IMY: "Svenska bolag måste sluta använda Google Analytics"

Absolut, det är ett hyggligt exempel. Lagring generellt kan ju styras av annan laglig grund också för den delen, berättigat intresse t.ex. Blir svårt att argumentera för 5-års lagring med den grunden men t.ex. 20-30 dagars kameraövervakning skulle kanske kunna fungera med rätt syften beskrivna.

Det var hursomhelst inte det jag menade kommentera riktigt men strunt i det så snöar vi inte in oss i 25 inlägg med detaljer kring vem som menade vad

Ursäkta sent svar, helgen kom emellan. Jag arbetar med arbetsmarknadspolitik på EU och transnationell nivå med inriktning privat sektor, samt IPA III (där en viss Erdogan släppte en liten brakare tidigare idag) så jag tror vi ser problem och lösningar från väldigt skilda håll. Läser vad du skriver, men det känns så ytligt - missförstå mig rätt - att det för mig är obegripligt att du inte ser samma sak. Sedan kan man alltid argumentera för att det kanske inte är ett reellt problem eller något som inte används på ett sådant sätt som du kanske hintar lite om men min generella uppfattning är att du inte ser det alls.

Om vi vänder på det: datalagringsdirektiv har varit på tapeten i och med den fjärde industriella revolutionen. I synnerhet har det handlat om att stora sociala mediejättar som Meta antingen inte har lagrat information eller vägrat att lämna ut relevant information som skulle ha kunnat lett till fällande dom. På extremsidan har vi sett självmord för att ungdomar har blivit uppmuntrade att våga ta livet av sig. För tre år sedan blev delar av det engelska landslaget hotade för att de förlorade en straffläggning - som sedermera ledde till en fällande dom (böter och fängelse tio veckor tror jag) för att man kunde knyta användare och beteende med personuppgifter. En situation där man inte längre lagrar IP-adresser, och där med heller inte gör det nödvändigt/möjligt för verksamheter som arbetar med EU-baserad befolkning/verksamhet att lagra dessa, gör det således svårare att hitta en skyldig. Samtidigt, att informationen inte längre finns alls gör att den inte går att sälja till tredje part, så som Tele2 verkar ha gjort. Poängen med GDPR är som jag ser det intention och syfte - inte vad man faktiskt gör.

Man bör även titta på helheten. Det verkar vara runt 37 miljoner hemsidor sidor som använder Analytics, vilket är mer än varannan sida som man kan besöka på nätet. Av dessa är det några stora så som Youtube och Twitter som använder Analytics, plattformar som har infört regler för att användarna inte klarar av att bete sig, medan majoriteten är små. Jag ser det som en självklarhet att det finns ett intresse att se hur trafik drivs till ens sida, vilken typ av publik man genererar, vilken demografisk bakgrund som finns osv. Många små hemsidor har kanske inte större verktyg än just Analytics och kombinerar det kanske som mest med lite SEO-best-practices. Plockar man bort lagring av personuppgifter så är det nog i grunden bra, men det går inte att övertyga mig om att det är perfekt eller felfritt att göra det på detta viset.

Tack för svar.

1. På vilket sätt har användandet av Google Analytics hjälpt till att identifiera de skyldiga till de olika typer av brott som du refererar till gällande barnporr, hot med mera och har det använts i några konkreta fall som du kan hänvisa till?

2. Varför kan man inte logga IP-adresser för ens besökare utan att använda Google Analytics (eller några andra externa tjänster)?

3. Varför kan man inte istället för Google Analytics använda tjänster som t.ex. Matomo som, med nödvändigt godkännande, samlar in information om ens besökare utan att dessa sprids till tredje part för att där användas för marknadsföring med mera utanför den egna organisationen och med risk att spridas utanför EU?

