Webperf
På nytt uppmärksammar “vanliga medier” problemet vi i Sverige har med att värna våra användares personliga integritet på webben. Denna gång är det Sveriges Radio. Men minns någon att Dagens Nyheter gjorde något liknande för sex år sedan? Det gör jag!
Av Marcus Österberg
Jag tycker det är kul att Sveriges Radio uppmärksammar bekymret med att offentlig sektor använder Google Analytics. Jag pratade med en av journalisterna i december om detta och ivrigt väntat på deras publicering. Det hela släpptes i slutet på februari:
→ Myndigheter lovar anonymitet – men skickar ip-adresser till Google - Nyheter (Ekot, Sveriges Radio)
Kommer det bli skärpning den här gången?
För ganska exakt sex år sedan skrev jag en rapport om ganska exakt samma sak.
“Enklast att redovisa de kommuner som inte använder Google Analytics. Totalt är det 55 av 290 kommuner”
– Skydda din besökares integritet på webbplatsen (Webbstrategi för alla, 2015)
Man kan säkert beskylla mig för att vara opportunist och köra med “vad var det jag sa”, och det är ok. Men någonstans mittemellan den publicering 2015 och idag slog GDPR till. Det tycktes inte hjälpa så värst mycket. Jag hoppas i alla fall att vi alla gör vår hemläxa den här gången och att jag inte ännu en gång om några år återigen får anledning att påminna om vad jag påpekade för ett årtionden sedan.
DN:s granskning av integritet på webben 2015
Dagens Nyheter gjorde en granskning av hur “utländska bolag kartlägger besökare på svenska sjukhus och myndigheter” hösten 2015. På den tiden var jag motsvarande produktägare på Västra Götalandsregionen för Matomo (eller Piwik som det hette då) och fick ta emot frågan från DN:s journalister om hur vi jobbade med att värna integriteten för våra besökare på webben.
Till skillnad från de som fick ta emot en hel del (välförtjänt) kritik från DN:s skrivelse kunde jag svara att:
- Ja, vi har inventerat alla våra 100+ webbplatser utifrån vilka tredjeparter vi har just nu.
- Ja, vi kommer att slänga ut Google Analytics och liknande verktyg till förmån för Matomo. Inom kort försvinner de sista.
- Ja, vi är medvetna om det fåtal av våra webbplatser som har brister inom den för tiden så populära “knappen” att dela något till sociala medier, och att de skulle försvinna inom kort.
Det kan säkert framstå som väldigt byråkratiskt, men det tjänsteutlåtande jag skrev 2015, kallat “Vägledning kring cookies” innehöll nedan konstateranden:
“Västra Götalandsregionen ska värna människor, egendom, verksamheter och miljö, samt grundläggande värden som demokrati, rättvisa, integritet och förtroende”
– VGR:s säkerhetspolicy (2015-09-22)
Samt att:
“Med anledning av Lagen om Elektronisk Kommunikation (där 6 kapitlet 18 § är känd som cookie-lagen), Personuppgiftslagen (PuL) samt att VGR bör värna medborgarnas integritet föreslås att vi endast under särskilda omständigheter använder tredjepartstjänster. Det innebär att vi slutar använda tjänster som Google Analytics, dela-knappar för sociala medier, externa teckensnitt, med mera. Istället får vi designa våra webbplatser så detta inte behövs samt utveckla de egna tjänster vi i vissa fall redan har för att erbjuda motsvarande funktion.”
Och att:
“1.1.[Matomo] behöver få en rejäl uppryckning kring prestanda och stöd erbjudas de användare som behöver det.
1.2. Google Analytics tas bort på samtliga webbplatser och ersätts med [Matomo], samt Kibana för sökanalys eftersom de inte läcker data till tredjepart.
1.3. Samtliga webbplatser inventeras för att hitta vilka fler tredjepartstjänster som behöver ersättas/tas bort.
1.4. Meddelanden om att cookies används sätts på samtliga webbplatser, samt att det är tydligt varför och till vad.”
Hänvisningarna till “objekt” är referenser till PM3-modellen för hur man förvaltar IT-system i en organisation, vilket Västra Götalandsregionen följde fram till 2021.
Spola framåt till 2020-2021 – Matomo är mer uppskattat än någonsin
Åter till nutid. Sedan ett halvår tillbaka jobbar jag deltid för webbyrån Whitespace med att hjälpa offentlig sektor använda webbanalysverktyget Matomo på rätt sätt. Det känns angeläget för mig att stötta andra inom offentlig sektor att göra denna övergång från Google Analytics, Adobe Analytics och liknande verktyg där man inte har kontroll över sin data. Jag har redan gjort den resa som andra fortfarande har framför sig. Både själv som webbanalytiker, med massor av förväntningar på de verktyg jag erbjuds, men också som samordnare av verksamhetens och särskilt kommunikatörers behov, önskemål och kravställning – i en organisation med över 50 000 anställda och över tusen webbredaktörer.
Ja. Västra Götalandsregionen har fortfarande kvar Matomo.
