Verktøy for statistikk og analyse av nettsider

Bruk av Google Analytics eller andre webanalyseverktøy kan innebære behandling av personopplysninger. Virksomheter som bruker slike verktøy må anonymisere IP-adressene som samles inn, og informere brukerne om hva opplysningene brukes til.

Hvorfor kan webanalyseverktøy være problematisk?

Google Analytics og mange andre webanalyseverktøy samler inn IP-adresser fra de som bruker nettsidene. IP-adressene gir informasjon om hvordan de besøkende bruker nettsidene, f.eks. hvilke sider de besøker og hva de klikker på.

Formålet med å bruke av analyseverktøyene er å få kunnskap om de besøkendes behov, slik at nettstedet kan gjøres så brukertilpasset og velfungerende som mulig.

En IP-adresse er definert som en personopplysning fordi den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson. Virksomheter som har ansvar for innsamling av IP-adresser, må behandle disse på en forsvarlig måte.

Identifisering av en person gjennom IP-adressen kan også gi mulighet for sammenstilling av personens atferd på nett på tvers av ulike nettsteder. IP-adresser som samles inn kan blant annet brukes til å yte andre tjenester knyttet til aktivitet på nettstedet og bruken av Internett. Dette betyr i prinsippet at Google kan bruke IP-adresser til å sammenstille data om besøkende på tvers av ulike tjenester som Google eier, blant annet for å tilpasse søkeresultat og reklame.

Hvem har ansvaret for at analyseverktøyet tilfredsstiller lovverket?

Det er virksomheten som bruker analyseverktøyet på sitt nettsted som har ansvar for at verktøyet tilfredsstiller regelverket. Dersom virksomheten bruker en annen part eller leverandør (databehandler) til å analysere dataene som samles inn, har virksomheten fortsatt ansvaret for at behandlingen skjer i tråd med regelverket og er behandlingsansvarlig.

Eksempel: Dersom din virksomhet bruker Google Analytics, regnes Google som databehandler ettersom det er Google som faktisk behandler opplysningene som samles inn. Som behandlingsansvarlig er din virksomhet ansvarlig for å avtale hvordan Google skal behandle personopplysningene (databehandleravtale). Du skal ha kontroll over hvordan databehandleren håndterer personopplysningene.

Hvordan bruke webanalyseverktøy?

Virksomheter som bruker analyseverktøy på sitt nettsted må sørge for at behandling av personopplysninger skjer i tråd med personvernreglene. Dette innebærer at:

Etter innsamlingen anonymiseres eller endres IP-adressene slik at besøkende på nettstedet ikke kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson. I Google Analytics må anonymiseringsfunksjonen være aktivert.
Behandling av innsamlet informasjon skal bare brukes til statistiske formål. Virksomheten skal ikke samle inn flere opplysninger enn det som er nødvendig for dette formålet.
Besøkende på nettstedet skal gis informasjon om hvilke opplysninger som samles inn og behandles og hvordan dette gjøres.

Virksomheter som benytter en annen part eller leverandør, det vil si en databehandler til å utføre analysen for seg, har fortsatt ansvaret for hvordan behandlingen skjer. Dette betyr at:

Virksomheten må ha kontroll på hvilke opplysninger databehandleren håndterer og hvordan.
Avalen mellom virksomheten og databehandleren må være slik at behandlingen tilfredsstiller norsk personvernlovgivning. Virksomheten kan ikke akseptere databehandlers egne vilkår, uten at disse er i tråd med norsk rett.

Hva må virksomheter som bruker webanalyseverktøy gjøre?

Datatilsynet anbefaler alle som bruker webanalyseverktøy om å skaffe seg klarhet i hvilke opplysninger som behandles og hvordan. Dersom analyseverktøyet er gratis er det gode grunner til å spørre seg hvorfor det er slik og hva virksomheten faktisk godtar, på vegne av de besøkende til nettstedet, ved å bruke verktøyet vederlagsfritt. Spørsmål som også bør avklares er:

Behandles hele, eller bare en anonymisert eller uidentifiserbar versjon, av de besøkendes IP-adresse?
Brukes innsamlede opplysninger til annet enn analyseformål?
Informeres de som besøker nettstedet om hvilke opplysninger om dem som behandles og hvordan det skjer?

Dersom behandling av personopplysninger ikke skjer i tråd med regelverket, må virksomheten kreve endringer i verktøyet og prosedyrer. Hvis dette ikke etterkommes, må virksomheten avvikle bruken av det aktuelle webanalyseverktøyet.

Hva plikter virksomheten å informere brukerne om?

Virksomheter som bruker webanalyseverktøy må gi brukerne informasjon om sin behandling av personopplysninger. Informasjonen skal være lett tilgjengelig på virksomhetens nettsider.

Brukerne har krav på å få vite

hvilke personopplysninger som samles inn
hvorfor opplysningene samles inn
hva opplysningene brukes til

Fant du det du lette etter?

På denne siden kan du sende inn et skjema. For å gjøre det må du først akseptere en cookie. Du kan trekke tilbake samtykket når som helst ved å velge «administrer cookies» nederst på våre sider.