Tietosuoja ja tietoturva web-analytiikassa – Google Analytics tietosuoja-asetuksien muutoksessa

Käsi pitää puhelinta, jonka näyttö on lukittu.
Miten otat tietosuojan ja tietoturvan huomioon nettisivujesi web-analytiikassa? Miten kannattaa toimia nettisivuliikenteen mittaamisessa?

Mikä on tietosuoja ja tietoturva? Miten ne eroavat toisistaan?

Ensiksi käydään läpi mitä tarkoitetaan tietosuojalla ja tietoturvalla. Nämä kaksi käsitettä menevät helposti sekaisin. 

Tietosuoja asettaa säännöt, joiden mukaan yrityksen täytyy toimia henkilötietoja käsiteltäessä ja sen tavoite on henkilön yksityisyyden suojelu. Tietoturva puolestaan tarjoaa ne keinot, joilla henkilön tietoja suojataan. Sen tavoitteena on suojata kaikkia yrityksen toiminnan kannalta tärkeitä tietoja, mukaan lukien asiakkaiden henkilötiedot. Käsitteinä tietosuoja ja tietoturva kulkevat käsi kädessä. Ei ole tietosuojaa ilman tietoturvaa, ja iso osa tietosuojasta toteutetaan tietoturvatoimenpiteillä.

Euroopan Unionin yleinen tietosuoja-asetus

Euroopan Unionin yleinen tietosuoja-asetus eli GDPR asetettiin voimaan koko EU:n alueella vuonna 2018 tarkoituksena vahvistaa ja yhdenmukaistaa tietosuojalakeja. Sen tavoitteena on vahvistaa henkilötietojen suojaa ja antaa henkilöille enemmän hallintaa siihen, miten heidän tietojansa kerätään, käsitellään ja käytetään.

GDPR-asetuksen mukaan yritysten on saatava yksilöiltä nimenomainen suostumus ennen henkilötietojen keräämistä ja käsittelyä, ja yritysten on annettava selkeät ja ytimekkäät tiedot henkilötietojenkäsittelystä.

Web-analytiikka pähkinänkuoressa

Web-analytiikka eli verkkoanalytiikka on datan keräämistä, analysointia ja raportointia siitä mitä verkkosivuilla tapahtuu ja miten asiakkaat käyttäytyvät sivustolla. Analytiikka tukee verkkosivujen optimointia ja se on erinomainen lisä liiketoiminnan kehityksessä digimaailmassa.

Web-analytiikkatyökalut keräävät asiakkaiden dataa useimmiten evästeiden tai kuvapistetunnisteiden avulla. Dataa voi myös kerätä ns. tageille, jossa lähdekoodin sekaan upotetaan tagi eli pätkä JavaScript-koodia, joka lähettää analytiikkaohjelmistolle tietoa aina, kun käyttäjä lataa sivun tai suorittaa jonkin tarkkailtavan toimenpiteen. Mikäli asiakkaan tiedot eivät ole anonyymejä, yrityksellä täytyy olla lupa analytiikan keräämiseen ja käyttämiseen sekä JavaScript-koodin vaativan tunnisteen hyväksymiseen. 

Evästeet taas ovat pieniä tekstitiedostoja, jonka selaimesi tallentaa välimuistiinsa, kun vierailet verkkosivustolla. Se kytkee toisiinsa käyttämäsi selaimen ja toimet mitä teet. Evästeitä on olemassa kahdenlaisia: ensimmäisen osapuolen evästeitä ja kolmannen osapuolen evästeitä. Ensimmäisen osapuolen evästeet ovat sivuston jättämä tunniste selaimeesi. Kolmannen osapuolen evästeet taas ovat sivuston ulkopuolisen tahon, esimerkiksi mainostajan jättämä tunniste selaimeesi. Tällöin dataa kerää vierailemasi sivuston ulkopuolinen taho ja sen tarkoitus on seurata henkilön verkkokäyttäytymistä esimerkiksi mainonnan kohdentamiseksi.

Uudet tietosuoja-asetukset sekä verkkoselaimien, kuten Chromen, Safarin ja Firefoxin tiukentuneet linjat estävät kolmannen osapuolen evästeiden käytön. Kuluttajalle tämä on hyvä asia, mutta datan keräämiselle se tuo uusia haasteita.

Tietokone, jonka näytöllä näkyy koodinpätkää.
Web-analytiikka mittaa, mitä verkkosivustolla tapahtuu. Kuva: Unsplash.com.

Google Analytics ja tietosuoja – missä mennään?

