Norsk datatilsyn dømmer brugen af Google Analytics ulovlig

Googles værktøj til at følge med i trafikken på hjemmesider, Google Analytics, er ulovligt. Det mener det norske Datatilsynet. Ingen ved, hvad Google bruger informationerne til, lyder en del af kritikken.

Google Analytics, der er verdens mest udbredte værktøj til at holde øje med websiders besøgstrafik, er blevet kendt ulovligt i Norge. Her har det norske Datatilsynet i en længere tid undersøgt brugen af Google Analytics på hjemmesiderne Lånekassen og Skattedirektoratet. Det skriver digi.no.

Googles meget anvendte program kan hurtigt og bekvemt spytte oplysninger ud om de IP-adresser, der svinger forbi den pågældende hjemmeside. Men det er ulovligt, mener Datatilsynet. Konklusionen kommer på baggrund af et EU-direktiv fra 2008, som fastslår, at IP-adresser er personlige data, og det må man ikke uden videre indsamle på den måde, Google giver mulighed for i Analytics.

»Programmet er på den måde i strid med personoplysningsloven,« udtaler Bjørn Erik Thon fra det norske Datatilsynet til digi.no.

Nervøs for databrugen

Datatilsynet har derfor givet det store amerikanske firma tre uger til at dokumentere, at deres analyseprogram ikke bliver brugt til andet end netop analyse, og at de personlige oplysninger ikke går videre til Googles egne systemer. Det skyldes, at Datatilsynet ikke har nogle aftaler med Google i forhold til de personfølsomme data. Samtidig mener tilsynet, at Google ved at samle data ind for et utal af hjemmesider kan bruge informationen om brugerne til at sælge reklamer og lignende.

Det er en ekspertgruppe i EU-Kommissionen, som har redegjort for, hvad overtrædelser af denne type konkludere. Og ifølge det norske Datatilsyn, så falder Googles analyseprogram her under artikel 29, som omhandler persondatadirektivet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Nicolai Hansen

Så er det vel også ulovligt at inkludere fx jQuery fra jquery.com? Så sender brugerne af ens side også sin Åhh så private IP-adresse videre til et amerikansk virksomhed (og vi aner jo ikke hvad de bruger deres log til !!).

Jeg synes det lyder som endnu en idiotisk "cookie regel" :(

  • 3
  • 2
#5 Kræn Hansen

Læste lige en kommentar på digi.no af en gut ved navn Max I.

Åpn opp skatteetaten.no og søk etter "_gaq.push(['_gat._anonymizeIp']);".

Google kallet og finn dokumentasjonen (LMGTFY: https://developers.google.com/analytics/devguides/collection/gajs/method... )

Fra dokumentasjonen: "Tells Google Analytics to anonymize the information sent by the tracker objects by removing the last octet of the IP address prior to its storage.".

Dette er tilstrekkelig (Lånekassen bruker samme metode).

Datatilsynet viser seg inkompetente i denne saken.

  • 5
  • 0
#6 Jesper Lund

Fra dokumentasjonen: "Tells Google Analytics to anonymize the information sent by the tracker objects by removing the last octet of the IP address prior to its storage.".

Det ændrer ikke ved at den fulde IP adresse bliver sendt til Google. Det er muligt at Google smider denne information væk (en ting Google ikke ligefrem er glad for..), og kun lagrer den delvist anonymiserede IP adresse, men hvordan kan vi kontrollere det?

  • 0
  • 1
#7 Jesper Lund

Så er det vel også ulovligt at inkludere fx jQuery fra jquery.com? Så sender brugerne af ens side også sin Åhh så private IP-adresse videre til et amerikansk virksomhed (og vi aner jo ikke hvad de bruger deres log til !!).

Her er et godt eksempel på hvorfor det ikke er smart at inkludere det samme third-party element i en masse forskellige websider http://www.propublica.org/article/how-mitt-romney-followed-me-around-the...

Synes du at dine politiske interesser er en privatsag? Ikke på internettet hvis tracking lobbyen får magt som de har agt.

I princippet behøver det bare at være en 1x1 pixel webbug og et persistent ID i en cookie. Hver gang dette element inkluderes på en webside, modtager third-party sitet referer + ID fra cookie, altså din færden på internettet. Uden cookie (f.eks. fordi third-party cookies blokeres eller hvis du frygter "cookie loven") kan man bruge browserens nærmest unikke fingerprint https://panopticlick.eff.org/

Det er næppe formålet med jquery.com (sitet satte ingen cookies, men de modtager i princippet referer fra de sites hvor elementerne inkluderes).

Derfor er referer blocking og blokering af third-party cookies en rigtig god ide. Referer blocking hjælper selvfølgelig ikke hvis reference siden er en del af URL'en for third-party elementet, som ved eksempelvis Google Analytics eller Facebook "I like".

Der er skabt utroligt mange forretningsmodeller baseret på at det samme third-party element inkluderes på en masse websider, således at dette kan (mis)bruges til at overvåge folks færden på internettet. Google Analytics er blot en af mange.

  • 2
  • 1
#8 Steen Rasmussen | IIH Nordic

Hej Jesper

Pointen med koden er netop at den fulde IP-adresse IKKE bliver sendt til Google.

Den er udviklet af Google specielt til Tyskland i samarbejde med den tyske regering for at leve op til den tyske fortolkning af EU's krav om en anonymisering af IP adressen.

Så du kan være ret sikker på at data ikke kommer til USA før det bliver "sløret".

  • 0
  • 0
#9 Jesper Lund

Pointen med koden er netop at den fulde IP-adresse IKKE bliver sendt til Google.

Forklar mig lige hvordan jeg undgår det? Jeg er med at på websitet med GA kan lave en delvis anonymisering af den IP adresse som er encoded i den URL som bruges til at downloade __utm.gif (altså den metode som data overføres til Google på).

Men det er stadig brugeren selv som downloader __utm.gif fra Google, og i den forbindelse modtager Google den fulde IP adresse sammen med GET requestet. Det er muligt at Google ikke gemmer denne oplysning, men hvordan kan jeg være sikker på det?

Med _anonymizeIp() vil det website som bruger GA ikke få adgang til brugerens IP adresser. Spørgsmålet er hvad Google har adgang til?

Det er ubestridt at Google modtager den fulde IP adresse, jf. ovenfor. Kan websitet med GA dokumentere over for mig at Google ikke bruger den fulde IP adresse, som de modtager, til noget?

  • 0
  • 0
Log ind eller Opret konto for at kommentere