När människor ansöker om sjukförsäkring via statliga sajter förväntar de sig högsta möjliga integritet. Men en ny granskning visar att verkligheten kan vara en annan. I flera fall i USA har känsliga uppgifter om användare skickats vidare till några av världens största techbolag.
Det handlar om allt från kön och etnicitet till mer oväntade detaljer som familjeförhållanden. Uppgifterna har i vissa fall nått företag som Google, Meta och TikTok via små spårningsverktyg på webbplatserna.
Vad är det som har hänt
Enligt en granskning från Bloomberg har nästan alla av de 20 delstatliga sjukförsäkringsplattformarna i USA använt så kallade pixel trackers. Det är små kodsnuttar som vanligtvis används för analys och annonsering.
Problemet uppstår när dessa implementeras fel. Då kan de börja samla in och skicka vidare känslig information utan att det är tänkt.
I ett fall kunde en myndighetssajt i New York dela information om huruvida en användare hade en familjemedlem som varit frihetsberövad. I Washington D.C. skickades uppgifter om kön och etnicitet, där vissa datapunkter maskades medan andra inte gjorde det.
Även i Sverige används spårningsverktyg på myndighetssajter, vilket gör frågan om hur känslig data hanteras högst relevant även här.
Tekniken bakom läckan
Pixel trackers är en grundpelare i dagens digitala annonsmarknad. De används för att förstå användarbeteenden, mäta konverteringar och optimera annonser.
Men på sidor som hanterar vårddata eller andra känsliga uppgifter blir riskerna betydligt större. Om en pixel placeras på fel sida eller inte konfigureras korrekt kan den börja samla in information som aldrig var tänkt att delas.
Det är inte första gången problemet uppmärksammas. Flera vårdbolag och digitala vårdtjänster har tidigare tvingats erkänna att de av misstag delat patientdata med annonsplattformar.
Skillnaden nu är skalan. Över sju miljoner amerikaner använde dessa system för att köpa sjukförsäkring inför året, vilket innebär att konsekvenserna kan vara omfattande.
Vad det betyder för dig som svensk
Även om granskningen gäller USA är problematiken högst relevant i Sverige och övriga EU. Spårningsverktyg som används för analys och annonsering förekommer även på europeiska webbplatser, inklusive myndighetssajter, och har redan ifrågasatts av tillsynsmyndigheter.
Den svenska integritetsskyddsmyndigheten Integritetsskyddsmyndigheten (IMY) har till exempel slagit fast att användning av verktyg som Google Analytics kan bryta mot GDPR om personuppgifter överförs till tredjeland utan tillräckligt skydd. Flera svenska företag har därför tvingats ändra eller sluta använda vissa spårningstjänster, däribland Dagens Industri..
Problemet handlar inte bara om teknik utan om vilken typ av data som riskerar att exponeras. Enligt GDPR räknas uppgifter om hälsa, etnicitet och andra känsliga kategorier som särskilt skyddsvärda. Om sådan information samlas in eller delas via felkonfigurerade spårningsverktyg kan det innebära allvarliga överträdelser.
För svenska användare innebär det att även offentliga tjänster i teorin kan ha sårbarheter, särskilt om externa script används utan full kontroll. För myndigheter och bolag handlar det i praktiken om att säkerställa att inga personuppgifter oavsiktligt skickas vidare till tredje part.
Sammantaget visar både europeiska beslut och den amerikanska granskningen samma sak. Gränsen mellan legitima analysverktyg och integritetsrisker är tunn, och konsekvenserna kan bli stora om den överskrids.