Sök Logga in

Google Analytics olagligt i Frankrike - inte kompatibel med GDPR

Marcus Österberg 2022-02-15 23 minuters läsning GDPR Google Analytics Matomo Webbanalys Fathom Analytics Plausible Analytics

Alla länder inom EU har sina tillämpningar av EU-direktivet GDPR. Därför är det intressant att följa juridisk praxis i andra EU-länder för att förstå hur lagen ska tolkas hemma i Sverige.

Sammanfattat:

  1. Allt fler EU-länders rättsväsenden och myndigheter påtalar att Google Analytics inte är kompatibelt med GDPR.
  2. 32% av testade webbplatser från svensk offentlig sektor hade i februari 2022 Google Analytics eller den i sammanhanget också problematiska molntjänsten Google Tag Manager.
  3. Det finns alternativ till Google Analytics, men om du inte ska drifta nästa verktyg själv kan du inte slarva med att granska leverantören och dess underleverantörer.

Avsnittslänkar:

Tidigare i februari berättade franska dataskyddsmyndigheten CNIL (Commission Nationale de l’Informatique et des Libertés) att de tillsammans med sina europeiska motsvarande organisationer kommit fram till att Google Analytics är olagligt att använda.

”Google Analytics provides statistics on website traffic. After receiving complaints from the NOYB association, the CNIL, in cooperation with its European counterparts, analysed the conditions under which the data collected through this service is transferred to the United States. The CNIL considers that these transfers are illegal and orders a French website manager to comply with the GDPR and, if necessary, to stop using this service under the current conditions.”

Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply (CNIL, 10 februari)

Det har ju gått lite drygt ett år sedan Integritetsskydds­myndigheten (IMY) ställde ett gäng tuffa frågor till de som använder Google Analytics och vi väntar fortfarande på ett besked om hur vår svenska tillsynsmyndighet beslutar i ärendet. Nyligen framkom från en tysk domstol att man inte heller utan vidare kan använda Google Fonts i EU. En molntjänst från Google där man som ansvarig för en webbplats överlåter till Google att skicka teckensnitt till ens egna besökare. Och det är inte bara i Tyskland och Frankrike som Googles molntjänster dömts ut av dataskyddsmyndigheter, sedan tidigare även Österrike.

”Den österrikiska dataskyddsmyndigheten har beslutat att användande av Google Analytics bryter mot GDPR. Och vi kan räkna med liknande beslut av svenska Integritetsskyddsmyndigheten inom kort.”

Schrems II: Myndighetsbeslut pekar på att Google Analytics är olagligt inom EU (Ehandelstrender, 10:e februari)

Ovanstående kommer från podden Ehandelstrender och det börjar nog bli allt mer tydligt även för de som har ett kommersiellt intresse med sin webbplats att de behöver anpassa sig till lagstiftningen, samt att det finns konsekvenser om man inte gör det.

Vilka i svensk offentlig sektor har Google Analytics i februari 2022?

Metoden för nedan test är att ladda ner startsidan på domänen och i källkoden leta efter vissa textsträngar, exempelvis om 'google-analytics.com/ga.js' förekommer. Metoden har sina brister, bland annat kommer den att falskeligen anklaga webbplatser som har kvar delar av spårningskoden men kanske kommenterat bort det. Ha det i bakhuvudet när du kollar listan. För att vara säker behöver man manuellt kontrollera webbplatsens kod.

Med tanke på att Sveriges Radio granskade Google Analytics i offentlig sektor för cirka ett år sedan kan det inte komma som en överraskning för någon inom digital kommunikation bland myndigheter att det är på tiden att byta till något annat verktyg för webbanalys. Dock är det fortfarande cirka en tredjedel av de granskade webbplatserna som har Google Analytics.

I nedan lista visas de tvåhundra webbplatser som har antingen Google Analytics (GA) eller Google Tag Manager (GTM).

