Webanalyse

Blir Google Analytics ulovlig?

Atle Egenes

Debatten går varmt i disse dager, og meningene er mange. Vil Google Analytics bli ulovlig? Eller er det måter å komme rundt problemet på? Det er lett å bli forvirret for det blir snakket om dette på mange ulike måter.

Bakgrunnen for all uroen er at europeiske datatilsyn peker på at Google Analytics samler inn informasjon som kan identifisere brukere. Og hvis ditt trackingsystem lagrer denne typen informasjon – ja da bryter du per definisjon GDPR.

Det er dessuten forskjell på Universal Analytics og Google Analytics 4.

Universal Analytics sender informasjonen rett til Google Analytics servere i USA. GA4 sender dataene først til servere innenfor EU. Der prosesseres IP-adressen og den strippes for endel informasjon. Men resten av IP-adressen sendes så til amerikanske servere. (Universal Analytics gratisversjon slutter å samle data 1. juli 2023).

Google selv mener at GA4 opererer innenfor GDPR bestemmelser:

Google Analytics 4 does not log or store individual IP addresses.”

When Analytics collects measurement data, all IP lookups are performed on EU-based servers before forwarding traffic to Analytics servers for processing.

Google

Datatilsynet mener at dette trolig ikke er godt nok. En vesentlig faktor er om noen kan identifisere brukere basert på informasjon som samles inn via Google Analytics. «Noen» i dette tilfellet later ikke nødvendigvis til å være nettside-eiere eller brukere av nettsiden, men snarere hva Google og amerikanske myndigheter kan få ut av denne informasjonen.

anonymizeIp=true – problem solved?

Hvis du installerer Google Analytics og tenker at du kan bruke funksjonene for å anonymisere besøkende (“anonymizeIp=true”), vil løsningen likevel videreformidle IP-adressen, og kan også sende hendelser som inneholder annen informasjon om besøkendes identitet.

Og dette kommer du deg ikke unna fordi det er slik internett fungerer. Når du sender data fra nettleseren din, er standardinnstillingen i nettleseren din å inkludere IP-adressen. Hovedårsaken til dette er at hvis informasjonen du sender er en forespørsel om å få noe tilbake, er det nødvendig å vite hvor man skal sende det du har bedt om. Det blir nesten som om du sender et brev til noen og ber dem om å svare deg. Da må du ha oppgitt adressen de skal skrive tilbake til.

IP-adressen er altså en nødvendig komponent for at internett skal fungere slik vi kjenner det i dag.

Den tekniske løsningen kan altså begrense videreformidlingen av IP-adressen, men den kan ikke ta hensyn til alle måter du kan sende personlig informasjon til Google Analytics på. Det er dermed vanskelig å få det 100% vanntett med standard-oppsett.

Poenget blir da at du må ha kontroll over dataene dine og du må kunne dokumentere det.

Gjelder problemet kun Google Analytics?

Nei. Uansett hvilket system du bruker, så må du sørge for at du ikke samler informasjon som bryter GDPR.

Persondata har du i utgangspunktet ikke lov å samle inn. GDPR skal i utgangspunktet begrense innsamling av data som kan identifisere de besøkende. Det å bytte ut Google Analytics og benytte disse standard-implementasjonene og gjøre det lettest mulig for deg selv løser ingenting. De samme problemene ligger der. Man sender IP-adressen og den blir lagret hos mottakeren. Og veldig ofte eier man ikke det siste leddet, slik at man vet ikke om man har slettet dataene som ikke skulle med over. Og dermed har man også problemer med å kunne dokumentere det på en god måte.

Det å bare bytte ut Google Analytics med noe annet er i seg selv ikke en løsning for å hindre at persondata ikke finner veien til å bli lagret sammen med data om hva de gjorde på nettsiden.

