Euroopan unionin tietosuojaviranomaisten tuoreen päätöksen mukaan Google Analytics on Euroopan tietosuojalakien vastainen. Päätöksen taustalla vaikuttaa se, että Google Analytics mahdollistaa henkilötietojen siirtämisen Euroopan ulkopuolelle Yhdysvaltoihin, missä se saattaa päätyä Yhdysvaltain tiedustelupalvelun käsiin. Suomalaisen Google Analyticsia hyödyntävän organisaation ei tarvitse vielä hätääntyä, mutta valistuminen ja valmistautuminen kannattavat!
Euroopan yleisen tietosuoja-asetuksen GDPR:n mukaan verkossa kerättyä käyttäjädataa tulee säilyttää Euroopan unionin rajojen sisäpuolella. Googlen verkkosivuanalytiikkasovellus Google Analytics mahdollistaa kuitenkin henkilötietojen siirron Yhdysvaltoihin, jolloin tiedoilla on riski päätyä Yhdysvaltain tiedustelupalvelun käsiin. Euroopan tietosuojaviranomaiset linjasivat viime viikolla Google Analyticsin olevan tähän perustuen Euroopan tietosuojalakien vastainen. Asiasta tiedotti perjantaina 11.2.2022 myös Suomen tietosuojavaltuutetun toimisto.
Päätöksen taustalla vaikuttavat Euroopan tietosuojaviranomaisten vastaanottamat 101 valitusta, jotka koskevat Google Analyticsia ja muita seurantatyökaluja käyttäviä verkkosivuja. Euroopan tietosuojaviranomaiset ovat käsitelleet tätä 101 dalmatialaista -nimellä tunnettua kokonaisuutta yhteistyössä rajat ylittävässä menettelyssä, jossa Suomen tietosuojavaltuutetun toimisto on ollut myös mukana. Päätöksen Google Analyticsista Euroopan tietosuojalakien vastaisena sovelluksena on johtavana valvontaviranomaisena antanut Ranskan valvontaviranomainen CNIL.
Ranskassa tietosuojaviranomainen CNIL on määrännyt tutkinnan kohteena olevan verkkosivuston lopettamaan Google Analyticsin käytön kuukauden sisällä tai varmistamaan, että henkilötietoja käsitellään tietosuoja-asetuksen mukaisesti, eli käyttäjädataa ei saa päästää EU:n ulkopuolelle. Käytännössä tämä tarkoittaa sitä, että Google Analyticsin käyttöä olisi mahdollista jatkaa, mikäli data saadaan säilytettyä sivuston omalla palvelimella, eikä datavuotoa Yhdysvaltoihin mahdollisteta.
Vetäytyykö Google Euroopasta?
Google Analyticsin tapa siirtää henkilödataa Yhdysvaltoihin nousi tapetille jo tammikuussa, kun Itävallan tietosuojaviranomainen totesi Google Analyticsin käytön GDPR:n vastaiseksi. Jo tämän päätöksen jälkeen Euroopassa alkoi spekulointi siitä, vetäytyykö Google Euroopasta.
Google Analytics on maailman suosituin analytiikkatyökalu mm. maksuttomuutensa ja helppokäyttöisyytensä takia. Maksuttomuuden Google varmistaa sen avulla, että Analyticsissa kerättyä dataa voidaan hyödyntää mainonnan kohdentamiseen. Mainostulot taas ovat Googlen suurin tulonlähde.
Varmaa on, ettei Google hevillä luovu näin ison markkina-alueen herruudesta. Google tulee varmasti haastamaan päätöksen ja taistelemaan sen puolesta, ettei isoja muutoksia tarvittaisi. Toki kansainvälisellä pörssiyhtiöllä on myös mahdollisuus reagoida nopeasti ja tehdä tuottamassaan palvelussa tarvittavat muutokset, jottei se riko tietosuojalainsäädäntöä.
Vaikka tämänkertainen GDPR-päätös koski vain Google Analyticsia, jatkoselvitykset muista Euroopasta Yhdysvaltoihin henkilötietoja siirtävistä verkkosivusovelluksista ovat jo käynnissä. Google Analyticsiin liittyvällä linjauksella ja tulevilla toimilla on valtava merkitys verkkosivudatan mittaamisen tulevaisuuteen. Miten päätös sitten vaikuttaa suomalaiseen Google Analyticsiä käyttävään organisaatioon?
Valistusta, valmistautumista ja jäitä hattuun
Jos sydämesi pomppasi kurkkuun kuullessasi uutisesta ja pohdit nyt, kuinka toimia sivuillenne asennetun Google Analyticsin kanssa, suosittelisin aivan ensimmäiseksi pistämään jäitä hattuun ja kartoittamaan tilanteen. Määritin sinulle askeleet tilanteesta selviämiseen:
1. Välitöntä hätää tai tarvetta minkään muuttamiselle ei ole
Seuraa rauhassa Suomen tietosuojavaltuutetun tiedotusta. Myös Suomen tietosuojavaltuutetun toimistolla on vireillä asioita, jotka ovat osa niin kutsuttua 101 dalmatialaista -kokonaisuutta, eli linjauksia Google Analyticsin ja kenties myös muidenkin sovellusten osalta kuultaneen pian. Myös Google tulee varmasti yhtiönä toimimaan, joten on hyvä seurata, tulevatko he muuttamaan Google Analyticsin toimintaperiaatetta.