  1. alfrednobelsp.se
  2. antagning.se
  3. arbetsdomstolen.se
  4. arboga.se
  5. avropa.se
  6. barnombudsmannen.se
  7. bioinnovation.se
  8. bizmaker.se
  9. bluesciencepark.se
  10. bastad.se
  11. capiostgoran.se
  12. dalarnasciencepark.se
  13. dalsed.se
  14. danderyd.se
  15. ds.se
  16. delmos.se
  17. dinsakerhet.se
  18. dorotea.se
  19. drivesweden.net
  20. ehalsomyndigheten.se
  21. esv.se
  22. enterpriseeurope.se
  23. etikprovningsmyndigheten.se
  24. eufonder.se
  25. kommun.falkenberg.se
  26. finanspolitiskaradet.se
  27. ap4.se
  28. fba.se
  29. formas.se
  30. forte.se
  31. fyrbodal.se
  32. ap1.se
  33. fhs.se
  34. forsvarsmakten.se
  35. gagnef.se
  36. geblod.nu
  37. genteknik.se
  38. giftinformation.se
  39. gu.se
  40. hagfors.se
  41. hallakonsument.se
  42. haninge.se
  43. harpsund.se
  44. hjo.se
  45. hultsfred.se
  46. hassleholm.se
  47. hogsby.se
  48. hb.se
  49. hig.se - deras referens till Google Analytics är inaktiv
  50. hh.se
  51. his.se
  52. hkr.se
  53. han.se
  54. informationssakerhet.se
  55. iotsverige.se
  56. interreg-oks.eu
  57. johannebergsciencepark.com
  58. jordbruksverket.se
  59. jamstall.nu
  60. ju.se
  61. kalix.se
  62. kalmar.se
  63. kammarkollegiet.se
  64. karlsborg.se
  65. karlstad.se
  66. ki.se
  67. karolinskainnovations.ki.se
  68. klimatsynk.se
  69. kommerskollegium.se
  70. kolada.se
  71. konkurrensverket.se
  72. konstnarsnamnden.se
  73. kringla.nu
  74. krinova.se
  75. kungsor.se
  76. karnavfallsfonden.se
  77. lagrummet.se
  78. laholm.se
  79. leksand.se
  80. lessebo.se
  81. lindholmen.se
  82. linkoping.se
  83. lnu.se
  84. lomma.se
  85. luleasciencepark.se
  86. ltu.se
  87. lu.se
  88. lycksele.se
  89. lansstyrelsen.se
  90. malmo.se
  91. malung-salen.se
  92. markaryd.se
  93. medeon.se
  94. mediconvillage.se
  95. medtech4health.se
  96. mellerud.se
  97. metalliskamaterial.se
  98. miun.se
  99. mjardevi.se
  100. mora.se
  101. mynak.se
  102. mfof.se
  103. mprt.se
  104. msb.se
  105. myndighetensst.se
  106. mtm.se
  107. myh.se
  108. mdh.se
  109. netport.se
  110. norberg.se
  111. nosp.se
  112. norrtalje.se
  113. norsjo.se
  114. nykoping.se
  115. nfh.se
  116. notkarnandrivein.se
  117. pajala.se
  118. piteasciencepark.se
  119. polar.se
  120. sip-piia.se
  121. ragunda.se
  122. resource-sip.se
  123. regionblekinge.se
  124. regiondalarna.se
  125. norrbotten.se
  126. raa.se
  127. rymdstyrelsen.se
  128. sankterik.se
  129. sahlgrenska.gu.se
  130. sahlgrenskasciencepark.se
  131. salem.se
  132. sametinget.se
  133. sciencepark.se
  134. scienceparkboras.se
  135. scienceparkgotland.se
  136. simrishamn.se
  137. siografen.se
  138. ap7.se
  139. ap6.se
  140. skelleftea.se
  141. skellefteasciencecity.se
  142. skolfi.se
  143. skolverket.se
  144. smartbuilt.se
  145. smartareelektroniksystem.se
  146. shh.se
  147. sjukhus.sophiahemmet.se
  148. spsm.se
  149. sbu.se
  150. sfv.se
  151. havkom.se
  152. shm.se
  153. statenskonstrad.se
  154. sva.se
  155. storuman.se
  156. strangnas.se
  157. studera.nu
  158. suntarbetsliv.se
  159. svalov.se
  160. si.se
  161. sieps.se
  162. swedenabroad.se
  163. sgu.se
  164. smhi.se
  165. sverigesmiljomal.se
  166. swedishcleantech.se
  167. swelife.se
  168. saffle.se
  169. sodertaljesjukhus.se
  170. solvesborg.se
  171. tlv.se
  172. tibro.se
  173. tillvaxtverket.se
  174. tingsryd.se
  175. tiohundra.se
  176. trafa.se
  177. tranemo.se
  178. ulricehamn.se
  179. uminovainnovation.se
  180. uhr.se
  181. uka.se
  182. universityadmissions.se
  183. upphandlingsmyndigheten.se
  184. uu.se
  185. uppvidinge.se
  186. ur.se
  187. valdemarsvik.se
  188. vara.se
  189. vellinge.se
  190. vr.se
  191. viablecities.se
  192. videum.se
  193. vilhelmina.se
  194. vargarda.se
  195. valjattsluta.se
  196. vasterassciencepark.se
  197. ystad.se
  198. are.se
  199. asele.se
  200. alvsbyn.se
  201. ostragoinge.se
  202. overkalix.se
  203. overklagandenamnden.se
  204. onh.se
  205. overtornea.se

