Brian Clifton om sekretess och allt fuzz om Google Analytics … Är det ketchup eller inte?

Brian CliftonPå sistone har det varit en hel del diskussioner och artiklar skrivna med titlar som: Digi i Norge “Illegal to use Google Analytics” eller i DN: ”Webbplatser avslöjar dina besök till Google”, även Expressen har skrivit och jag tyckte det var dags att fråga frågan – What´s all that fuzz about? Intervjupersonen blev i just detta fall, en för mig själv väldigt trogen vän, Brian Clifton (Phd). Förutom att Brian idag arbetar som konsult med Google Analytics globalt och med Search Integrations team i Sverige så har han även skrivit tre bästsäljande böcker i ämnet om Google Analytics och var den som startade upp Google Analytics team i EMEA på Google 2005.

1. Du har arbetat med Google Analytics-teamet och var den som grundade avdelningen för Google Analytics EMEA, skrivit tre böcker om Google Analytics och arbetade med produkten sedan den skapades. Kan du ge mig dina tankar om hur Google ser på den här produkten och hur de hanterar data internt?

Det var fascinerande för mig att se den andra sidan av staketet och en anledning till att börja arbeta för Google. Innan jag började arbeta med webbanalys fokuserade jag mer på webbutveckling och SEO, så jag måste erkänna att jag var ganska nyfiken när jag kom till Google 2005. I huvudsak fanns det två viktiga skäl för mig att ta rollen:

• Googles tydliga vilja att driva produkten framåt. Med det menar jag att förvärvet av Urchin bara var början på att driva branschen för webbanalys framåt (till skillnad från så många förvärv som bleknar bort efter den första bubblan.)

• Googles engagemang för slutanvändaren och att de prioriteras framför allt. Det handlar om användarupplevelsen och funktionalitet. Annonsören är självklart även i prioritet men aldrig på bekostnad av slutanvändarens upplevelse och det har faktiskt alltid varit så för Google och jag ser ingen förändring av deras värderingar idag.

Google, precis som vilken organisation eller företag som helst använder Google Analytics för att förstå sin verksamhet, sina produkter, dess användare och kunder. De samlar data från alla sina produkter. För en så pass stor organisation som Google så innebär det en enorm mängd information och i en större skala än vad vi normalt kan uppfatta.  Att analysera en individ för sig är således som att försöka analysera ett saltkorn i ett stort hav… Min poäng är att individer är en så minutiöst liten “datapunkt” att det är irrelevant för organisationen. Google är intresserade av trender, dvs. nästa stora ”grej”. När du servar hundratals miljoner användare varje dag så blir fokus på individer helt enkelt inte vettigt.

Det är även viktigt att förstå att Googles affärsmodell och dess produkter är väldigt populära, men att de trots sin dominans bygger helt på förtroende. Användare av Google-sök, AdWords, Google Analytics, eller någon annan Google-produkt tecknar inte något bindande avtal. Användarna är fria att gå någon annanstans när som helst och det är väldigt lätt att göra så i en digital värld. På grund av detta har Google redan från början tagit diskussioner om integritet ur slutanvändarnas perspektiv. Det är något unikt i sitt slag och det mer vanliga scenariot är att en organisation eller företag i dess storlek, överväger integritetsfrågor från sitt eget perspektiv och inte slutanvändaren.

2. De senaste diskussionerna om att Google Analytics är olagligt och det faktum att de föreslår att man inte bör använda Google Analytics på sina webbplatser har skapat mycket reaktioner. Vad anser du? Är denna oro legitim alls?

För att vara uppriktig, har den journalistik jag sett på detta ämne varit mycket dålig. Det är tråkigt eftersom det finns legitima diskussioner att ha om integritet online. Men vad jag har sett i Sverige (DN, Expressen) och Norge (Digi) är ytligt och alarmerande.

