Etter et halvt års uvisshet, er det nå klart at Datatilsynet godtar bruk av Google Analytics. (Bilde: Per Ervland)

Datatilsynet godtar Google Analytics

– Kanskje hadde Google sitt på det tørre hele veien, sier Bjørn Erik Thon.

Datatilsynet har sjelden fått så høylytt kritikk, som da de i fjor konkluderte med at bruken av Google Analytics var lovstridig.

Noen gikk så langt som å stemple dem som inkompetente, arrogante eller at de «driter på leggen», men nå kan kritikerne puste lettet ut.

Et halvt år senere har Datatilsynet snudd. Nå aksepterer plutselig personvernmyndigheten bruken av Norges klart mest utbredte verktøy for webanalyse.

– Hvorfor denne helomvendingen?

– Det er riktig som du sier. Dette er en vanlig måte vi jobber på. Vi går ut og skriver en foreløpig rapport. Så er det opp til de vi er på kontroll hos å dokumentere ulike ting. Når vi var på tilsyn hos Lånekassen og Skatteetaten hadde de ikke kontroll med opplysningene og hvordan de ble håndtert, sier direktør i Datatilsynet, Bjørn Erik Thon til digi.no.

Ifølge Thon hadde disse to store offentlige virksomhetene ikke noe forhold til databehandler-konseptet, at Google som leverandør var å regne som databehandler. Og at de som kunder måtte ha oversikt over hva IP-adressene som sankes inn benyttes til.

– Vi følte at svarene de ga oss var veldig utilfredsstillende. I ettertid har Lånekassen og Skatteetaten gjort en god jobb. Det har fått klarhet i hva anonymiseringsfunksjonen i Google Analytics innebærer.

Dette bestrider Skatteetaten, som mener de har gitt gode svar hele veien.

Funksjonen for anonymisering har vært mye diskutert blant datatilsynene i Europa i fellesskap. Google har vært tydelig på at valget i skriptet fjerner den siste oktetten i IP-adressene de sanker inn gjennom verktøyet.

Thon sier nå at Google Analytics er greit å bruke for alle norske virksomheter, men at de MÅ påse at denne funksjonen er aktivert. I motsatt fall risikerer man å bryte loven.

Dermed blir det avgjørende å sette seg inn i hva _anonymizeIp() innebærer. Dette tilvalget ble innført av Google allerede i 2010, og er nærmere forklart på sidene deres.

– Google sitter på svært mange opplysninger, hentet fra Gmail, Youtube, Chrome og så videre. De har veldig mange tjenester. Vi lurte på om dataene fra webanalyse også slås sammen med andre typer opplysninger. Det har vi nå fått fastslått at ikke gjøres, sier Bjørn Erik Thon.

– Du har tidligere vært klar på at IP-adressene her blir sendt til Google i sin helhet, også ved bruk av anonymiseringsfunksjonen. Tok du feil da?

– Nei, overhodet ikke. Det blir fortsatt sendt til Google i sin helhet. Men dataene anonymiseres når de kommer frem.

– Vi føler vi har fått klarhet i dette, og er sikre på at det skjer på en måte som vi kan akseptere.

Thon erkjenner at «kanskje hadde Google sitt på det tørre hele veien»

– Så hva har Datatilsynet egentlig fått til i denne saken?

– For det første at det er mange flere som nå vet at det finnes en anonymiseringsfunksjon de kan skru på. Jeg understreker at dette aldri har vært noen sak mot Google, men de norske bedriftene som bruker webanalyseverktøy. Det sentrale å få frem her er at dette verktøyet er tillatt å bruke når du skrur på anonymiseringen.

Hva med cookies?

Det er lagringen av IP-adresser, som av Datatilsynet regnes som en personopplysning, som nå er avklart i denne saken. Senere kan det bli aktuelt å kikke nærmere også på cookie-problematikk. Altså sporingen av persondata via nettleserenes informasjonskapsler.

– Cookie-problematikk er ikke berørt i denne saken. Det skyldes at [EUs cookie-direktiv] ikke er implementert i Norge, der ligger vi langt etter. Men det kan komme nye spørsmål om dette senere, sier tilsynsdirektøren.

– Ser dere at Datatilsynet kunne ha håndtert saken om Google Analytics annerledes?

– Vi kunne ha valgt å ikke ta det opp. Men jeg synes ikke det ville vært spesielt lurt. Nå har vi fått klarhet i hva som skjer når dataene behandles fra webanalyse. Husk at dette hele tiden har foregått i det skjulte. Ikke nødvendigvis skummelt og farlig, men mange tenker ikke over hva disse dataene brukes til.

John Markus Lervik, riktignok som IT-gründer og leverandør av et produkt som kan konkurrere med Googles webanalyse og annonsesystemer, har vært krystallklar på hva han mener om Googles datainnsanking. Han sier at dataene kan misbrukes til helt andre ting enn webanalyse.

– Mener du at Lervik tar feil?

– Det har jeg ingen formening om. Han har datakunnskaper som langt overgår mine. Vi må huske på at dette er en sak som gjelder IP-adresser. Google samler inn mange andre data, blant annet via cookies, Chrome, Youtube og mange andre steder, så jeg kan ikke gå god for det han sier.

– Datatilsynet har i denne saken blitt kalt arrogante og inkompetente. Hva vil du si til kritikerne?

– Det er noe som setter litt fart på debatten, det har jeg et veldig avslappet forhold til. Men jeg synes overhodet det ikke er dekning for det. Han som kalte oss dette trodde også at vi var motstandere av webanalyse. Men det stemmer ikke. Uten slike verktøy famler man i blinde, det er jeg helt enig i.

– Er det en fare for at Datatilsynet har «ropt ulv» i denne saken? Dere kunne droppet å gå så høyt på banen først?

– Det er fortsatt behov for å rope ulv. Jeg er helt overbevist om at hvis vi tar en kontroll med andre som brukes Google Analytics, som er det veldig mange som gjør det uten å ta i bruk anonymiseringsfunksjonen. Det er viktig å gå ut med sånne saker og få oppmerksomhet rundt dette.

    Les også:

Til toppen