Google Analytics, banker, säkerhet och integritet

Törs banker använda Google Analytics?

Brian Clifton, tidigare anställd på Google, jämför data med pengar i den mening att information har ett värde. Han har som de flesta vet rätt. Men information har inte bara att värde för den som besitter den, den kan också skapa enorma förluster för vederbörande. Det tar lång tid att bygga upp något som är bra, men väldigt lite tid för att rasera det.

Historien har gång på gång visat att företag som inte anpassar sig efter marknadssituationen och som inte lyssnar på, och vårdar, sina kunder går under. Google har inte råd att slarva med hanteringen av data. Det finns knappast någon på Google som inte är livrädd för den typ av backlash som drabbade AOL 2006.

Google hanterar enorma mängder data, inte bara för att tillhandahålla sökmotorn utan för alla de mängder av kringtjänster som de erbjuder. Om det är något de har erfarenhet av så är det att hantera data.

Deras säkerhetsfilosofi är också lugnande: ”Som leverantör av såväl programvara som finansiella och andra tjänster, till både användare, annonsörer och publicister på Internet, känner vi ett ansvar för att skydda din sekretess och säkerhet. Vi inser att säkra produkter är en förutsättning för att vi ska kunna upprätthålla det förtroende du visar oss..”

Googles storlek gör att den säkerhet som erbjuds till stora företagskunder även erbjuds till individer. Precis som att man i bankvärlden tillhandahåller samma säkerhet för alla bankkonton gör Google det för användarkonton. Om någon lyckas hacka sig in på en privatpersons bankkonto och överföra så lite som en hundralapp kan det orsaka en mediastorm som skadar bankens anseende vilket skulle leda till att både privatpersoner och företag byter bank.

Därför är kontosäkerhet viktigt både för banker och för Google. I bankernas fall för hantering av pengar. I Googles fall för hantering av data.

Törs då en bank använda Google Analytics? Det är upp till varje bank att avgöra själv, men jag har inte hittat något bevis för att Googles datahantering skulle vara osäkrare än t.ex. Webtrends eller Omnitures SaaS-lösningar.

Några exempel på banker som just nu använder Google Analytics:

GE Money Bank
Bank2
ICA Banken
Avanza Bank
Forex Bank
Carnegie
Volvo Finans
Ålandsbanken
Resurs Bank
Lloyds Banking Group
Northern Rock

Sekretess och integritet

Angående sekretess finns följande att läsa i användningsvillkoren för Google Analytics: ”Ingen Part skall använda eller lämna ut den andra Partens Konfidentiella Information utan den andra Parten föregående skriftliga samtycke förutom om syftet är att fullgöra skyldigheter under Avtalet eller om det krävs enligt lag, föreskrift eller domstolsbeslut. En Part som är tvingad att lämna ut Konfidentiell Information skall meddela den andra Parten i den utsträckning det är praktiskt möjligt innan informationen lämnas ut. Vid Avtalets upphörande skall Parterna (utöver regleringen i punkt 14 nedan) omgående antingen återlämna eller förstöra all Konfidentiell Information och, på begäran, skriftligt intyga att så har gjorts.”

Avseende integritet kan följande utläsas av villkoren: ”Ni får inte sammankoppla (eller låta tredje part sammankoppla) uppgifter insamlade från Er/-a Webbsida/-or (eller webbsida som tillhör sådan tredje part) med några personuppgifter, oavsett varifrån de hämtats, som en del av Er användning (eller sådan tredje parts användning) av Tjänsten. Ni skall agera i förenlighet med tillämplig personuppgiftslagstiftning som har samband med Er användning av Tjänsten och insamlingen av uppgifter från besökare på Era Webbsidor. Ni skall på Er webbplats ha (och följa) en väl synlig och lämplig integritetspolicy.”

Det innebär alltså att ni inte får spara personuppgifter i Google Analytics. Det minimerar risken både för er och Google om någon, mot all förmodan och trots stora säkerhetsåtgärder, skulle komma åt ert konto.

Frågan är om det verkligen är viktigt att spåra individer genom webbanalys? De företag som vill spåra vad just Sven Svensson gör ska inte välja Google Analytics. De företag som däremot nöjer sig med att spåra beteende för olika segment av användare (t.ex. inloggade vs. inte inloggade eller kunder vs. inte kunder) kan använda Google Analytics.

Jag vet inte om det är känslomässiga och irrationella tankar som får en del företag att inte våga använda Google Analytics eller om det är feltolkning av användningsvillkoren. Det står att Google och dess helägda dotterbolag får ”använda information som insamlats vid Er användning av Tjänsten (inklusive men inte begränsat till Kunduppgifter) i syfte att tillhandahålla webbanalyser och spårningstjänster till Er”.