Tämän hetken tunnetuin ja suosituin web-analytiikkatyökalu on Google Analytics. Sen tarjoamat ilmaiset palvelut ja Googlen yhteensopivat työkalut tekevät palvelun käyttöönotosta helppoa. Google Analytics on kuitenkin nostettu keskusteluun GDPR-asetuksen myötä. 

Googlen ja Euroopan Unionin GDPR-keskustelussa ongelman ytimeksi on muodostunut Google Analyticsin keräämän datan siirtyminen EU:n alueelta Yhdysvaltoihin ja paikallisten tiedusteluviranomaisten pääsy dataan. Google ja Google Analytics keräävät suuret määrät henkilöiden yksityistietoja ja niiden on huhuttu jäävän Googlen omaisuudeksi. Ongelmaksi on myös noussut se, että Googlen serverit sijaitsevat Yhdysvalloissa, mikä tarkoittaa tiedon siirtymistä EU:n rajojen ulkopuolelle.

Google on vakuuttanut, että he eivät luovuta henkilötietoja tiedusteluviranomaisille ja he ovat tehneet päivityksiä Google Analyticsin uuteen versioon GA4:seen. GA4:ssä IP-osoitteet anonymisoidaan oletusarvoisesti ja seuranta perustuu käyttäjän tapahtumiin. GA4 käyttää ensimmäisen osapuolen evästeitä, eikä he enää kerää dataa kolmannen osapuolen evästeiden kautta. Google on myös tiedottanut, että heillä on intressi pitää eurooppalaiset asiakkaansa ja he aikovat tehdä muutoksia palveluihinsa, jotta tietoturva paranisi.

Miten yrityksien kannattaa toimia?

Nykyään on tarjolla useita web-analytiikkatyökaluja. Suomalaisten yrityksien kannattaa ottaa valinnassa huomioon se, että kannattaisiko valita eurooppalainen kilpailija. Euroopassa toimivat analytiikka-alustat tarkoittavat sitä, että niiden ylläpito- ja omistus on Euroopassa. Hyvä vaihtoehto on esimerkiksi Piwik PRO. Lue Google Analyticsin ja Piwik PRO:n vertailusta lisää täältä. 

Paljon puhuttu palvelupohjainen seuranta eli Server Side tagging muodostettiin sitä varten, että kolmannen osapuolen evästeiden käytön ongelmia voidaan välttää, kun lait sekä tekniset haasteet lisääntyvät. Se ei kuitenkaan poista evästekäytön tai suostumuksen ongelmakohtia. Vain oikeaoppiset analytiikka-asetukset ja työkalut ovat keino saavuttaa lainmukainen ja eettinen toiminta tietosuojan osalta.

Google Tag Manager tarjoaa ominaisuuden palvelupohjaiselle seurannalle, jonka voi yhdistää GA4:seen. Tämä käytännössä mahdollistaa sen, että dataa ei tarvitse siirtää Yhdysvaltoihin kunhan tiedot toimitetaan suoraan omaan tietovarastoon. Ongelmaksi kuitenkin nousee, että jos haluaa käyttää Googlen raportointiominaisuuksia, data pitää kuitenkin myöntää Googlelle. Piwik PRO:n etu on, että SaaS palvelussa data kerätään EU:ssa sijaitseville palvelimille, mutta data on myös mahdollista kerätä suoraan yrityksen omalle palvelimelle. Piwik PRO tarjoaa myös mahdollisuuden ns. raakadatan lataamiseen joko CSV-tiedostoina tai API:n kautta, jolloin kaikki tapahtumat on mahdollista ladata esimerkiksi yrityksen omaan tietovarastoon vaativampia raportointitarpeita varten.

Mitä muuta ottaa huomioon web-analytiikkatyökalua valitessa?

On tärkeää, että jokainen yritys määrittää oman ajallisen panostuksen, resurssit ja budjetin. Web-analytiikkatyökalun valinta voi olla haastavaa ja sen käyttöönotto vielä monimutkaisempaa. Me Valoa Digitalilla tarjoamme sinulle ilmaisen konsultaation, jossa käymme kanssasi tarpeet läpi, ja muodostamme teille räätälöidyn paketin. Tutustu enemmän Valoa Digitalin web-analytiikkapalveluihin täältä.

Picture of Vera Kröger
Vera Kröger
Olen web-analytiikan ja kasvumarkkinoinnin ammattilainen. Valoa Digitalilla toteutan web-analytiikan palveluita muiden projektieni lisäksi.

Lisää artikkeleita:

Tykkäsitkö lukemastasi? Jaa artikkeli somessa:

Contact Us

Jätä yhteydenottopyyntö