Ladda ner Excel-fil med alla webbplatsers resultat 3:e februari (35 Kb)

Bonus: Vad mer hittar vi? Facebook? Doubleclick? Jquery?

Du som kollar in resultatet i Excel-filen ser också att Örebro kommun och Flen har Facebook inbäddat på sina webbplatser. Att Norsjö, Skolforskningsinstitutet och Tredje AP-fonden använder Googles marknadsföringstjänst Doubleclick.

Jquery.com

30 aktörer använder den åtminstone dubbelt upp hackade Jquery.com, bland annat; Bollebygd, Borlänge, Boverket, Bromölla, Haninge, IVO, Kalix, Karlshamn, Kungsbacka, Lycksele, Skövde, Pajala och många fler. Det är smartare att lägga dessa filer på sin egen server.

Amerikanska Font Awesome

33 st av drygt 600 använder molntjänsten Font Awesome, ett amerikanskt alternativ till Google Fonts, som inte direkt är bättre. Följande använder Font Awesome:

  • Alingsås
  • Boxholm
  • Burlöv
  • Finspång
  • Formas
  • Hallstahammar
  • Haparanda
  • Hjo
  • Högskolans avskiljandenämnd
  • Innovatum
  • Jordbruksverket
  • Karlsborg
  • Karlskoga
  • Karlstad
  • Laxå
  • Lidköping
  • Linköping
  • Lomma
  • Mora
  • Nötkarnan drivein (kampanjwebbplats för covidvaccination i Göteborg)
  • Perstorp
  • Region Gotland
  • Skinnskatteberg
  • Sotenäs
  • Svenljunga
  • Tibro
  • Vadstena
  • Vaggeryd
  • Viable cities
  • Välj att sluta
  • Ydre
  • Ängelholm
  • Överklagande­nämnden för högskolan

Vad borde man göra som Google Analytics-användare?

Man borde överväga alternativen, för det finns en del att välja på. De alternativ som finns att skifta till som varit på tal sedan Schrems 2-domen sommaren 2020 är bland annat Vizzit, Fathom (som tycktes använda Amazon AWS för ett år sedan), Plausible och Matomo.

Matomo är alternativet jag själv har mest erfarenhet då jag använt det på mitt regionjobb sedan mer än 10 år. Matomo är ett bra verktyg och man kan välja att hyra det som en molntjänst eller drifta det själv. Man kan ta kontroll över var insamlad data och personuppgifter tar vägen.

Men det är ändå inte helt enkelt att byta. Om man gör sin hemläxa ordentligt kan man upptäcka att även de leverantörer som högtidligt säger att de inte alls exponerar sina kunder för GDPR-risker ändå tycks göra just det.

