User Experience
Så gynnar UX din affär
4 anledningar till varför god UX bör vara en del av affärsstrategin.
Teknik
Vad är device fingerprinting?
Alla som någon gång har upplevt följande räcker upp en hand:
Du går in på en shoppingsite, tittar på några olika tröjor och surfar sedan vidare. Du har inte loggat in någonstans, inte godkänt några cookies eller talat om vem du är. Ändå dyker exakt samma tröjor som du tittade på i webbshoppen upp i annons efter annons på andra webbplatser och i sociala medier.
Detta kan vara ett resultat av device fingerprinting eller browser fingerprinting som det också kallas.
Ditt digitala fingeravtryck
Man hör ofta att vi lämnar digitala fingeravtryck efter oss så fort vi använder digitala enheter. Men vi får sällan en förklaring till vad dessa fingeravtryck består av eller hur de samlas in.
Till att börja med vill vi skilja mellan:
- Personlig information
Personlig information är information om dig som person: ditt namn, födelsedatum, e-postadress och liknande. - Teknisk information
Teknisk information är information om din dator eller mobil: märke, operativsystem, processor, vilken webbläsare du använder, vilken storlek du har på din skärm, vilken tidszon du befinner dig i, vilket språk du har inställt och så vidare.
Den personliga informationen är svår att komma åt anonymt. För att få tillgång till den krävs det någon form av inloggning till en webbplats eller tjänst där du själv har matat in uppgifterna och godkänt hur de används, t.ex. Facebook eller Google. Teknisk information däremot är enkel att få tag på. Din webbläsare bjuder gladeligen på den till alla webbplatser du besöker vare sig du vill det eller ej. Du kan se själv vad din webbläsare skickar genom att besöka:
En bra liknelse är att se varje enskild informationsbit som en linje i ett fingeravtryck. Tittar man bara på en enda linje i fingeravtrycket så går det inte att särskilja en individ från en annan. Men om du tittar på alla linjer samtidigt, dvs. hela fingeravtrycket så blir det unikt. Device fingerprinting fungerar på samma sätt: en enskild databit, t.ex. det faktum att du använder Mozilla Firefox gör dig enbart till en av 250 miljoner andra användare runt om i världen. Om du däremot väger in allt annat som din webbläsare delar med sig av såsom skärmupplösning, språkval, grafikkort, processor, tidszon, systemtypsnitt osv. så blir ditt digitala fingeravtryck mer eller mindre unikt.
För att testa hur unikt just mitt digitala fingeravtryck är använde jag ett online-verktyg som heter Panopticlick (https://panopticlick.eff.org/) och kunde konstatera att det var helt unikt bland alla 234 173 användare som hade använt verktyget de senaste 45 dagarna. Träffsäkerheten är med andra ord god.
Det innebär att genom att göra en sammantagen analys av till synes helt anonym teknisk information så kan du (eller snarare ditt digitala fingeravtryck) användas för att spåra dina aktiviteter på nätet. Och det är hyfsat robust också. Även om du tar till knep som att blockera cookies eller använda ett VPN (Virtual Private Network) för att maskera ditt IP-nummer så kan du identifieras ändå via ditt digitala fingeravtryck i 99% av fallen.
Varför skickar webbläsaren ut denna information överhuvudtaget?
Självklart skulle de som utvecklar webbläsare inte ha denna funktion om det inte fanns en bra anledning. För att bygga tjänster på nätet så behöver man ha tillgång till information om besökarnas dator, surfplatta eller mobil och den miljö den befinner sig i. Man kanske behöver göra anpassningar i designen baserat på användarens skärmupplösning eller vill se till att guida användaren till rätt språkversion av webbplatsen baserat på språkinställningar. En del har speciella mobila versioner av sina webbplatser och behöver därför ett sätt att avgöra om en besökare använder en mobil, en surfplatta eller en vanlig dator. Generellt kan man säga att ju mer avancerad tjänsten är, desto mer information behöver den få om användarens digitala enhet för att kunna säkerställa att allt kommer att fungera som det ska. Ett högaktuellt exempel på en typ av tjänst där man är helt beroende av att få in information om användarens dator är videokonferenser i och med att man måste veta exakt vilka möjligheter användarens dator har att både ta emot och skicka video och ljud.
Samtidigt kommer det tecken på att webbläsarföretagen är oroliga över utvecklingen. Under 2019 gick Google ut och meddelade att de gradvis kommer att försvåra bl.a. device fingerprinting i Google Chrome inom ramarna för vad de kallar "The Privacy Sandbox". En strategi för att begränsa mängden teknisk information som webbläsaren skickar ut är genom att tillämpa vad de kallar en "Privacy budget":
"Fundamentally, we want to limit how much information about individual users is exposed to sites so that in total it is insufficient to identify and track users across the web, except for possibly as part of large, heterogeneous groups."
