Hur gör man när man hittar persondata i sin webbanalys?
Vi vill givetvis till varje pris undvika att samla in persondata i vår webbanalys, det är tom så att om du använder dig av Google Analytics så bryter du mot EU lagstiftningen om du gör detta.I praktiken kan du inte använda Google Analytics med nuvarande regler utan att bryta mot lagstiftningen eftersom du vid användningen av Analytics delar dina besökares IP adress med Google och det betyder att du i princip lämnat ut PII. Vi skall inte fastna vi Google Analytics för även om du använder ett system som Matomo som säkerställer att den data du samlar in inte hamnar i orätta händer eller missbrukas i annonsering.
Vad är persondata?
Innan vi kikar på hur vi skall agera måste vi givetvis kika på vad persondata är.
Vi börjar med det givna dvs saker som vi direkt kan koppla till en individ tex:
- IP-adresser
- E-postadresser
- Postnummer
- Personnummer
- Kreditkortsnummer
- Namn
- Telefonnummer
- Etc
Det många missar (eller kanske blundar för) är att persondata också är data som i kombination med annan data kan identifiera en person. Här måste man helt enkelt ha lite koll eller egentligen försöka att ha koll. Det inte är helt enkelt att veta om man med hjälp av allt data som samlats in om ens användare kanske kan identifiera en person.
Vanliga problem som leder till att vi råkar samla in persondata
Det finns ett antal vanliga problem vi behöver vara medvetna om och löpande bevaka. Här listar jag några vanliga anledningar till att vi råkat samla in persondata av misstag.
Applikationen vi spårar har persondata i urlér, titlar eller länkar.
Detta är tyvärr extremt vanligt, det verkar helt enkelt missas av väldigt många utvecklare att persondata aldrig får hantera i dessa fält.
Du kan givetvis försöka hindra att persondata kommer in tex genom att sätta upp filter eller liknande i din Tag Manager eller i din webbanalys plattform men kom ihåg att felet alltid ligger i applikationen eftersom detta strider mot best practice för hur webbapplikationer skall byggas.
Din spårning är för godtycklig
Att sätta upp väldigt generell spårning tex genom en TagManager är ett väldigt effektivt sätt att standardisera sin mätning på. Det ökar dock risken för att vi samlar in persondata, detta är vanligast i organisationer där många parter är inblandade. Kanske har vi en mätning uppsatt som spårar alla klick i menyn på webbplatsen. Vid en ny release så har webbplats teamet lagt in en länk i menyn som går till användarprofilen och kan har dessutom gjort copy på länken personlig. Länken heter helt enkelt “Tomas inställningar”.
Länkar med persondata
Att länka till en annan applikation och skicka med ett id i urlén så att den applikation man skickar användaren till kan identifiera / knyta ihop besöket med hjälp av denna parameter är väldigt vanligt. Även detta strider mot best practice och även här riskerar persondata att hamna även på andra ställen men dessutom kanske inte har kontroll över.
Komplicerade fall som leder till att vi råkar samla in persondata
Persondata är ju data som inte bara är det data som direk kan identifiera en individ, det är ju också data som i kombination med annan data gör att vi kan identifiera någon.
Här är det inte lätt att hålla koll och här kan det vara värt att göra lite tester på sitt data.
Vanliga risker är anpassade dimensioner (custom dimensions), dvs fält som vi kanske plockar in från vårt bakomliggande CRM eller liknande. Det kan vara info om vilken roll användaren har eller liknande. Datat i sig är oftast inget problem, men med många dimensioner på plats så kan man kanske börja skära ner sina användare i väldigt små grupper.
Dimensionen ort är också väldigt vansklig. En ort i Sverige kan vara en by på kanske 50 personer och om du kombinerar denna ort med en dimension om tex yrke så är det stor risk att personer går att identifiera.
Hur agerar vi när persondata samlats in?
Detta är vårt övergripande förslag på aktivitetslista om du råkat samla in persondata.
- Ta det lugnt - Incidenter händer, så drabbas inte av panik men agera resolut enligt nedan.
- Bedöm allvarlighetsgrad så att du vet hur du kanske behöver samla kraft för att åtgärda problemen.
- Förhindra ytterligare insamling se till att stoppa insamlingen snarast. Om man inte kommer åt källan så försök att hindra lagringen genom att sätta upp filter eller annan logik i Tag Managern eller webbanalysplattformen.