Jag kommer inte här på nytt ha några synpunkter på ett visst danskt företag som argumenterar tillbaka genom juridiska hot. Principen med första exemplet som följer här nedan har vissa likheter med det här onämnbara bolaget. Poängen jag vill få fram är att man inte ska nöja sig med att det står ”GDPR-complaint” någonstans på en leverantörs webbplats. Det är man själv som i slutändan ändå är ansvarig så man måste gräva mycket djupare än så.

Leverantörer som inte är baserade i EU

När man gör sin hemläxa kring den eller de leverantörer av molntjänst eller mjukvara behöver man förstå den lösningens eventuella komplikationer. En given fråga att börja med är vilka som är involverade i lösningen. Ifall det är en molntjänst av ett företag i EU och de i sin tur inte har några underleverantörer baserade utanför EU är det lite enklare. I andra änden av skalan av komplexitet hittar vi att det finns en leverantör som träffas av tredjelands lagstiftning. Här nämns ofta USA som exempel, både på grund av att de har framgångsrika IT-företag som redan levererar tjänster till oss i EU men också för att de har lagstiftning som krockar med de rättigheter EU-medborgare har kring integritet.

Även om det nu är en mjukvara man tänkt drifta själv på sina egna servrar, som Fathom Lite och en intern Matomo, tillkommer problematiken ifall man vill ha support av någon utomstående. Var befinner sig dessa utomstående och vilka regler måste de leva upp till? Det behöver man ha koll på!
Här har finns det förstås specialiserade företag inom EU att vända sig till när det gäller de etablerade verktygen. För support med intern drift av Matomo på den svenska marknaden finns exempelvis Digitalist och Whitespace (där jag jobbar på deltid). Det finns säkert konsulter med erfarenheter av de andra verktygen också.

Länder med ett adekvat dataskydd - enligt EU-kommissionen

Både Fathom och Matomo är exempel på verktyg där du kan välja att hyra lösningen som en molntjänst av de som skapar verktyget. Men ingen av dessa leverantörer är baserade i EU.

Fathom är ett kanadensiskt företag och Kanada är ett av länderna som fått en Ok-stämpel av EU-kommissionen, att det i Kanada finns ett adekvat dataskydd. Ett så kallat Adequacy decision, vilket även gället Nya Zeeland (se om Matomo-molnet från Innocraft), Sydkorea, Israel, Japan och några till.

Så, om nu leverantören av support- eller molntjänsten finns antingen i EU eller ett av länderna som har ett sånt här beslut, då är man en bit på vägen. Men det återstår fortfarande att hålla koll på vad lösningen faktiskt innebär, var insamlade data tar vägen och om det finns underleverantörer. Det kan bli en del att utreda bara det!

Hur djupt ska man gräva? Kan man lita på det leverantörens säljare påstår? Hur mycket egen kompetens måste man ha? Jag själv har efter Schrems 2-domen sommaren 2020 ställt frågan till diverse håll på vilket sätt man är exponerad för domen. Ganska ofta har jag fått höra att "vi är glada att kunna berätta att det inte alls är ett problem med vår lösning", för att strax senare se att samma leverantör i sin tekniska dokumentation deklararerar att de har en eller flera underleverantörer baserade i länder utan ett adequacy decision och med välkända GDPR-problem. Exempelvis USA-baserade företag. "Jo, men vi har drift i deras EU-zon, huvudsakligen i Frankrike, Italien och Tyskland". Ok. Är det här jag som presumtiv kund måste ta ställning till om det är en överföring av personuppgift till tredjeland per automatik eftersom den här amerikanska driftleverantören åtminstone på något sätt har tillgång till data?

Det här är bevisligen inte en enkel bedömning. En pikant detalj är ju att EU självt misslyckats två gånger i denna bedömning när man upprättat avtal med USA, vilket ledde till bakläxa i Schrems 1- och senare Schrems 2-domen. Du som tycker problematisering kring detta snarare är intressant än en plåga har mycket spännande läsning på Fia Ewalds blogg.

