Hjälp mig att tänka Facebook…

De senaste åren har jag jobbat med och inom Katrineholms kommun och dess användning av sociala medier. Ett väldigt roligt uppdrag, som på senare tid och tack vara även många, många andras insats har lett till Social Media Awards 2011. Såhär långt inga problem.

Inom kommunen använder vi ett antal Facebook-sidor med tillhörande applikationer för att dels kunna lista alla kanaler som kommunen använder (ett krav från Datainspektionen), dels för att genomföra quizz m.m. Så här långt fortfarande inga problem.

Idag satt jag med att uppdatera flera av Facebook-applikationerna för att dessa utan problem ska kunna användas efter den större uppdateringen som stundar för Facebook-sidor. Och nu börjar det bli lite problematiskt.

Eftersom Facebook är kroniskt pinsamma på att dokumentera sina API:er, dvs gränssnitten som vi utvecklare kan använda för att prata med Facebook, är vi ofta tvungna att testa oss fram. För det ändamålet har jag, tillsammans med andra medlemmar av nätverket Penseo ett antal testapplikationer som endast är tillgängliga för oss — och där vi inte riskerar att varken komma över känslig information om utomstående eller förstöra för dessa. Och nu börjar det riktigt problematiska:

Genom enkla anrop mot Open Graph API:t kunde jag utan vidare dra ut information om vilka andra sidor andra användare av appen gillar, vilka grupper de tillhör — och alla deras Facebook-vänner.

Det är nytt. Relationer till Facebook-vänner har vi förvisso tidigare kunnat utläsa, men endast mot publika profiler, det som nu tillkommer är dolda profiler, grupptillhörigheter och gillade sidor.

Nämen det var väl inte så farligt, eller?

Låt oss för en minut ponera att vi har ett rasistiskt parti i riksdagen (eller fullmäktige). Låt oss vidare ponera att anhängare till det partiet kan ha en viss benägenhet att gilla det rasistiska partiets Facebooksidor. Låt oss vidare anta att några av dessa även gillar kommunens Facebooksida. Klick-e-di-klick — och fyra/fem programmeringsrader senare har jag ett färdigt skript som drar ut sidans alla anhängare, vilka sidor och grupper (även dolda sådana!) dessa följer, filtrerar allt efter kategorin ”politisk organisation” och sorterar efter partitillhörighet. Åsiktsregistrering 2.0.

För en gångs skull vet jag inte hur vi ska hantera situationen. Några alternativ som jag upptäckte så här långt:

1. Vi gör en ”Datainspektionen”

Datainspektionen har tidigare fastslagit väldigt roliga principer. Med det välmenta syftet att möjliggöra användning av sociala medier inom den offentliga sektorn har man valt att blunda med bägge ögon genom att hävda att långtgående europeiska och svenska reglar ersätts av amerikanska — eftersom flertalet av Facebooks servrar är placerade där och eftersom Facebook-användare (såväl offentliga organisationer som enskilda) ingått avtal med Facebook Inc. Det ologiska i argumentationen, att det ju skulle vara ett utmärkt sätt för oss inom den offentliga organisationen att kringgå nästan alla bestämmelser om t.ex. handlingsoffentligheten genom att helt enkelt flytta dokument utomlands — ja, den invändningen har Datainspektionen (mig veterligen) inte bemött.

Haver det som vare. Alternativet för oss (som i dessa hänseenden ändock har att följa Datainspektionens syn) är att även nu blunda, stoppa huvudet i sanden, fastslå att ”ojdå, vi åsiktsregistrerar visst, fast det är ju faktiskt amerikansk lag vi måste följa”.