Eller den Whitespace-kund som nyligen berättade hur nöjda de var med att kunna svara Sveriges Radio att de redan hade bytt bort Google Analytics.
Ja. Jag kan känna igen mig i den känslan, men det begrep du nog av ovanstående text om hur jag rakryggad kunde bemöta Dagens Nyheter.
Är det lätt att göra rätt? Tydligen inte!
Dock är det inte så lätt att göra rätt. Sveriges Radio själva kör Google Analytics och sätter spårningscookies utan att be användarna om lov först. Och vi på Whitespace hade kvar Google Analytics-skriptet fram tills nyligen. Whitespace branschpartner inom Matomo, Digitalist, bjöd nyligen in till ett möte i mars 2021 där Digitalist kritiserar offentlig sektors användning av amerikanska molntjänster – samtidigt som mötesplattformen de valt, Zoom, är rätt usel på just integritet, samt ett amerikanskt bolag.
Vilka i offentlig sektor har i mars 2021 fortfarande Google Analytics eller Google Tag Manager?
Sent i höstas gjorde vi denna undersökning på 700 webbplatser inom offentlig sektor. Strax efter vi släppte den rapporten försvann Google Analytics från Polisens webbplats. Det kanske de hade planerat, men tajmingen var intressant. Dock var det ett stort antal andra webbplatser som var något uppseendeväckande att de hade Google inblandade.
Några som har kvar Google i mars 2021 är Försvarsmakten. Vilket gör nedan publicering och konstaterande av Försvarsmakten något ironisk:
“Även öppen information kan vara olämplig att dela. Så bjud inte på för mycket.”
– Vem gillar det du delar? (Försvarsmakten, mars 2021)
Om du går in på den webbsidan så har Försvarsmakten bjudit in Google Tag Manager. Detta på en sida där de folkbildar om att vara försiktig med vad man delar med sig av så delar de själva med sig av min IP-adress till ett företag som lyder under amerikansk lagstiftning.
Vill du se hela listan från vår studie?.
Ladda ner följande Excel-fil: 2021-03-12 vilka i offentlig sektor har Google Analytics, Matomo eller Piwik.
Med reservation för att det är en simpel metod. Den fångar exempelvis inte in webbplatser som anropar Google Analytics via egna skript, inte heller de som har logganalys för Matomo.
Några av de mer märkliga i offentlig sektor som har antingen Google Analytics eller Google Tag Manager:
- Försvarsmakten – att försvaret använder amerikanska tjänster är väl det märkligaste av allt i denna lista?!
- MSB, Myndigheten för Säkerhet och Beredskap – känns inte direkt som en digital beredskap, eller digital suveränitet, eller?
- Socialstyrelsen – vad avslöjar navigationsmönstret på Socialstyrelsen om respektive invånare? Kanske ska vi fråga Google?
- Gentekniknämnden – kan svenska “foliehattar” identifieras och påverkas genom deras reaktion på denna webbplats?
- Konkurrensverket – ja, andra stater kan vilja hjälpa sina företag att vinna vissa strategiska affärer. Senast 2020 fick vi uppgifter om att USA gjorde detta mot svenska SAAB.
- Ekobrottsmyndigheten – en myndighet man kan tro har en ovanligt hög integritet gentemot utomstående. Eller?
- Regeringen
- Statens Beredning för medicinsk och social Utvärdering (SBU) – håll koll på vilka som försöker vara fakta- och evidensbaserade kring frågor som berör befolkningen som helhet?
- Kärnavfallsfonden – självklart är det intressant att påverka svenskars åsikter om hur vi långtidslagrar vårt kärnavfall.
- Ehälsomyndigheten – som att användaren är på väg att kolla sina utskrivna recept?
- Folkhälsomyndigheten
- UMO – Ungdomsmottagningen online www.umo.se
- Region Stockholms tjänst Alkohollinjen – www.alkohollinjen.se – en eventuell uppgift om alkoholism är definitivt en uppenbart känslig personuppgift.
Något som är ganska enkelt är dock att ta sina första steg bort från Google Analytics och påbörja ett byte till Matomo.
Läs mer om Google Analytics och offentlig sektor
- Om Matomo Analytics – Whitespace ger svar kring hur man kommer till Matomo från Google Analytics.
- Personuppgifter skickas till Google – från myndigheters sajter (SVT Nyheter)
- Google Analytics: Stop feeding the beast – Caspar von Wrede om övervakningskapitalism
- Svenska organisationer spårar besökare på känsliga webbplatser (NyTeknik)
- Molntjänster och FISA 702 • Cybersäkerhet och IT-säkerhet (Kryptera.se)
- Google Analytics Importer – Matomo-plugin för dig som vill ta med dig dina data från Google Analytics till Matomo
- Öppen källkod: Jupyter Notebook för dig som också vill kolla 700 webbplatser inom offentlig sektor och vilket verktyg för webbanalys de använder
- Excel-fil: 2021-03-12 vilka i offentlig sektor har Google Analytics, Matomo eller Piwik?