I grunden handlar de här valen man ska göra om förtroende. Har man anledning att lita på de leverantörer man beaktar? Alltså huruvida de kan det här området så bra och på ett bra sätt kan redogöra varför det är oproblematiskt att välja deras lösning?
Ibland kan man uppleva att man får tvetydiga budskap och behöver göra mer efterforskningar. Exempelvis när jag gjorde research inför den här bloggposten stötte jag på ett meddelande på Twitter som grumlade till bilden om Fathom. Deras medgrundare jublade på Twitter över att de fått kreditering av amerikanska Amazon AWS efter en överbelastningsattack.

”Woohoo! AWS refunded us ~$4,000 from the DDoS attack we got in November.”

– Jack Ellis, medgrundare av Fathom

Men på deras webbplats finner man följande information:

”… our Canadian company has GDPR adequacy ruling. Plus, we're GDPR, CCPA, ePrivacy, PECR (and more) compliant.”

Hur komplex lösning orkar du utreda?

Nu har jag haft direktkontakt med Jack Ellis (läs vår dialog nedan) från Fathom som gett mig en ingående beskrivning av hur deras dataflöden ser ut för det som berör oss i EU. Det Fathom gör låter bra i mina öron, de kan ganska snabbt deklarera vad det innebär att hyra deras molntjänst!
Och det är väl egentligen budskapet jag vill hamra in hos dig som står inför att byta till ett bättre verktyg än exempelvis Google Analytics – du måste göra en ordentlig undersökning, ställa svåra frågor och skaffa dig en bild av om respektive leverantör verkar veta vad de pratar om! Och nej, det är inte enkelt, och det kräver att man har viss kompetens för att ens formulera frågorna. Det handlar både om teknik men också tillämpad juridik.

Ibland är det väldigt svåra grejer att ta ställning till. Sånt man själv inte enkelt kan finna kompetens kring. Saker som förändras över tid. Ett sådant exempel jag själv har svårt att ha en kompetent uppfattning om beskriver Fathom i sin EU-isoleringsdokumentation:

If a visitor is inside the EU, our CDN sends their pageview to our European servers (owned by a German company, Hetzner) and anonymize their data by hashing and salting it. The secret key used to anonymize this data is stored on the EU servers and never leaves the EU. By doing this, the IP Address (personal data under GDPR) is stripped from the request inside of the EU before it hits our US-owned servers. The anonymous data is then stored on our main US servers for fast and easy retrieval on our customer dashboards, but there’s zero Personal Data associated with any of it.”

EU isolation (Fathom Analytics)

Bra med en EU-molndrift av ett tyskt bolag i Tyskland. Då kan vi bocka av den frågan åtminstone. Men hur ska man ställa sig till anonymisering, hashning och saltning? Anonymisering går vi in på lite senare i denna skrivelse. Men hashfunktioner är något man kan prata med en utvecklare eller IT-person om. Men lite slarvigt kan man säga att det är ett sätt att förvanska och förändra något. Ofta i syfte att gömma undan den ursprungliga informationen i en ny informationsmängd. En sådan tillämpning är MD5 som du kan läsa mer om ifall du är nyfiken. Poängen är att denna förvanskning av information måste vara "envägs", att om någon kommer över hitte-på-värdet inte enkelt kunna avkryptera informationen. Du kan testa själv på nättjänsten md5hashgenerator.com om du fyller i mitt förnamn, Marcus, med stor inledande bokstav och genererar fram en MD5-hash kommer du få 'a4e6a5ed8e8fbfe85b99eb74e29b04af' som svar.

Grejen med envägs-snacket är att om du kommer över textsnutten 'a4e6a5ed8e8fbfe85b99eb74e29b04af' är det jobbigt att avkryptera det, men du kan väldigt enkelt verifiera om du får samma resultat om du gör MD5 på värdet 'Marcus'. Det är ett sidospår, men det är anledningen till varför du ska ha unika lösenord. Ifall en läckt lösenordsdatabas innehåller '5f57e5d49d71d239e54347eb2da0614c' kan samma MD5-hashade lösenord redan ha upptäckts från en annan läcka och då vet man att lösenordet i klartext är 'sommar2022', vilket mer än en svensk lär ha som lösenord just nu.

