Feil om Google Analytics

I et innlegg i Computerworld den 31. august hevder Alexander Rustad i Creuna at Datatilsynet tar feil i vurderingen om at bruken av Google Analytics kan være ulovlig. Han etterlyser også at Google involveres i prosessen.
 
 

Det må ikke være tvil om hvem som har ansvaret for å følge personvernlovgivningen. Ansvaret ligger hos den behandlingsansvarlige – i denne sammenheng virksomheten som bruker Google Analytics. Datatilsynet på sin side, har som oppgave å påse at denne lovgivningen blir fulgt.

Personopplysningsloven gjelder bare virksomheter som er etablert i Norge. Dette betyr at det er umulig å ansvarliggjøre Google etter det norske regelverket. Det samme gjelder en rekke andre internasjonale aktører, som på ulike måter utfordrer personvernet. Datatilsynet er derfor, i likhet med mange andre myndigheter i Europa, i jevnlig dialog med Google og andre internasjonale selskaper.

Våre konklusjoner om bruk av Google Analytics er foreløpige. Vi har vurdert hvordan Skatteetaten og Lånekassen brukte verktøyet på kontrolltidspunktet, det vil si i 2011. Etatene har nå fått utsatt frist til 1. oktober med å kommentere våre vurderinger. Vi mener det er riktig å la etatene komme til orde før vi går nærmere inn på detaljene i disse sakene. Vi ønsker likevel å påpeke noen åpenbare feil i Rustads innlegg (uthevet tekst):

  • ”Rent praktisk er ikke IP-adressene til de besøkende noe man “samler inn”, og man må ikke gjøre noe ekstra eller be om dem på noen måte. De følger automatisk med på hver eneste forespørsel.”

    Uttrykket ”innsamling” er i dette tilfellet et rettslig begrep. Å sette likhetstegn mellom innsamling og å ”gjøre noe ekstra eller be om dem”, som Rustad later til å gjøre, er ikke riktig. Automatisk kommunikasjon av elektroniske data er omfattet av lovens innsamlingsbegrep.
  • ”EU-domstolen har slått fast at IP-adresser skal regnes som personopplysninger i henhold til personverndirektivet (95/46/EF). Direktivet stiller krav til innsamling, registrering og lagring av personopplysninger. IP-adresser må brukes av nettsteder for at Internett i det hele tatt skal fungere. Dermed legger direktivet føringer for det meste som skjer på nett.”

    Vårt vedtak rammer ikke bruk av IP-adresser til fundamentale kommunikasjonsformål på Internett. Vi har vært veldig opptatt av dette, og det er uttrykkelig uttalt i den foreløpige rapporten. Det er bare å forsøke: Fjern Google Analytics fra skatteetaten.no, og nettstedet vil fungere like bra som før. 
  • ”Enten de bruker Google Analytics eller ikke har nettstedseiere i utgangspunktet full tilgang til IP-adressene til sine besøkende. Loggfilene på hver enkelt server til hvert eneste nettsted (644 275 754 ved siste telling) er med andre ord fulle av personopplysninger.”

    Vår kritikk handler ikke om at nettstedseier kan ha tilgang til IP-adressene, men den direkte strømmen av IP-adresser som går til Google. Det dreier seg her om to parallelle informasjonsstrømmer.

  • Hos både Skatteetaten.no og Lånekassen.no har de benyttet seg av et tilpasset Google Analytics-script som gjennomfører IP-maskering via anonymizeIP; en metode som maskerer den siste oktetten i IP-adressen før den blir brukt og lagret. Med andre ord: Adressen strippes før den lander hos Google Analytics.”

    Dette er ikke riktig. Maskeringen av IP-adressene skjer etter at de ”har landet” hos Google. Dette innebærer en mulighet for at Google får tilgang til fullstendige IP-adresser fra alle som besøker nettstedene til Skattedirektoratet og Lånekassen, i et foreløpig ukjent tidsrom.  

Vi kan ikke se bort fra at Google har gjort endringer i Google Analytics etter at vår kontroll fant sted, slik at bruken av verktøyet i dag er i samsvar med de kravene som loven oppstiller.  I så fall er ingenting bedre enn det – det er nettopp dette vi ønsker å oppnå. 

Datatilsynets rolle er i alle tilfeller å kontrollere at norske virksomheter, offentlige så vel som private, selv tar ansvar for å påse at de verktøyene de tar i bruk faktisk tilfredsstiller norske borgeres rett til å ha kontroll med opplysninger om seg selv.