Lösningen på Google Fonts-problemet

Veckans stora nyhet var IMY:s vägledande beslut om att Google Analytics är oförenligt med GDPR. Mer information om detta finns i vår artikel ”Lösningen på Google Analytics-problemet” och IMY:s pressmeddelande ”Bolag måste sluta använda Google Analytics”.

Google Analytics är långt ifrån den enda tjänsten som är problematisk ur ett integritets- och dataskydds­perspektiv. En annan sådan tjänst som finns på oerhört många webbplatser är Google Fonts. Google tillhandahåller ett kostnadsfritt typsnitts­bibliotek som ger webbplats­ägare tillgång till en enorm mängd högkvalitets­typsnitt. Två exempel på dessa typsnitt är Lato och Roboto som du ser i brödtexten respektive rubriken på denna webbsida.

Problemet är att Google Fonts ofta konfigureras på standardsättet, vilket är fel av både integritets- och prestandaskäl. Då laddas typsnitten från Googles webbserver och läcker därmed besökarnas IP-adresser till Google. Denna modell är inte förenlig med GDPR, något vi har fått tydliga besked om från Tyskland.

Du kan testa om en webbplats använder läcker din IP-adress till Google på grund av felkonfigurerade Google Fonts. Ange adressen till en av webbplatsens webbsidor på Fouanalytics tjänst Pagexray så får du upp en graf över alla tredjeparts­anslutningar som sker per automatik. Ifall anslutningar går till fonts.googleapis.com och fonts.gstatic.com laddas typsnitt från Googles servrar.

Analysverktyget Pagexray visar att anslutningar upprättas till Googles typsnittsservrar.
Pagexray visar vilka tredjepartsanslutningar som upprättas automatiskt.

Tjänsten visar inte anslutningar som först sker efter att besökaren har godkänt eventuella samtyckes­förfrågningar (”cookie-banners”). Sådana anslutningar syns enbart i webbläsarens utvecklar­verktyg. Eftersom typsnitten ofta laddas före samtyckes­lämnande går Pagexray ändå att använda i detta sammanhang.

Bästa lösningen

Tack vare Googles generösa val av typsnittslicens är problemet lätt att lösa. Licensen för de flesta typsnitt låter webbplatsägare, utan kostnad, lagra typsnitten på de egna servrarna, vilket tar bort behovet av tredjeparts­anslutningar helt och hållet.

Webbplatsägare kan enkelt ladda ned utvalda typsnitt med hjälp av Google Webfonts Helper. De som driver Wordpress-baserade webbplatser kan använda tillägg såsom Custom Fonts för att ladda upp typsnitten till sina webbplatser utan att behöva skriva egen CSS-kod. Välskrivna Wordpress-teman, till exempel Astra och Kadence, har inbyggt stöd för att automatiskt lagra använda typsnitt lokalt på servern.

Reservlösningen

En annan lösning på problemet är att byta tredjeparts­server för Google Fonts till europeiska Bunny Fonts. Det är en GDPR-förenlig och integritets­värnande klon av Google Fonts som kan användas genom att bara byta ut typsnitts­hänvisningarna från fonts.googleapis.com/css till fonts.bunny.net/css. Nackdelen med denna lösning är att du går miste om prestanda­vinsten som den förstnämnda lösningen ger.

Fler integritetsproblem

Problemet med GDPR-brytande tredjeparts­tjänster är på intet vis unikt för Google. I skrivande stund utreder IMY hur det integritets­kränkande spårningsverktyget Facebook Pixel används av Apohem, Apotea, Apoteket och Kry. Vi vet inte vad IMY kommer fram till än. Vi vet däremot att Österrikes motsvarighet till IMY redan har konstaterat att Facebook Pixel är oförenlig med GDPR.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar