I slutet av november körde vi på Webperf igenom 698 st webbplatser inom offentlig sektor för att se vilka verktyg för webbanalys som används. Sedan 2015, då Schrems för första gången satte fingret på personuppgifter, till 2018 när GDPR slog igenom, och slutligen sommaren 2020 då Max Schrems för andra gången fick rätt, har det blivit allt svårare att hålla fast vid utomeuropeiska tredjeparter för webbanalys.
I och med Schrems-domarna och GDPR borde svenska myndigheter och offentlig sektor därmed ha anledning att se över sin användning av webbanalysverktyg. Genom en återkommande mätning kan vi följa om det har börjat röra på sig mot att fler använder Matomo/Piwik, andra skandinaviska alternativ, eller om många webbplatser fortfarande är kvar i Google Analytics eller Tag Manager. Dessutom är det intressant att se om webbplatserna slutar använda Google Analytics när de inför skandinaviska alternativ, som Vizzit.
Frågan kring vilket verktyg som används för webbanalys har som sagt blivit åter aktuell efter Schrems II-domen i EU-domstolen den 16:e juli i år. Dessutom informerade den svenska tillsynsmyndigheten Datainspektionen i slutet av november att de inledde tillsyn mot ett antal svenska företag som använder bland annat Google Analytics. Det tycks vara tufft att bli granskad.
→ Datainspektionens frågor till de som använder Google Analytics (Webperf, november 2020)
Vår undersökningsmetod
Vi har inte krånglat till det nämnvärt. Metoden är att läsa in knappt 700 webbplatser inom offentlig sektor och kolla HTML-koden efter textsträngar som avslöjar vilka verktyg de använder. Det är långt ifrån en perfekt metod, men antalet falska positiva bör vara väldigt låg. Vi vill inte peka finger i onödan.
Anledningen till antalet testade är för att en av medförfattarna till denna artikel har bevakat just denna fråga tidigare och vill ha ungefär samma webbplatser som testats tidigare, men testade på nytt. Cirka hälften av dessa är alltså Sveriges 290 kommuner.
Du som klarar av att läsa enklare Python-kod kan granska vårt test på Github. Först ser du exakt vilka webbplatser vi testat och det är i den andra grå rutan vi visar vad vi letar efter i HTML-koden på dessa webbplatser. Inga hemligheter i metod här inte! Du kan köra vår kod på nytt ifall du vill, när du vill.
Vi letar efter följande textsträngar i HTML-koden (som vi gör till små bokstäver, det vill säga gemener):
- matomo
- piwik, vilket den bara anger ifall den inte hittat Matomo först.
- ga.js eller analytics.js - vilket är Google Analytics.
- gtm.js - är Google Tag Manager, vilket den bara anger ifall den inte hittat Google Analytics först.
- www.vizzit.se/vizzittag/ - Vizzit.
Det är inte en perfekt metod och vi har inte manuellt granskat resultatet. De som vi inte hittar något av följande på märks upp som unknown i vår datakälla. Om webbplatsen inte var tillgänglig där den 28:e november så märks den upp med ‘Error’ i datakällan. Datakällan hittar du som Excel-fil i botten på denna skrivelse.
Personuppgifter
Följande listar Datainspektionen som känsliga personuppgifter. Det är värt att komma ihåg med tanke på de webbplatser vi listar nedan:
- etniskt ursprung
- politiska åsikter
- religiös eller filosofisk övertygelse
- medlemskap i en fackförening
- hälsa
- en persons sexualliv eller sexuella läggning
- genetiska uppgifter
- biometriska uppgifter som används för att entydigt identifiera en person.
Även din adress på internet, din IP-adress, räknas som en personuppgift. Dock är den inte känslig på samma sätt som de ovanstående, men den binder samman att du är just du, på din surfpryl (dator, mobil, surfplatta) på olika tjänster på nätet.
Så vilka verktyg används av offentlig sektor?
75 st av dessa 698 webbplatser var antingen nere för räkning under undersökningen eller valde att inte svara på tilltal av annan anledning. Låt oss exkludera dem från undersökningen. Då har vi 623 webbplatser kvar. 137 gick inte att detektera med denna enkla metod. Då har vi 486 webbplatser kvar där vi lyckats identifiera ett verktyg.
På dessa 486 återstående webbplatser hittades 526 webbanalys-verktyg vilket betyder att en del webbplatser har fler än ett verktyg av de vi letade efter. Vi fann följande (i fallande ordning):
- 422 använde Google Analytics eller Google Tag Manager, 80,2 %, alltså 422 av 526.
- 70 kör med Vizzit, 13,3 %
- 34 st använde Matomo eller Piwik (en äldre version av Matomo), alltså 6,5%
Så vilka värnar integritet fullt ut och vilka använder verktyg som Google Analytics eller Google Tag Manager? Google Tag Manager är en hanterare för olika skript på en webbplats och bäddar ofta in Google Analytics. Men du kan också se nedan de kanske mer förvånande användarna av Google Analytics.
