Nej IP anonymisering i Google Analytics gör inte er webbanalys laglig
Uppdaterad: 2021-03-03
Förra veckan avslöjade Sveriges Radio att ett 80-tal svenska myndigheter läcker personuppgifter om sina webbplatsbesökare. Trots att myndigheterna lovar anonymitet skickar de ip-adresser till Google. På ny teknik gjordes även ett inlägg i frågan där man beskrev hur “många organisationer som utlovar anonymitet – samtidigt spårar sina webbplatsbesökare med en mängd olika spårningstjänster”
I Ekots uppföljande artikel om dataläckaget med rubriken “Skrivfel orsak till att ip-adresser skickades till Google” hävdar de felaktigt att det vanligaste felet handlar om en mycket liten detalj”. De hävdar att om hemsidorna hade skrivit frasen anonymizeIP med ett litet P på slutet så hade besökarnas ip-adresser anonymiserats.
Misstaget gör förvisso att ännu mer data läcker ut men man måste förstå att IP anonymisering bara är en falsk trygghet även om Google såklart hävdar motsatsen.
Vad är ip anonymisering?
IP anonymisering innebär att man döljer sista siffran i ip-adressen innan den lagras i Google Analytics databas. Tex: 192.168.0.1 lagras som 192.168.0.0.
Det är en mycket naiv uppfattning att detta skulle räcka för att uppfylla anonymitet och den håller inte heller juridiskt.
Bara det faktum att ip-adressen når Googles servrar innebär att man röjt uppgiften och lämnat över ansvaret till en part som inte kan ge garantier kring anonymitet.
Inget internet utan IP adresser
För att förstå problematiken måste man veta hur internet fungerar och man måste vara medveten om hur anrop i besökarens webbläsare görs och vad systemen man anropar faktiskt får tillgång till.
När vi till exempel skriver in https://regeringen.se/kontakt i vår webbläsare och trycker Enter så sker först ett anrop till den server där regeringen.se körs. Servern skickar sedan tillbaka HTML till din webbläsare och denna kod innehöll(vid vårt test) sedan ytterligare 34 anrop mot andra resurser som man använder för att visa upp denna webbsida. Det kan tex vara bilder, CSS och typsnitt men även script för tjänster som till exempel Google Analytics. Sammanlagt anropar din webbläsare sex olika domäner när du besöker regeringen.se:
- regeringen.se (Sverige)
- www.google-analytics.com (USA)
- regstat.regeringen.se (Sverige)
- dl.episerver.net (USA)
- play2.qbrick.com (Sverige)
- www.googletagmanager.com (USA)
Det man måste förstå är att alla dessa domäner eller egentligen servrarna bakom dessa får tillgång till besökarna ip-adresser (man kan helt enkelt inte göra ett anrop på internet utan att dela sin ip-adress med den server man pratar med).
Det är upp till varje server att bestämma vad de vill lagra i sina loggar och en rad i loggen kan se ut ungefär såhär:
129.168.0.1 - [1/Mar/2021:13:55:36 -0700] "GET /kontakt HTTP/1.0" 200 2326 "http://www.regeringen.se/kontakt" "Mozilla/4.08 [en] (Win98; I ;Nav)"
Det är tillsammans med sökvägen till sidan en hel del information om besökaren som tex operativsystem, webbläsare, IP adress osv.
Av de sex domäner som används på regeringen.se ligger dessutom tre av dessa i USA.
Det finns fler utmaningen i relation till GDPR eftersom Google Analytics sparar cookies och profilerar era besökare
Dessa cookies används sedan för att Google ska kunna identifiera dessa besökare nästa gång de anropar Googles tjänster (även från andra webbplatser). Google vet helt enkelt om att era besökare varit på er webbplats, men de vet också om alla andra besök dessa webbläsare gjort på webbplatser som ägs av Google. Det gör att även om ip-adressen anonymiseras på just er tjänst så kan Google högst sannolikt knyta ihop webbläsaren med en IP adress i en annan tjänst. Just profilering och automatiserat beslutsfattande som ju är det Google gör med era användare är något som nämns i GDPR och så här skriver IMY om det:
Google är en organisation som säljer annonser baserat på era besökares data
Den profilering som Google genomför används sedan till att sälja annonser. 80 procent av de pengar som Google tjänar kommer in via annonsintäkter. Google har byggt upp en flora av tjänster som man tillhandahåller "kostnadsfritt" mot att man delar med sig av data om användarna från dessa tjänster. Du får tex annonser uppvisade baserat på mail du skickat via Gmail och filmer du sett på Youtube osv om man inte förstår detta är man extremt naiv.
Att en webbplats som 1177 använder Google Analytics är alarmerande, det betyder i princip att Google kan rikta reklam mot individer baserat på deras sjukdomstillstånd.
Den viktiga diskussionen handlar om huruvida ni som organisation skall sälja ut era besökares persondata till Google och inte om huruvida den tekniska lösningen IP anonymiseringen möjligen utgör ett legalt kryphål eller ej.
Det finns alternativ till Google Analytics och Matomo (ett open source verktyg) används redan av flera av de största svenska myndigheterna och är även väl etablerat ute i Europa.
Agera nu och ta ert ansvar!
Läs också blogginlägget Är Google Analytics GDPR compliant?