Som digi.no skrev i går fastslår Datatilsynet at bruken av Google Analytics er lovstridig.
Konklusjonen kom etter lengre tids granskning, der Skatteetaten og Lånekassens bruk av analyseverktøyet på egne nettsteder ble satt under lupen.
- Bruken er lovstridig fordi etatene ikke har kontroll med hva Google gjør videre med IP-adressene de lagrer om nettstedenes besøkende. IP-adresser er en personopplysning. Dette er kjernen i saken, ifølge direktør i Datatilsynet Bjørn Erik Thon.
Og for å klargjøre et viktig teknisk poeng som ikke kom frem i går: Det hjelper ifølge Datatilsynet ikke å benytte seg av valget for å begrense datafangsten i Google Analytics-skriptet.
Google oppgir nemlig i sin dokumentasjon at man kan velge å anonymisere data som blir overført til serverloggene deres «ved at den siste oktetten i IP-adressen fjernes» før lagringen skjer hos dem.
- Dette har vi drøftet. IP-adressen blir uansett overført til Google. Kommunikasjonen skjer jo direkte mellom de besøkende hos Skatteetaten og Google. I hvilken grad har de og Lånekassen kontroll med at en eventuell anonymisering skjer og hvordan den skjer, sier avdelingsdirektør Helge Veum i Datatilsynet til digi.no.
I praksis betyr dette at Datatilsynet ikke stoler på at Google kvitter seg med det siste leddet i IP-adressene som lagres.
- En seriøs leverandør bør ha en uavhengig tredjepart som reviderer og bekrefter at rutinene følges. I dette tilfellet har du mye mindre kontroll over hvordan personopplysninger behandles enn man skal ha, sier Veum.
Både Skatteetaten og Lånekassen har i sine implementeringer av Google Analytics definert at IP-adressene skal anonymiseres, men det er altså ikke nok for Datatilsynet.
Google Norge avviser at Google Analytics bryter med norsk og europeisk personvernlovgivning, slik Datatilsynet mener.
- Google Analytics overholder norsk og europeisk personvernlovgivning. Hver dag bruker mange norske selskaper Google Analytics for å forbedre sin digitale tilstedeværelse, og å gjøre deres nettsted bedre for brukerne, skriver selskapet i en uttalelse til digi.no.
- Google Analytics er designet med det for øye å lagre informasjon på en trygg måte. Webmastere som benytter Google Analytics har fullstendig kontroll over hvilke data som er sendt til tjenesten, og hvordan Google bruker, og kan bruke, informasjonen som mottas fra deres sider.
- Vi har gjentatte ganger foreslått møter med Datatilsynet for å besvare spørsmål rundt Google Analytics, og vil fortsette å stille oss til rådighet, sier Googles norgessjef Jan Grønbech.
Les også:
- [06.02.2013] Datatilsynet godtar Google Analytics
- [03.10.2012] - Vi kan trygt bruke Google Analytics
- [28.09.2012] - Google Analytics kan nå være lovlig
- [27.09.2012] Webredaktører «bryter loven»
- [17.09.2012] Gir Datatilsynet full støtte
- [27.08.2012] Datatilsynet gransker «liker»-knappen
- [20.08.2012] - Ulovlig å bruke Google Analytics