"Saltning" är en extra åtgärd man lägger ovanpå för att göra det än svårare att räkna ut vad den ursprungliga hashningen var. "En saltning kan vara av olika kvalitet!" kanske en utvecklare i din närhet utbrister. Ja, så är det. Visst är det bra med alla dessa åtgärder och försäkran en leverantör kan ge. Men inte är det enkelt att helt förstå alla delar som ingår i en avancerad teknisk lösning.

Är kryptering något vi kan lita på?

Dataskyddsombudet i Region Dalarna reflekterar över de praktiska svårigheterna med att se kryptering och pseudonymisering som kompletterande skyddsåtgärder

Jag tycker att Carl Gudmundsson, dataskyddsombud för Region Dalarna, sa det bra på förra årets Dagar om lagar-konferens. Han satte fingret på svårigheten att acceptera lösningar som innehåller kryptering som svar på utmaningar kring sekretess.

”Krypteringsalgoritmen ska anses vara skyddad mot kryptoanalys som utförs av de offentliga myndigheterna i det mottagande landet.

Vi ska alltså kunna garantera att NSA, genom kryptoanalys, inte ska kunna dekryptera vår information.

[…]

Vi ska då garantera att NSA inte kommer att kunna dekryptera dom här uppgifter de närmsta 70 åren. För underrättelsemyndigheter samlar in uppgifter idag i hopp om att de i framtiden ska kunna komma åt uppgifterna och dekryptera dem.”

– Carl Gudmundsson, DSO hos Region Dalarna (Dagar om lagar 2021)

För hälso- och sjukvårds verksamhet som gäller under offentlighets- och sekretesslagen (OSL) kan man kolla i 25:1.

”För uppgift i en allmän handling gäller sekretessen i högst sjuttio år.”

Offentlighets- och sekretesslag (2009:400) (Svensk författningssamling)

En kryptering ska här bedömas hålla i 70 år för att vara bra nog och att krypteringsalgoritmen genomförts på ett felfritt sätt. Den tidshorisonten gäller förstås inte alla, men vem vågar ta gift på vad som är möjligt framåt, med någon tidshorisont?

Krypton har knäckts i århundraden och snart har vi kvantmaskiner

Tittar vi 70 år bakåt ser vi att man teoretiserade om science fiction-saker som vi idag anser urgammalt och utdaterat. Årtionden dessförinnan hade man med Enigma-maskinen knäckt dåtidens krypto. Om man tror det minsta på den allt kraftigare beräkningskapaciteten vi får över tid (Moores lag, att vi dubblar antalet transistorer på ett chip var 24:e månad), om man någon gång tänkt sig att utvecklingen är exponentiell, tror på kvantmaskiner inom två generationer, ja, då finns ingen anledning att lita på kryptering. Kanske inte ens om man faktiskt förstår krypto. Vi som inte förstår krypto kan ju ändå inte bedöma rimligheten.

Och ibland tänker man nog inte heller att man handskas med särskilt känsliga uppgifter. Men om man nu tar frågan på faktiskt allvar, inventerar och utreder ordentligt, så kanske man upptäcker saker som i kombination med annan information är känsligt.

Mitt ständiga exempel är mottagningen Gayhälsan på ett av sjukhusen i Göteborg. Om man där har en tredjepart som tar del av besöksmönster på den sidan och användarnas IP-adresser kommer den aktören att kunna se mönster. Dessa mönster göder en hel annonsindustri. I den industrin är det guld värt att veta allt möjligt om människor. Den industrin har en gren som jobbar med att avanonymisera data de kommer över.

Utöver den industrin kan respektive företags nationella underrättelsemyndigheter via dem samla in de här uppgifterna.

Att som webbplatsansvarig bistå en utomstående att få reda på att en viss IP-adress används av en man som har sex med män är röjande av en väldigt känslig personuppgift. Och med data från andra tjänster denna IP-adress besökt kan den nyfikne minska sin osäkerhet. Information om en persons sexuella läggning kan vara ett påtryckningsmedel mot en person som valt av en eller annan anledning att inte gå ut öppet med sin läggning.

Men anonymiseringen då?