- Besluta om eventuell rapport till Datainspektionen (inom 72 h) - Läs på om vad som gäller och fatta ett beslut.
- Rensa bort data - Att rensa bort datat är viktigt eftersom det annars riskerar att hamna i fel händer. Ju snabbare detta kan ske desto bättre så klart. Allvarlighetsgraden spelar såklart in här också.
- Dokumentera incidenter - Även om du inte rapporterar till Datainspektionen så måste du dokumentera att du haft en incident.
- Informera drabbade? - Läs på hos Datainspektionen och gör en bedömning.
- Retrospektiv - Vad kan vi lära oss av detta? Behöver vi utbilda oss eller finns det andra saker vi kan göra för att minska risken för att det skall hända igen.
Matomo och persondata incidenter
Om du använder Matomo har du ett antal verktyg som hjälper dig att hantera dessa situationer.
I Matomo kan du nämligen genom gränssnittet rensa bort de besök (visits/sessioner) som innehåller persondata och därigenom minska spridningen / skadan.
Så här gör du för att ta bort data i Matomo
Den enkla processen man behöver följa är:
1. Rensa bort data i visitor loggen.
2. Invalidera rapporter - Dvs processa om de aggregerade rapporterna så att data även försvinner från dessa.
3. Testa och validera (repetera 1 & 2) om du hittar mer data.
Rensa bort Visits
GDPR Tools
I admin sektionen på Matomo finns ett verktyg som heter GDPR Tools, där kan du söka efter enkla mönster och snabbt hitta visits som du vill ta bort. Tex genom att söka på
“Ort = Kista & Entry page contains matomo”
för att sedan få en lista på visits som Matchar detta
Du kan nu direkt välja att göra delete i gränssnittet på dessa visits och även exportera ut datat om du skulle behöva det.
GDPR Tools är dock begränsat
Tyvärr stöds inte de vanligaste fallen av verktyget GDPR Tools, tex vid situationer som handlar om att persondata finns i titel url eller event data. För att hantera detta kan man jobba enligt nedan.
Identifiera visits med PII
Identifiera datat och försök att ta fram en rapport eller sökning som innehåller alla rader med persondata. I system med mycket data kan detta kanske behöva brytas ned till enskilda dagar eller veckor för att datamängderna skall bli hanterbara.
Det är ofta i Visitorloggen du behöver kunna söka (eftersom det är där datat finns).
I exemplet nedan söker vi efter urlér som innehåller minsida den 25 September på Sajt-id 1
https://din-matomo-server/index.php?segment=actionUrl=@minsida&date=2020-09-25&module=Live&action=indexVisitorLog&disableLink=1&small=1&enableAddNewSegment=1&period=day&idSite=1
Detta ger sedan förhoppningsvis en lista på visits som matchar det du söker.
I denna lista behöver du nu identifiera fältet Visit id (tyvärr lite manuellt jobb), det syns nämligen när du hovrar över besökarens IP-adress enligt nedan.
Det är i detta fall 381848 som är det besök du vill ta bort.
Gå till GDPR Tools och sök fram visitor id 381848
Använd APIét i Matomo för att snabbt ta bort besöket.
https://din-matomo-server/index.php?module=API&method=PrivacyManager.deleteDataSubjects&visits[0][idsite]=1&visits[0][idvisit]=381848&token_auth=DIN_API_TOKEN
DIN_API_TOKEN hittar du på din profilsida i Matomo
Idsite är sajten besöket tillhör
Idvisit är alltså den visit du vill ta bort.
Invalidering av rapporter (Processa om data)
Detta kan du göra via ett API anrop, via consolen på servern eller med hjälp av ett plugin till Matomo som heter InvalidateReports.
InvalidateReports är trevligt, men också begränsat och är endast rekommenderat på små webbplatser. Om du har mycket data och många segment så kan detta ta lång tid.
Då vill du ha mer kontroll på vad du gör och kanske testköra korta perioder innan du drar igång jobben. I APIét kan du dessutom välja att köra ett segment i taget osv.
Läs mer här om Invalidering av rapporter här https://matomo.org/faq/how-to/faq_155/
Läs också blogginlägget Är Google Analytics GDPR compliant?