Onko Google Analytics laiton? – 3 vaihtoehtoista tapaa reagoida viranomaislinjauksiin

Arttu Raittila

Arttu Raittila

Päivitetty 30.3.2022

Euroopan tietosuojaviranomaiset ovat linjanneet, että Google Analyticsin käyttäminen rikkoo GDPR-asetusta.

Syynä on se, että Google vastaanottaa Analytics-seurannasta IP-osoitteita, muita tunnisteita ja parametreja, jotka ovat käyttäjää yksilöiviä yksinään tai yhdistettyinä muihin tietoihin.

Viranomaiset tulkitsevat nämä yksilöivät tiedot henkilötiedoiksi, joita ei saa lähettää Yhdysvaltoihin. Tiukemman tulkinnan mukaan niitä ei saa lähettää edes yhdysvaltalaisille yrityksille, sillä maan tiedustelupalveluilla on oikeus saada näiden yritysten dataa, vaikka tämä data sijaitsisi eurooppalaisilla palvelimilla.

Tämä artikkeli esittelee 3 vaihtoehtoista toimintalinjaa, joista Google Analyticsia käyttävä organisaatio voi valita oman riskinsietokykynsä ja yksityisyyspolitiikkansa mukaisen.

TÄRKEITÄ UUTISIA ARTIKKELIN ENSIMMÄISEN JULKAISUN JÄLKEEN:

Google Analyticsin vanha versio (Universal Analytics) lopettaa datankeruun 1.7.2023. Sitä käyttävillä organisaatioilla on nyt kiire ottaa käyttöön joko Google Analytics 4 (GA4) tai vaihtoehtoinen ohjelmisto, jotta dataa voi verrata vuotta taaksepäin myös kesäkuun 2023 jälkeen. Jos Google Analytics on otettu käyttöön ennen 14.10.2020, se on todennäköisesti vanha käytöstä poistuva Universal Analytics -versio. Näin voit tarkistaa, kumpi versio teillä on käytössä.

Euroopan komissio ja Yhdysvallat ilmoittivat 25.3.2022, että ne ovat saavuttaneet periaatetason yhteisymmärryksen datasiirroista Yhdysvaltoihin. Tulevan sopimuksen yksityiskohdat ovat vielä hiomatta, mutta mikäli sopimus selviää oikeuskäsittelyistä, Google Analytics voi olla taas laillinen viranomaisnäkökulmasta. Analyticsin laillisuushaasteisiin johtaneet oikeusjutut käynnistänyt Max Schrems on skeptinen.

Google ilmoitti, että Google Analytics 4 tulee saamaan maatason yksityisyysasetuksia, joilla käyttäjistä kerättävää tietoa voi vähentää. Se tulee myös lopettamaan käyttäjien IP-osoitteiden tallentamisen.

[sisallys otsikko=”Sisällys” tausta=”harmaa” tyyppi=”none” rivit=”IP-osoitteet ja muut yksilöivät tiedot id=ip %% Vaihtoehto 1: odotetaan id=v1 %% Vaihtoehto 2: server-side tagging id=v2 %% Vaihtoehto 3: vaihdetaan ohjelmisto id=v3 %% Mikä vaihtoehdoista kannattaa valita? id=valinta”]

IP-osoitteet ja muut yksilöivät tiedot ongelman ytimessä

Google Analytics ja Google Tag Manager ovat jo pitkään tarjonneet mahdollisuutta anonymisoida käyttäjien IP-osoitteet. Se on tapahtunut poistamalla IP-osoitteen viimeiset numerot.

Googlen tarjoama anonymisointi ei ole kuitenkaan estänyt IP-osoitteiden siirtymistä Yhdysvaltoihin: anonymisoiminen tapahtuu vasta sen jälkeen, kun IP-osoite on ensin siirtynyt kokonaisena Googlelle. Henkilötietoa on siis siirtynyt kaikesta huolimatta Yhdysvaltoihin.

IP-osoitteiden lisäksi viranomaiset ovat ottaneet syyniin muitakin Google Analyticsin keräämiä tietoja:

Jää nähtäväksi, miten Googlen lupaamat uudet yksityisyysasetukset voivat rajoittaa kaikkien näiden tietojen keräämistä – ja miten käyttökelpoista Analytics-data voi enää olla sen jälkeen.

Vaihtoehto 1: odotetaan

Tällä hetkellä tilanne on karkeasti tämä:

Yksi toimintalinja onkin vain odottaa ja seurata rauhassa, mihin nämä kehityskulut johtavat.

Tietosuojan perustason pitää kuitenkin olla kunnossa, vaikka ratkaisuja itse Analyticsin käytön osalta vielä odottelisikin:

Odottamisen plussat

Odottamisen miinukset

Vaihtoehto 2: server-side tagging ja Google Analytics 4

Henkilöiviä tietoja, kuten IP-osoitteita on mahdollista anonymisoida oikeasti jo ennen niiden lähettämistä Googlelle. Tämä vaatii kuitenkin sitä, että Google Analytics 4 asennetaan ns. server-side tagging -menetelmällä. Siinä seurantakoodit suoritetaan erillisellä palvelimella eikä käyttäjän selaimessa, mikä mahdollistaa tietojen puhdistamisen Googlelle lähtevästä datasta.