Ja, det är väl inte konstigare än att det vore omöjligt att kunna erbjuda analysmöjligheter utan att spara och processa data. Rätt logiskt egentligen. Detsamma gäller ju alla andra SaaS-lösningar.

Det är också värt att notera att ”Google kommer inte att dela med sig av sådan information med tredje part såvida Google inte (i) har Ert samtycke; (ii) anser att det krävs enligt lag eller har anledning att tro att sådant utlämnande skäligen krävs för att försvara Googles, dess användares eller allmänhetens rättigheter, egendom eller säkerhet; eller (iii) tillhandahåller sådan information till tredje parter i vissa begränsade fall för utförande av uppgifter för Googles räkning (t.ex. fakturering eller lagring av data) med strikta restriktioner som förhindrar att uppgifterna används eller sprids utöver vad Google anvisat.”

Jag kan inte se det som hotfullt. Snarare som att Googles hantering av webbanalysdata är rimlig.

Google har vidare 5 sekretessprinciper som gäller alla deras produkter, de:

  1. Använder information för att skapa bra tjänster och produkter för sina användare.
  2. Utvecklar säkra produkter som skyddar sekretessen.
  3. Ser till att det är tydligt hur personlig information samlas in.
  4. Ger sina användare möjlighet att fatta beslut om hur sekretessen skyddas.
  5. Förvaltar informationen de har tillgång till på ett ansvarsfullt sätt.

Googles allmänna sekretesspolicy säger följande:
”Vi vidtar nödvändiga säkerhetsåtgärder för att skydda information mot obehörig åtkomst, ändring, yppande och förstörelse. Detta inkluderar intern granskning av våra rutiner för insamling, lagring och bearbetning av data samt fysiska säkerhetsåtgärder i syfte att skydda mot obehörig åtkomst till system där personuppgifter lagras. Vi begränsar åtkomst till personuppgifter till Googles anställda, leverantörer och agenter som behöver uppgifterna för att kunna driva, utveckla och förbättra våra tjänster. Dessa personer är bundna av åtaganden beträffande behandling av personuppgifter och kan straffas med disciplinåtgärder, inklusive uppsägning och åtal, om de inte följer reglerna.”

Det går att aktivera anonym datadelning i Google Analytics. Det kräver dock en aktiv handling från kontoägaren för att så skall ske. Om du väljer att dela med dig av webbplatsuppgifter anonymt, vilket inte på något sätt är obligatoriskt, tar Google bort alla uppgifter som gör det möjligt att identifiera din webbplats. Det du får om du aktiverar denna funktion är möjligheten att jämföra hur din webbplats presterar i jämförelse med andra webbplatser av samma storlek eller i samma bransch.

Benchmark-rapporten jämför antal besök, antal sidvisningar, avvisningsfrekvens, genomsnittlig tid på webbplats, antal sidor per besök och andelen nya besök.

Eftersom det finns en massa okända variabler som påverkar hur väl andras webbplatser presterar (kvaliteten på den trafik de driver, deras målgrupp, varumärkesposition, medial påverkan, etc.) är det ingen förlust att låta bli att aktivera funktionen. Den är i och för sig harmlös, men ger heller inte så mycket.

Summering

Spelar det egentligen någon roll vilka individer på Google som har tillgång till din data? Kanske, men inte i större utsträckning än det spelar roll vilka individer på en bank som kan se hur mycket pengar du har. Om du litar på att banken för att lagra dina pengar litar du indirekt på dess processer, kontrollsystem och anställda. Samma princip borde gälla för hantering av data, oavsett om den lagras på Googles, Yahoos, Webtrends, Omnitures, eller någon annans servrar. Såväl Brian Clifton som Jim Sterne har påtalat det och jag kan inte annat än instämma.

Möjligheten att lagra sin data på sin egen server finns alltid likväl som möjligheten att spara pengar i madrassen (eller i ett egenägt kassaskåp) istället för på ett bankkonto. Men vad är egentligen säkrast?

Google klassar data från Google Analytics som konfidentiell, ingen data delas utan ditt tillstånd (med undantag för om det krävs av lagen), pengar investeras kontinuerligt i säkerhet, revision genomförs av policies för datahantering och användare äger sin egen data.

Det är också intressant att notera att självaste Datainspektionen använder Google Analytics. Det måste ändå tolkas som att de känner sig trygga med Googles hantering av data.

Läs också vad Forrester och Gartner har att säga om Google Analytics och min analys att verktyget räcker för de flesta svenska företag.

Om du fortfarande tvekar kring Googles hantering av data och integritetsfrågor kan du ställa din fråga direkt till dem.