Men jeg har jo en cookie-consent på siden min tenker du kanskje. Da har jeg vel samtykket jeg trenger? Nei, det har du ikke. Dette er en misforståelse vi må rydde opp i. Cookie consent spør om tillatelse til å lagre cookies. Den er upersonlig men den er unik til deg. Det å lagre masse data som er unikt opp mot deg øker risikoen for at disse dataene samlet sett kan finne ut hvem du var. Så det du ber om samtykke til er å be om samtykke til å sette en online identifier på deg. Du får derimot ikke noe samtykke til å vite hvem denne personen er. Det er ikke en cookie consent. Det er en mer eksplisitt consent enn det en cookie consent gir.

Så hvorfor er fokuset da kun på Google Analytics? Svaret på det er nok ganske enkelt. Det skaper langt større presedens å fokusere på verktøyet de aller fleste bruker, snarere enn noe som kun de innvidde vet om.

Hva skal jeg gjøre da?

Flere anbefaler at man bytter trackingsystem, men det løser i seg selv ikke grunnutfordringen med at informasjon som kan identifisere deg kan bli lagret og sendt. Ja, du vil fjerne deg selv fra søkelyset som er på Google Analytics, men samtidig skyver du problemet foran deg. Det er etterlevelse av selve GDPR du må holde deg innenfor, og da er det ikke verktøyet i seg selv men mer oppsett og bruk av trackingsystemet du har valgt.

Jaha, hva gjør jeg da? Hva er alternativene og hva er riskene?

Dette kan være en god mulighet til å ta et steg tilbake og reflektere over hva dine behov faktisk er. En bank vil for eksempel ha ganske andre behov enn et lite informasjonsnettsted. Og det er selvsagt som alltid et kost/nytte spørsmål. Enkelte løsninger er dyrere enn andre.

Vi anbefaler det som europeiske datatilsyn anbefaler, og det er å gå for en proxy-løsning. Men det kan være grunner til å velge ulike løsninger basert på hva dine behov er.

Vi jobber nå med mange kunder og hjelper dem å velge verktøy ut fra sine særskilte behov. Vi hjelper gjerne deg også.

Hva blir det neste?

Som nevnt er det hovedsaklig Google Analytics som har fått søkelyset på seg av europeiske datatilsyn. Men hva blir det neste? Også Google Ads, Facebook og Snapchat pixel samler data som kan være i strid med personvernet, så spørsmålet er hva vi har i vente her.

Og denne tråden kan dras langt. Hva med Dropbox, alle Microsoft produkter og basically alt som er amerikansk-eide verktøy?

Google Analytics 4 er en del av Google Marketing Platform og du får derfor mye tilleggsverdi når du benytter Google sine annonseprodukter, så det er flere hensyn du må ta om du tar den «enkle løsningen» med å kaste ut Google Analytics.

Vi må innse at disse dataene har en verdi for oss – det er derfor vi vil ha de. Men vi har nok vært veldig bortskjemte opp til nå ved at dette har vi fått temmelig gratis. Men med det har vi gitt fra oss endel data som vi ikke hadde retten til å gi fra oss, til blant annet Google. Så vi må innse at vi har et større ansvar oppi dette – et ansvar vi bør og må ta. For bedrifter flest snakker vi om en investering under 1000-lappen i måneden (+ ofte en oppstartskost), og det er disse dataene verd. De skal tross alt hjelpe deg å få opp inntekten og effektiviteten på nettstedet eller appen din.

Proxy-løsning – vår anbefaling

Som vi har vært inne på tidligere: Å bare bytte ut Google Analytics med et annet sporingssystem vil ikke løse kjerneproblemet med at IP-adressen (eller ClientID og UserAgent) kommer gjennom, med mindre du legger til supplerende tiltak i form av en proxy.

En proxy-server er en mellomtjener som fungerer som en mellommann mellom datamaskiner på et nettverk og internett. Når en datamaskin ber om en ressurs fra internett, sender den forespørselen til proxy-serveren, som deretter henter ressursen fra internett og sender den tilbake til datamaskinen.

Proxy-serveren fungerer dermed som en buffer mellom datamaskinene og internett, noe som kan bidra til å forbedre sikkerheten, hastigheten og påliteligheten.

