Norge og Tyskland begrænser offentlig tracking. Danmark: Tjaa...

For snart fem år siden blev Datatilsynet spurgt til lovligheden af Google Analytics. Endnu er tilsynet ikke kommet med et formelt svar – modsat myndighederne i nogle af vores nabolande.

Tæt på hver anden offentlige hjemmeside bruger analyseværktøjet Google Analytics, der sender en datapakke med brugerdata videre til Google, når borgere besøger sider som socialstyrelsen.dk og skat.dk.

Det viser en undersøgelse foretaget af Ingeniøren, og det er et udtryk for en uacceptabel praksis, der ikke burde fortsætte, lyder det fra flere eksperter. Men om teknikken er lovlig, er et kompliceret spørgsmål.

Lena Andersen, der er kontorchef i Datatilsynet, oplyser, at der aldrig er kommet en udtalelse fra tilsynet om Google Analytics på offentlige hjemmesider.

En henvendelse fra Bornholms Regionskommune for snart fem år siden endte med ikke at føre til en afklaring, fordi Data­tilsynet manglede oplysninger.

I både Norge og Tyskland har værktøjet vakt de respektive tilsyns interesse. I Norge har tilsynet besluttet, at værktøjet kun er lovligt, hvis IP-adressen maskeres, hvilket svarer til at fjerne de to sidste cifre i et telefonnummer.

Et sådant udtrykkeligt krav eksisterer ikke i Danmark.

Læs også: Offentlige hjemmesider deler følsomme data om danskernes netbrug

Senest har Hamborgs datamyndighed krævet en meget præcis beskrivelse af, hvilke data der indsamles med Google Analytics, og hvad de kombineres med.

»Der har vi set en kritik, vi overhovedet ikke har set herhjemme,« bemærker Morten Dahl Andreasen, der sammen med Marie Aunel har skrevet et netop offentliggjort speciale fra CBS om brugen af Google Analytics i det offentlige.

Det er vanskeligt for Datatilsynet at kræve et komplet indblik i, hvad Google foretager sig med de data, de indsamler, vurderer han.

»De store monopoler som Google og Facebook har jo næsten mere magt end de nationale håndhævere,« siger Morten Dahl Andreasen og tilføjer:

»Datatilsynet har meget få ressourcer og har slet ikke adfærdstracking i fokus, så de kan på nuværende tidspunkt ikke gøre meget.«

Fingeraftryk kan følge brugere

Et kardinalpunkt for lovligheden af tjenesten er, hvorvidt de data, der behandles, betegnes som persondata.

Det afgørende for, om der er tale om persondata eller ej, er, om den enkelte person kan identificeres – ikke nødvendigvis af Google selv, men også af andre, forklarer Heidi Højmark Helveg, der er partner i advokatfirmaet Horten.

EU-Domstolen har således fastslået, at IP-adresser er persondata, hvis teleudbyderen kan identificere personerne, der har benyttet adresserne. Men selv hvis IP-adressen maskeres, er det potentielt muligt at identificere en unik bruger med de oplysninger, Google modtager gennem analyseværktøjet.

Idet en bruger besøger en side, der benytter Google Analytics, opsamler et script en række informa­tioner om computeren og browseren, f.eks. versioner, skærmopløsning, farvedybde, Flash-version, og hvorvidt Java er slået til eller fra.

Tilsammen danner denne information et såkaldt digitalt fingeraftryk, som med bemærkelsesværdig præcision kan bruges til at genkende en bruger på en anden side.

Derfor har de europæiske datatilsyn officielt sidestillet tracking gennem digitale fingeraftryk med tracking gennem cookies.

Af samme grund mener Jesper Lund, der er formand for IT-Politisk Forening, at et værktøj, der sender data om brugeren videre til Google, ikke har noget at gøre på offentlige hjemmesider:

»Hvis man får lavet anonym webstatistik hos et selskab, som man har en klar databehandleraftale med, så er det okay. Men derudover skal man hverken lække data til reklamenetværk eller til Google Analytics, som i princippet er web­statistik, men hvor vi ikke aner, om Google bruger de oplysninger til andre formål,« siger han.

Der står i vejledningen til cookie­reglerne, at man i hvert fald på offentlige hjemmesider bør kunne sige nej til tracking, understreger Jesper Lund:

»Og både reklamenetværk og Google Analytics må falde ind under den kategori.«

Ifølge Jesper Lund er der krav i persondataloven, som kan være svære at leve op til med analyseværktøjet, hvis data betragtes som persondata.

»Som hjemmeside-ejer skal du føre tilsyn med, at Google ikke bruger oplysningerne til andre formål. Det tror jeg ikke, at nogen er i stand til at gøre. Du ved ikke, hvilket data­center de oplysninger havner i, så du ved ikke engang, hvor du skal komme og banke på henne.«

Lena Andersen fra Datatilsynet kan ikke umiddelbart svare på, om private kan klage over, at de bliver sporet af Google på offentlige hjemme­sider. Derimod kan myndighederne selv henvende sig med deres egen vurdering af, om tjenester som Google Analytics lever op til reglerne. Så vil Datatilsynet kunne give råd og vejledning om persondatalovens krav, forklarer hun.

Kan fodre reklamekampagner

Foruden brugen af Google Analytics sætter 18 af de testede offentlige hjemmesider en cookie, som bruges af reklamenetværk til at målrette annoncer.

Siderne tæller en række kommuner samt myndigheder som Sundhedsstyrelsen, Kriminalforsorgen og Region Midtjylland.

Det betyder, at hvis man indhenter information om behandling af alkoholmisbrug hos Sundheds­styrelsen, bliver den information en del af en profilering, som reklamenetværket bruger.

Læs også: Infografik: Sådan opsamles data om din færden

Eller som Jesper Lund formulerer det:

»Hvis man har været inde på Kriminalforsorgens hjemmeside, så risikerer man at få reklamer for advokatbistand, næste gang man besøger Ekstra Bladets hjemmeside.«

Ifølge Jesper Lund kan reklamecookies stamme fra gratis værktøjer, som hjemmesideejerne bruger.

»Et bud kan være, at de givne sider bruger et CMS, som har de her reklamenetværk indbygget som standard,« siger han.

Tænker ikke over konsekvenser

Lektor på IT-Universitetet i København Thomas Hildebrandt er enig i Jesper Lunds vurdering.

»Mit bud er, at det er sider, der anvender et gratis framework – uden at tænke over, hvorfor det er gratis,« forklarer han.

Som skatteborger er det nemt at se fordelene ved et gratis-prisskilt, og værktøjer som Google Analytics kan bestemt være nyttige, bemærker Christian Damsgaard Jensen, lektor ved DTU Compute:

»Men der er en kæmpe forskel på, at jeg som privatperson vælger at betale for en tjeneste som Gmail med min information, og så at en kommune vælger at betale med min information. Det bør altid være et personligt valg, om man vil betale med sine data,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder