GDPR och Google Analytics – en teknisk och juridisk utmaning

Kommunikatörer inom offentlig verksamhet har ett viktigt uppdrag i att förmedla korrekt och tillgänglig information och användarvänliga tjänster till medborgarna. Genom data kan man förstå hur väl plattformar uppfyller behov och förväntningar, var besökare fastnar eller tappar bort sig. IT-projekt har kostat skattebetalarna dryga pengar och det gäller att de får resultat av det. Analysverktyg som Google Analytics låter kommunikatörer arbeta med både teknik och innehåll som ett verktyg för att uppfylla sitt demokratiska uppdrag på bästa möjliga sätt. Efter Ekots uppmärksammade granskning av offentliga aktörers webbplatser fann man mycket okunskap kring hanteringen av persondata i Google Analytics. Nu väljer vissa myndigheter att helt ta bort dessa verktyg.

Bortfiltrering av IP-adresser stör sällan analysen

– Offentliga verksamheter kan jobba effektivare med skattepengarna om de har relevant data, säger Henrik Baecklund dataanalytiker och grundare av Adding Insight. Det är en vanlig fördom att vi måste mäta allt. Att inte hämta information om IP-adresser är till exempel inget som påverkar den typen av mätningar som de allra flesta gör i Google Analytics.

Problemet som uppmärksammats är just dessa IP-adresser, som EU-domstolen klassar som personuppgifter då de i förlängningen kan identifiera enskilda personer. Katarina Ladenfors är advokat och kursledare för kursen Kommunikationsjuridik. Hon menar att komplexiteten i tekniken och det faktum att tech-jättarna själva varken bekräftar eller dementerar de påståenden om datahanteringen som just nu cirkulerar gör det svårt för organisationer att vara trygga i sitt agerande. Hon menar att de lägger ansvaret på användaren.

Uppgradering till Google Analytics 4

I verktyget finns en funktion som ska anonymisera besökarnas IP-adresser innan de sparas på Googles servrar. Detta ska annars ske automatiskt när tjänsten uppdaterats från Universal Analytics till den senaste versionen, Google Analytics 4. Få verkar dock ha gjort denna uppdatering, menar Henrik Baecklund.

– Det krävs lite tid för att sätta sig in i en ny version av en tjänst och många drar sig för det, säger Henrik Baecklund. Om man inte har kapaciteten att ta sig an den nya versionen just nu kan man anonymisera IP-adresserna direkt, och sedan uppdatera till Google Analytics 4 när det passar bättre.

Samtyckesavtal innan besökare släpps in

Känner man sig inte bekväm med att en anonymisering håller måttet finns också alternativet att göra det omöjligt för besökare att surfa på sajten innan de aktivt godkänt ett samtycke om att uppge sina personuppgifter.

– Det måste tydligt framgå att det handlar om att dela uppgifterna med tredje part som befinner sig i USA där reglerna kring hantering av personuppgifter är mer liberala, säger advokat Katarina Ladenfors. Till syvende och sist är personuppgiftsbehandling via cookies och analysverktyg något man behöver se över precis som man ser över all annan behandling av personuppgifter i sin organisation.

Kontrollera anonymiseringen av IP-adresser på din sajt

För att ta bort Google Analytics inhämtning av IP-adresser bör du vara bekväm med koden på hemsidan. Du kan dock kontrollera huruvida detta gäller för er hemsida, utan att påverka koden alls.

1. Öppna hemsidan du vill kontrollera i webbläsaren Google Chrome (finns gratis att ladda ner här).

2. Högerklicka var som helst på sajten så att du får upp menyn med alternativ. Välj “Inspektera”.

3. I den nya rutan väljer du “Network” och skriver in “collect” i filterrutan.

4. Uppdatera hemsidan (tangenten F5 på Windows-dator). Nu bör du se en eller fler objekt i listan nedanför som börjar med ordet “collect”. Klicka på objektet i listan för att se hela URL-adressen i fönstret till höger. 

5. Leta efter “aip=1” i URL-adressen. 
A) Om aip=1 finns med betyder det att IP-adresser anonymiseras i Google Analytics på den här sajten. 
B) Om aip=1 inte finns med betyder det att IP-adresser inte anonymiseras i Google Analytics på den här sajten.