Ta kontroll över tredjepartstjänster och integritet

Tillgänglighet och lagkrav

Att hålla koll på webbplatsens beroenden av tredjepartstjänster har alltid varit viktigt av flera skäl. Sedan dataskyddsförordningen trädde i kraft, följt av den amerikanska lagstiftningen Cloud Act och domen i Schrems II-målet som vi tidigare har skrivit om, så har det blivit mer aktuellt än någonsin att se över de externa tjänster som används på webbplatsen.

Foto: En laptop och två mobiltelefoner ligger på ett skrivbord.

Att bädda in en video från YouTube, ett bildflöde för Instagram eller en karta från Google Maps kan tyckas vara ett smidigt sätt att lägga till funktioner på webbplatsen utan att behöva bygga till egen funktionalitet för ändamålet. Ofta är tredjepartstjänsterna välbyggda, enkla att integrera och många gånger till synes helt kostnadsfria. Att vi dessutom stöter på dem på var och varannan webbplats vi surfar in på gör att användandet av dessa tjänster känns som en självklarhet för många.

Problematiken med tredjepartstjänster

Det tredjepartstjänsterna gör i bakgrunden är att koppla upp besökaren mot externa servrar som tillhandahålls av företaget bakom tredjepartstjänsten. En av riskerna med detta är att företaget bakom tjänsten kan spara undan uppgifter om besökarna utan deras kännedom eller medgivande.

Många av de tjänster som är kostnadsfria finansieras av data om webbplatsens besökare. Även betalda tredjepartstjänster riskerar att av olika anledningar lagra personuppgifter såsom besökarens IP-adress eller annan besöksdata, vilket faller in under GDPR. Då många av dessa företag dessutom är baserade i USA eller på något sätt har beroenden till ett eller flera länder utanför EU så finns det med anledning av Schrems II-domen och Cloud Act anledning att vara extra försiktig med överföring av dessa uppgifter till tredje land. Var vaksam på att en tjänst baserad i Sverige i sin tur kan använda underleverantörer från tredje land, vilket fortfarande exponerar besökarens uppgifter mot utomeuropeiska servrar/företag. Varje integrerad tredjepartstjänst där besökaren gör externa förfrågningar innebär alltså en risk för besökarens integritet.

Vi råder våra kunder att utbilda sina redaktörer kring riskerna med tredjepartstjänster, och även inventera de tjänster som används idag för att utreda vilket land de har beroenden till och om de är befogade att ha kvar. De vanligaste externa beroendena vi stöter på brukar handla om tjänster för webbanalys, uppläsning av innehåll, inbäddade videospelare, interaktiva kartor, listningar av olika slag och spamskydd (captcha). Varje förfrågning innebär en risk för att organisationen själv tappar kontrollen över hur besökarnas IP-adresser och andra uppgifter används av den externa parten.

Vi råder även våra kunder att vara extra kritiska när det gäller beroenden mot tjänster som lagrar sin data eller drivs av företag utanför EU, och större globala tjänster som ägnar sig åt en mer omfattande datainsamling och därmed kan ha mer detaljerad information om varje enskild IP-adress.

I de fall tjänsten erbjuder någon form av integritetsläge där överflödig datainsamling kan stängas av så rekommenderar vi att aktivera detta. Finns det möjlighet att integrera tjänsten på ett sätt som gör att de externa anropen kan ske på serversidan istället för klientsidan så är det också att föredra.

Ta hjälp av oss

Vi på Limepark har tagit fram verktyg för att inventera samtliga beroenden mot tredjepartstjänster på webbplatser och erbjuder en rapport över vilka sidor dessa tredjepartstjänster förekommer på samt i vilka länder de olika servrarna har sin geografiska hemvist. Vi hjälper även till med tips/rådgivning och vägar framåt för hur ni kan anpassa de olika tjänsterna eller formulera er mot företagen för att kolla vad som gäller kring integriteten för just deras tjänst.

Hör gärna av er till support@limepark.se så berättar vi mer!

Mer information

Tänkvärt kring tredjepartstjänster

Utöver risken att omedvetet dela besökarens uppgifter med tredje part finns det ett gäng andra faktorer att ha i åtanke när ni integrerar tredjepartstjänster. Då besökaren kopplar upp sig mot tredjepartens servrar blir webbplatsen beroende av att tjänsten fungerar som den ska, och besökaren riskerar att blir exponerad för de eventuella säkerhetsbrister som den tredje parten kan tänkas vara drabbad av.

En följdeffekt av detta kan även vara att laddningstiderna för webbplatsen blir längre och tillgängligheten blir sämre.

Läs mer om Cloud Act och Schrems II

Artikeln är skriven av: Tim Hultstrand Utvecklare tim@limepark.se