2. Vi skapar en frivillig begränsning

I ett längre telefonsamtal föreslog Mattias Jansson att vi själva ska begränsa oss (t.ex. i ett för alla anställda bindande internt dokument) och klargöra att vi själva aldrig kommer använda den överskottsinformationen som vi har tillgång till. Tanken är god. — Och visserligen är jag övertygad att varken Mattias (eller jag, för den delen) skulle använda informationen. Men i likhet med min ståndpunkt i bl.a. FRA-frågan anser jag inte att det räcker med en sådan intern riktlinje. Att FRA mer än sällan bryter mot gällande lagstiftning är ingen hemlighet. Även om vi inom Katrineholms kommun inte skulle göra det, så finns det ingen som helst garanti för att vi inte gör det. Jag kanske är den skenheligaste av alla informatörer, skriver ett blogginlägg om hur förskräckligt det är med integritetsaspekterna inom Facebook — och smyganalyserar samtidigt allt du gör?

3. Vi plockar alla Facebook-applikationer

Det sista alternativet (som jag ser det) innebär att vi skulle ta bort alla Facebook-applikationer som vi använder inom den offentliga verksamheten. Det skulle dock innebära att en del funktioner försvinner, både för oss som administrerar sidorna — men även för våra medborgare, vilket skulle göra samtalet långt mindre attraktivt.

Det kan för övrigt tilläggas att den uppkommande ändringen inom Facebook kommer innebära att jag som sidadministratör kommer kunna kolla just dina Facebook-relationer, grupper och sidor även utan någon Facebook-applikation. Det som jag dock anser vara stora problemet ur det offentligas perspektiv är automatiseringen som är möjlig med hjälp av apparna och Open Graph API:t.

Att ändringen sedan redan i grunden är ytterst tveksam, en enorm ändamålsglidning och en identitetskränkning av stora mått, det låter jag vara osagt…

Hur ska vi hantera det här? Snälla, hjälp mig tänka och låt oss börja en dialog här nedan!

Facebook Comments

44 tankar på “Hjälp mig att tänka Facebook…

  1. Pingback: Hur ska vi hantera de stundande Facebook-ändringarna?
  2. Bra fråga. Jag har ingen egentligt svar. Däremot skulle jag säga att man mycket väl kan väga nyttan gentemot kostnaden (jag är ju libertarian så jag kan göra sånt :)) – och fundera om de applikationer som ni använder har ett sånt högt värde att det är värt att ta risken. Samtidigt hamnar man i det faktum att ni bestämmer vad som är nyttigt – inte jag som enskild användare.
    Det intressanta är ju att de förändringar som sker nu bara är minimala gentemot vad vi kan gissa kommer – Timeline för individuella användare lär få en följd i Pages. Och då börjar vi prata om helt andra applikationer än vi hittills sett.
    Man kan önska att FB skulle välja att göra rätt här men om det inte finns i deras direkta intresse lär det inte ske – att de väljer https är knappast för omsorg om oss :).

    • I och med att jag inte är libertarian (jag är mer komplex än så 😉 ) kan jag också räkna på det.
      Risken för att dessa system kommer att missbrukas på ett eller annat sätt: 100%
      Effekten av ett sådant missbruk: 100% riktad mot grundläggande medborgerliga fri- och rättigheter.
      Och i och med att jag fortfarande inte blivit libertarian slutar min beräkning där.

      Åtminstone för mig är det svårt att ställa integritetskränkningar rakt mot en eventuell samhällsnytta. Sätter vi övervakningskameror i varenda sovrum, så minskar vi (troligen) ganska effektivt sexuella övergrepp inom familjer (åtminstone i sovrummet, antagligen flyttar vi dem bara till badrummet, men det löser vi enkelt och effektivt med nya övervakningskameror där).

      Jag förstår tanken. Jag tilltalas av tanken att förhindra våld i hemmet. Och jag skulle aldrig vilja bo i ett samhälle som använder sig av dylika metoder. Jag tror mig minnas att du inte heller skulle vilja göra det 😉

      I det här konkreta fallet är såklart ingreppet inte alls lika allvarligt och långtgående — men effekten, samhällsnyttan är på långa vägar inte heller lika långtgående.

