Hvorfor er det (kanskje) forbudt å bruke Google Analytics (snart)?
På grunn av den amerikanske CLOUD-loven kan amerikanske myndigheter be om å få utlevert personopplysninger fra Google, Facebook og andre amerikanske leverandører selv når de opererer utenfor USA, for eksempel i Europa. Dette har ført til bekymring om utilstrekkelig beskyttelse for brukere av tjenestene. Når en bruker sier ja til en cookie fra Google Analytics, sier de samtidig ja til bruk og videresalg av sporene de legger igjen, og det finnes ikke noen god måte å isolere bruken av Google Analytics fra Googles videre bruk av dataene som samles inn.
Innad i EU har så langt Østerrike, Italia, og Frankrike forbudt normal bruk av GA, og Danmark følger like bak. Nå har også Datatilsynet i Norge konkludert med at dagens bruk av Google Analytics ikke er lovlig, i henhold til personvernforordningen (GDPR). Enkeltaktører er klaget inn, og har fått anledning til å gi et tilsvar, men etter alle solemerker går det mot et delvis forbud også i Norge.
Småsvimmel? Ta kontakt!
Så hva skjer nå?
Med et delvis forbud mener vi at en del funksjonalitet i Google Analytics må slåes av, og flere andre tiltak settes i verk. Du kan lese mer om hvordan dette kan gjøres lenger nede i artikkelen. For mange aktører vil dette være hemmende for forretningsdriften, og de vil måtte se seg om etter andre alternativer. Vi er derfor på det stadiet at det er nødvendig å ha en plan b. Siste ord er ikke sagt, men om en regulering kommer vil den nok komme med en fornuftig tidsramme som gir bedrifter rom til å omstille seg.
Det som skjer nå vil sannsynligvis legge press på forhandlerne i USA og Europa, som i skrivende stund prøver å erstatte Privacy Shield med en ny avtale som regulerer hvordan man overføre data mellom de to. Ett forslag som diskuteres er at dette blir inkludert i en større frihandelsavtale. Motivasjonen til å finne en løsning er sterk, for om en avtale tar for lang tid, kan lignende saker over hele Europa ha en dominoeffekt, der nettskytjenester fra Amazon, Facebook, Google og Microsoft alle potensielt kan bli erklært som ulovlige.
Men kan Google Analytics kjøres på en lovlig måte?
Google har satt sammen en del tips som de mener gjør deg GDPR-kompatibel, men det er usikkert hvorvidt dette holder vann. Et av områdene som er påpekt i dommer i Europa er at IP-anonymiseringen til Google ikke er tilstrekkelig. Hvilke krav som vil gjelde for Norge må vi vente på til Datatilsynet har sagt sitt. Så langt har de vært kryptiske og lite tydelige i hva et "forbud" vil innebære, og om det som eventuelt er igjen av Google Analytics vil gi den verdien brukerne ønsker.
Google anbefaler å aktivere IP-anonymisering eller IP-maskering, noe som betyr å samle inn bare en del av brukerens IP-adresse, for å tillate fortsatt bruk av grunnleggende geografisk målretting, men med mindre nøyaktighet. For eksempel kan en brukers IP-adresse være 128.99.1.12, men de samler bare inn de tre første "blokkene" i Google Analytics, og dermed samler de bare inn 128.99.1.0.
Videre anbefaler Google å "delvis eller helt deaktivere datainnsamling på visse sider". Dette er opplagt innen noen bransjer som bank, hvor du ikke vil spore spesifikke handlinger innenfor en nettbankportal. Men det er verdt å tenke på hvilke personlige data som kan bli eksponert på nettstedet ditt, og aktivt hindre innsamling av det. Kontekstuell sporing er og relevant, og aktører som Felleskatalogen bør f.eks. tenke over at Google kan følge hvilke medisiner enkeltbrukere er innom og leser om, og at dette igjen kan brukes til å bygge en profil på brukeren.
I tillegg finnes det innstillinger i Google Analytics for å begrense hvor lenge spesifikke typer data lagres før automatisk sletting. Det finnes også en brukerslette-API for å ivareta en brukers rett til å bli glemt.
Google anbefaler også å benytte en lovlig samsvarsmelding innenfor et nettsted. Noe som lar brukere kontrollere hvilken informasjon som samles inn, inkludert en bestemmelse for å tillate eller nekte informasjonskapsler.
Til slutt krever Google at organisasjoner ikke samler inn personlig identifiserbar informasjon (PII) ved hjelp av Google Analytics-plattformen. Der dette blir forvirrende er f.eks. når Østerrikes Datatilsyn og Google har ulike definisjoner på dette området. Mens datatilsynet i Østerrike har fastslått at IP-adresser og bruker-ID-er utgjør personlig informasjon, gjør ikke Googles definisjon det.
Reverse Proxy
Det ser ut til at eneste tilstrekkelige løsning er å strippe dataene som sendes til Google Analytics. En slik prosess krever at dataene sendes fra nettsiden til en mellomstasjon, en såkalt reverse proxy server, som gjør denne jobben før dataene videresendes. Dette er teknisk krevende, og det er også krav til at serveren som håndterer videresending av data mellomlagrer dataene på en forsvarlig måte. Det er her verdien av Google Analytics for alvor vingeklippes, og man går glipp av veldig mye verdifull informasjon. For mange vil dette være en deal breaker.