Så hur bra är den omtalade anonymiseringen vi ibland läser om? Många skyndade sig förra året, när de var i Sveriges Radios blickfång, att berätta att de minsann instruerade Google att anonymisera IP-adresserna som samlas in genom Google Analytics. Andra att de råkat skriva fel, men nu minsann kunde vi lita på att de talade om för Google att i Analytics-molntjänsten skulle alla IP-adresser anonymiseras.

Det första problemet är hur man som kund kan säkerställa att anonymiseringen över huvud taget utförs. En annan fråga är om information redan delats vidare innan den anonymiserats.

Om Google skulle tvingas till att lämna över IP-adresser till myndigheterna innan de anonymiseras är det inte troligt att vi skulle få reda på det, på grund av de tystnadskrav som ställs på USA-baserade företag.

Och även om det inte görs på det sättet har NSA-avslöjandet Snowden gjorde för snart 10 år sedan poängterat att NSA ibland tankat av informationen genom att infiltrera datacenter för Google och Yahoo jorden runt.

NSA infiltrates links to Yahoo, Google data centers worldwide, Snowden documents say (The Washington Post)

Fungerar anonymisering ens?

Det finns massor med problem med antagandet att anonymisering ens går att uppnå. I mitt regionjobb pratas det allt mer om syntetisering av data, alltså att man skapar fejkade data som liknar de riktiga, när data ska spridas eller vidareanvändas på något sätt. Syntetiska data är enbart relevant om man själv råder över denna data och av någon anledning vill dela med sig. Så jämförelsen med att ha tredjeparter som driftar ens webbanalys haltar betänkligt.

Det finns så många frågetecken kring anonymisering och dess besläktade pseudonymisering.

Claudia Diaz: The challenge of being anonymous on the Internet (Youtube)

Och varför ens göra sitt arbete så komplicerat? Varför kämpa med detta när det finns alternativ utan denna problematik? Åtminstone för webbanalys finns det ju bra lösningar att välja på.

Nej, du som läser märker nog av undertonen att åtminstone jag som skriver tycker att det här är onödigt krångligt och inte är särskilt motiverad att ens försöka reda ut vad man får lov att göra.

Varför inte med god marginal avsluta sin vånda med GDPR om man nu ändå ska byta verktyg? Jag personligen hade inte hyrt webbanalys som en molntjänst via en leverantör där jag inte till fullo förstod ingående delar eller att jag inte tyckte mig ha god nog insyn. Men andra kan säkert komma fram till en annan slutsats.

Och Matomo-molnet via Nya Zeeländska Innocraft då?

Faktum är att beroende på vilken leverantör man väljer är inte heller Matomo helt självklart. Det enklaste valet är kanske den här isolationistiska vägen internet allt mer går mot, att man väljer så lokala leverantörer som möjligt. Eller rent utav sköter sin drift själv.

Jag har noterat att några av de som på senare år slutat använda Google Analytics istället valt Matomo Cloud. Ja, det framgår en hel del säljsnack om att de är ett företag, Innocraft alltså, i ett land som bedöms vara ok utifrån tredjeland och GDPR. Och jag vill inte sprida FUD, men, om man läser på lite mer om Matomo-molnets Data Processing Agreement nämns där följande:

”We host our Service with an outsourced cloud infrastructure provider compliant with a number of physical security and information security standards which are detailed at https://aws.amazon.com/security/. Additionally, we maintain contractual relationships with vendors in order to provide the Service in accordance with our DPA. We rely on contractual agreements, privacy policies, and vendor compliance programmes in order to protect data processed or stored by these vendors.”

Att Innocraft för sitt Matomo-moln har Amazon AWS som driftpartner, visserligen i Europa, gör det återigen till ett svårt val. Amazon lyder under USA:s lagstiftning och det är samma problematik som EU-domstolen satte ner foten kring sommaren 2020 i Schrems 2-målet.

Du som överväger Matomo

Sitevision + Matomo = sant

Om en organisation finns på ovanstående lista och har valt Sitevision som sitt CMS är det värt att veta att Sitevision lanserade ett eget kundmoln med Matomo i maj 2021. Då är det en väg att backa ut ur Google Analytics.