Kort sagt, det finns inget olagligt i att spåra en besökare till din webbplats anonymt och för att förstå trender. För att sätta detta i ett verkligt perspektiv kan vi använda följande exempel:

En förälder som står i ett gathörn räknar antalet bilar som kör förbi en skola. Han är intresserad av säkerhet och trafikflöde. Han räknar antalet bilar som passerar per minut, noterar deras typ, t.ex. personbil, SUV, buss, lastbil etc., deras hastighet och andra faktorer som påverkar situationen; så som väder, ljus eller omgivning. Alla användare av denna vägsträcka kan ha nytta av denna typ av information. Den lokala kommunen, föräldrar, barn, lärare, pendlare, butiker och affärer, och budbilar har alla nytta av att få en samlad bild av läget.

Observatören har alltså ett syfte och ett legitimt skäl att observera och mäta trafik och det finns inga integritetsfrågor i detta. Ingen personlig identifierbar information (PII) samlas in och trafiken redovisas aggregerat. Det vill säga att det inte har med individen som kör förbi att göra utan den samlade konsekvensen av allas ”handlande”. Det är ungefär så som Google Analytics fungerar.

Naturligtvis kan vi nu ändra i mitt exempel ovan för att göra det mycket skrämmande – och olagligt. Till exempel skriver då observatören ner registreringsskyltarna, tar fotografier eller spelar in en händelse. OM han dessutom stannar föraren för att be om deras namn och adress, och sedan följer dem runt för att ta reda på vart de bor då är det av en mer kränkande integritetsnivå. I online-världen finns det verktyg som väldigt snarlikt fungerar så, men Google Analytics är inte ett av dem.

3. Den senaste Dataskyddslagstiftningen från EU försöker hindra människor från att spåra personlig information. Vad är din åsikt om denna och i förhållande till Google Analytics som en produkt?

EUs integritetslag omfattas bl.a. av det sistnämnda mer skrämmande scenariot som jag just nämnde ovan. Lagen infördes i maj 2011 i alla 27 medlemsstater. I huvudsak pratar den om att det är olagligt att samla sk. ”PII” utan uttryckligt medgivande från individen. Med andra ord måste du få tillstånd via formulär från besökaren först. Dessutom tar den upp följande:

Om Google Analytics är det enda verktyg du använder för att spåra besök på din webbplats, så behöver du inte ett uttryckligt medgivande från dina webbplatsbesökare då detta inte faller under denna eller annan lagstiftning och inte är olagligt då det enbart sker anonymt.

Det stora förbehållet är att du som webbplatsägare måste förstå vad för slags spårningsteknik som installerats på din webbplats. Det är osannolikt att Google Analytics är det enda analysverktyget som du har installerat. Produkter som DoubleClick, Adsense, Disqus, YouTube, ShareThis, LivePerson Chatt och sociala plugins (ex. Tweet me, Follow me, Facebook Like, Google Plus, LinkedIn etc.) har alla tredjepartscookies och spårar således individer. Det innebär att de som har detta installerat kan spåra beteendet hos individuella webbläsare.

Summan av kardemumman är att du måste granska din webbplats för att förstå mer om hur du hanterar personlig integritet hos dina besökare. Du kan läsa mer om Google Analytics och den nya EU-lagen om skyddet via denna artikel: http://www.advanced-web-metrics.com/blog/2012/06/11/google-analytics-and-the-new-eu-privacy-law-3/

4. Varför får Google Analytics allt fokus i debatten om integritet? Finns det andra tjänster och verktyg som enligt din uppfattning webbplatsägare bör vara medvetna om när det gäller att spåra känsliga uppgifter?

Det är normalt att marknadsledaren får den största granskningen. Det uppskattas att mer än hälften av webben och 45 % av de större sk. ”Fortune 500-företagen” använder Google Analytics. Jag tror inte att Google är bekymrade över den uppmärksamheten de får själva. Sekretesshantering är en stor del av all grundläggande produktutveckling på Google. Google kan inte alltid ha rätt, men produktteam spenderar mycket tid under utvecklingsprocessen på att just diskutera integritetsfrågor och de är väl förberedda för den här typen av granskning.

