Selv om Google Analytics (GA) versjon 4 ble vurdert til å være akseptabel å bruke av Datatilsynet så er det mange gode grunner til å ikke bruke det på egen nettside.
Alphabet er verdens største annonseselskap og GA er gratis å bruke fordi de innhenter enorme data fra våre besøk på de fleste nettsider.
GA vil åpenbart sende data til Google ved hvert besøk for en bruker som benytter et nettsted som har implementert GA. Mindre kjent er det at denne trackingen også inkluderer tittelen på nettsiden som besøkes.
Tittel kan avsløre mye
Å besøke hovedsiden til Rema 1000 som har tittelen “Forside Rema 1000” er ikke særlig problematisk for personvernet når Google allerede vet at du har besøkt rema.no.
Men for web-applikasjoner, nettsider med innlogging og dynamisk genererte sider oppstår det muligheter for at sensitive opplysninger blir lekket. Lager man for eksempel et CRM-system og bruker GA for å ha statistikk over bruk så er det mange besøk som vil lekke personopplysninger.
«Har man klikket seg gjennom alle kundeprofiler i nettleseren, har dermed Google samlet en liste over alle dine kontakter.»
Tenk deg at CRM-systemet har en kundeoversikt. Ved hvert besøk på en kundeprofil så er det sannsynlig at tittelen på siden er noe ala “Kunde #1337 - MakePlans”. Og da blir problemet åpenbart. Har man klikket seg gjennom alle kundeprofiler i nettleseren, har dermed Google samlet en liste over alle dine kontakter.
Det kan også tenkes at tittelen på siden inneholder fødselsnummer, telefonnummer eller andre kundeopplysninger. Til og med sensitive opplysninger: “Kundenavn - Gonoré“.
Selv om dette kun er en tittel, så er alle lignende sider på samme format, informasjonen kan dermed betraktes som strukturerte data.
GDPR-trygge alternativer til Google Analytics? Tormund har oversikten
Implementert av stort norsk programvarehus
En av norske mest brukte applikasjonene i bedriftsmarkedet bruker Google Analytics i sin applikasjon. De har også benyttet tittel på sidene i CRM-systemet som beskrevet ovenfor.
Resultatet er da at kundelisten til alle kunder av systemet er blitt overført til Google.
Bedriften har blitt varslet om dette og fjernet bruk av GA fra sin applikasjon.
Det samme problemet gjelder for nettbutikker med innloggede sider. Her har man selvfølgelig først den grunnleggende sikkerhetsutfordringen ved å inkludere kode fra tredjepart som kjører sammen med for eksempel innhenting av kredittkort og registrering av personopplysninger.
Men på samme måte som problemet med programvaren nevnt tidligere, så er det også sannsynlig at siden som viser profilen din har tittel som for eksempel “Espen Antonsen - din profil”.
Så enhver netthandel som viser en kundeside, ordreinformasjon eller annen personlig informasjon som en del av tittelen på en nettside, vil lekke opplysninger til Google som man mest sannsynlig ikke har planlagt – og som ikke er inkludert i personvernserklæringen.
«Google selv advarer mot å bruke personopplysninger som tittel på siden.»
Også brudd ved anonymiserte data
Google vil nok hevde at de anonymiserer data. Det kan nok stemme og det kan godt hende at de kloke hodene i Google har en lur måte å håndtere dette på.
Men selv om brukerdata er anonymisert, hashet/kryptert, eller pseudonymisert så vil man med slike personopplysninger i tittelen allikevel kunne koble anonyme data til en spesifikk person. Det holder at det er teknisk mulig og ikke nødvendigvis enkelt gjennomført i praksis.
Hvis en angriper får lastet ned databasen til Google Analytics vil angriper kunne identifisere personer med brukerdata basert på personopplysninger i tittelen og krysskoblinger i disse dataene selv om brukerdata er anonymisert.
Men nå er ikke det et ansvar som ligger hos Google. Google selv advarer mot å bruke personopplysninger som tittel på siden, og anbefaler at man overstyrer de data som sendes til Google i slike tilfeller.