Och kolla gärna in de webbinarier jag deltagit i på min bisyssla hos Matomo-konsulten Whitespace.

Kom igång med Matomo

Det senaste året har Matomo i min bubbla exploderat som ett populärt alternativ till Google Analytics. I just det här webbinariet visar jag själv och webbanalytikern Niklas Ternstedt hur man kommer igång med Matomo som webbanalysverktyg.

Webbinarium: Kom igång med Matomo (Whitespace)

Maxa nyttan av Matomo

Ett webbinarie med fokus på de frågor som brukar dyka upp i större organisationer där man nyligen har kommit igång med Matomo. Jag och min bisyssle-kollega Johan Westin ger tips kring förvaltning och anpassning av Matomo. Även liten intro till hur man kan komma igång med mer verksamhetsnära webbanalys.

Webbinarium: Maxa nyttan av Matomo (Whitespace)

Mer om Google, webbanalys och molntjänster

2022-02-17 redigering av bloggposten:
Se första versionen av skrivelsen, innan justering angående Fathom

Du som är nyfiken på de tekniska detaljerna kring Fathoms lösning kan kolla in klargörandet jag fick från dem, och vår dialog, nedan:

Hey Marcus,

Someone sent your article to us and they were confused by it. We had to clarify things privately with them, and I thought I should contact you to clear things up. I do appreciate all the work you're doing in the privacy space, and I'll have to send the article to our privacy officer too.

Fathom uses EU-owned infrastructure to process EU visitor data. And we don't use encryption for the data, we use hashing, and the key is stored on EU infrastructure. Not even GitHub has access to it. No US servers have access to our EU infrastructure, only EU & Canadian engineers.

AWS is absolutely NOT a subcontractor for EU personal data. The EDPB insists that providers secure data before it hits US infrastructure, so that it is not subject to US surveillance. We do this by stripping the IP address & user agent. We already have a privacy-first hashing mechanism on our EU servers, but then we add a SHA256 salt key to the data before hashing. The NSA would absolutely not "decrypt" this data, they would have to brute force a SHA256 hash. Brute forcing a 256 bit hash would cost 10^44 times the Gross World Product (GWP). 2019 GWP is US$88.08 trillion ($88,080,000,000,000), so there is no scenario where the NSA would be able to brute force a single hash, let alone at mass scale.

In addition to that, when this hash comes into our US infrastructure, it undergoes further hashing. Before we had our EU cloud infrastructure, we also had a privacy-first method that we invented. So this hash undergoes further anonymization before it's stored, where we utilize a daily cycling hash key.

I hope this clears things up. We spent many months working on this solution with our privacy officer and EU lawyers. We've not seen this being done before, and we're truly setting a new precedent by doing so. We hope to write more about these concepts down the road, so that others can utilize things such as EU CDNs and start stripping personal data from requests *before* they touch US cloud infrastructure.

Let me know if you have any questions :)

Jack

Marcus:

Hi Jack,

Thanks for reaching out and for your clarifications! Are you ok with me publishing your message in my blog post? Or perhaps would like a more brief statement (after my planned update of the blog post)?

I’ll re-read my blog post later tonight and I think I will adjust a few things knowing what I know now. The point I try to make in the blog post still holds up, that a prospective customer need to get involved in data protection aspects at their supplier, but some parts of the text could be more nuanced. For sure.

I’ll ping you on a direct message when I’ve updated the blogpost to give you a chance to give me some further clarification or like me to publish your countering view on something in my text.

Jack:

"The point I try to make in the blog post still holds up, that a prospective customer need to get involved in data protection aspects at their supplier"

Completely agree, and I love that you're pushing that. And absolutely you can publish it. My goal is to make it clear that we do not use encryption, we use one-way hashing. And that to brute force a single hash, it would cost $88 trillion. And that the salt key we use is extensive, cycled at intervals, EU-only (not accessible by NSA) and also a SHA256 key itself :) So we create a new SHA256 with some data, and an EU-only SHA256 key!

Relaterat innehåll