Texten är tidigare publicerad på vivamedia.se
För att förstå grunden till problemet behöver vi känna till stavelsen GDPR. Dataskyddsförordningen GDPR (General Data Protection Regulation) är EU:s förordning som infördes i alla EU-länder under 2018. GDPR ska skydda dig och mig vid behandling av personuppgifter inom unionen och detta är en laglig rättighet för alla medborgare inom EU. GDPR ersatte Personuppgiftslagen (PUL) i Sverige och det är detta vi har att förhålla oss till.
En viktig del som skiljer GDPR mot gamla PUL är hur man definierar en personuppgift där GDPR även räknar indirekta personuppgifter som en personuppgift. En indirekt personuppgift är något som inte kan knytas till en enskild person direkt men som ändå berättar något om person vilket i sin tur kan leda till att personen identifieras.
Hantering av personuppgifter
När du besöker en webbplats är det inte ovanligt att det finns ett spårningsscript för Google Analytics på plats. Detta är nödvändigt att ha om man skall kunna arbeta professionellt med att förbättra sin webbplats. Så självklart måste vi fortsätta att samla data av just den anledningen oavsett om du är en e-handlare eller en stor myndighet.
I en standarduppsättning av Google Analytics så samlar Google in IP-adresser. En IP-adress kan ses som ett unikt personnummer för en webbserver och kan detaljera en geografisk plats. Google använder just IP-adresser för att kunna presentera geografisk data om dina besökare i Google Analytics men du kan inte få fram eller se vilka IP-adresser som samlats in då den datan är exklusiv hos Google. Detta är kärnan till debatten eftersom en IP-adress kan ses som en indirekt personuppgift och att lagringen av den sker i olika molntjänster utanför Sveriges och EU:s gränser. Kort summerat handlar det alltså om vad som skickas in och om uppgifterna överförs till ett tredjeland.
Anonymisering av personuppgiftsdata
I samband med införandet av GDPR introducerades “IP anonymization” i Google Analytics. Inställningen gör så att IP-adressen “maskas” innan den sparas i Googles databas. Det innebär i praktiken att Google tar bort den sista delen, oktetten, i IP-numret. När exempelvis IP-numret 212.42.18.76 anonymiseras tas det sista numret (76) bort och det som sedan sparas i Google Analytics är 212.42.18.76.0. Enligt Google sker anonymiseringen av IP-numret omedelbart när anropet kommer till Google vilket innebär att den fullständiga IP-adressen aldrig sparas. För att anonymisera IP-adresser i Google Analytics behöver en kodsnutt implementeras antingen direkt i källkoden eller via Google Tag Manager vilket är något som vi rekommenderar.
Det ska också tilläggas att det finns ett antal olika inställningar för att samla in eller dela data med andra tjänster hos Google. Alla dessa hittar du under kontoinställningar i Google Analytics.
Google Analytics Universal och Google Analytics 4
När vi pratar om Google Analytics så utgår vi ifrån versionen som heter Universal. Denna version av Google Analytics har funnits och varit en standard sedan 2013. Det finns även en nyare version av Google Analytics som lanserades 2019 med namnet Google Analytics 4 eller GA4. Denna version av Google Analytics har ett helt nytt sätt att samla in data som även ska spara och anonymisera datan i maximalt 14 månader till skillnad mot gamla Google Analytics där det sker på obestämd tid.
Från och med oktober 2020 har Google meddelat att inga nya funktioner kommer utvecklas till Google Analytics Universal (GA3) då fokuset nu ligger på utvecklingen av GA4. GA3 kommer dock finnas kvar en tid framöver.
Uppgradering till GA4
Eftersom GA4 fortfarande är under utveckling och att insamlad data från gamla Google Analytics inte går att migrera över till GA4. Rekommendationen är att inte gå över till GA4 i dagsläget men att lägga upp en ny webbegendom med GA4 som körs parallellt. Google kommer i sinom tid att erbjuda en migreringsfunktion från gamla till nya Google Analytics vilket inte är möjligt i dagsläget. Tänk även på om du skapar upp en GA4-egendom så behöver du går igenom alla uppsatta mål och du kan även behöva implementera ny eventspårning som e-handelsspårning. Som det ser ut just nu så fortsätter många att stanna kvar i Google Analytics. Huruvida er verksamhet önskar arbeta med Google Analytics så rekommenderas en dialog med ert dataskyddsombud eller en extern jurist specialiserad inom GDPR.
Alternativ till Google Analytics
Det finns i skrivande stund alternativ till Google Analytics; däribland Matomo, Heap och Siteimprove vilka ger er bättre kontroll på hur data bearbetas. Det som är gemensamt med dessa alternativ är att de sätts upp på den egna webbservern där datan även förblir. Det finns även möjlighet att sätta upp en proxy till Google Analytics som fungerar som ett filter och anonymiserar och krypterar datan innan den skickas vidare till Google.