Innehåll
Schrems II-domen och Datainspektionens granskning
Vad är ”webbläsarbeteende” för något?
Överför Google Analytics personuppgifter till tredjeland?
Alternativ till Google Analytics
Frågor och svar

Schrems II-domen och Datainspektionens granskning

Genrebild som visar EU-flaggan med en knyten näve centrerad i bilden. EU slår tillbaka mot Big Tech.

Är EU på krigsstigen mot Big Tech?

Schrems II-domen kom i somras och nyligen inledde Datainspektionen en granskning av flera företag, bland Coop och CDON, gällande hur de använder Google Analytics. Granskningen är ett samarbete på EU-nivå och vi som jobbar med digital analys hoppas att resultatet ska bringa klarhet i vad som gäller vid användning av Google Analytics och andra verktyg för webbanalys och digital marknadsföring.

De granskade företagen har fått 25 frågor som ger en inblick i hur Datainspektionen ser på Google Analytics. Det är i första hand Google Analytics som granskas men granskningen berör med stor sannolikhet alla typer av verktyg som körs på en webbplats när besökare surfar på den, till exempel Facebook- och Linkedin-pixlar. Det verkar som att det också är den gamla varianten av Google Analytics som granskas: Google Analytics Universal och inte den nya varianten Google Analytics 4.

Övergripande handlar frågorna om vad som skickas in och om uppgifterna överförs till tredjeland med koppling till dataskyddsförordningen, GDPR. Den här texten ger inga juridiska råd och det finns förmodligen juridiska lösningar om besökare på webbplatsen ger sitt medgivande på att uppgifter överförs till tredjeland. Det vi beskriver nedan är utifrån ett tekniskt perspektiv.

Vad är ”webbläsarbeteende” för något?

Illustration över de tre olika typer av data som spårare samlar in: IP-nummer, metadata om webbläsare och interaktioner.

Den data som samlas in spårare för webbanalys och digital analys. Observera att flera datorer kan ha samma IP-adress och på en dator kan flera webbläsare användas.

I frågorna från Datainspektionen verkar både IP-nummer och ”webbläsarbeteende” som personuppgifter. IP-nummer definieras av Datainspektionen sedan tidigare som en personuppgift. Datainspektionen har inte exakt definierat vad som innefattas i begreppet ”webbläsarbeteende”.

Vi tror att Datainspektionen skulle definiera webbläsarbeteende som

  1. vad en enskild webbläsare har gjort för interaktioner på en webbplats, till exempel sidvisningar, klick på länkar, scrollning, tid och så vidare och
  2. den metadata som sparas om en besökare på webbplatsen, till exempel användaridentifierare/annonsidentifierare (ID-nummer i kaka), operativsystem, webbläsare (och version), skärmstorlek, språk i webbläsare, skärmfärger, flash-version och stöd för Java utgör, IP-nummer, geografisk plats och demografiska data som kön, ålder och intressen.

Förutom att identifiera en webbläsare med hjälp av ett ID-nummer kan en kombination av metadata användas för att skapa så kallade digitala fingeravtryck. Det digitala fingeravtrycket kan med stor träffsäkerhet identifiera enskilda webbläsare. I Google Analytics finns inget stöd för digitala fingeravtryck och det är inte heller tillåtet att spara digitala fingeravtryck i Google Analytics. Andra webbanalysverktyg som till exempel Matomo har inbyggt stöd för digitala fingeravtryck.

I standardutförande av Google Analytics spåras webbläsare och inte personer. En webbläsare kan användas av en person men också av ett datorprogram för att skapa en så kallad bot. Det är möjligt att spåra enskilda personer i Google Analytics i samband med en inloggning, men det görs inte i standardversionen av verktyget.

Frågan är hur många av de här uppgifterna som behöver anonymiseras eller krypteras för att inte längre betraktas som personuppgifter. Räcker det att anonymiesra IP-adresser eller behöver även annan metadata anonymiseras eller krypteras innan de kan skickas till tredjeland?

Överför Google Analytics personuppgifter till tredjeland?

Google Analytics har flera inställningar som reglerar vad för data som samlas in på webbplatsen och hur den delas med andra parter. Beroende på vilka inställningar som görs accepteras olika avtal mellan webbplatsinnehavaren och Google. I och med det accepterar webbplatsinnehavaren om de använder Google Analytics att uppgifter överförs till tredjeland.

Den del som inte är möjligt att ställa in är till vilka servrar som data först skickas från webbplatsen. Beroende på var besökare befinner sig och vad för internetinställningar de har skickas data till servrar på olika platser i världen och därmed hamnar data direkt i tredjeland.

I Google Analytics kan IP-adresser anonymiseras. Det innebär i praktiken att Google tar bort den sista delen, oktetten, i IP-numret. När till exempel IP-numret 218.42.64.54 anonymiseras tas ”54” bort och det som sedan sparas i Google Analytics är 218.42.64.0. Enligt Google sker anonymiseringen av IP-numret omedelbart när anropet kommer till Google i det som kallas för lastbalanserare. Om man väljer att tro Google innebär det att Google aldrig får reda på den fullständiga IP-adressen. Inställningen för att anonymisera IP-adresser behöver göras i kod direkt på webbplatsen eller, om Google Tag Manager används, i det verktyget.