2. Kartoita mittaamistarpeesi
Keskustelkaa yhdessä organisaationne mittaamistarpeista. Onko Google Analytics teille pakollinen paha? Olisitteko valmiita maksamaan jostain toisesta analytiikkasovelluksesta parantaaksenne datan tietoturvallisuutta? Olisitteko valmiita tinkimään mittareista ja ottamaan evästeettömän seurannan käyttöön?
Mikäli Google Analytics on tähän asti ollut asennettuna sivustollenne lähinnä varmuuden varalta, muutos ei tule olemaan valtava. Mikäli taas käytätte päivittäisessä markkinoinnissa Google Analyticsin yleisöjä, ja Analytics on linkitetty muihin Googlen tuotteisiin synergiaedun maksimoimiseksi, on aika pohtia tulevaisuuden mittaamisen mallianne kriittisesti.
3. Toimi
Mikäli et ole valmis luopumaan Google Analyticsista ja koet, että saat Googlen tuotteiden yhteiskäytöstä synergiaetua, Google Analyticsin käyttöä on mahdollista jatkaa ottamalla server-side tagging käyttöön. Silloin dataa on mahdollista säilyttää omalla palvelimellasi. Server-side tagging otetaan käyttöön Google Tag Managerissa, mutta selaimen sijaan skriptit asennetaan palvelimelle. Mikäli omaa palvelinta ei ole käytössä, palvelintilaa on mahdollista ostaa myös pilvestä.
Mikäli Google Analytics on ollut sinulle tähän asti vain pakollinen paha ja olet valmis panostamaan tietoturvallisuuteen, suosittelen ottamaan käyttöön analytiikkasovelluksen, jossa dataa säilytetään Euroopassa. Esimerkki tällaisesta sovelluksesta on uusiseelantilainen Matomo, jonka palvelimet sijaitsevat Euroopassa. Jos dataa ylläpidetään organisaatiosi palvelimella, palvelu on maksuton. Datan säilyttäminen pilvessä on maksullinen palvelu, joka hinnoitellaan sivuston kävijäliikenteen mukaan, kuitenkin niin, että palvelu kustantaa edullisimmillaan 19 euroa kuussa.
Mikäli sinulle riittää analytiikasta isompi kuva, etkä kaipaa yksilöllistä tietoa kävijöiden profiilista, suosittelen siirtymään evästeettömään analytiikkasovellukseen. Evästeettömässä mittaamisessa hyötynä on se, että saat aidosti kiinni jokaisen sivustovierailun, eikä vierailuja jää mittaamatta evästekyselyjen hylkäämisen tai huomiotta jättämisen takia. Jos olet tottunut rakentamaan vaikkapa uudelleenkohdennuksen yleisöjä Google Ads -mainonnassa, evästeettömyys voi tuntua isolta muutokselta. LM Somecolla olemme testanneet Plausible.io-analytiikkasovellusta ja todenneet sen oikein toimivaksi ratkaisuksi. Mikäli evästeiden tulevaisuus pohdituttaa, voit asentaa evästeettömän sovelluksen jo nyt toisen sovelluksen rinnalle dataa keräämään.
Google Analytics on ensimmäinen, vaan ei viimeinen uhri
Kun lumipallo on lähtenyt vierimään, sitä ei helposti pysäytetä. Ranskan tietosuojaviranomainen CNIL toteaa Google Analytics -päätöstä käsittelevässä tiedotteessaan, että tutkimuksen kohteina ovat myös muut verkkosivustojen työkalut, jotka siirtävät eurooppalaisten internetkäyttäjien dataa Yhdysvaltoihin, ja korjaaviin toimenpiteisiin on tarkoitus ryhtyä lähitulevaisuudessa.
Perimmiltään koko päätöskokonaisuuden takana on turvallisuuspolitiikka ja Euroopan unionin närkästyminen Yhdysvaltain tiedustelulakeihin. Google Analyticsista on tehty ennakkotapaus, jota muut Yhdysvaltoihin henkilötietoja siirtävät sovellukset saavat pian seurata.
Kun samaan soppaan lisätään vielä kolmannen osapuolten evästeiden pyyhkiytyminen kartalta viimeistään ensi vuoden aikana, voidaankin todeta, että digimarkkinoinnissa ja kaiken kaikkiaan digimaailmassa eletään suurten muutosten aikaa!
Heräsikö huoli oman verkkosivuanalytiikan tilasta? Onko sivustosi evästekysely kunnossa ja sivustokävijöillä mahdollisuus kieltäytyä evästeistä? Ota rohkeasti yhteyttä, autamme sinua kaikissa tietoturvaan liittyvissä kysymyksissä ja kehittämistarpeissa!