Server-side taggingin avulla voi poistaa tai anonymisoida IP-osoitteiden lisäksi myös muita mahdollisesti ongelmalliseksi katsottavia tietoja, kuten evästeiden ID:t. Mutta sillä voi myös rikastaa dataa tavoilla, jotka eivät vaaranna yksittäisten käyttäjien yksityisyyttä.

Server-side taggingin plussat

Server-side-taggingilla on useita datan kontrolliin ja suojattavuuteen liittyviä hyötyjä, jotka tekivät siitä yhden analytiikan seuraavista kehitysaskelista jo ennen tuoreimpia viranomaislinjauksia.

Server-side taggingin miinukset

Vaihtoehto 3: vaihdetaan ohjelmisto

Varma ratkaisukeino viranomaisten linjauksiin on lopettaa Google Analyticsin käyttäminen kokonaan.

Google Analytics voidaan korvata analytiikka-alustalla, jonka ylläpito ja omistus on EU:n sisällä.

Hopkinsin suosittelemat eurooppalaiset vaihtoehdot ovat Matomo ja Piwik PRO:

Käyttöliittymältään sekä Matomo että Piwik PRO ovat helppoja ottaa haltuun, jos on käyttänyt aiemmin Google Analyticsin poistuvaa Universal Analytics -versiota.

On olemassa myös yksinkertaisempia, kävijälaskurihenkisiä ohjelmistoja, kuten Plausible, jotka täyttävät EU-alueen tietosuojavaatimukset. Ne eivät kuitenkaan ominaisuuksiensa puolesta sovellu sellaiseen analyysiin, jossa verkkopalvelua tai markkinointia kehitetään analytiikkadatan avulla.

Vaihtamisen plussat

Vaihtamisen miinukset

Mikä vaihtoehdoista kannattaa valita?

Sinun organisaatiollesi oikea vaihtoehto riippuu etenkin kolmesta asiasta:

  1. riskinsietokyky
  2. näkemykset tietosuojasta ja yksityisyydestä
  3. vaatimukset ohjelmiston käytön helppoudesta.

Pienet yritykset

Pienemmät yritykset ja harrastussivustot valitsevat todennäköisesti tilanteen seurannan ja odottamisen.

Korkeintaan moni pienyritys päivittää vanhan Google Analyticsin nelosversioon (ilman server-side taggingia). Valveutuneet tekevät tämän ennen kesäkuuta 2022 kerätäkseen vuoden verran vertailudataa, myöhäiset lähempänä sitä, kun Google Analyticsin vanha versio lakkaa toimimasta 1.7.2023.

Piwik PRO:n ilmaisversio voi olla joillekin pienyrityksille kiinnostava kahdesta syystä:

Keskisuuret ja suuret yritykset

Keskisuurille ja suurille yrityksille suosittelemme yleensä valintaa vaihtoehdoista 2 (server-side tagging) ja 3 (vaihto esim. Piwik PRO:hon).

Näistä server-side tagging edustaa web-analytiikan kehityksen tulevaisuutta ja sen hyödyt eivät rajoitu vain sivustovierailijan parempaan tietosuojaan. Toisaalta sen kanssa käytettävä Google Analytics 4 on perukäyttäjille hankalampi kuin Piwik PRO tai Matomo.

Julkishallinto ja sensitiivistä tietoa käsittelevät alat

Julkishallinnon toimijoille ja sensitiivistä tietoa käsitteleville yrityksille suosittelemme yleensä Google Analyticsin korvaamista Piwik PRO:lla tai Matomolla. Erityisesti Piwik PRO sisältää monipuolisia mahdollisuuksia seurannan tietosuoja-asetusten mukauttamiseen.

Matomon ja Piwik PRO:n keräämän kävijädatan voi tallentaa palvelimelle, joka sijaitsee EU:n alueella. Näin vältetään sellaiset datasiirrot EU:n ulkopuolelle, joita GDPR-asetus rajoittaa.

Kun kävijäseurannan data pysyy EU:ssa, sen keräämiseen kohdistuu vähemmän sääntelyä verrattuna Yhdysvaltoihin lähtevään dataan. Sivuston kävijöistä voi siksi kerätä enemmän ja laadukkaampaa dataa rikkomatta lakia.

Jos haluat lisänäkemystä oman päätöksesi tueksi, kuuntele maksuton webinaaritallenteemme tai ota meihin yhteyttä.

Artikkelit samasta aiheesta

Tekoäly ja koneoppiminen rakentavat parempia ostajapersoonia

Ostajapersoona on tuttu työkalu markkinoinnin johtamisen apuna. Suurten kielimallien ja koneoppimisen avulla dataan perustuvien persoonien rakentaminen onnistuu aikaisempaa tehokkaammin. Mitä ostajapersoona tarkoittaa? Ostajapersoonat kuvaavat yrityksen kannalta ideaalisia ostajia. Ostajapersoonan esitys […]

Mitä on evästeetön analytiikka?

Evästeetön web-analytiikka auttaa raportoimaan ja analysoimaan kattavammin sivuston käyttöä: sen avulla saat kerätä dataa myös käyttäjistä, jotka eivät hyväksy evästeitä evästebannerissa.

Kiinnostuitko tästä aiheesta?

Soita meille 020 788 8120 tai täytä alla oleva lomake niin jatketaan juttua!