Datatilsynet har i lengre tid gransket bruken av Google Analytics på nettsidene til Lånekassen og Skattedirektoratet.
Konklusjonen er nå klar. Bruken av verdens mest utbredte verktøy for måling og analyse av nettsteders besøkstrafikk er lovstridig.
- Måten dette fungerer på i dag er i strid med personopplysningsloven, sier tilsynets direktør Bjørn Erik Thon til digi.no.
Etatene får nå tre uker på seg til å dokumentere at IP-adressene som lagres via gratistjenesten blir anonymisert, og at opplysningene som lagres ikke blir brukt til annet enn analyseformål.
- De skal få drive webanalyse for å avdekke hva besøkende gjør på nettstedet. Det gjør Datatilsynet også. Men de opplysningene skal ikke gå videre ned i Googles systemer. Vi har nemlig ikke noe avtaleforhold med Google når vi besøker Skatteetatens sider. Vi vet ikke hva dette brukes til, sier Thon.
Skattedirektoratet og Lånekassen har ifølge Datatilsynet forsøkt å få rede på hvordan personopplysningene behandles av Google, uten å få svar.
- Etatene har spurt, men ikke fått svar fra Google om slik anonymisering skjer, eller når det skjer, fortsetter Thon.
- Hva med private virksomheter som benytter Google Analytics?
- Loven gjelder likt den, så fremt det faller inn under personopplysningsloven, sier Thon, som fremhever at det har vært særlig viktig for dem å gripe inn mot store virksomheter.
Datatilsynet vil tirsdag legge ut en spørsmål- og svarliste på nettsidene sine, med en nærmere redegjørelse om ansvarsforhold, og hva virksomheter som bruker Google Analytics eller lignende verktøy må gjøre.
- Hvor sikre er dere på at IP-adresser er en personopplysning. Det kan jo sitte et utall ansatte eller personer bak en og samme ruter?
- Vi forholder oss til den rådende oppfatningen i EU og som følger av personopplysningsdirektivet. Også EU-kommisjonens ekspertgruppe, Artikkel 29-gruppen, har konkludert med at IP-adresse er en personopplysning, sier Thon til digi.no.
Personvernplakat
Både Skattedirektoratet og Lånekassen beskriver bruken av informasjonskapsler (cookies) og Google Analytics i vilkår på nettsidene sine.
Her skriver de blant annet (vår utheving) at «Google vil bruke denne informasjonen for det formål å vurdere din bruk av nettsiden, lage rapporter til innehaveren av nettstedet om aktiviteten på nettstedet, samt for å yte andre tjenester i tilknytning til aktiviteten på nettstedet og bruken av internett. Google kan også overføre denne informasjonen til tredjeparter dersom det foreligger en rettslig plikt til dette, eller dersom slike tredjeparter behandler informasjonen på vegne av Google».
Dette betyr i prinsippet at Google kan bruke dataene for å sammenstille data om besøkende på tvers av de mange tjenestene som nettgiganten kontrollerer, blant annet for å tilpasse søkeresultat og reklame, mener Datatilsynet.
Tilsynet krever at personvernplakaten hos etatene gir de besøkende korrekt informasjon om innsamling og anonymisering av IP-adresser.
Les også:
- [07.02.2013] - Datatilsynet gir feil bilde
- [06.02.2013] Datatilsynet godtar Google Analytics
- [03.10.2012] - Vi kan trygt bruke Google Analytics
- [28.09.2012] - Google Analytics kan nå være lovlig
- [27.09.2012] Webredaktører «bryter loven»
- [25.09.2012] - Vi gjør bare jobben vår
- [27.08.2012] Datatilsynet gransker «liker»-knappen
- [21.08.2012] - Google Analytics overholder loven
- [15.06.2012] Gransker Google Analytics
- [12.01.2011] Tyskland vil forby Google Analytics