Rek.ai i offentlig sektor – tjänst för personalisering på webben

Rek.ai är ett svenskt företag vilket i dessa post-Schrems-tider förstås är en stor potentiell konkurrensfördel jämfört med många andra företag, särskilt de amerikanska som annars brukar dominera teknikindustrin. Rek.ai verkar också ta frågan om dataskydd en hel del mer allvarligt än andra.

“Vi kommer från en bakgrund inom offentlig verksamhet, så anonymitet har redan från början varit en av våra grundpelare. Därför ser vi Schrems-domen endast som en möjlighet. De av våra kunder som har kvar gamla länkar (utanför EU) hjälper vi uppdatera till de svenska.”

– Johan Albertsson, Rek.ai

Nu snart ett år efter att EU-domstolen satte ner foten, den omtalade Schrems 2-domen, är rek.ai’s övergång till svenska molntjänster mestadels klar. Vi upptäckte exempelvis att Solna den 29:e juni fortfarande hade kvar den äldre varianten av rek.ai som är baserad på amerikanska tjänster. Den amerikanska tjänst som är lätt att upptäcka är Cloudflare, vilket troligtvis används för att de erbjuder ett kompetent Content Delivery Network (CDN).

Men hur ser det ut för de andra kunderna som rek.ai har? Är de också exponerade för Schrems 2?

Kunder till rek.ai i svensk offentlig sektor

Webperf har strax över 650 st webbplatser som vi definierar som offentlig sektor. Det är främst kommuner, regioner och myndigheter, men också ett gäng andra.

8 av dessa 29 st kunder till rek.ai använde den 29:e juni fortfarande den amerikanska varianten av tjänsten. Tjänsten klassas som amerikansk åtminstone om man går efter definitionen som PageXray / FouAnalytics gör. Två av dessa (Kammarkollegiet och Götene) kunde rek.ai fixa mer eller mindre omgående när de nåddes av ett utkast av denna bloggpost, de andra sex kräver en insats av kundens utvecklare eller konsulter.

Man kan dock fråga sig hur prioriterad denna frågan är hos rek.ai-kunder. En ledtråd kan vara att ingen av dessa har en korrekt samtyckeshantering, trots att rek.ai erbjuder en sådan:

”När det kommer till samtycke har vi en kund som använder en opt-in-tjänst ihop med vår produkt. Så vi har stöd för det, men ännu är det inte så många som efterfrågar det.”

– rek.ai vid fråga om samtyckeshantering

Följande organisationer har rek.ai på startsidan på sin webbplats:

1. Bjuv – svenskt rek.ai och Sitevision Cloud, men amerikansk Google Fonts och Bootstrap CDN.
2. Emmaboda – svensk rek.ai, men amerikanska Siteimprove Analytics, Google Translate och Browse Aloud
3. Eskilstuna – svensk rek.ai, Sitevision Cloud, Vizzit och Read speaker, men amerikanska Google Translate och Typekit.
4. Fagersta – svensk rek.ai, Sitevision cloud och Read speaker, men amerikanska Google Fonts.
5. Falkenbergs kommun – svenskt rek.ai och Stratsys, men amerikansk Siteimprove Analytics, Google Maps, Crazy Egg, Google Analytics och Google Tag Manager.
6. Falun – svensk rek.ai, Read speaker och Vizzit, men amerikanska Siteimprove Analytics och Google Analytics.
7. Gislaved – svensk rek.ai, men amerikanska Google Analytics, Fontawesome, Jquery.com och Monsido
8. Götene – dessvärre amerikansk rek.ai (29:e juni kl 22:42), samt Google Maps, Google Analytics, Google Translate och unpkg.com
9. Halmstad – svensk rek.ai och Vizzit, dock amerikansk Siteimprove Analytics
10. Hässleholm – svensk rek.ai, Vizzit och Web Service Award, men amerikanska BootstrapCDN, Siteimprove Analytics, Google Translate.
11. Höganäs – svensk rek.ai, Read speaker och Vizzit, men amerikanska Google Translate
12. Högskolan i Gävle – svensk rek.ai, Sitevision cloud och Read speaker, men amerikanska Siteimprove Analytics, Imbox.io och userneeds.com
13. Institutet för Språk och Folkminnen – svensk rek.ai och Sitevision cloud.
14. Järfälla – svensk rek.ai, men amerikansk Fontawesome, Google Fonts och Monsido
15. Kammarkollegiet – amerikansk rek.ai (29:e juni klockan 14:33), Cloudflare, Google Fonts, Google Analytics och Siteimprove Analytics
16. Krokom – svensk rek.ai, Sitevision cloud och Vizzit, men amerikansk Browse aloud och Google Fonts.
17. Lomma – svensk rek.ai men amerikanska Kundo, Linkedin, Google Translate, Browse aloud, Fontawesome, mfl.
18. Luleå – amerikansk rek.ai (29:e juni kl 22:29) och Google Fonts
19. Malmö – amerikansk rek.ai, Siteimprove Analytics, Google Analytics och Browse aloud
20. Mälardalens Högskola – svensk rek.ai, amerikansk Facebook, Google Fonts, Myfonts, Adform och Google Analytics.
21. Nordanstig – svensk rek.ai, Read speaker och Vizzit, men amerikanska Google Translate, Monsido och Github
22. Nynäshamn – svensk rek.ai, Read speaker och Vizit, amerikansk Google Translate
23. Skövde – svensk Vizzit, men amerikansk rek.ai (29:e juni kl 23:05), Google Translate, Google Fonts, Inbox.io, BootstrapCDN, Read speaker, Google Maps, Jquery.com, Youtube
24. Solna – svensk Sitevision cloud och Vizzit, men amerikansk rek.ai (29:e juni kl 23:07), Read speaker, Google Translate
25. Statens medieråd – svensk Read speaker, men amerikansk Rek.ai (29:e juni kl 23:08, Google Fonts.
26. Svenljunga – svensk rek.ai och Vizzit, amerikansk Google Fonts, Fontawesome och Browse aloud
27. Trelleborg – svensk rek.ai
28. Upplands-Bro – svensk rek.ai och Vizzit, amerikanska Google Fonts och BootstrapCDN
29. Älmhult – svensk Vizzit, men amerikansk rek.ai (29:e juni kl 23:12), Browse aloud, CitybreakCDN, Google Fonts, Google Translate

Slutsats

Alla av dessa organisationer (utom Institutet för Språk och Folkminnen, samt Trelleborg) gör ju ett rätt dåligt jobb med att akta sig för följderna av Schrems 2. De flesta har en svensk rek.ai, men alla utom två läcker uppgifter åt alla möjliga håll.

Så frågan är om dessa 27 organisationer i offentlig sektor borde anmäla detta som en incident till Integritetsskyddsmyndigheten (IMY) precis som många gjorde när de insåg problemet med Google Analytics efter Sveriges Radios granskning i våras ? Jag kan tycka det. Är det inte dags att offentlig sektor börjar jobba lite mer ordnat med dataskydd?