Skip to content
Quru 24.2.2022 12:06 4 min read

Onko Google Analytics laiton ja mitä nyt pitäisi tehdä?

Euroopan tietosuojaviranomaisten linjaus Google Analyticsin laittomuudesta on herättänyt viime viikon aikana runsaasti keskutelua ja kysymyksiä siitä voiko Google Analyticsia käyttää jatkossa ja/tai mitä Google Analyticsin käyttäjien pitäisi nyt tehdä.
 
Suosittelemme pään pitämistä kylmänä ja tilanteen seuraamista. Keräsimme yhteenvedon tärkeimmistä aiheeseen liittyvistä asioista. 

 

Mistä tietosuojaviranomaisten päätöksessä on kyse?

Euroopan tietosuojaviranomaiset ovat vannottaneet kansalaisjärjestö NOYB:ltä (European Center for Digital Rights -järjestö) 101 valitusta koskien henkilötietojen siirtoa Euroopasta Yhdysvaltoihin Google Analyticsiä ja muita seurantatyökaluja käyttäviltä verkkosivuilta. 

Euroopan tietosuojaviranomaisten päätöksen mukaan Googlen käyttöönottamat tämänhetkiset suojatoimet henkilötietojen siirrolle Google Analyticsissa eivät ole riittäviä, eivätkä ne estä Yhdysvaltojen tiedustelupalvelun pääsyä tietoihin.  

 

Mitä tarkoitetaan Google Analyticsin henkilötiedoilla?

Kohu kulminoituu Google Analyticsin keräämiin IP-osoitteisiin, mutta mukana myös muita mahdollisia tunnisteita tai parametrejä, joilla verkkopalvelun käyttäjä voidaan mahdollisesti yksilöidä (esim. evästeiden ID -numerot ja 3. osapuolen markkinoinnin evästeet).  Viranomaiset ovat tulkinneet nämä tiedot päätöksessään henkilötiedoiksi, joita ei saa lähettää Yhdysvaltoihin. 

Ns. PII -tiedon (Personally Identifiable Information) kerääminen tai tallentaminen Google Analyticsiin missään muodossa on ollut ehdottoman kiellettyä koko GA:n olemassaolon ajan (ks. Parhaat käytännöt, joilla voidaan välttää henkilökohtaisten tunnistetietojen lähettäminen   ja Henkilökohtaisten tunnistetietojen (HTT) määritelmä Googlen sopimuksissa ja käytännöissä). Google on myös suhtautunut erittäin tiukasti tilanteisiin, joissa analytiikkadataan on esimerkiksi valunut vahingossa kävijöiden nimi-, sähköposti-, puhelinnumero- tai muita vastaavia tietoja. Vaihtoehdoiksi on näissä tapauksissa Googlen suunnalta tarjottu kaiken PII-datan poistamista tai koko analytiikkatilin tuhoamista. 

 

Miksi Google Analyticsin tarjoama IP-osoitteen anonymisointi ei vaikuttanut Euroopan tietosuojaviranomaisten päätökseen?

Google Analytics on jo pidempään mahdollistanut käyttäjien IP-osoitteiden anonymisoinnin, ja Google Analyticsin uudessa versiossa GA4:ssa IP-osoitteet anonymisoidaan automaattisesti. Anonymisointi tapahtuu kuitenkin vasta Googlen palvelimilla, eli ennen kuin se tallennetaan tietyn Google Analytics -tilin analytiikkadataan. Käytännössä siis IP-osoitetietoa siirtyy nykyisellä toimintatavalla Yhdysvaltoihin, vaikka itse Google Analytics -tilin omistaja tai hyödyntäjä ei pääse tähän tietoon koskaan käsiksi, sillä tarkat IP-osoitteet eivät näy anonymisoinnin vuoksi analytiikkadatassa. 

 

Mitä Google Analyticsia käyttävän yrityksen tai organisaation pitää nyt tehdä?

Kuten edellä totesimme, suosittelemme pään pitämistä kylmänä ja tilanteen kehittymisen seuraamista. Google on ottanut tilanteeseen kantaa ja ilmoittanut kehittävänsä ratkaisuja esiin nostettuihin haasteisiin. Näistä tullaan kertomaan lisää lähiviikkoina. Todennäköisesti Google tulee ainakin tarjoamaan GA:han lisää datankeräyksen muokkausmahdollisuuksia. 

Odotellessa on kuitenkin erittäin hyvä varmistaa, että sivuston evästehallinta on GDPR:n ja Traficomin ohjeistuksen mukainen. Käytännössä siis analytiikan ja markkinoinnin evästeisiin on kysyttävä kävijän suostumus ja evästehallinnan on myös toimittava käyttäjän antamien suostumusten mukaisesti. Lisäksi tietosuojailmoituksessa on oltava maininta datan keruusta ja siirtämisestä kolmansiin maihin. Mikäli tarvitset apua evästehalinnassa, katso tarkemmin GDPR:stä ja evästehallinnan palveluistamme.   

Suosittelemme myös varmistamaan, että Google Analyticsin IP-osoitteen anonymisointi on toiminnassa. Samassa yhteydessä on myös hyvä varmistaa, että analytiikkadata tai -raportit eivät sisällä mitään henkilötiedoiksi luokiteltavaa dataa. Nämä voidaan tarkistaa esimerkiksi analytiikka-auditoinnilla. 

 

Onko Google Analyticsin käytölle vaihtoehtoja?

Google Analytics on ylivoimaisen tehokas työkalu sivuston ja mobiilisovellusten käytön seurantaan, markkinoinnin mittaamiseen ja asiakasymmärryksen lisäämiseen. Jos yritys tai organisaatio haluaa kuitenkin estää IP-osoitteiden tai muun analytiikkadatan siirtymisen Yhdysvaltoihin, tähän on olemassa jo nyt ainakin kaksi vaihtoehtoa: 

 

1. Mittauksen toteuttaminen Googlen Server side -menetelmällä 


Server side -mittaukseen siirtyminen mahdollistaa perinteistä Google Analytics -mittaustoteutusta laajemman kontrollin siihen, mitä tietoja verkkosivustolta siirretään eteenpäin Google Analyticsiin tai vaikkapa Google Adsiin. Server side -mittauksessa IP-osoitteet voidaan siis anonymisoida ennen niiden lähettämistä Googlelle. Samoin voidaan piilottaa myös esimerkiksi client ID, käyttäjän lokaatio tai muut mahdollisesti yksilöivät muuttujat. 
Server side tagging on herättänyt kiinnostusta jo ennen tätä Euroopan tietosuojaviranomaisten linjausta nimenomaan sivulatausten ja seurannan nopeutumisen, laajempien ja monipuolisempien datankeruun kontrollointimahdollisuuksien sekä tietoturvan johdosta. Server side -mittaus voidaan toteuttaa Google Tag Managerin avulla.   
 

2. Google Analyticsin vaihtaminen eurooppalaiseen analytiikkatyökaluun

Markkinoilta löytyy toki myös analytiikkatyökaluja, jotka eivät siirrä dataa pois EU:n alueelta. Näistä tunnetuimmat ja eniten käytetyt ovat Matomo ja Piwik Pro, ja myös Siteimprove tarjoaa tämän mahdollisuuden. Työkalun vaihtaminen edellyttää tietenkin täyden uuden analytiikka-asennuksen dashboardien päivityksineen. 

 

Haluatko jutella lisää?

OTA YHTEYTTÄ

 

avatar

Quru

Quru - Better Business in Digital Channels