- Aplia valgte Matomo av hensyn til mulighetene det gir når det kommer til personvern og GDPR

Christian Hjelllestad loser deg gjennom Cookies-regelverket og gir deg et alternativ til Google Analytics.

Aplia har gjort sine egne nettsider 100 prosent fri for cookies (informasjonskapsler), forteller Christian Hjellestad, Salg- og markedssjef i Aplia. 📸: Privat
Aplia har gjort sine egne nettsider 100 prosent fri for cookies (informasjonskapsler), forteller Christian Hjellestad, Salg- og markedssjef i Aplia. 📸: Privat Vis mer

Personvern er viktig for oss i Aplia. Vi ønsker å gjøre det mulig for alle å bruke internett på en trygg måte. Derfor var det for Aplia en selvfølge å gjøre våre egne nettsider 100 prosent fri for cookies (informasjonskapsler).

Men å faktisk gjennomføre dette var langt ifra en enkel oppgave. I en digital hverdag hvor samling av data er så godt som standard for alle plattformer, verktøy og løsninger som er i bruk. Vi måtte ta spesifikke grep for å kunne lansere en nettside som ikke truer våre besøkende sitt personvern på noe som helst måte.

Så hvordan gjennomførte vi arbeidet med å gjøre nettsidene til Aplia fri for cookies og sørge for anonym sporing, og hva betyr dette for våre besøkende? Det skal vi komme litt tilbake til. Men først litt informasjon om hva cookies er, pixler og sporing av brukere på nettet.

Cookies og informasjonskapsler

Datatilsynet har en egen informasjonsside om cookies og informasjonskapsler, som beskriver dette på en ganske enkel og grei måte. En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på brukers datamaskin/mobil/nettbrett når brukeren åpner en nettside.

Informasjonskapselen brukes for eksempel til å lagre innloggingsdetaljer, registrere hvor brukeren beveger seg rundt på nettstedet eller huske handlekurv i nettbutikker. Den som står bak informasjonskapselen, altså den behandlingsansvarlige, kan tilpasse tjenestene sine ut fra informasjonen som lagres.

«Ja, du må ha samtykke for å bruke cookies»

Ulike typer cookies

  • Sesjonsavhengig informasjonskapsel (Session cookie) slettes etter endt sesjon, det vil si når du lukker nettleseren. Disse informasjonskapslene brukes blant annet for å registrere en bruker er inne på nettsiden og få oversikt over hva brukeren gjør på siden.
  • Fast informasjonskapsel (persistent cookie) slettes ikke etter endt sesjon. Faste informasjonskapsler kan ofte inneholde informasjon om autentisering, språkinnstillinger og menyvalg. Det gjør at fremtidige besøk på nettsiden er raskere og mer tilpasset brukeren. De fleste faste informasjonskapsler har en utløpsdato der de slettes automatisk etter en viss periode.
  • Tredjeparts informasjonskapsel (Third party cookie) er en informasjonskapsel (fast eller sesjonsavhengig) som settes av en annen enn den som driver nettstedet som brukeren besøker. Eksempel på dette er annonser og reklamebannere på nettaviser.

Samtykke for å bruke Cookies?

I dag er det ekomloven og ePrivacy-direktivet på den ene siden, og personopplysningsloven på den andre siden, som regulerer bruk av cookies.

Både Datatilsynet og Nasjonal kommunikasjonsmyndighet (NKOM) har gjort dette klart og tydelig: Ja, du må ha samtykke for å bruke cookies.

Her presiserer NKOM følgende:

  • Det er en forutsetning for bruken av cookies at sluttbrukeren at brukeren har samtykket til bruken av cookies
  • Om du benytter cookies som behandler personinformasjon, må du innhente samtykke etter GDPR

Derfor er det slik at om du på ditt nettsted benytter cookies eller tredjepartskomponenter som Google Analytics, Facebook pixler eller Hotjar (som alle setter cookies på ditt nettsted) er du pålagt å innhente brukernes samtykke. Nærmere bestemt må samtykke være et aktivt samtykke.

Tidligere tolket mange regelverket at hvis en bruker hadde påskrudd innstillinger for samtykke i nettleseren sin, ble det ansett som tilstrekkelig. Dette er nå spesifisert i tolkning av lovverket ikke er å anse som gyldig samtykke, da de fleste nettlesere har dette påskrudd som standard.

Du kan finne mer informasjon om cookies på NKOM sine nettsider.

Forutsetningene for samtykke:

  • Det finnes klar og tydelig informasjon tilgjengelig på det aktuelle nettstedet om hvilke informasjonskapsler som benyttes
  • Informasjon om hvilke opplysninger som behandles.
  • Informasjon om formålet med behandlingen
  • Informasjon om hvem som behandler opplysningene

De fleste har for lenge siden skjønt at man er pålagt å ha en såkalt personvernerklæring tilgjengelig på sine nettsider. Men i de fleste tilfeller har vi oppdaget at personvernerklæringen i beste fall er mangelfull, og i værste tilfelle faktisk inneholder feil, og dermed ikke tilfredsstiller lovverket på en god måte.

Finnes det et alternativ?

Selv om det er liten tvil om at intensjonen og hensikten med GDPR lovgivningen og regelverket er å ivareta personvernet, og å beskytte folk fra at data blir lagret og brukt til diverse formål, uten at du selv har oversikt eller kontroll over denne bruken. Det er likevel ingen hemmelighet at det har ført med seg en haug med kompliserte valg, popups, bannere med informasjon og spørsmål om samtykke, og listen fortsetter nesten i det uendelige.

