Många webbtjänster, webbsidor och ”webbappar” bygger idag på färdiga s k ramverk och paket. Dessa kan inkludera Javascript, typsnitt (”web fonts”), CSS och bilder. Ett vanligt sätt att använda dem är att inkludera dem från en extern källa som t ex Google, CDN, m fl. Gör inte det.
Det är naturligtvis väldigt praktiskt att, som utvecklare, kunna inkludera dessa från en extern källa, men det är inte helt oproblematiskt sett från GDPR-perspektivet. När en besökares webbläsare skall hämta all information från en sajt så hämtar den även sådana externa resurser, ofta utan att informera besökaren om att så sker. Detta innebär i sin tur att besökaren kan komma att ”läcka” eller förse den externa källan med information om sig, t ex IP-adressen från vilken de surfar.
Vissa ramverk som inkluderas kan också interagera med annan information om besökaren, beroende på hur webbsajten de besöker är byggd och konfigurerad.
Det är sällan en stor sak att bygga om en applikation så att dessa resurser istället ”ligger lokalt” (där sajten finns). Utvecklaren hämtar hem resurserna från den externa källan och laddar sedan upp dem på samma ställe som sajten, därefter ändras några sökvägar och så är det klart.
Google-Webfonts-Helper är ett bra verktyg för att hämta hem de typsnitt du vill använda på din webbplats.
Gerben van den Broeke (noyb) skrev om detta här: Removing “barnacle trackers”
EDRi, ”Guide for ethical website developmet and maintenance” (PDF)
Alexander Hanff skrev en artikel på LinkedIn om detta 2016, som till stor del fortfarande är aktuell.
Uppdaterat 2022-01-31:
En domstol i tyskland anser att användningen av Google-typsnitt, som länkas till en extern källa, på webbsajter strider mot GDPR. Detta har även rapporterats av TheHackerNews.