Det är förvånansvärt att webbplatser som redan använder Vizzit eller Matomo/Piwik fortfarande har kvar Google Tag Manager eller Google Analytics och ligger i riskzonen för att granskas av Datainspektionen för hur man använder och sprider personuppgifter. Det kan vara värt att tänka på hur man använder externa tjänster för sin webbanalys.
Vilka har Google Analytics eller Google Tag Manager?
Att här lista alla webbplatser som använder Google Analytics blir inte alls översiktligt. För “listan med alla syndare”, ladda ner vår Excel-fil: 2020-11-28 offentlig sektors webbanalysverktyg (30 kb).
Google Tag Manager går i många fall hand i hand med användning av Google Analytics. En tagghanterare är ett mer dynamiskt och modernt sätt att hantera hur olika skript laddas in på webbplatsen, och möjliggör dessutom justering av spårningskoden utan att det blir ett IT-projekt för varje ändring.
Hur står det då till bland Sveriges större kommuner? Vilka myndigheter överraskar med att de använder just utomeuropeiska verktyg som Google Analytics? Låt oss göra några axplock.
Följande har Google Analytics, vilket borde förvåna den som tänker på informationssäkerhet:
- Nationellt forensiskt centrum (NFC), alltså en del av Sveriges polisiära verksamhet, men också polisen.se använder Google som tredjepart. Det är väl det mest förvånande av alla fynd i denna rapport.
- Myndigheten för samhällsskydd och beredskap (MSB), men hur ser det ut med deras webbplats krisinformation.se - ja det visar sig att de har Vizzit men av någon anledning hämtar skript från tredjeparten Twitter som på grund av att de är ett amerikanskt företag kan behöva lämna ut uppgifter ur sina register.
- Bland de största kommunerna finner vi att Göteborgs stad och Malmö stad kör med Google Analytics, samt Stockholms stad med Google Tag Manager.
- Socialstyrelsen har Google Tag Manager medan Transportstyrelsen som uppmärksammades 2017 i en skandal om obehörigas åtkomst till känsliga uppgifter - har Google Analytics på sin webbplats.
- 1177.se, Umo.se och Youmo.se, som alla har information om sexuell läggning eller där användarnas surfbeteende kan avslöja känsliga uppgifter om hälsa, har Google Tag Manager. Dock inte om man loggar in på e-tjänsterna, som tur är.
- Myndigheten för stöd till trossamfund använder Google Analytics, trots att livsåskådning är en särskilt känslig personuppgift.
- Bland regionerna förekommer Google hos Blekinge, Dalarna, Gävleborg, Jönköpings län, Jämtland Härjedalen, Kronoberg, Örebro län, Sörmland, Värmland, Västmanland, Stockholm. 11 av Sveriges 21 regioner använder Google-tjänster.
Det är väl en sorts förmildrande omständighet att så många ändå använder Google Analytics, samtidigt är det inte helt i linje med svensk försiktighetsprincip - om vi nu skulle tillämpa den på invånarnas personuppgifter. Ja väldigt många har valt Googles verktyg för webbanalys, men var det medvetna och genomtänkta val? Hade man några alternativ att välja på? Kände men till alternativen? Det finns visst fog att tro att inte alla känner till alternativen, men de främsta är följande om man bryr sig om GDPR:
- Matomo - då äger du din egen data, bokstavligen!
- Vizzit - ett svenskt aktiebolag som garanterar dina data.
- Andra verktyg och egen Business Intelligence - bringa ordning i din egen data, bra tanke att äga dina egna problem.
Vilka använder Vizzit?
Inom parentes anges de eventuella extra webbanalysverktyg som används. Det tycks som att en ganska stor andel av de som använder Vizzit inte nöjer sig med det, utan använder också Google Analytics eller Google Tag Manager. Bara 20 av följande 70 webbplatser har ingen inblandning av Google.