      Jag har inga svar. Bara massor med frågor…

  3. Samlar de små kommentarer jag gjorde på twitter:

    (först: lite humor att bloggen efter detta inlägg frågar mig om jag vill kommentera med mitt fb-konto =)

    Känns bara som att ”detta måste de väl fixa” men det kanske de inte gör. Känns som att FB snart har tappat allt förtroendekapital.När det inte längre går att vara ”säker” på fb från rena scams som du beskriver, då kommer folk inte dela med sig längre.

    Men direkt som kommun så är det svårt. ”Alla” kommer ju inte släcka sina FB-appar. Men om något går fel? En moralisk fråga…

    Vad tror du? Är detta en slarvigt missad glitch eller är det såhär det kommer se ut?

    Spontant så känner jag att om jag skriver något i en sluten grupp eller håller min profil dold, då borde jag vara dold. Men det har ju höger-tickern redan visat att så är dt inte.

    • Håller med. ”Kommentera med Facebook” är lite ironiskt i sammanhanget 😉

      Jag tror dessvärre att det inte är en miss som kommer fixas till den officiella releasen — utan tvärtom just det som är meningen. Värdet inom marknadsföringen är ju nästan obetalbar för företag — som kan relevansanpassa sina budskap. Jag tror snarare att det kommer intensifieras (kanske med någon form av betald pro-sida längre fram).

      Jag ser det inte som om något går fel — utan när. Finns det möjlighet att dra ut den informationen, så kommer folk såklart göra det.

      Att vi, som i exemplet ovan till och med hamnar i olagligheter (åsiktsregistrering), bara genom att öht använda teknologin, gör ju saken inte roligare :-/

  4. Alt. 2 FFS. Informera tydligt om att ni har denna möjlighet pga överdriven öppenhet hos Facebook, förbind er att inte använda den.

    Ni kan inte styra vilka möjligheter de tjänster ni använder ger er, det bästa ni kan göra är att välja att informera om dem och avstå från att använda dem. Jag som användare har ett ansvar för att tänka själv och avgöra om jag litar på er.

    • Jag köper tyvärr inte resonemanget. Eller såhär: jag skulle köpa det om det gällde ett företag — däremot INTE när det gäller en offentlig verksamhet. Där tycker jag inte att du ska behöva fundera om du litar på oss. Där har du en lagstadgad rätt att kunna lita på oss. — Och just den rätten kan vi, i det här fallet, inte garantera. Vi kan lova. Men det är det enda vi kan göra.
      Det finns inget sätt som du (eller någon annan för den delen) kan kontrollera om vi inte missbrukar den möjligheten vi har. Det är ungefär som att tillåta all form av spionage, buggning, signalspaning och vad vet jag, helt utan inskränkningar, bara myndigheterna i fråga lovar att aldrig använda (eller missbruka) möjligheten.
      Ett sånt löfte är (i vart fall i mina ögon) inte värt mycket.

      Går det att missbruka, så kommer det att missbrukas…

      • Då är det ju inget att fundera på. Alternativ 3. Det är högst tveksamt om Katrineholms Kommun borde ägna sig åt sociala medier över huvud taget, ärligt talat. Sociala medier är öppenhet, och öppenhet kan alltid missbrukas.

        Jag har, å andra sidan, inga problem med FRA och deras verksamhet heller. Och då har jag ändå haft en hel del med dem att göra. Hjärntvättad?

        Allt kan missbrukas, men ska man låta worst case styra så skulle jag inte ens våga äta lunch med dig, för risken finns – hur liten den än må vara – att du plötsligt skulle hugga gaffeln i halsen på mig. Det vore onekligen trist, men jag skulle ändå vilja äta lunch med dig.

