjeparter, dock två amerikanska vilket är en försvårande omständighet.

“Har jag förstått dig rätt att trots att du INTE godkänt kakorna så accepteras kakorna alla fall?”

– Region Västmanlands dataskyddsombud

Svaret på dataskyddsombudets fråga ovan är ja, absolut. Man tänker att de hade koll på detta med kakor/IP-adresser antingen när webbplatsen byggdes eller vid GDPR-inventering senast 2018.

Västmanlands amerikanska tredjeparter:

• Episerver
• Google (Youtube)

Tredjeparter i EU:

• Readspeaker

Det ska dock tilläggas att Region Västmanland verkar ha fått till en korrekt hantering av webbanalys. Enligt deras dataskyddsombud har de Matomo och när det inte syns i denna granskning är det troligen en förstahands-cookie eller att deras Matomo bygger på logganalys.

“Vad gäller kakorna som är för statistik och utvärdering som du inte frågat om använder Region Västmanland applikationen Matomo som vi driftar i egen server och äger datan helt själv.”

– Region Västmanlands dataskyddsombud

Region Dalarna

Region Dalarna har en väldans massa tredjeparter där alla har amerikanska beroenden.

Dalarnas amerikanska tredjeparter:

• Google (Ajax, Fonts, Analytics, Doubleclick, Ad Services, Tag Manager)
• Bootstrap CDN
• Browsealoud
• Cloudflare
• Fontawesome
• Microsoft CDN
• Rsms
• Siteimprove Analytics

Tredjeparter inom EU:

• Microsofts Visual Studio

Region Gävleborg

Region Gävleborg är ganska genomsnittliga i sin användning av tredjeparter. Samtliga har någonstans en amerikansk koppling.

Gävleborgs amerikanska tredjeparter:

• Google Ajax
• Bootstrap CDN
• Cloudflare
• Episerver
• New Relic (bakom en tysk återfinns en amerikansk koppling)

Region Västernorrland

Region Västernorrland är inte ensamma, men nog är det lite knasigt att ha fler än ett verktyg för webbanalys? Troligen håller de på att fasa ut det ena eller om de skaffat ett till för att utvärdera alternativen.

Region Västernorrlands amerikanska tredjeparter:

• Browsealoud
• Episerver
• Google Fonts
• Siteimprove Analytics

Tredjeparter inom EU:

• Siteimprove Analytics (.io-version)
• Vizzit

Region Jämtland Härjedalen

Som några andra regioner har Jämtland-Härjedalen både svenska Vizzit och ytterligare ett verktyg för webbanalys i form av Google Analytics. Förhoppningsvis är deras Google Analytics under utfasning.

Jämtland Härjedalens amerikanska tredjeparter:

• Google (Analytics, Translate, Fonts)
• Facebook (Instagram)
• Microsofts CDN (msecdn)

Tredjeparter inom EU:

• 5p4rk13.com som bakom sig gömmer ett gäng amerikanska molntjänster
• Readspeaker
• Vizzit

Region Västerbotten

Region Västerbotten tillhör den minoritet av regionerna som fortfarande har kvar Google Analytics. Det kan vara så att några av de andra har kvar Google Analytics med men gömmer det bakom serverside-teknik, förhoppningsvis med maskerade IP-adresser.

Annars är Västerbotten ganska genomsnittliga, vilket inte ska ses som ett bra betyg i den här undersökningen.

Region Västerbottens amerikanska tredjeparter:

• Google (Ajax, Fonts, Analytics, Tag Manager)
• Microsoft (aspnetcdn)
• Bootstrap CDN
• Cloudflare

Tredjeparter inom EU:

• Insipio

Region Norrbotten

Region Norrbotten har nog missat att Jquerys webbplats hackats ett antal gånger vid det här laget och är direkt olämpliga att hämta Javascript ifrån som ska köras i användarnas webbläsare.

Region Norrbottens amerikanska tredjeparter:

• Google Ajax
• Jquery
• Readspeaker
• Rsms
• Siteimprove Analytics

Tredjeparter inom EU:

• Siteimprove
• Siteimprove Analytics (.io-version)

Mer om GDPR och personuppgifter

• Vad är personuppgifter? (Integritetsskyddsmyndigheten)
• Samtycke som rättslig grund (Integritetsskyddsmyndigheten)
• Anonymisering av IP-adresser i Google Analytics är inte tillräcklig (Alexander Gustafsson)
• Decision on the adequate protection of personal data by the United Kingdom - General Data Protection Regulation (European Commission)
• Personal data (Wikipedia)
• PRISM (Wikipedia) – ett amerikanskt övervakningsprogram
• Nytt integritetstest - kollar fingerprinting, annonsservrar, kakor, tredjeparter utanför EU, m.m. (Webperf)
• Integritet & säkerhet – nytt betyg på Webperf (Webperf)
• Dark pattern: Lura sina användare med hjälp av design (Webperf)