I korthet går det ut på att en tjänst tilldelas en viss budget för hur mycket information den kan få från en enskild användares webbläsare. För varje informationsinhämtningstillfälle äts en del av budgeten upp. När budgeten är slut slutar även användarens webbläsare att dela med sig av informationen. På så vis försvårar man för de som använder device fingerprinting eftersom det inte går att spåra en enskild användare över en längre tid. Google säger dock själva att det är en komplicerad balansgång. Stramar man åt för hårt riskerar man att vanliga webbplatser och tjänster på nätet slutar att fungera.
Varför inte bara använda cookies?
Så varför skriver man inte bara en cookie till användarens webbläsare och använder den för att spåra användarens aktivitet på nätet? Det finns flera anledningar till det. Dels handlar det om lagstiftning, dels om teknik. Att skriva en identifieringscookie till någons webbläsare är en aktiv form av spårning och dessutom något som användaren själv enligt lag måste godkänna (åtminstone inom EU sedan GDPR infördes). Det är alltså att betrakta som ett mer explicit sätt att spåra en användare. Men den främsta anledningen är att det rent tekniskt är ganska enkelt att blockera cookies i sin webbläsare vilket gör att spårning via cookies slutar att fungera. Den tekniska information som din webbläsare delar med sig av är en helt passiv form av spårning i och med att man bara tar emot det som du (eller snarare din webbläsare) redan skickar och den behöver inga cookies för att fungera.
Just det faktum att din webbläsare skickar iväg teknisk information vare sig du vill det eller inte och att den kan fångas upp och bearbetas av olika aktörer på nätet helt i tysthet är det som lockar data brokers och marknadsförare och skrämmer användare och lagstiftare.
Vad säger GDPR om detta?
Om man tittar på hur GDPR är utformad så är den teknikneutral. Man listar inte tekniker eller ger exempel på användande av teknik som skulle innebära att man bryter mot GDPR. Istället säger man att all data som kan urskilja en enskild individ från andra individer ska betraktas som personlig data. Märk väl att det är inte samma sak som att identifiera någon som person med namn och bild, utan enbart att man kan utskilja och därmed spåra en enskild individ. Med den definitionen så innebär device fingerprinting alltså att man bryter mot GDPR.
Electronic Frontier Foundation (EFF) är en ideel organisation som bevakar digital personlig integritet. De gör samma bedömning men säger samtidigt att även med GDPR på plats så tror de inte att det inte kommer att påverka användandet av device fingerprinting i någon större utsträckning. En del företag som använder sig av device fingerprinting för att spåra europeiska medborgares aktiviteter på nätet kommer troligtvis att göra allt i sin makt för att hävda att de har legitima skäl till att samla in och använda informationen. Andra aktörer, speciellt de utanför EU, kommer att vara villiga att ta risken och helt enkelt strunta i att deras informationsinsamlande faller under GDPR. Men EFF säger samtidigt att dessa aktörer tar en väldigt stor risk eftersom de ekonomiska konsekvenserna är massiva om de skulle bli påkomna.
Frågan är bara om de blir det?
Vad säger Datainspektionen och EU?
För att få klarhet i hur många som dömts under GDPR på grund av att de använt device fingerprinting kontaktade vi Datainspektionen med följande fråga:
"Finns det några exempel på företag i Sverige eller inom EU som har dömts för att de har använt device fingerprinting för att samla in och bearbeta information utan användarens samtycke?"
Vi får inget tydligt svar på den frågan, men vi får i alla fall bekräftat att device fingerprinting faller under dataskyddsförordningen och att en aktör som vill använda och behandla en användares tekniska data måste få ett samtycke från användaren för att få göra detta.
"Om de elektroniska spåren kan härledas till en identifierbar individ utgör de personuppgifter och omfattas därmed av bestämmelserna i dataskyddsförordningen.
Europeiska dataskyddstyrelsen har i ett yttrande konstaterat att divice fingerprinting omfattas av ePrivacydirektivets bestämmelser. Det innebär att en aktör som vill behandla device fingerprints på en användares enhet måste erhålla ett samtycke enligt reglerna i ePrivacydirektivet. Man kan läsa yttrandet här: https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp224_en.pdf"
Yttrandet är från 2014 och således inte dagsfärskt. Men av yttrandet kan man utläsa att device fingerprinting är ett problem när det gäller personlig integritet och att man tar det på allvar inom EU:
"Device fingerprinting presents serious data protection concerns for individuals. For example, a number of online services have proposed device fingerprinting as an alternative to HTTP cookies for the purpose of providing analytics or for tracking without the need for consent under Article 5(3).1 This demonstrates that the risks presented by device fingerprinting are not theoretical and research has shown that device fingerprinting is already being exploited."
Sammanfattningsvis verkar det som att man på både nationell nivå och EU-nivå är medvetna om problemet. Men det verkar samtidigt som ingen gör något konkret för att identifiera och åtala de företag eller organisationer som bryter mot lagen genom sitt användande av tekniken. De företag som står för infrastrukturen bakom, t.ex. Google, verkar däremot vara mer benägna att agera för att försvåra för de som missbrukar tekniken.
