Var inte rädda för Google Analytics, DN

Lite då och då skriver någon journalist lite smått konspiratoriskt om Google Analytics. I dag var det DN:s tur med artikeln “Webbsidor avslöjar ditt besök för Google”. Journalisten kanske hoppades att han gjorde “det stora avslöjandet”, men i själva verket har Google Analytics funnits sedan 2005 och massvis med svenska privatpersoner använder det högst medvetet sedan länge för sina egna bloggar och webbplatser. Om Google Analytics är en hemlighet så måste det vara världens sämst bevarade hemlighet. Tyvärr DN, ni har inte avslöjat en spionorganisation.

Men låt oss reda ut begreppen lite och bemöta påståendena. Som Google Analytics Certified Partner är vi förstås partiska, men samtidigt gillar vi fakta och försöker hålla oss till det i alla situationer.

1. Många svenska företag och organisationer använder Google Analytics

Sant. Tidigare undersökning har pekat på att så många som nio av tio svenska webbplatser som analyserar besökarnas beteende använder Google Analytics.

2. Hur internetjätten använder uppgifterna är det ingen som vet

Nja, på de officiella sidorna om Google Analytics står det att läsa:
“Kunderna äger sina Google Analytics-data”. Se rubriken “Kundens kontroll över informationen”.

Under rubriken “Datakonfidentialitet” på samma sida står följande att läsa:

Såsom vi har angett i Googles sekretesspolicy skyddar Google Analytics konfidentiella data på flera olika sätt:

  • Personlig information – Information som kan identifiera en person, t.ex. namn, e-postadress eller faktureringsuppgifter, eller andra uppgifter som skulle kunna länkas till sådan information via Google. Användarvillkoren för Google Analytics, som alla Google Analytics-användare måste följa, förbjuder spårning och insamling av sådan information med hjälp av Google Analytics.
  • Ingen datadelning utan tillstånd – Google Analytics-data får inte vidarebefordras utan användarens tillstånd utom i vissa begränsade situationer, t.ex. när detta krävs enligt lag.
  • Fortlöpande investeringar i säkerhet – Särskilda säkerhetsteam på Google ansvarar för att skydda informationen mot externa hot. Den interna åtkomsten till data (t.ex. av Googles medarbetare) är strikt reglerad och omfattas av föreskrifter och rutiner för medarbetarnas informationsåtkomst.
  • Efterlevnad av policyer – Google bevakar efterlevnaden av sina egna sekretesspolicyer.

Hur Google hanterar data kan du läsa mer om i vårt tidigare inlägg om säkerhet i datacentren.

Tänk på att personuppgifter aldrig lagras av Google Analytics om inte webbplatsägaren medvetet väljer att bryta mot användningsvillkoren och forcera in dessa uppgifter. Vad som gäller för IP-nummer skriver vi om längre ned.

Ur användningsvillkoren:
Ni får inte (och inte tillåta någon tredje part att) använda Tjänsten för att spåra eller samla in personligen identifierbar information om internetanvändare, inte heller får Ni (och inte tillåta någon tredje part att) sammankoppla uppgifter som inhämtats från Er webbplats/Era webbplatser (eller sådana tredje parters webbplats/-er) med någon personligen identifierbar information från någon källa som en del av Er användning (eller sådana tredje parters användning) av Tjänsten. Ni måste ha och efterfölja en lämplig integritetspolicy och ska följa samtliga gällande lagar som rör insamlandet av information från besökare till Era webbplatser. Ni måste publicera en integritetspolicy, och denna måste ge besked om Er användning av en cookie vilken samlar in anonyma trafikuppgifter. 

De flesta webbplatsägare informerar om användandet. 

3. Google kan teoretiskt sett koppla ihop din Gmail-adress med ditt beteende på andras webbplatser

Detta påstående har flera brister. För det första använder Google Analytics så kallade förstapartscookies vilket innebär att endast den domän (i detta fall din webbplats domän) får läsa de cookies som Google Analytics skriver. Andra domäner har ingen rättighet att läsa dessa cookies.

För det andra styr inställningarna i Google Analytics hur datadelning får gå till. Alternativen är:

  • Dela mina Google Analytics-data endast med andra Google-produkter. Med detta avses t.ex. att kunna koppla ihop Google Analytics med AdWords, inte att göra kopplingar till Gmail.
  • Dela mina Google Analytics-data anonymt med Google och andra. Denna inställning gör att du anonymt delar med dig av data till en benchmarkingfunktion du då får tillgång till.
  • Dela ingen Google Analytics-data. Ingen data delas med andra tjänster.

För det tredje säger Google själva i villkoren för Google Analytics följande om personuppgifter, som t.ex. e-postadresser:
Användarvillkoren för Google Analytics, som alla Google Analytics-användare måste följa, förbjuder spårning och insamling av sådan information med hjälp av Google Analytics.

Den som vill göra gällande att Google kopplar ihop data från Google Analytics med Gmail får därför gärna berätta hur de tänkt sig att det skulle gå till.

