BESKRIV KORTFATTAT VAD GRÄVET AVSLÖJAT
Vi avslöjade att två apotek, en nätläkare och en stödorganisation för psykisk ohälsa skickat minst en miljon kunders, patienters och läkares, samt användares personuppgifter till Facebook. De uppgifter som skickats har varit exempelvis mejladresser, telefonnummer samt information om att personen lagt ett klamydiatest eller inkontinensskydd i varukorgen, eller besökt en forumtråd med rubriken ”Ensam”. Genom att bygga vårt eget fejkade nätapotek, och därifrån skicka hundratusentals rader känslig hälsodata till Facebook, kunde vi även visa att teknikjätten lagrar känslig information om exempelvis hälsa och sexliv -- trots att Facebook säger sig ha filter som kan upptäcka och radera den innan den lagras.
PÅ VILKET SÄTT ANSER DU ATT GRÄVET UPPFYLLER KRITERIERNA FÖR EN GULDSPADE?
Vår omfattande analys av webbloggar har visat hur företag i den svenska vård- och hälsosektorn automatiskt samlat in exempelvis mejladresser från sina patienter och kunder, ihop med information om till exempel vilka receptfria läkemedel de lagt i varukorgen, och skickat informationen till Facebook via ett av företagets spårningsverktyg. Det är inte bara allmänheten som inte känt till hur Facebooks så kallade "Pixel" använts, utan även vård- och hälsoaktörerna själva. Samtliga har uppgett att de själva inte vetat hur verktyget varit inställt på deras webbplatser förrän vi kontaktat dem. Samtliga har nu anmält sig själva till Integritetsskyddsmyndigheten. Vi har, som ett av få medier i världen, närstuderat Facebook Pixel och vilken information som behandlas via verktyget. Vi har också undersökt vad som händer med informationen efteråt. Genom egna tester, och trots Facebooks stora informationsövertag, har vi kunnat granska Facebooks egna påståenden om hur deras system hanterar känslig hälsodata. Så vitt vi vet är det den första publiceringen som undersöker inte bara hur känslig data skickas till Facebook, utan också hur företagets egna så kallade ”filter” faktiskt fungerar.
HUR UPPSTOD URSPRUNGSIDÉN TILL PROJEKTET?
Vi hade tidigare granskat hur svenska banker använde Facebook Pixel och bestämde oss för att titta närmre på hälso- och vårdområdet, bland annat efter ett tips från en lyssnare. Eftersom de som jobbar inom denna sektor hanterar känslig information som de aldrig skulle dela med sig av i den fysiska världen ville vi också undersöka vilken information, förutom direkta personuppgifter (t.ex. mejladress) som delades med Facebook digitalt. När vi kunnat visa vad som skickats iväg ville vi undersöka om det Facebook uppgav (att de har ett filter som ska upptäcka och radera känslig hälsodata) faktiskt stämde. Att starta ett eget, fejkat apotek, var det enda sättet vi kunde komma på för att ta reda på detta.
VILKA ARBETSMETODER TILLÄMPADES?
Genom ett program vi själva byggt besökte vi automatiskt en rad webbplatser inom områdena hälsa och läkemedel för att se om de använde Facebook Pixel, och i så fall om de aktiverat pixeln på ett sätt som kunde leda till att personuppgifter som exempelvis mejladresser skickas till nätjätten. Det gav oss en lista på verksamheter som vi ville granska vidare. Nästa steg var att ta reda på dels om exempelvis mejladresser faktiskt skickades samt vilken annan information (t.ex. uppgift om köp av receptfria läkemedel) som också gick iväg. Vi kartlade först alla formulär på varje webbplats som vårt program identifierat som intressanta. Efter det började vi manuellt fylla i samtliga formulär vi hittat, t.ex. det formulär som dyker upp på en apotekssajt när man vill fullfölja ett köp eller den ”inbjudan” som en läkare skickar till en patients mejladress eller telefonnummer för att starta ett digitalt vårdmöte. Vi sparade den så kallade nätverksloggen vid varje besök. Samtidigt sparade vi verksamheternas cookiepolicys och integritetspolicys. När formulärsloggarna var insamlade analyserade vi med ett program vi byggt, för att hitta personuppgifter som skickas till Facebook samt annan information som skickas till Facebook (t.ex. namnet på det läkemedel som ligger i varukorgen). Materialet var omfattande. Totalt samlade vi in och analyserade över 150 nätverksloggar och över 1GB data. Samtliga loggar vi senare rapporterade