Problemet har dock uppstått i att debatten enbart fokuserats kring Google Analytics, vilket är helt felaktigt. Det finns många andra tredjepartsverktyg som har mycket lägre integritetsbarriärer så som jag nämnde i fråga 2. Det är här vi bör ha debatten och det är när du kan spåra individer genom ex. plugins och som surfar genom sina mobila enheter som vi kanske har den mest intressanta debatten om integritetsproblematik.

Kom ihåg att Google Analytics enbart spårar anonym trafik till en särskild webbplats till förmån för webbplatsens ägare att fatta bättre beslut om webbplatsförbättringar. Ingen information lagras om hur denna besökare tidigare rört sig ute på webben eller vad som händer när samma person lämnar webbplatsen även om besökaren går vidare till en annan webbplats som också råkar använda sig av Google Analytics.

5. Vad kan webbplatsägare göra för att klargöra för sina besökare hur de hanterar data?

Först bör de förstå lagen på detta område. Det är inte så komplicerat egentligen och i själva verket handlar det om sunt förnuft, etik och moral, så som transparens och ansvarsskyldighet. Se över din webbplats och ha förståelse kring vilken data som din webbplats samlar in och minimera att samla in information som kan tänkas ligga inom gränsen för att vara integritetskränkande.

Om du samlar in personligt identifierbar information (PII), så försök att sluta göra detta. Jag ser mycket lite värde i att spåra enskilda individer på webben. Fundera över följande:

”En kund kom till din webbplats och gjorde ett köp. Han/hon kom till din webbplats via en email-länk, men hade tidigare även sett din organiska placering i Google och besökt dig den senaste veckan för att förstå mer om vad du erbjuder och då stannat i 3 min och läst en pdf.

Allt detta är mycket värdefull information för verksamheten och ditt marknadsföringteam. Ingen av dessa uppgifter kräver PII och är fullt möjligt att genomföra via enbart Google Analytics. Det kan desstutom även rapporteras i aggregerade form inte specifikt för en individ.

Naturligtvis får du ”PII” när en besökare genomför ett köp med dig, men endast som information att föras över till ditt bokningssystem, tillsammans med ovanstående Google Analytics information. Det är transparent för besökaren, men var noga med att inte passera PII tillbaka till Google Analytics då det bryter mot användarvillkoren. Läs mer om de villkoren här: http://www.google.com/analytics/terms/us.html

6. Men vad borde då den personliga integritetsdebatten handla om?

Debatten borde snarare handla om “vem som övervakar övervakarna?” De plug-ins och add-ons som vi ibland utan eftertanke accepterar på våra webbplatser har möjlighet att spåra besökare över hela nätet.  Jag säger nätet medvetet eftersom de flesta av dem kan ansluta punkterna för de enskilda besökarnas beteende i just ett nät. Det kan spåra det faktum att jag besöker orelaterade webbplatser och vad jag gör på dem. Om man finner att detta är integritetskränkande så har man möjlighet att ta bort denna typ av spårningsförmåga genom att avvisa 3:e parts cookies som standard i sin webbläsare.

Vi ska fundera över vilka företag och vilket förtroende vi har för de som idag ”styr” Internetfönstret. De fönster som vi alla har tillgång till. Google, Firefox, Microsoft, Apple, Yahoo, Twitter, Facebook och andra starkt växande och globala företag som t.ex. Samsung för smarta telefoner och smart-TV. Alla har möjlighet att ansluta sig till oberoende datapunkter. Så länge denna information förblir anonym och aggregerad ser jag inget ont i detta alls. Problematiken uppstår när aktörer av denna storlek börjar kunna triangulera data och binda anonyma datapunkter med varandra som då globalt avslöjar vem jag är och hur mina vanor ser ut i ett bredare mönster. Google Analytics är väldigt långt ifrån den verkligheten och ska inte komma i närheten av att ens klassificeras inom det området då det är just anonym datainsamling.