4. Data om beteenden på webbplatser lagras på Googles servrar

Sant. Hur Google hanterar data kan du som sagt läsa mer om i vårt tidigare inlägg om säkerhet i datacentren. Samtidigt är det viktigt att komma ihåg att nästan alla moderna verktyg för webbanalys säljs som SaaS. Att data lagras i det så kallade molnet är de flesta bekanta och vana vid sedan en tid. Facebook lagrar din data i molnet, Evernote lagrar din data i molnet, Apple har sitt iCloud, etc. Den användare som granskar sitt beteende kommer snabbt inse att det mesta av det hon gör leder till att data lagras på olika servrar.

Använder du webbanalysverktyget SiteCatalyst från Adobe (tidigare sålt under namnet Omniture) köper du också en SaaS-tjänst från ett amerikanskt företag och data lagras likväl inte på dina egna servrar. Samma sak gäller för Webtrends SaaS-tjänst och många fler.

Den stora skillnaden med Google Analytics är att det kan fås som ett gratisverktyg och när en myndighet använder det istället för exempelvis SiteCatalyst så går inte dina skattepengar åt för att köpa en tjänst i onödan. När det gäller regeringskansliet, som DN omnämner, skulle DN enkelt kunna se att Google Analytics endast används om besökaren explicit godkänner att cookies används. Som standard har den webbplatsen ingen spårning.

Det är också rimligt att göra antagandet att Google, som lever på att hantera data, tillhandahåller marknadens bästa datasäkerhet. De banker, partier och myndigheter som DN anger i sin artikel kan alltså anses både vara ekonomiskt sunda och i högsta grad säkerhetstänkande. Andra tjänster för webbanalys, som lagrar data på egna servar (ofta i USA), kan löpande kosta stora summor pengar.

5. Google Analytics spårar ditt IP-nummer och information om din dator

Vi har tidigare skrivit om vilken data som lagras i Google Analytics samt vad som lagras i cookies. Att Google Analytics sparar information om din dator låter väldigt stort och skrämmande. Det Google Analytics spårar avseende “din dator” är dock bara vilken version av Flash du har (om någon), om webbläsaren du använder har Java aktiverat, vilken skärmupplösning du använder, vilket färgdjup din skärm har samt vilket språk du ställt in i webbläsaren.

Detta säger egentligen ingenting om dig som person utan är uppgifter som analytiker använder för att bättre förstå hur de ska anpassa webbplatser efter användarnas förutsättningar. På samma sätt är det med all analys med Google Analytics: syftet är att bygga mer användarvänliga webbplatser. Detta för att en bra webbplats ger nöjda besökare vilket har en tendens att öka intäkter och minska kostnader.

Avseende IP-adresser så används den informationen till att kunna tillhandahålla mer träffsäker geografisk information om besökare. Kom dock ihåg att analys i Google Analytics sker på aggregerad nivå och inte på besökarnivå. Det är inte heller så att man kommer ned på någon speciellt granulär nivå utan stad brukar vara den lägsta nivå på vilken analys sker.

Utöver geografisk information används IP-numret för att tala om vilken internetleverantör som används (eller vilken organisation som besöker webbplatsen). Det är inte heller information på individnivå och IP-numret finns ej tillgängligt för analys för användare av Google Analytics. Det används bara backend hos Google.

Den webbplatsägare som vill kan även med en enkel justering av spårningsscriptet ta bort sista oktetten av IP-numret. Det gör bland annat Datainspektionen som själva använder Google Analytics och har uttalat sig om att det är helt OK att göra det.

Google Analytics tillhandahåller dessutom en webbläsarbaserad plugin för opt out från spårning på samtliga webbplatser. Kan någon nämna ett enda annat verktyg för webbanalys som tillhandahåller det?

Google själva skriver:

Varje dator och enhet som ansluter till internet får ett unikt nummer, en IP-adress (Internet Protocol). Eftersom numren tilldelas i landsbaserade block går det ofta att använda IP-adresserna för att identifiera från vilket land eller vilken region eller ort en dator ansluter till Internet. Eftersom webbplatser måste använda IP-adresser för att internet ska fungera har webbplatsägare åtkomst till besökarnas IP-adresser oavsett om de använder Google Analytics eller inte.

Google Analytics samlar dock in webbplatsbesökarnas IP-adresser endast för att tillhandahålla och skydda tjänsten och förse webbplatsägarna med information om var i världen deras besökare befinner sig (detta kallas IP-geolokalisering).

Google Analytics delar inte den faktiska IP-adressinformationen med Google Analytics-kunder. Genom IP-maskering kan webbplatsägare som använder Google Analytics ange att programmet bara ska använda en del av IP-adressen, inte hela IP-adressen, vid geolokalisering.

Slutklämmen

Kunde inte låta bli att titta lite snabbt på vilken data som skickas från dn.se. Se där, de använder själva bland annat Google Analytics.

Den som vill ha något att oroa sig över bör fokusera på verktyg och lösningar som använder tredjepartscookies eller faktiskt lagrar personuppgifter, inte på verktyg som likt Google Analytics använder förstapartscookies och förbjuder lagring av personuppgifter.

Att analysera beteende på den egna webbplatsen i syfte att identifiera brister och minska besökarnas frustration är något som bör uppmuntras.


Artiklar: DN:s intervju med Google, DN:s originalartikel, Mer från DN