Sök Logga in

Google Analytics hos kommunerna – ett år efter Schrems 2-domen

Marcus Österberg 2021-08-30 4 minuters läsning GDPR Google Analytics Webbanalys

Schrems 2-domen i EU-domstolen i juli 2020 gav vägledning om att vi i EU inte kan använda molntjänster från företag som lyder under amerikansk lagstiftning eller har beroenden till sådana företag. Nu har det gått ett år. Så hur mycket har hänt?

En tydlig sak som har hänt var att mainstream-mediet Sveriges Radio i vintras påpekade problemet med just Google Analytics. Det är ett halvår sedan – så hur ser det ut nu? Låt oss ta en titt.

Sammanfattning:

  1. 78 av 290 kommuner har Google Analytics eller Google Tag Manager i augusti 2021. Det är mindre än hälften jämfört med slutet av 2020.
  2. 2015 var det 19% av kommunerna som inte använde Google Analytics. November 2020 hade 80% av offentlig sektor fortfarande Google Analytics.
  3. De som fortsatt använda Google Analytics via serversidan syns inte i den här typen av tester.

Metod

Verktyget som använts för denna bloggpost är PageXray och har körts med EU-inställningar. Du kan testa verktyget själv på nedan länk:

PageXray (FouAnalytics)

Det som rapporteras är om webbplatsen har antingen Google Analytics eller Google Tag Manager (GTM). GTM är ett vanligt sätt att hämta in just Google Analytics.

En fördel med denna metod till skillnad från de “GDPR-mejl” som gick ut till alla kommuner 23:e juli om vilka leverantörer de har är att här är vi inte beroende av vad de väljer att svara. Många av mejlsvaren berättar ingenting om att de använder Google Analytics på sin webbplats, eller andra tredjeparter heller för den delen. Vid mejlsvar där det visas att de visst har Google Analytics är svaren lite allt möjligt. Ibland hävdas det att de tog bort Google Analytics för länge sedan men kan ha glömt någon kod någonstans, ibland att det inte är något problem eftersom IP-adresser anonymiseras. Det där med IP-anonymisering är en myt, åtminstone när man som användare på en webbplats har direktkontakt med tredjeparten. För att tredjeparten ska kunna bidra måste de ha våra kompletta IP-adresser. Sen om de i efterhand "anonymiserar" våra IP-adresser är en annan fråga.

Använda Google Analytics först efter samtycke?

Så som det här testet är utformat är det möjligt att både anges som användare av Google Analytics och ändå inte automatiskt skicka uppgifter utanför EU. Det beror på att om webbplatsen väntar med att släppa besökarnas uppgifter till Google.

Sen om det går att hävda samtycke som laglig grund för detta är en juridisk fråga som övergår min kompetens. Dock tvivlar jag om samtyckesgrunden att samtycket ska vara informerat. Går det att informera på ett tillfredsställande sätt vad det innebär att potentiellt få sina personuppgifter delade med USA:s övervakningsmyndigheter?

Google Tag Manager Serverside syns inte

Det kan mycket väl finnas kommuner som valt att ta sin användning av Google Analytics till baksidan av sin webbplats. Det finns nämligen en produkt för detta och i de fallen syns inte användningen av Google Analytics eftersom anropet inte görs i användarens webbläsare.

Att ta sin webbanalys till serversidan må vara en lösning på kaklagen, men det är fortfarande en fråga om GDPR. Dock lite svårare att bli avslöjad.

Kommunernas resultat

287 av 290 st kommuner kunde utvärderas med PageXray. Det rör på sig när det gäller vilka som använder Google Analytics och nedan tester är inte dagsaktuella, dock är alla där det inte nämns annat genomförda under augusti månad.

De som inte riktigt klaffar är följande:

  • Tingsryd – har aldrig gått att testa sedan införandet, men har 30:e augusti Google Tag Manager.
  • Lekeberg - har endast Browsealoud som tredjepart på sin startsida.
  • Valdemarsvik - har 30:e augusti Google Tag Manager.
  • Borgholm har inte kunnat testas sedan slutet av april och har inte Google Analytics eller GTM 30:e augusti, dock Typekit och Vizzit som tredjeparter.

Följande har Google Analytics eller Google Tag Manager enligt PageXray vid vårt senaste test innan publicering:

  1. Arvidsjaur
  2. Askersund
  3. Boden
  4. Botkyrka
  5. Burlöv
  6. Båstad
  7. Dals-ed
  8. Degerfors
  9. Dorotea
  10. Eksjö
  11. Falkenberg
  12. Falun
  13. Götene
  14. Hagfors
  15. Hammarö
  16. Haninge
  17. Hjo
  18. Huddinge
  19. Hultsfred
  20. Härjedalen
  21. Hässleholm
  22. Högsby
  23. Höör
  24. Jönköping
  25. Kalix
  26. Kalmar
  27. Karlskrona
  28. Karlstad
  29. Kristinehamn
  30. Laholm
  31. Leksand
  32. Lessebo
  33. Linköping
  34. Lomma
  35. Lycksele
  36. Malmö
  37. Malå
  38. Markaryd
  39. Mellerud
  40. Mora
  41. Mölndal
  42. Norberg
  43. Norrtälje
  44. Norsjö
  45. Nyköping
  46. Nässjö
  47. Oskarshamn
  48. Pajala
  49. Ragunda
  50. Robertsfors – anges av PageXray som att inga länder utanför EU blandas in, men vårt test indikerar att de har Google Tag Manager. Ingen anmärkning alltså.
  51. Skara
  52. Skellefteå
  53. Skurup
  54. Sollentuna
  55. Sorsele
  56. Storuman
  57. Strängnäs
  58. Svalöv
  59. Sölvesborg
  60. Tibro
  61. Tranemo
  62. Ulricehamn – Google Analytics, men inte automatisk delning av användarens IP-adress. Ingen anmärkning alltså.
  63. Uppsala
  64. Uppvidinge
  65. Vara
  66. Vellinge
  67. Vilhelmina
  68. Vårgårda
  69. Ystad
  70. Åre
  71. Årjäng
  72. Åsele
  73. Älvsbyn
  74. Örkelljunga
  75. Östra Göinge
  76. Övertorneå

Läs mer om GDPR, Google Analytics och personuppgifter

Relaterat innehåll

Kommuner

Kommuner

Alla Sveriges 289 kommuner, där Visby är liktydigt med Region Gotland som också redovisas som en region.

Aktuellt genomsnitt för totalbetyg: 4.0 av 5.

Se aktuell lista med kommuner