I Google Analytics finns det ca 20 olika inställningar för att samla in och/eller dela data med andra tjänster hos Google. Det kan vara till Google Ads och andra annonsnätverk som Google har, Google Optimize för AB-testning och liknande. Beroende på vilka inställningar som görs behöver olika avtal accepteras. Även om ni inte aktivt använder Google Ads kan den extra spårningen och delning av data ändå göras om ni valt att använda demografi-rapporterna i Google Analytics. Det är för att Google Analytics använder data från Googles annonsnätverk för rapporterna.

Skärmdump på en av de sidor i Google Analytics inställningar för datadelning hanteras. I det här fallet under Administration följt av Kontoinsträllningar.

En av flera ställen i Google Analytics där inställningar för datadelning kan ställas in: Administration följt av Kontoinställningar i vänstra kolumnen.

Frågan som vi inte kan svara på i nuläget är om Google Analytics ändå kan användas om alla inställningar för delning är avstängda i Google Analytics och IP-nummer anonymiseras. Eller om det här är slutet för Google Analytics och liknande verktyg både inom webbanalys och digital marknadsföring.

Alternativ till Google Analytics

Det enklaste alternativet är förmodligen att helt sluta använda verktyg för webbanalys och digital marknadsföring på webbplatser. Men förutsatt att den data som samlas in skapar värde för organisationen finns det två vägar att gå om Google Analytics inte längre kan användas i framtiden:

  1. Ersätta Google Analytics med annat webbanalysverktyg – webbanalysverktyg som Matomo, Vizzit och Siteimprove kan helt eller delvis ersätta Google Analytics som webbanalysverktyg. Matomo är öppen källkod kan installeras på vilken server som helst. Vizzit och Siteimprove är ett svenskt respektive danskt bolag som erbjuder verktyg för webbanalys och lagrar data endast i Sverige respektive EU.
  2. Filtrera bort data mellan besökarnas webbläsare och Google Analytics – Google lanserade en ny variant av Google Tag Manager Server som kan köras på en egen server (i nuläget endast i Googles molnlösning Google Cloud Platform). I Google Tag Manager Server filtrerar vi bort den data som inte ska skickas vidare till Google Analytics, Google Ads eller andra tjänster. Det är möjligt att ta bort IP-nummer, data om enhet och webbläsare och annat. För mer information om Google Tag Manager Server läs vår artikel om det och vi utvecklar också resonemanget här kring hur ni kan fortsätta använda Google Analytics.

Beroende på vilka behov ni har av webbanalys och digital marknadsföring kan antingen alternativ 1 eller alternativ 2 vara bäst för er. Om ni inte arbetar med digital marknadsföring och vet att ni inte kommer att göra det framöver är förmodligen alternativ 1 bäst. Om ni däremot vill vara flexibla och kunna använda olika typer av verktyg för webbanalys och digital marknadsföring är förmodligen alternativ 2 bäst. Både alternativen hanteras var data skickas, men det är endast alternativ 2 som det är möjligt att styra exakt vilken data som sparas.

Vi arbetar med båda alternativen och hör av er till Max Walter om ni vill ha hjälp att utreda vilket som är det bästa alternativet.

Vill du veta mer?

Frågor och svar

Vad innebär Schrems II-domen för användningen av Google Analytics på webbplatser?

Att ni behöver utvärdera er användning av Google Analytics och andra verktyg som spårar besökare på webbplatsen, till exempel för webbanalys och digital marknadsföring? Exempel på verktyg som förmodligen berörs är Facebook-pixlar och andra pixlar för digital marknadsföring.

Vad innebär Datainspektionens granskning av Coop, CDON, Dagens industri, Tele2 med fleras användning av Google Analytics?

Det är inte bara i Sverige som en granskning sker utan det är en gemensam insats av alla tillsynsmyndigheter i EU mot ett hundratal organisationer. Förhoppningsvis blir resultatet av granskning ett tydligt besked om hur Google Analytics och andra verktyg för webbanalys och digital marknadsföring kan användas på webbplatser.

Behöver vi sluta använda Google Analytics omgående på vår webbplats?

Just nu, december 2020, verkar många fortfarande ha kvar Google Analytics på sin webbplats. Prata med ert dataskyddsombud eller IT-jurist eftersom de vet bättre vad som gäller juridiskt.

Vilka alternativ finns det till Google Analytics?

Det finns två övergripande perspektiv. Dels att använda ett annat webbanalysverktyg där ni har bättre kontroll på hur data bearbetas, t.ex. Matomo. Dels att använda en mellanhand, proxy, som filtrerar bort, anonymiseras och/eller kryperar data innan den skickas vidare till Google Analytics och andra verktyg, t.ex. Google Tag Manager Server.