        • Just därför vore det ju bra om vi byggde in övervakningskameror i alla gafflar. Då kan vi förhindra lunchgaffelincidenterna 😉

          Nä, skämt åsido. Såklart går det inte att förhindra allt, men jag tror att det är viktigt att förhindra det uppenbara, särskilt när vi upptäcker systemfel. Om det till exempel rent hypotetiskt skulle visa sig att det finns många knivskärningar, så skulle det säkerligen finnas förbud att bära kniv på offentlig plats. Ojdå. Knivlagen kallas den visst i daglig tal…

          Om vi ska använda gaffelexemplet på vår situation, skulle det behöva omformuleras. Sticker jag nämligen en gaffel i halsen på dig, innebär det nog en del negativa konsekvenser för mig. Gaffelstickaravdelning på fängelset, t.ex.

          I vårt fall däremot kan jag sticka gafflen i halsen på dig (eller kartlägga dig och dina förehavanden) utan att du märker det. Vilket innebär att jag inte heller behöver befara några konsekvenser för att jag jag agerar brottsligtt (åsiktsregistrering är ändock inte tillåten).

          • Visst. Men detta är inget unikt för den offentliga sektorn. Varenda administratör av en större bloggtjänst kan kartlägga sina användares privatliv utan minsta besvär. Vid supportärenden är det till och med svårt att undvika att notera… saker.

            Det känns som det blir något av en pseudodiskussion. Om du kartlägger mig utan att det innebär några som helst negativa konsekvenser för mig… det påminner lite om den filosofiska frågan om det fallande trädet. Åsiktsregistrering måste väl ändå kunna upptäckas och lagföras? Kan det verkligen vara en helt riskfri hobby för dig?

            Men utan att skämta så verkar det nog som att det enda alternativet är det tredje om risken för missbruk är så hög att den överväger fördelarna. Att eliminera risken för missbruk går inte oavsett vad det gäller, så i slutänden får ni göra en riskbedömning och agera efter det. Offentlig kontra privat sektor känns dock inte som en relevant jämförelse, alla har lagar och förordningar att följa.

          • Självklart. Vi (penseo) driver ju också en bloggplattform (och server för nyhetsbrev mm) och det går onekligen att dra slutsatser om både det ena och det andra. Skillnaden där är dock att det finns ett avtal som reglerar vad som får och inte får göras direkt mellan tjänsteleverantören och användaren.

            I Facebook-fallet däremot finns det ingen som helst juridisk reglering mellan t.ex. kommunen och medborgaren. Och i avsaknaden på en sådan reglering måsta andra mekanismer komma på plats, eller?

            Biten med pseudodiskussionen håller jag inte riktigt med om. Bara för att du inte märker och aldrig upptäcker att du har kartlagts, innebär det ju inte att informationen inte använts mot dig. Du kanske inte fick det där jobbet, din ansökan har kanske avslagits… IB-affären var väl inte så värst många medvetna om, innan den blev till en scoop?

            Även OM det inte innebär en konkret nackdel för dig (rent mjöl i påsen-argumentet), så kan vi ju egentligen samtidigt passa på att avskaffa post- och telehemligheten? Jag menar, så länge du inte märker att jag ångar upp dina brev?

          • Det blev kanske en väl kort kommentar.
            Det finns två ytterligheter här: ”Det man inte vet, tar man inte skada av” och ”Det man inte vet, är det någon jävel som döljer för mig och tänker skada mig med”.

            Som sagt, allt är teoretiskt möjligt. Gör en hot-och-riskbedömning (bedöm sannolikhet kontra skada i en enkel tvådimensionell matris) och väg mot nyttan.

          • En ordningsföreskrift blir bindande inom anställningsavtalet och kan således medföra disciplinär påföljd om den bryts.

          • Sorry, men jag ser nog en ENORM dignitetsskillnad.
            En traditionell avlyssning (inte ens automatiserad) kräver domstolsbeslut, INTE en intern ordningsföreskrift som inte går att kontrollera för utomstående.