om gick vi även igenom manuellt. Vi har också intervjuat experter, de granskade parterna och berörda personer. För att undersöka Facebooks påstående om att de har filter som tar bort känslig hälsodata när sådan upptäcks byggde vi vår egen hemsida. Där aktiverade vi en Facebook Pixel som vi dessutom knöt till vårt eget apotekskonto på Facebook. Vår webbplats – ett fejkat nätapotek – besöktes var femte sekund av en robotkund som vi också hade byggt. Robotkunden fyllde i våra personuppgifter ihop med uppgifter om läkemedel, diagnoser och symtom. När roboten la produkter i varukorgen eller sökte på olika varor eller symtom så skickades allt till Facebook. Samtidigt som roboten interagerade med vårt apotek så följde vi aktiviteten via vårt apotekskonto på Facebook. När vi stängde ner apoteket så hade Facebooks system tagit emot cirka 200,000 händelser med känslig data om t.ex. varor vår robotkund lagt i varukorgen. Via vårt konto kunde vi se att Facebook registrerade personuppgifter (t.ex. mejladress, telefonnummer) varje gång. Gång på gång kunde vi också se att Facebook lagrat känsliga uppgifter om exempelvis akuta p-piller, läkemedel för att förebygga urinvägsinfektion och ångestdämpande medicin – det vill säga den sortens känslig information de sagt att deras filter är byggt för att radera. Facebook hade också uppgett att den som skickar känslig hälsodata varnas. Vi fick ingen sådan varning. De har ännu inte svarat på vår fråga om deras filter överhuvudtaget fungerar på svenska.
VILKA KÄLLOR ANVÄNDES?
Ett stort antal nätverksloggar, hemsidor, ett tiotal policydokument från Facebook, alla hälso/vårdverksamheternas policys för personuppgiftshantering, bolagens egna anmälningar till Integritetsskyddsmyndigheten, intervjuer med sakkunniga såsom Olof Mogren, AI-forskare på Rise, och Elisabeth Rynning, tidigare chefs-JO. Våra resultat var dokumenterade och tillbakavisades generellt sett inte av de granskade parterna.
VILKA PROBLEM UPPSTOD?
Ett återkommande problem under våra granskningar har varit att vi vet mer om hur de vi granskar använder Facebook pixel än de vet själva. Det har inneburit att mycket tid i den ansvarsutkrävande fasen gått åt att få den granskade att förstå exakt vad de har skickat till Facebook , innan vi kunnat göra en intervju. En eller flera av verksamheterna delade mer information med Integritetsskyddsmyndigheten än med oss, och ofta kunde uppgifter hos IMY vara sekretessbelagda när vi begärde ut dem. Vi har heller inte fått veta hur ett av apoteken resonerat kring efterlevnaden av dataskyddslagen eftersom detta förlades på en extern juristfirma och resulterade i en rapport de ville hemlighålla. Vi fick inte heller veta vilken juristfirma det rörde sig om.
VAD ANSER DU VIKTIGAST?
Huvudinslagen är nummer 1-3 i vår anmälan, dvs de som handlar om Apoteket AB, Kry och vad som kan hända med känslig hälsodata när den når Facebook.
HUR MYCKET TID SPENDERADE NI?
Uppskattningsvis två till tre månaders heltidsarbete för varje reporter. Uppskattningsvis tre veckors arbete för redaktören.
VILKA REAKTIONER HAR ARBETET FÅTT?
De vi rapporterat om har anmält sig själva till IMY, tagit bort eller avaktiverat Facebook Pixel och inlett omfattande egna utredningar. IMY har också inlett tillsynsärenden mot tre apotekskedjor och nätläkaren Kry. I samtal med apoteken vi granskat har också framkommit att granskningen fått konsekvenser i hela branschen. Även apotek vi inte har rapporterat om har efter vår rapportering justerat sin användning av Facebook Pixel. En av frågorna som IMY i och med vårt arbete utreder är om apoteken genom att dela uppgifter om köp av receptfria läkemedel också delat känsliga personuppgifter. De olika apoteken gör olika bedömningar, men ett av apoteken som gör bedömningen att uppgde delat inte är känsliga uppger att IMY:s besked kommer att bli vägledande för hela branschen.
HAR AVSLÖJANDET FÅTT MEDIALT GENOMSLAG, I SÅ FALL VILKET?
Flera av publiceringarna har omnämnts i till exempel Aftonbladet, Expressen, SvD, DN, TV4, SVT samt i branschpress som Svensk farmaci, Läkartidningen, Dagens medicin, Breakit och Computer Sweden.
HAR PROJEKTET ANMÄLTS TILL MEDIEOMBUDSMANNEN, GRANSKNINGSNÄMNDEN ELLER ANNAN INSTANS?
Inte så vitt vi känner till.