Noen fordeler med en proxy løsning er:

  • Raskere lastetid
  • Mer nøyaktige data
  • Bedre sikring av dine besøkendes data og anonymitet
  • Bedre etterlevelse av lover og bestemmelser
  • Enklere å skalere, f. eks sette opp integrasjoner mot datavarehus
  • Tilgang til sanntidsdata

Kontakt oss så kan vi snakke om denne løsningen er noe for deg.

Andre alternative trackingløsninger

Det finnes en rekke aktører der ute, men 2 som ofte snakkes om er disse:

Matomo

Matomo er en åpen kildekode-plattform der du har muligheten for å ta kontroll over datalagringen. Du kan altså installere Matomo på egne servere slik at du har kontrollen. Det er også mulig å benytte amerikansk skytjeneste, men da igjen må du vurdere personvernet.

Andre grunner til å velge Matomo er at rapportene er ganske like de du er vant med i GA, og det finnes innebygde funksjoner som heatmaps, A/B tester, Tag Manager og recordings.

Det innebærer dog kostnad for hosting og den har begrenset støtte sammenlignet med flere andre webanalyseplattformer. Det er også begrenset mulighet for egendefinerte rapporter.

Et vanlig spørsmål er «hva om man bruker Matomo installert på egen server. Det er vel greit?». Ja og nei. Hvis man installerer det på egen server og installerer selve sporingsscriptet sammen med nettsiden, altså at man laster det ned sammen med nettsiden, så har man gjort endel ekstra for å passe på brukerne. Men samtidig er det slik at når data sendes direkte fra brukeren til en server, så blir IP-adressen med. Og da må du kunne dokumentere at IP-adressen ikke blir lagret fordi det er funnet at IP-adressen bryter GDPR. Du skal rett og slett ikke ha den. Og for å gjøre det ekstra vanskelig så er det ikke nok med IP-adressen. Man kan også sende informasjon gjennom internsøketjenesten, gjennom events osv. Så også der må du passe på at det ikke kommer noe informasjon gjennom som kan brukes til å identifisere hvem det var som besøkte nettsiden.

Piwik Pro

Med Piwik Pro kan du analysere nettsteder og apper der du kan velge on-prem eller i amerikanske eller europeiskeide skytjenester. Den har tilpassbare rapporter og plattformen er skalerbar og kan tilpasses bedrifter i ulik størrelse.

Piwik PRO kan ha begrensede integrasjoner med tredjepartsverktøy, og du må kanskje bruke ekstra tid og ressurser på å få dataene dine til å fungere sammen med andre verktøy du bruker.

Piwik Pro er ikke den billigste løsningen. Det finnes en gratisversjon der du kan ha inntil 500 000 hendelser i måneden (en hendelse er for eksempel et klikk, en sidevisning eller et søk).

En siste fotnote

I Norge er det ikke kommet en endelig uttalelse om at Google Analytics er forbudt per nå (5. april 2023). Det er ingen rettsinstanser som har begynt å prøve bedrifter ennå. MEN, vi er underlagt GDPR, så vi bør gjøre noe med dataene våre og vi bør ha det som endel av planen vår.

Ta en uforpliktende prat med oss så hjelper vi deg å velge rett og hjelper deg på vei

Tags

Data quality GA4 Google Analytics

Se også disse blogginnleggene

Jule-intervju med Arnout Hellemans
A/B-testing Konvertering

Jule-intervju med Arnout Hellemans

By Atle Egenes 21 desember, 2023

Årets Conversion Hero of the Year 2023 går til Dina Doder fra Norwegian
A/B-testing Eksperimentprogram Konvertering Konvertering Konverteringsoptimalisering

Årets Conversion Hero of the Year 2023 går til Dina Doder fra Norwegian

By Atle Egenes 13 november, 2023

Vi utfordrer «best practise»: above the fold
A/B-testing Eksperimentprogram Konvertering Konvertering Konverteringsoptimalisering

Vi utfordrer «best practise»: above the fold

By Atle Egenes 18 oktober, 2023

Conversionista is open for business in The Netherlands.
Read more
Conversionista is open for business in The Netherlands. Read more.