Kan man anonymisera sin data i Google Analytics?

Ett stort antal kommuner, regioner och myndigheter i Sverige som utlovar besökarna anonymitet skickar IP-adresser till Google, vilket betyder att deras data kan komma att lagras på servrar i USA.

GA hämtar ju och sparar IP-adresser, vilket EU-domstolen klassar som personuppgifter eftersom de kan identifiera enskilda personer, vilket innebär att de aktörer som använder Googles verktyg för mätning inte följer GDPR.  Flera myndigheter har anmält sig själv till Integritetsskyddsmyndigheten (tidigare Datainspektionen),  och på senare tid (den här artikeln är skriven i mars 2021) diskuteras det en del om det som kan beskrivas som en ”massiv bortkoppling” från Google Analytics bland offentliga verksamheter.

Integritetsskyddsmyndigheten  meddelade också i slutet av november 2020 att de börjat granska klagomål som kommit in angående detta. Detta gäller förstås inte enbart Google Analytics, och Google Tag Manager, utan också Adobe Analytics och andra verktyg där överförande av personuppgifter till tredje land är en del av själva tjänsten. Läs mer här.

Vad är en IP-adress?

En IP-adress är ett nummer som identifierar en anslutning mot internet. Man kan säga att det är internets adressystem för att information som skickas ska komma fram till rätt mottagare. Om din dator är ansluten till internet har den alltså en IP-adress.

När man surfar på nätet får alla domäner och servrarna bakom domänerna tillgång till besökarna ip-adresser. Sedan är det upp till varje server att bestämma vad de vill lagra i sina loggar.

Diskussionen senaste tiden har haft fokus på just IP-adresser, men till verktyg för att mäta besöksstatistik som exempelvis Google Analytics sparar också cookies och profilerar besökarna till en sajt. Detta används sedan för att Google ska kunna identifiera dessa besökare nästa gång de anropar Googles tjänster, och då även från andra webbsajter. Google vet helt enkelt om att era besökare varit på er webbplats, men de vet också om alla andra besök dessa webbläsare gjort på webbplatser som ägs av Google. Det gör att även om ip-adressen anonymiseras på just er sajt så kan Google troligen koppla ihop webbläsaren med en IP-adress i en annan tjänst.

Hur kan man anonymisera IP-adresserna i sin data?

Det finns faktiskt flera olika, ganska enkla lösningar. Många använder idag Googles tjänster så vi börjar där. För det första har Google Analytics en funktion (anonymize_ip) som anonymiserar besökarnas IP-adresser innan de sparas på Googles servrar. Det innebär att man lägger till funktionen i sin Google Analytics snippet på sin sajt. Det måste göras manuellt i koden som man lägger in.

Man kan också uppdatera till den senaste versionen av Google Analytics, Google Analytics 4, och då kan det ske automatiskt.

Om man använder Google Tag Manager (GTM) kan man enkelt själv ställa in att de sista siffrorna i IP adresserna hos besökarna tas bort innan de skickas vidare till Google Analytics -  det går att ställa in i gränssnittet för GTM.

• Under VARIABLER  klickar du på GA spårningskod
• Välj  fler inställningar och "fält att ange"
• Lägg till fält och välj "anonymizeIp" som fältnamn och sätt värdet till "true"

Nu kommer Google Tag Manager att rensa bort sista siffrorna i IP-adressen innan de skickas vidare till Google Analytics.

Det finns ju också alternativ till Googles tjänster, t ex Matomo som själv kallar sig det etiska alternativet till Google Analytics.  Matomo är ett open source verktyg som redan används redan av flera av de största svenska myndigheterna och är även väl etablerat ute i Europa. 

Vad kommer det här att innebära framöver?

Alltfler användare börjar tänka på och sätta sig in i integritetsfrågorna, och inom EU försöker driva frågorna med individens rättigheter i centrum vilket såklart påverkar både den tekniska utvecklingen, offentliga verksamheter och privata bolag. Men synsättet och sättet att hantera det på skiljer sig åt i världen och det är inte helt enkelt att veta vad som gäller eller hur data skickas, lagras och används av flera olika aktörer.

Troligen kommer även andra aktörer som hanterar personliga data att se över detta och behöva hitta nya lösningar framöver, till exempel banker, finansbolag, vårdbolag och e-handlar.