Dette kan du lese om her...
Svimmel? Ta kontakt!
Så hva er gode alternativer til Google Analytics?
Vi har sett på alternativer og gjort oss opp noen meninger, og uten å gå for dypt ned i det tekniske vil vi forsøke å dele litt av konklusjonene våre, og veien videre.
Vi har de to siste årene testet flere alternativer som ivaretar GDPR, men med variabel entusiasme. Det er ikke lett å finne tjenester som gir det samme som Google Analytics, uten at man må både jobbe litt og betale for det. Enkelte tjenester er og så dyre at det for de aller fleste vil være fullstendig uaktuelt. Disse har vi valgt å se bort ifra i denne omgangen. Fordelen Google har hatt av et tilnærmet monopol i mange år, er at Google Analytics kan integreres mot nær sagt alt av andre relevante tjenester. Der har de andre en vei å gå. Vi har testet flere løsninger enn de som snakkes om videre, men konsentrerer oss om de vi ser på som aktuelle.
Det er flere faktorer som har vært viktige for oss ut ifra hvordan vi jobber. En av de er fleksibiliteten når det kommer til egendefinerte konverteringsoppsett og rapportering. Vi bruker Looker Data Studio til rapportering, og en “ut av boksen”-kobling er derfor sentral. Mye kan trikses til, men workarounds blir ofte dyrt og ustabilt.
Våre erfaringer gjør at vi lander på å anbefale Matomo, Piwik PRO, eller Simple Analytics til våre kunder og samarbeidspartnere. Matomo og Piwik PRO er to som har utmerket seg som gode erstatninger for Google Analytics, og som går lengst i å gjøre samme jobben. De tilbyr også en rekke andre tjenester som er med på å skape en sterk totalpakke for analyse av nettstedstrafikk. Begge har tjenester som gjør det mulig å installere og kjøre systemene på egne servere, og dermed ha full kontroll over innsamlede data. Dette kan være avgjørende for noen. I tillegg kan man abonnere på løsninger i skyen. En sentral forskjell mellom Piwik PRO og Matomo er at Piwik PRO ikke kan importere historiske data fra Google Analytics. Vi er dermed er avhengige av å flette data i Looker Data Studio for å få til en sammenligning med historiske data. Simple Analytics kjører i en skyløsning, men er også en mindre løsning som gir mindre innsikt. Piwik PRO har en gratis integrasjon mot Looker Data Studio, mens Matomo må kobles til via en tredjepartstjeneste. Det er altså ingen av løsningene som ut av boksen gir oss samme fleksibilitet som i dag, men dette gir oss en mulighet til å tenke nytt!
Her kan du lese mer om hvordan de forskjellige plattformene mener de kan erstatte Google Analytics:
Skikkelig svimmel? Ta kontakt!
Hva innebærer det å flytte fra Google Analytics?
Det er ikke til å stikke under en stol at en overgang kan være både teknisk krevende og ressurskrevende, men med tilstrekkelig innsikt er det fullt mulig å gjennomføre dette selv.
Først må du bestemme deg for en løsning som passer, opprette en konto, og velge et abonnement som er tilstrekkelig. Når det er gjort installeres en sporingskode på nettsidene via en Tag Manager, i CMS, eller direkte i nettsidens kildekode.
Hvordan plattformen settes opp vil variere etter hvilken løsning som er valgt, og hvilke behov du har. For noen vil det være riktig å kjøre analyseverktøyet i en egen skyløsning, eller på en egen server. Dette vil innebære et oppsett av infrastruktur som kan håndtere dataflyten, samt lagre dette på en måte som møter kravene i GDPR. Du må opprette en web-server og kjøre systemet som en nettside. Du legger inn en filpakke, og så vil du via nettleseren kjøre en konfigurasjonsfil som tar deg gjennom opprettelse av databasestruktur og opprettelse av kontoer, etc. Enkelte større rammeverk har også egne løsninger for direkte integrasjon, som f.eks. WordPress.
Ønsker du å bruke historiske data i den nye plattformen så må dette importeres. De som støtter dette har løsninger for det som er delvis automatisert. Det er likevel en teknisk terskel her som kan være utfordrende for noen.
Et eventuelt oppsett for sporing av konverteringer og traktmodeller må gjøres på nytt, om systemet tillater dette.
Det er ikke svimlende faste kostnader involvert i å bruke de forskjellige løsningene, med mindre du har helt spesielle behov. Du kan også slippe unna gratis om du kan leve med en begrenset funksjonalitet.
Må du sette deg litt? Ta kontakt!
Bør man slutte å bruke Google Analytics nå?
Nei. Det er fortsatt en del som skal skje før et eventuelt forbud trer i kraft, og når det skjer har du fortsatt “god” tid på deg til å få ting på plass. MEN, det skader ikke å ha laget en plan for migrasjon. Det er ingenting i veien for å kjøre flere systemer parallelt, og på den måten prøve seg fram før man tar et valg. Så å starte sporing via en eller flere alternative plattformer allerede nå, vil være smart.
Ta gjerne kontakt med oss om du trenger en prat rundt hvordan dette best kan løses for akkurat deg og ditt firma.