            En traditionell kartläggning (oavsett om den är automatiserad eller manuellt) av dessa grupptillhörigheter skulle utan tvekan vara olaglig. Brott mot t.ex. post- och telehemligheten (som vi hamnar nära inpå, när vi tittar på bestämmelsernas bakomliggande mening, dvs logos) ger upp till två års fängelse enligt Brottsbalken, INTE en eventuell intern disciplinär åtgärd enligt en intern ordningsföreskrift.

            Jag tycker (allvarligt) inte att vi bör överlåta så grundläggande integritetsfrågor till okontrollerbara interna ordningsföreskrifter.

          • MEN (glömde skriva det), jag imponeras och högaktar din stora tilltro till människans godhet. Det är bara att jag med min bakgrund och historia (tyvärr) inte kan dela den tilltron. Kalla mig för cynisk. Kalla mig för bränd, kalla mig för foliehatt när jag drar paralleller. Men: När Stasi slutade verka var jag fjorton år gammal — tja, då hade de hunnit samla ihop inte mindre än 1.300 sidor i min mapp…

          • Jag är imponerad över att du ens fått tag i din akt från STASI. Jag försökte den lagliga vägen ta del av mina uppgifter hos SÄPO, men fick till svar att dom inte kunde lämna ut några uppgifter och hänvisade till ”Rikets säkerhet”…

          • Skillnaden är väl att Stasi är nedlagd medan Säpo fortfarande finns kvar.
            Ansökan via BStU.bund.de och tre-fyra veckor senare kan du läsa din akt på plats hos myndigheten.

  5. Först:
    Agree med Kalles betraktelse – ”lite humor att bloggen efter detta inlägg frågar mig om jag vill kommentera med mitt fb-konto =)”

    Sen:
    Det här är oroväckande. Jag gillar att APIerna är öppna och kraftfulla; om Facebooks ambition att bli internetz så är det superviktigt att man kan skapa vettiga produkter för, i och ovanpå Facebook.
    Det som är läskigt är som vanligt att privacy-inställningar sällan eller aldrig fungerar som man som användare förväntar sig att de gör.

    Den här privacy-”buggen” är dock lite lustig. Att samla allehanda data för mer eller mindre dunkla användningsområden är väl FBs affärsidé? Varför låta tredjepartsaktörer göra detsamma?

    Nåja, till saken: Hur ska ni lösa problemet? Som jag ser det så är det alt. 3. som är det enda möjliga. Samhällsservicen som sagda appar ger går kanske att implementera som delar av den egna webben istället för som del av FB?
    Vill man hålla ”moral high ground” hela vägen så är det nog priset man får betala, tyvärr.

    • Gabbe, om jag inte redan hade åsiktsregistrerat dig, skulle jag nu veta dina åsikter 😉

      Jag har inget bra svar ännu. Därför önskan om diskussionen. Jag tror att vi kommer behöver göra en avvägning (som Theodor skrev ovan) och se vad som väger tyngst: möjligheten att ge service till medborgare eller risken för missbruk. Vart jag tenderar i den avvägningen borde du veta efter din tidigare åsiktsregistrering av mig 😉

  6. Låter lite som den där funktionen tidslinje (Timeline) på Facebook som spökar.

    Argumentet med åsiktsregistrering kan då också användas av samma grupper för fixa fram lista över dem inte gillar dessa (utöver dem som de missat).
    Verkligen oroväckande.

  7. Steg 1) skicka demo till DI (som jag tror redan är å FB.)
    Steg 2) skicka demo till väl valda tidningar internationellt och nationellt.
    Steg 3) ”Dont be Evil” och byt till g+ 🙂 🙂 🙂 (och glöm inte att göra en ”brända jorden” då du/ni lämnar FB,)
    ev kan man ta steg tre först.