- Arjeplog (också Google Analytics)
- Arvika
- Bengtsfors (också Google Analytics)
- Bollebygd (också Google Analytics)
- Botkyrka (också Google Tag Manager)
- Bräcke
- Eskilstuna (också Google Analytics)
- Fagersta (också Google Analytics)
- Falköping (också Google Analytics)
- Falun (också Google Analytics)
- Forshaga (också Google Analytics)
- Forte (också Google Analytics)
- Gnesta
- Grums
- Habo (också Google Analytics)
- Hagfors (också Google Analytics)
- Hallsberg (också Google Analytics)
- Halmstad (också Google Analytics)
- Härnösand (också Google Analytics)
- Härryda (också Google Analytics)
- Hässleholm (också Google Analytics)
- Hofors (också Google Analytics)
- Högskolan i Halmstad (också Google Analytics)
- Hudiksvall
- Hylte (också Google Analytics)
- Jönköping (också Google Tag Manager)
- Karlskoga (också Google Analytics)
- Kärnavfallsfonden (också Google Analytics)
- Katrineholm
- Köping (också Google Analytics)
- Krokom (också Google Tag Manager)
- Kungsör (också Google Analytics)
- Lekeberg (också Google Analytics)
- Ludvika
- Lysekil (också Google Analytics)
- Malmö (också Google Analytics)
- Malung-Sälen (också Google Analytics)
- Mjölby
- Mölndal (också Google Analytics)
- Mullsjö (också Google Analytics)
- Nordanstig
- Nynashamn
- Ödeshög (också Google Analytics)
- Örnsköldsvik
- Östersund (också Google Analytics)
- Region Jämtland-Härjedalen (också Google Analytics)
- Sjöbo
- Skara (också Google Analytics)
- Söderhamn (också Google Analytics)
- Sölvesborg (också Google Analytics)
- Strömsund (också Google Analytics)
- Sundbyberg (också Google Analytics)
- Surahammar (också Google Analytics)
- Svalöv (också Google Analytics)
- Svenljunga
- Sveriges Kommuner och Regioner (också Google Analytics)
- Tidaholm
- Tierp
- Tillväxtanalys
- Tjörn
- Tranås (också Google Analytics)
- Uddevalla (också Google Analytics)
- Umeå
- Universitetskanslersämbetet (också Google Tag Manager)
- Upplands Väsby (också Google Analytics)
- Vaxholm
- Växjö (också Google Analytics)
- Ydre (också Google Analytics)
- Ånge
- Älmhult (också Google Analytics)
Vilka har Matomo eller Piwik?
Här förhåller det sig på samma sätt som med Vizzit - 16 av 36 webbplatser väljer att blanda in Google trots att de redan kör det integritetsvänliga Matomo/Piwik.
- Arvika
- DIGG - Myndigheten för digital förvaltning
- Elegnämnden
- Enköping (också Google Analytics)
- Eslöv
- Filipstad
- Forskarskattenämnden
- Höör
- Huddinge (också Google Tag Manager)
- Hylte (också Google Analytics)
- Inspektionen för arbetslöshetsförsäkringen (också Google Tag Manager)
- Kemikalieinspektionen
- Örnsköldsvik
- Orust (också Google Analytics)
- Piteå
- Regeringen (också Google Tag Manager)
- Region Gotland
- Region Halland
- Region Västmanland (också Google Analytics)
- Skatterättsnämnden
- Skatteverket
- SPAR - Statens personadressregister
- Specialpedagogiska skolmyndigheten (också Google Analytics)
- Staffanstorp
- Totalförsvarets forskningsinstitut
- Trelleborg
- Trollhättan (också Google Analytics)
- Trosa (också Google Analytics)
- Upplands-Bro (också Google Analytics)
- Vaggeryd (också Google Analytics)
- Valmyndigheten
- Varberg (också Google Analytics)
- Västervik (också Google Analytics)
- Västra Götalandsregionen
Hur kan man tolka detta resultat?
Att en webbplats använder Matomo, eller det äldre Piwik, är en signal om att man inte släpper sina data om användarnas beteende till en utländsk tredjepart. Dock är det inte en garanti för att denna data inte ändå ligger på en utomeuropeisk molntjänst.
Det vi vet om de som använder Google Analytics eller Google Tag Manager är att möjligheten finns att informationen kan läcka vidare till amerikanska underrättelsetjänster genom bland annat FISA 702 (Foreign Intelligence Surveillance Act) och allt som Edward Snowden avslöjade för många år sedan. Dessutom använder Google data från sina tjänster för profilering av användare och riktad marknadsföring .
Vizzit
Vizzit är en marginell spelare i webbanalysbranschen men de har varit aktiva under ganska lång tid och synts till på olika webbplatser inom offentlig sektor i över 10 år. Så de är att räkna med i denna nisch.
Matomo/Piwik
Matomo är alltså sedan 2018 det nya namnet på Piwik. Ett verktyg som funnits länge och som grundaren av Webperf, Marcus Österberg, själv använt sedan 2011. Verktyget har blivit alltmer populärt bland de som vill ha full kontroll över sin webbanalysdata, bland annat Webperf självt, men också svenska myndigheter som Skatteverket och Regeringskansliet, se listan ovan.
→ Vad är Matomo? (Whitespace)
Mer om testet av verktyg för webbanalys i svensk offentlig sektor
- Excel-fil: 2020-11-28 offentlig sektors webbanalysverktyg (30 kb)
- Jupyter notebook med källkod och resultat - granska vår källkod och resultat
- Känsliga personuppgifter (Datainspektionen)
- Svenska myndigheter måste sluta att läcka data om svenska medborgares surfvanor (Digitalist, 2020)
Artikeln är skriven av:
David Fleischhacker, digital strateg inom offentlig sektor
Marcus Österberg, grundare av Webperf.se