Google Analytics og GDPR

4

Publisert 24 mars 2021, 12:03 av Joachim Almeke

Det har vært mye debatt om hvordan Google Analytics lekker data direkte til Google via IP-adresser. Men hva innebærer dette for alle nettstedseiere, og betyr det at alle må slutte å bruke Google Analytics på nettstedet sitt for ikke å bryte med GDPR? Jeg skal prøve å tydeliggjøre problemet uten å spesifikt gi juridiske råd. Her vil jeg i stedet beskrive det tekniske aspektet og mitt syn på debatten i egenskap av SEO-manager.

 

 

For å forstå grunnen til problemet må vi vite hva bokstavene GDPR står for. Personvernforordningen GDPR (General Data Protection Regulation) er en EU-forskrift som ble innført i alle EU-land i 2018. GDPR skal beskytte deg og med ved behandling av personopplysninger i unionen, og dette er en juridisk rettighet for alle borgere av EU så vel som land som omfattes av EØS-avtalen. Dette gjelder også for Norge og erstatter de tidligere personvernreglene.

 

En viktig del som skiller GDPR fra gamla PUL er hvordan man definerer en personopplysning der GDPR også regner indirekte personopplysninger som personopplysninger. En indirekte personopplysning er noe som ikke kan knyttes direkte til en enkeltperson, men som likevel sier noe om personen, noe som igjen kan føre til at personen blir identifisert. 

 

 

Behandling av personopplysninger

 

 

Når du besøker et nettsted, er det ikke uvanlig at det finnes et sporingsskript for Google Analytics på stedet. Dette er nødvendig å ha dersom man skal kunne jobbe profesjonelt for å forbedre ens nettsted. Så vi må selvsagt fortsette å samle inn data av nettopp denne grunn, enten du er en e-forhandler eller en stor myndighet.

 

I et standardoppsett av Google Analytics samler Google inn IP-adresser. En IP-adresse kan ses som et unikt personnummer for en webserver og kan detaljere et geografisk sted. Google bruker nettopp IP-adresser for å kunne presentere geografisk data om dine besøkende i Google Analytics, men du kan ikke få fram eller se hvilke IP-adresser som ble samlet inn, siden disse dataene er eksklusive for Google. Dette er kjernen i debatten, siden en IP-adresse kan ses på som en indirekte personopplysning og at lagringen av den skjer i ulike skytjenester utenfor Norge g EUs grenser. Kort oppsummert handler det altså om hva som sendes inn, og om opplysningene overføres til et tredjeland.

 

 

Anonymisering av personopplysningsdata

 

IP i Google Analytics

 

I forbindelse med innføringen av GDPR ble «IP anonymization» introdusert i Google Analytics. Innstillingen fører til at IP-adressen blir «maskert» før den lagres i Googles database. I praksis betyr dette at Google fjerne den siste delen, oktetten, i IP-nummeret. Når for eksempel IP-nummeret 212.42.18.76 anonymiseres, fjernes det siste nummeret (76), og det som siden lagres i Google Analytics, er 212.42.18.76.0. Ifølge Google skjer anonymiseringen av IP-nummeret umiddelbart når samtalen kommer til Google, noe som betyr at den fullstendige IP-adressen aldri lagres. For å anonymisere IP-adresser i Google Analytics må en kodesnutt implementeres enten direkte i kildekoden eller via Google Tag Manager, som er noe vi anbefaler. Det bør også legges til at det finnes en rekke ulike innstillinger for innsamling eller deling av data med andre tjenester hos Google. Alle disse finnes du under kontoinnstillinger i Google Analytics.

 

 

Google Analytics Universal og Google Analytics 4

 

Når vi snakker om Google Analytics, tar vi utgangspunkt i versjonen som heter Universal. Denne versjonen av Google Analytics har eksistert og vært en standard siden 2013. Det finnes også en nyere versjon av Google Analytics som ble lansert 2019, kalt Google Analytics 4 eller GA4. Denne versjonen av Google Analytics har en helt ny måte å samle inn data som også skal lagre og anonymisere dataen i maksimalt 14 måneder, i motsetning til gamle Google Analytics, der det skjer på ubestemt tid.

 

Fra og med oktober 2020 har Google annonsert at ingen nye funksjoner vil bli utviklet for Google Analytics Universal (GA3), siden fokuset nå ligger på utviklingen av GA4. GA3 vil imidlertid bli værende en stund fremover.

 

 

 

Oppgradering til GA4

 

Siden GA4 fremdeles er under utvikling og siden innsamlet data fra gamle Google Analytics ikke kan overføres til GA4, er ikke anbefalingen å gå over til GA4 på det nåværende tidspunkt, men å opprette et nytt websted med GA4 som kjøres parallelt. Etter hvert vil Google tilby en migreringsfunksjon fra gammel til ny Google Analytics, som for øyeblikket ikke er mulig. Husk også at om du oppretter en GA4-eiendom, må du gå gjennom alle de fastsatte målene, og du kan også måtte implementere en ny hendelsessporing, som sporing av e-handel. Slik det ser ut akkurat nå, vil mange bare fortsette å bli værende i Google Analytics. Dersom virksomheten din ønsker å arbeide med Google Analytics, anbefales det å ha en dialog med personvernombudet i bedriften eller en ekstern jurist med GDPR som spesialfelt.

 

 

 

 

Alternativ til Google Analytics

 

Det finnes i skrivende stund alternativ til Google Analytics; deriblant Matomo, Heap og Siteimprove, som gir en bedre kontroll på hvordan data behandles. Det som disse alternativene har til felles, er at de settes opp på sine egne webservere, der dataen også forblir. Det er også mulig å sette opp en proxy for Google Analytics som fungerer som et filter og anonymiserer og krypterer dataene før de videresendes til Google.

Mer Viva i innboksen din!