Mener at bruk av Google Analytics er lovstridig (foreløpig rapport)

Skatteetatens og Lånekassens bruk av analyseverktøyet Google Analytics er i strid med personvernlovgivningen. Etatene har ikke kontroll på hvordan Google bruker opplysninger om de som besøker deres nettsider.

05.02.2013: Datatilsynet har nå gjort endelig vedtak i denne saken, og aksepterer bruk av Google analytics.

Datatilsynet gjennomførte i 2011 kontroller med Skatteetatens og Lånekassens bruk av Google Analytics. I de foreløpige kontrollrapportene konkluderer Datatilsynet med at etatenes bruk av analyseverktøyet ikke er i samsvar med norsk rett. Nå varsler Datatilsynet om at etatene blant annet må dokumentere at de anonymiserer opplysninger som samles inn, og at opplysingene ikke brukes til annet enn statistiske formål. Etatene får mulighet til å komme med tilsvar før Datatilsynet fatter endelige vedtak.

Google Analytics er et gratis analyseverktøy som Skatteetaten, Lånekassen og svært mange andre offentlige og private virksomheter benytter på sine nettsider. Dette, og lignende analyseverktøy, samler inn IP-adresser som gir informasjon om de besøkendes adferd på nettstedene. Formålet med bruken av analyseverktøyet er å få kunnskap om de besøkendes behov slik at nettstedet kan gjøres så brukertilpasset og velfungerende som mulig.

En IP-adresse er definert som en personopplysning fordi den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson. Virksomheter som har ansvar for innsamling av IP-adresser, må behandle disse på en forsvarlig måte. 

Gir fra seg kontrollen

Datatilsynet mener at Lånekassen og Skatteetaten ikke har kontroll på hvordan IP-adressene behandles, fordi de uten forbehold godtar vilkårene for bruk av Googles Analytics.

- Når virksomhetene godtar vilkårene, gir de også Google tilgang til personopplysninger om de besøkende på nettsidene. Dermed gir de fra seg kontrollen med opplysningene som samles inn, sier direktør Bjørn Erik Thon i Datatilsynet.

I brukervilkårene sier Google at de blant annet kan bruke IP-adressene til å yte andre tjenester i tilknytning til aktiviteten på nettstedet og bruken av Internett. Dette betyr at selskapet kan sammenstille opplysninger om den besøkende fra mange ulike nettsteder, også tilbake i tid. Dersom brukeren benytter Googles påloggingstjenester vil Google også kunne kjenne identiteten til brukeren.

Etatene har ansvaret

Når IP-adressene samles inn via Skatteetatens og Lånekassens nettsider, sendes disse til Google som står for behandlingene av opplysningene. Datatilsynet anser Google som databehandler for etatene, det vil si en leverandør som utfører tjenester på vegne av ansvarlig virksomhet.

- Skatteetaten og Lånekassen må som ansvarlig for nettstedene sette krav til Google som sin tjenesteleverandør. Etatene har fullt ut ansvaret for at leverandøren behandler opplysningene i tråd med norsk lovgivning, sier Thon. Datatilsynet ber nå Lånekassen og Skatteetaten om å dokumentere at IP-adressene som samles inn anonymiseres og om å dokumentere at opplysningene ikke brukes til annet enn analyseformål.

Etatene har fått frist til 1. oktober til å komme med tilsvar til Datatilsynets foreløpige rapporter. Denne artikkelen blir oppdatert etter dette.

Les mer: