Lov å bruke Google Analytics

Terje Riksaasen

Lov å bruke Google Analytics

Digitale tjenester, Tjenestedesign En kommentar

Datatilsynet har endelig konkludert i saken mot Skatteetaten og Lånekassen. Google Analytics kan brukes på nettstedene. Dette er gledelig nytt for mange offentlige nettsteder. Konklusjonen etterlater imidlertid en god del ubesvarte spørsmål.

I august i fjor gikk Datatilsynet ut og konkluderte foreløpig at Skatteetatens og Lånekassens bruk av analyseverktøyet Google Analytics var i strid med norsk rett.

Datatilsynet påla etatene å dokumentere hvordan data, inklusive IP-adresser, blir brukt. Det ble gjort, og nå, seks måneder senere, har vi fått svaret. Datatilsynet aksepterer bruk av Google Analytics:

«Datatilsynet har konkludert med at Skatteetaten og Lånekassen i tilstrekkelig grad vet hvordan Google håndterer IP-adresser i analyseverktøyet Google analytics. Opplysningene anonymiseres og brukes ikke til annet enn analyseformål.»

– Gode nyheter
Statens Innkrevingssentral er en annen statlig etat som har ventet på Datatilsynets vurdering i denne saken. Webredaktør Hilde Rønningsen er glad for å fortsatt kunne bruke analysesystemet:

– Konklusjonen er godt nytt for oss, siden vi bruker og har brukt Google Analytics siden i fjor sommer. Google Analytics er nyttig for oss for å hele tiden forbedre nettsidene til det beste for våre brukere.

IP-maskering
Skatteetaten og Lånekassen bruker funksjonen _anonymizeIp(), som sørger for at IP-adressen som lagres hos Google er anonymisert. Hovedårsaken til at Datatilsynet nå godkjenner bruken av Google Analytics, er at etatene har redegjort tilfredsstillende for denne funksjonaliteten.

Begrensede muligheter
At man anonymiserer brukernes IP-adresser har imidlertid en del konsekvenser for hva man kan analysere. Man vil for eksempel få ut mindre nøyaktige geografiske rapporter på hvilke steder brukerne befinner seg.

Mange nettsteder ønsker dessuten å kunne filtrere bort egne ansatte i sine analyser. Denne filtreringen baseres vanligvis på brukernes IP-adresser og vil ikke kunne gjøres lenger.

Ubesvarte spørsmål
Selv om Datatilsynet nå har konkludert med at Google Analytics kan brukes etter visse forutsetninger, etterlates det etter vår mening mange ubesvarte spørsmål.

På spørsmål på Twitter, fra bl.a min kollega Eivind Savio, om IP-maskering bare gjelder Google Analytics, svarer tilsynet:

– Trenger en ikke full IP, skal den ikke brukes. Uansett leverandør.

Hvordan skal dette tolkes? At man kan ta vare på full IP, hvis man trenger den? For eksempel til filtrering av egne ansatte?

Hvis svaret er nei, bør Datatilsynet klargjøre hva som er riktig praksis for norske nettsteder, helt uavhengig av hvilket verktøy som benyttes.

I innlegget «Norge – fra internett til inter-njet» fra august, kommenterte Eivind Savio Datatilsynets innledende konklusjon om Google Analytics i kritiske ordelag, og stilte samtidig flere spørsmål.

Selv om Datatilsynet sin frikjennelse av Google Analytics innebærer at det er mindre sjanse for «inter-njet», er likevel en del av spørsmålene i innlegget fremdeles aktuelle:

  • Kan man fortsette å bruke andre webanalysesystemer som WebTrends, SiteCatalyst og  AT Internet, slik det gjøres i dag? Og hva med Google Analytics Premium?
  • Hva med Facebook-likes og Twitter-knapper?
  • Videoer fra YouTube?
  • Annonseservingsystemer som Adform og Doubleclick?
  • Nettsteder basert på WordPress?

Skal IP-adresser maskeres for disse løsningene om ikke det er absolutt behov for full IP?

Om maskering ikke er mulig, hva da?