Importerad kod – vad gör den?
Denna värld skapar helt klart oändliga möjligheter, men det är med svängdörrar som är öppna åt båda hållen. Dina marknadsföringskampanjer behöver analysverktyg för mätning och andra funktioner, och naturligtvis behöver dessa verktyg en spårningsfunktion. Många sajter antar flera olika manus för att hantera spårningen vilket är en riskabel metod. Manuset begär in externa script som implementeras på din sajt, detta betyder att koden som kommer från tredje part och inte från Google – importeras till din dator. När du använder Google Analytics, som är en effektiv tjänst, behöver du därmed tänka på att det är fritt fram för tredjepartsverktyg som laddas ner. Detta gäller inte enbart vid användning av Google Analytics, det gäller alla tredjepartsverktyg som du släpper in på din sajt.
Script-implementering har blivit normalt
Hur ofta tänker man egentligen på att en massa olika manus sitter på din sajt och implementerar externa script? Eller, hur ofta funderar du på hur alla dessa script tog sig in genom dörren? Det har nästan blivit ett automatiserat beteende att bara ”OK:a” utan att tänka efter. När ett verktyg eller en samarbetspartner säger att detta behövs för bättre service eller bättre upplevelse säger man bara ”ja”.
Var det någon som överhuvudtaget läste igenom vad en importerad kod gör?
Nej, jag tänkte väl det. Men du är inte ensam. De flesta är fokuserade på den uppgift man arbetar med vid datorn och har inte tid att tänka på script man inte kan se.
Kom ihåg att detta inte enbart gäller den effektiva tjänsten Google Analytics, detta gäller alla tjänster som du implementerar på din sajt eller i din dator – och som sitter där och begär in externa script från tredje part.
Så vad är det som egentligen händer?
De flesta företag implementerar Google Analytics med ett kort script och tänker inte mer på det. Du adderar ett kodavsnitt på din sajt som består av två JavaScript-filer som Google behöver för att samla in informationen från besökarens webbläsare. Det ena scriptet används av Universal Analytics som importeras automatiskt om du använder Google Tag Manager då du implementerar Google Analytics.
Detta gör att Universal Analytics, det vill säga en tredje part, får åtkomst till din information.
Hur skyddas du av GDPR?
Dataskyddsförordningen (DSF) - den allmänna dataskyddsförordningen är mera bekant som GDPR (General Data Protection Regulation). GDPR togs i bruk den 25 maj 2018 och ersatte dataskyddsdirektivet där bland annat PUL (Personuppgiftslagen) ingick. När denna förordning infördes ledde det till flera förändringar i hantering av personliga data och även i form av medverkan på bild eller offentligt.
Hur kan GDPR skydda dig?
Den som behandlar personuppgifter om EU-medborgare behöver säkra åtgärderna som anges i GDPR för att skydda användarnas integritet. Detta är en fördel även affärsmässigt eftersom det finns definierade juridiska bestämmelser när man gör affärer. GDPR:s definition av personuppgifter är enligt följande: ”All information som rör en individ, oavsett om den avser hans eller hennes privata, yrkesmässiga eller offentliga liv. Det kan vara allt ifrån ett namn, ett foto, en e-postadress, bankuppgifter, inlägg på sociala webbplatser, medicinsk information eller en dators IP-adress.”
Det finns mängder av exempel på förändringar som GDPR har lett till, en av dessa är IP-adresserna. Tidigare var detta lovligt byte, men nu anses IP-adressen vara personlig information eftersom den leder till exakt den dator du sitter vid. Dock kan det uppstå andra situationer som det nämnda ”tredjeparts-problemet” eftersom GDPR inte är allsmäktigt och kan komma att behöva uppdateras allteftersom.
Cookie-klickning
Hur blir det med cookies då? Dagligen klickas det ”JA” för att acceptera cookies för bättre användarupplevelse eller andra orsaker som kommer upp på skylten i datorn. Google Analytics brukar cookies för att komma ihåg användare från olika besök. Dessa cookies betraktas också som personlig information och är inställda på två år som standard.
Sajtadresser
Har du implementerat funktioner för att kontrollera informationen?
Om du inte har någon funktion för att ta bort information från din sajtadress där besökare befunnit sig och lämnat ifrån sig information – riskerar du att skicka personlig information till Google Analytics. Detta strider mot GDPR.
Identifiering av användare över tid
I Google Analytics finns signal-/annonseringsfunktioner som låter Google identifiera samma användare över tid med fler metoder än enbart cookies. Det strider inte mot användarvillkoren att Google använder information från sin annonsplattform för att identifiera individer. Detta betraktas inte som personlig information, men om du däremot kan identifiera samma besökare mellan olika enheter använder du en metod för identifiering som kopplar till en enskild användare och de facto sänder personlig information i form av cookies och IP-adresser till Google. Aj aj…
Google Analytics introducerade en ny service efter at GDPR tagits i bruk - ”Data deletion requests” – som ska hjälpa till att ta bort data som innehåller personlig information, om den var insamlad av misstag. Frågan är hur långt detta räcker.
Samtyckesläget
Om användaren nekar samtycke till lagring av data för exempelvis annonsmätning och analys anpassas beteendet hos Googles mätfunktioner till detta. Om användaren däremot beviljar samtycke behandlas detta på ett normalt vis vilket innebär att man i vissa fall kan riskera att dela sin information med tredje part.
Som sajtansvarig behöver du se till att besökaren är helt medveten om att du kommer att använda Google Analytics för spårning av deras beteende online. Du behöver säkra att besökaren ger sitt tydliga samtycke till detta om du ser att personlig information kan komma att lagras.
Det råder olika åsikter om Google Analytics och om det är lagligt eller olagligt att använda det med standardimplementering. Men om du inte avlägsnar all personlig information, inklusive cookies och IP-adresser från din egen server innan detta sänds till Google – hur kan det då vara lagligt om det du sänder inkluderar personlig information?
Schrems II-domen – stort för USA:s giganter
16 juli 2020 slog EU-domstolen fast att Privacy Shield-avtalet mellan EU och USA inte ger erforderligt skydd. Innan detta skedde kunde företag inom EU använda Google Analytics utan bekymmer för personlig information så länge det amerikanska bolaget var anslutet till Privacy Shield, som då skulle skydda den personliga informationen.
Schrems II reglerar vilka åtgärder företagen behöver ta för att skydda känsliga data. Schrems II-domen gjorde det olagligt att överföra personlig information till USA om detta inte går att stödja via GDPR. Detta var ett stort problem för tusentals amerikanska företag med Facebook i spetsen. Dessa bolag hade vilat på Privacy Shield för att kunna ta emot personuppgifter från EU.
Nytt avtal ersätter Privacy Shield
EU och USA har i år 2022 godkänt ett nytt preliminärt dataöverföringsavtal. Detta ska vara en ersättning för Privacy Shield som avskaffades. Det återstår att se hur detta kommer att fungera.
I takt med att online tjänster utvecklas behöver också datasäkerhet och integritetslagstiftning följa med. Den har länge hamnat på efterkälken eftersom teknikutvecklingen går med rasande fart, men så länge vi är vakna och medvetna om både fördelar och risker kan vi bli smarta användare av tekniska lösningar. För mer information, se länkarna nedanför.
Den så kallade Schrems II-domen gjorde det olagligt att föra över personuppgifter till USA om du inte kan stödja det på någon annan grund i GDPR – som i sin tur är mycket strikt inom detta område.
Nytt avtal 2022 ersätter Privacy Shield.