    • Steg 1) De förstår nog inte riktigt
      Steg 2) Ingen dum idé 😉
      Steg 3) Vi måste ju finnas där medborgarna finns. Och dessvärre har endast en liten del av dessa hittat till G+ ännu

  8. Men medborgarna litar hela tiden på att vi sköter oss, det finns inga garantier. Vi kan dela ut alla sekretesskyddade uppgifter i våra system men vi får inte föra det och gör det heller inte. Vi får heller inte registrera personuppgifterna du talar om (som jag fattade det) och kommer heller inte göra det. Helt galet vilka möjligheter som finns för utvecklare. Gillar fb ännu mindre nu…

    • Björn, är inte en viktig skillnad att vi inom det offentliga är satta att bl.a. hantera sekretessbelagda uppgifter — och per lag är satta att INTE åsiktsregistrera? Vilken lösning ser du?

      • Vi är förbjudna att inte åsiktsregistrera, vi är inte förbjudna att ha möjligheten men inte använda den. Eller?

          • Absolut, Björn.
            Jag ser dock en viktig rättsäkerhetsaspekt: det går inte på något sätt att kontrollera om vi t.ex. åsiktsregistrerar eller om vi inte gör det. Om möjligheten endast är några knapptryckningar bort, så tror jag att den möjligheten KOMMER att missbrukas förr eller senare.

            En liten analogi som dök upp i mitt huvudet: ta en titt på jävsregler. Dessa finns dels för att förhindra att jäv uppkommer och någon t.ex. fattar ett beslut som gynnar honom/henne. En viktig aspekt är dock även att se till säkra allmänhetens förtroende för det allmänna genom att kunna vara säker att sådana självgynnande beslut inte förekommer. — Just den här aspekten, tilltron till att vi arbetar på ett korrekt sätt, kontrolleras genom polis, åklagarväsende och domstol, när det gäller jäv. När det gäller den här aktuella frågan, ev åsiktsregistrering på nätet, kontrolleras den av…. Tja… Ingen? Oss själva?

          • Men så är det hela tiden. Vi har massor med möjligheter att registrera personuppgifter men för det inte för att vi inte får. Datainspektionen är ju tillsynsmyndighet. Det är helt galet det Facebook gör men som jag ser det är det inte ett problem ur den här aspekten.

  9. Det här är ett problem, men det är samtidigt inget nytt i grunden.

    Jag menar facebook själva har ju haft tillgång till det här och hur mycket annat som helst, och vi VET inte hur de använder den informationen, vem de låter titta i databasen, eller vem de säljer informationen till.

    Vi kan ju tex anta att CIA har full tillgång till både fb och g+ om de vill, och att sån information vidarebefordras till svenska myndigheter i det fall det ligger i amerikanskt intresse, precis som att FRA skickar sin insamlade information dit.

    Skillnaden är väl i det här fallet att folk närmare oss kan komma åt infon i vardagen och det kan bli lite mer uppenbart, men i grunden är ju lärdomen för användaren här att ”ALLT du gör på nätet registreras nånstans och kan dyka upp i sammanhang där du minst anar det”

    Alldeles oavsett om det finns enkla API’er för att få tag i infon eller inte, så kommer förr eller senare all information som samlas in att finna en användning. Om man ska undvika det så ska man helt enkelt inte låta någon samla in den infon.

    Så i grundfrågan tycker jag väl snarast att kommunerna ska låta bli att uppmuntra att kommuninnevånarnas personliga info ska samlas ihop på servrar i USA.

      • Eller åtminstone inte använda det som plattform för kommunikation med medborgarna. Jag är oroad över tendenserna att ”nätet” alltmer kommer att betyda centraliserade applikationer som fb och g+, där _all_ information samlas på ett ställe där det inte ens finns nån transparens runt hur den används.

        Informationsålderns motsvarighet till kärnvapen är stora databaser, det finns anledning att fundera över hur man ska undvika att skapa såna, och konstruera lösningar som inte sätter sådana vapen i händerna på aktörer vi inte varken har insyn i eller kontroll över hur informationen används.

        Att sprida sund sketicism runt företeelsen borde uppmuntra innovationer i riktning mot mer decentraliserade och transparenta lösningar.

Lämna en kommentar