I en foreløpig rapport varslet Datatilsynet i august at Skatteetatens og Lånekassens bruk av Google Analytics er lovstridig.
Fordi saken er av prinsipiell karakter og omhandler et svært utbredt webanalyseverktøy har dette vekket stor oppmerksomhet. Sentralt står det tilsynet oppfatter som uklarheter i hva Google gjør med dataene som analyseverktøyet lagrer.
- Disse opplysningene skal ikke gå videre ned i Googles systemer, har Datatilsynets direktør Bjørn Erik Thon tidligere sagt til digi.no. Videre har de savnet dokumentasjon på at besøkendes IP-adresser virkelig blir anonymisert.
Alle Datatilsynets bekymringer og kritiske innvendinger blir tilbakevist i tilsvar fra Skatteetaten og Lånekassen, som ble levert innen fristen 1. oktober.
Etter dialog med Google mener begge etatene nå at bruken av verktøyet ikke er i strid med lovverket.
- Vi har gode svar på Datatilsynets spørsmål og mener vi trygt kan bruke Google Analytics, skriver Skatteetaten i en pressemelding.
Her kan du lese svaret fra Skattedirektoratet (pdf) i sin helhet. Se også Lånekassens svar (pdf).
IP-adresser
Datatilsynet mener at IP-adressene sendes til Google i sin helhet. Det er oppfatningen deres, selv om begge etatene benytter en anonymiseringsfunksjon i verktøyet, som ifølge Google stripper vekk den siste delen av IP-adressen før lagring skjer.
I dokumentasjon fra Google (pdf) som Skatteetaten har innhentet, oppgis det at IP-adressene blir anonymisert «så snart det er teknisk mulig».
De fulle adressene blir overført til Googles servere. Nettgiganten understreker imidlertid at disse bare håndteres i minnet og aldri blir skrevet til disk. Slik illustrerer de denne prosessen:
IP-anonymiseringen skjer så raskt dataene mottas av Google Analytics Collection Network, før noen lagring eller videre prosessering, skriver selskapet.
- I mottatt dokumentasjon fra Google går det klart frem at anonymisering av IP-adressen skjer umiddelbart etter mottak, før lagring til disk og før den brukes til analyse, bemerker Lånekassen.
- Ved å anonymisere på denne måten er det ikke mulig å knytte IP-adressen opp mot en enkeltperson. Anonymiserte IP-adresser faller derfor klart utenfor personopplysningens definisjon, heter det i Skatteetatens tilsvar.
Begge har også bedt om - og fått fra Google - en bekreftelse på at de innsamlede IP-adressene ikke behandles til andre formål enn brukeratferd på deres respektive nettsider.
Dette blir ytterligere dokumentert ved å vise til innstillinger på Google Analytics-kontoen, hvor valget om «bruk av opplysningene i andre sammenhenger» er avskrudd. Dette bør kanskje andre som bruker dette verktøyet også merke seg.
Endret plakat
Det siste punktet omhandler den såkalte personvernplakaten, altså informasjon til egne besøkende om bruken av verktøyet, som er publisert på nettsiden.
- Kort tid etter Datatilsynets kontroll endret vi innholdet på undersiden «Personvern på skatteetaten.no». Skattedirektoratet mener således at den informasjonen besøkende nå får om innsamling og anonymisering av IP-adresser er korrekt og lett forståelig, skriver de.
Ikke tilstrekkelig ved innlogging
Svarene til Skattedirektoratet og Lånekassen er i stor grad sammenfallende. Men på ett punkt skiller de seg litt.
Lånekassen understreker at de ikke bruker webanalyseverktøy på sider hvor kunder eller samarbeidspartnere er innlogget og identifisert. Men dette er ønskelig å få på plass, men de ser da etter andre verktøy enn Google Analytics.
- For innloggende tjenester anser Lånekassen at tillitsforholdet og behovet for personvernbeskyttelse er større. Det er derfor startet en prosess for å vurdere alternative verktøy for disse, skriver de.
Datatilsynet vil nå behandle svarene. Direktør Bjørn Erik Thon planlegger også å møte Google i løpet av høsten og har varslet en endelig konklusjon i saken før jul.
Les også:
- [06.02.2013] Datatilsynet godtar Google Analytics
- [28.09.2012] - Google Analytics kan nå være lovlig
- [27.09.2012] Webredaktører «bryter loven»
- [17.09.2012] Gir Datatilsynet full støtte
- [27.08.2012] Datatilsynet gransker «liker»-knappen
- [21.08.2012] - Google Analytics overholder loven
- [20.08.2012] - Ulovlig å bruke Google Analytics
- [15.06.2012] Gransker Google Analytics
- [26.01.2012] Irland vil granske Googles personvern