Frågorna är kanske fel ställda. Det handlar inte om att tjänsten har hjälpt till utan att den kan sprida informationen på ett felaktigt vis, läs till amerikanska ägare. Här är ett exempel som visserligen inte berör Analytics utan Google SensorVault där platsdata kopplat till konto och historik delas - något som enligt GDPR inte skulle vara tillåtet. Nederländerna, Polen, Tjeckien, Grekland, Norge, Slovenien och Sverige har redan stämt Google en gång för SensorVault med detta som underlag. Skillnaden mot vad miljoner sidor gör/gjorde med äldre versioner av Analytics ser jag som försumbar.

Det är ett verktyg i kombination med användaruppgifter som kan användas i syfte att spåra användare och det är syftet som avgör om det är rätt eller fel, vilket är definitionen av ett lagbrott eller ej i de flesta moderna länder. Exempelvis kan det vara tillåtet att köra fortare än aktuell hastighetsgräns om det så krävs. I just GDPRs fall räcker det med att ägarna kan kräva ut informationen, inte att den sänds över och det är viktigt att hålla i sär dessa två saker.

Ett annat problem är förstås kopplat till den emotionella sidan. En majoritet av de omoraliska sidorna verkar använda Analytics, eller 93% av 22 484 sidor hade någon form av spårningsfunktion. Just hubben har fått kritik och ett antal stämningar mot sig för just barnporr. Man kanske inte vill hamna i skottgluggen i ett GDPR case i ett sådant ämne.

Vidare är det väl vedertaget att Big Data analytics kan hjälpa vid att förebygga brott, på samma sätt som fartkameror sänker hastigheten och där med räddar liv och minskar lemlästning. Men så som världen är skapad skrivs det förstås väldigt lite om alla de som hade turen att överleva.

Slutligen: Man kan givetvis logga ett ip-nummer med en annan plugin eller tillägg men faller rätt platt om det inte finns ett syfte, exempelvis att se vart de kommer ifrån, vilka sökord de har använt, hur länge de stannar på sidan, vad de klickar på osv, dvs de tjänster som Google Analytics erbjuder i ett väldigt enkelt paket. Skillnaden med just Matomo är att den saknar en naturlig integration i jämförelse Google Analytics. Vidare kostar det antingen pengar att ha i molnet eller så kräver det en installation och där med kunskap, något som kanske försvunnit med åren. Väljer man att köra den i molnet kan man lika gärna stanna med en utdaterad Google Analytics. Den senaste versionen loggar som sagt inte ip-nummer, var av hela ämnet egentligen har överlevt sig själv. Det finns ett fåtal fullgoda alternativ, men syftet att byta om Google Analytics 4 nu är GDPR kompatibelt torde enbart vara ideologiskt.

Överlag är jag positivt ställd till GDPR och dess hantering av utomstående. Det kan inte vara en rättighet att vara anonym på internet men det kan heller inte vara allt för kontrollerat för det skulle hämma utvecklingen. Krasst sett så ser nog många fram emot en GDPR 2.0 där både regelverk och best practises presenteras gemensamt. Internet är fortfarande i sin linda och det är spännande tider, kan man nog säga.

Det stora problemet är ju att de kan spåra en individ, en enhet, en webbläsare, mellan besök på varje enskild ansluten webbsida. Profiler bygga upp och sammanställs och länkar ihop alla dina sökningar på google med din platsdata över tid. Det är lika mycket övervakning som den värsta formen från 1984, varenda sak du interagerat kan loggas av dessa gigantiska bolag

Andra exempel från Facebook när de lyssnar på mikrofonen när telefonen är låst i fickan. Liknande med alla dessa smarta högtalare och assistenter med mikrofonen som alltid är igång, kanske lyssnar de på vilka tv-serier du spelar, loggar viktiga ord från dina samtal vid middagsbordet eller dina barns drömleksaker?

Jag förstår att det kan finnas vinster för enskilda hemsidor med sån här galenskap, men om man verkligen inte ser problemet eller riskerna så tror jag du lever under en sten