I början av april 2026 publicerade Fairlinked e.V., en europeisk sammanslutning av kommersiella LinkedIn-användare, en rapport som de kallar “BrowserGate”. Påståendet är att LinkedIn, varje gång du besöker plattformen i en Chromium-baserad webbläsare, kör ett dolt JavaScript-skript som systematiskt söker igenom din webbläsare efter mer än 6 000 specifika tillägg, samlar in 48 hårdvaru- och mjukvaruegenskaper om din enhet, krypterar resultatet och skickar det till LinkedIns servrar, där det sedan bifogas varje API-anrop du gör under sessionen.
Det tekniska är bekräftat. BleepingComputer verifierade beteendet genom egna tester. LinkedIn bestrider inte heller att identifiering av tillägg förekommer, utan hävdar att det görs för att skydda plattformen mot tillägg som bryter mot användarvillkoren. Det LinkedIn inte kommenterar är varför detektionslistan sedan 2024 vuxit med 1 252 procent och nu täcker över 200 produkter som konkurrerar direkt med LinkedIns egna säljverktyg.
Källan är partisk. Det tekniska är ändå verkligt.
Det är viktigt att förstå vem som skrivit rapporten. Fairlinked e.V. är kopplat till det estniska bolaget Teamfluence Signal Systems OÜ, vars Chrome-tillägg LinkedIn stängt av för påstådda brott mot användarvillkoren. Bolaget försökte få ett interimistiskt föreläggande mot LinkedIn vid Landgericht München och förlorade. BrowserGate-kampanjen är alltså ett verk av en part i en pågående affärsdispyt.
Det förändrar inte de tekniska fynden, men det förändrar hur dramatiseringen bör värderas. Formuleringar som “en av de största företagsspionageskandaler i digital historia” är kampanjretorik, inte ett oberoende omdöme. En seriös analys bör hålla isär dessa lager.
Vad fingeravtrycket faktiskt berättar
Tekniken som används är välkänd inom cybersäkerhet och kallas webbläsarfingeravtryckning. Genom att kombinera tillräckligt många hårdvaru- och mjukvaruegenskaper skapar man en identifierare som är specifik nog att spåra en användare även efter att cookies rensats. Det som skiljer LinkedIns implementation från generisk fingeravtryckning är att LinkedIn redan vet vem du är. Ditt konto är kopplat till ditt riktiga namn, din arbetsgivare och din yrkestitel. Fingeravtrycket kombineras alltså med en verifierad professionell identitet.
Det innebär att listan med tillägg inte är anonym statistik. Om LinkedIn kan se att du har ett jobsökningstillägg installerat på samma enhet som din LinkedIn-profil är det en meningsfull slutsats om dina avsikter, dragen utan ditt samtycke, på den plattform där din nuvarande arbetsgivare kan se din aktivitet. Likaså med tillägg kopplade till religion, politisk orientering eller neurodivergenta hjälpmedel. Under GDPR artikel 9 är just dessa kategorier föremål för strikt reglering.
GDPR, ePrivacy och frånvaron av samtycke
GDPR artikel 9 förbjuder som utgångspunkt behandling av personuppgifter som avslöjar religiös övertygelse, politiska åsikter, hälsotillstånd och liknande känsliga kategorier. Det finns snäva undantag, varav det viktigaste är uttryckligt samtycke. LinkedIn har inget samtycke för det här. Beteendet är inte tydligt specificerat i integritetspolicyn.
ePrivacy-direktivet, som i Sverige genomförts i lagen om elektronisk kommunikation, kräver samtycke innan en tjänsteleverantör får läsa information lagrad på användarens enhet. Varje HTTP-förfrågan som skriptet skickar för att kontrollera om ett visst tillägg är installerat kan, beroende på hur implementeringen klassificeras rättsligt, utgöra en åtkomst till information lagrad på enheten utan samtycke.
Irländska dataskyddsmyndigheten bötfällde LinkedIn med 310 miljoner euro i oktober 2024 för att ha behandlat personuppgifter för riktad reklam utan giltig rättslig grund. Det var första gången LinkedIn dömdes i ett GDPR-förfarande av den här storleken. Den rättsliga frågan som BrowserGate reser är likartad i rättslig struktur: finns det en giltig rättslig grund, och om LinkedIn åberopar berättigat intresse, väger det tyngre än de registrerades intressen när insamlingen är offentliggjord varken i integritetspolicyn eller via ett samtyckes-gränssnitt?
CLOUD Act-dimensionen
Det som sällan tas upp i den löpande bevakningen är den jurisdiktionella frågan. LinkedIn är ett Microsoft-dotterbolag. Microsoft är ett amerikanskt företag och därmed underkastat CLOUD Act, som ger amerikanska myndigheter rätt att begära ut data lagrad av amerikanska företag oavsett var servern befinner sig geografiskt. Det spelar ingen roll om data processas på servrar inom EU.
Som jag skrivit om tidigare spelar det ingen roll var servrarna fysiskt befinner sig; det avgörande är vem som kontrollerar tjänsten. Det betyder att fingeravtrycksdata, kopplad till din verifierade professionella identitet, din arbetsgivare och din enhetsprofil, inte enbart lyder under GDPR och europeisk rätt. Den kan i princip nås av amerikanska myndigheter genom ett CLOUD Act-förfarande utan att det behöver passera ett europeiskt rättsligt förfarande. Det är en risk som är relevant för alla organisationer vars anställda använder LinkedIn från enheter eller nätverk som hanterar känslig information: forskningsinstitutioner, advokatbyråer, myndigheter, försvarsrelaterade leverantörer.
Vad det säger om plattformens arkitektur
Det som förtjänar mer uppmärksamhet än själva skandalaspekten är vad BrowserGate illustrerar om hur stora plattformar är konstruerade. Webbläsarfingeravtryckning är inte en ny teknik. Listan på 6 000 tillägg är inte ett misstag. Det är resultat av ett ingenjörsbeslut, fattat av någon, godkänt i någon process, skalat upp systematiskt sedan 2017. Det är plattformsarkitektur som standard, inte ett undantag.
Det är en påminnelse om att integritetspolicyer beskriver vad företag väljer att berätta om sin datainsamling, inte nödvändigtvis vad de faktiskt samlar in. Den tekniska förmågan och den legala skyldigheten att deklarera vad man gör med den förmågan är inte samma sak, och gapet däremellan är just det som europeisk dataskyddsreglering sedan GDPR:s ikraftträdande 2018 försöker stänga.
Om du vill kontrollera om dina tillägg finns på listan kan du öppna Chrome DevTools på LinkedIn, gå till fliken Network och söka i JavaScript-paketet efter “chrome-extension://”. Logiken är i klartext.