Man kan installere en utvidelse/extension i nettleseren sin, en for eksempel “I dont care about cookies” for å slippe å gjøre alle valgene på nytt for hvert nye nettsted man besøker. Man kan aktivt benytte seg av “inkognitomodus” eller “safe mode” i nettleseren, eller lignende. Men dette er lite brukervennlig, tungvindt, og ikke minst man kan risikere at enkelte nettsteder ikke virker med mindre man godtar bruk av cookies.

Det mest forvirrende er kanskje at alle nettsteder er ulike, benytter seg av forskjellige metoder for og informere om bruk av cookies, og ikke minst innhente samtykke.

30.Juni 2022 klaget forbrukkerrådet inn Google for brudd på personvernloven til Datatilsynet. Forbrukerrådet mener Google «overbeviser» brukerne til å velge bort personvern, med manipulerende design, uklart språk, og villedende og skjulte valg. «Google manipulerer brukerne til å velge de minst personvernvennlige alternativene gjennom utspekulert design og misvisende informasjon», mener Forbrukerrådet.

«»

Hvordan få en nettside 100% fri for cookies?

Først og fremst, sporer vi ikke våre besøkende på Aplia sine nettsider, men det er i seg selv ikke nok. Aplia deler heller ikke data med tredjeparts systemer eller løsninger for sporing på våre nettsider. Og ikke minst, vi benytter oss ikke av Google Analytics, som overvåker klikk og besøkende.

Google Analytics er forbudt i 8 land

Italia vedtok nylig at bruken av Google Analytics er i mot gjeldende regelverk og strider i mot GDPR. Dermed føyer de seg inn i rekken av land som allerede har besluttet at Google Analytics er ulovlig å bruke, blant annet Østerrike, Frankrike og Nederland. Hovedsaklig går dette på hvor data og informasjon blir lagret, da Google lagrer all data på servere i USA.

Det er lenge varslet at det Datatilsynet i Norge vil komme med sin avgjørelse også i denne saken, men tidspunkt for dette vet vi ikke noe om enda.

For over to år siden varslet Google at de ikke vil videreutvikle Google Universal Analytics (UA), og fra 1.Juli 2023 vil de offisielt stenge verktøyet og det vil ikke lenger kunne brukes. Google ønsker naturligvis selv at flest mulig går over til å benytte seg av Google Analytics 4 (GA4) som ble lansert for ca 2 år siden.

Google Analytics 4 er på mange måter fortsatt i utviklingsfasen, men på mange måter klar til bruk og et fullverdig verktøy, til tross for at det fortsatt er noen få mangler noen vil kunne merke sammenlignet med UA.

De største forskjellene på UA og GA4 er at GA4 er hendelsesbasert og sporer ikke via økter/sessions slik som UA gjør. Det betyr at Google kan fortelle deg mer om hva brukeren faktisk gjør på nettsiden din enn tidligere. Rapportene man får er også mulig å mer detaljerte og gir større muligheter for analyse. Dette også på tvers av apper og plattformer da man kan slå sammen sporing fra for eksempel nettsiden og en app.

Matomo Analytics

Analyseverktøyet som i bruk kanskje ligner mest på Google Universal Analytics (UA) er Matomo (tidligere Piwik). Matomo er et åpen kildekode analyseverktøy, som du kan enten laste ned og hoste på egen server, eller velge å betale og hoste det på Matomo sine servere. I motsetning til Google Analytics 4 som har sine servere i USA, er Matomo naturligvis er lokalisert i EU. På denne måten trenger man ikke bekymre seg for regelverk om lagring av data utenfor EU, som da er i henhold til GDPR lovverket.

På nettsidene til Aplia er det nettopp Matomo vi har tatt i bruk. Årsaken til det er mange, men hovedsaklig valgte vi dette av hensyn til mulighetene det gir når det kommer til personvern og GDPR.

Overvåkning uten bruk av informasjonskapsler, såkalt “cookieless tracking”, er en alternativ overvåkningsmetode som blant annet teller antallet unike IP-adresser eller bruker “nettleser fingerprinting” for å identifisere brukere istedenfor informasjonskapsler. Dette betyr at nettsider fremdeles kan overvåke brukerne selv om de har valgt ikke å godkjenne informasjonskapslene eller har slettet alle informasjonskapslene fra deres søkehistorikk.

Matomo bruker config_id for å gruppere ulike handlinger i “Visits/Besøk” innenfor en tidsperiode på 24 timer.

«»

Ingen informasjonskapsler

For dem som baserer seg på informasjonskapsel-basert overvåking blir det vanskelig å få nøyaktige data om brukerne, når de fleste brukerne velger å ikke godkjenne eller rett frem blokkerer informasjonskapslene.

Ved overvåking uten informasjonskapsler mister man derimot ingen data da det ikke krever godkjenning fra besøkende av nettsiden. Dette gjør at du kan stole på dataene dine, og kan basere dine avgjørelser på et større bilde av informasjon.

Da personlige data ikke samles inn, kan du med sikkerhet vite at du beskytter privatlivet til brukerne av dine nettsider. Dette vil være positivt for brukervennligheten av nettsidene, og ikke minst bidra positivt til bedriftens omdømme.

Da kan man være trygg på at bedriften overholder krav til personvern, såkalt “privacy compliance”. Brukerne kan slappe av, vel vitende om at du respekterer deres rettigheter og privatliv.

Respekten for privatliv som følger med overvåkning uten informasjonskapsler gjør at du ikke trenger å bekymre deg for alt bryet med informasjonskapsel-bannerne.

Da analyseløsninger bruker alternative overvåkningsmetoder uten cookies som beskytter brukerens privatliv, er det enkelt å oppfylle kravene som personvernforordningen (GDPR) stiller.

Til slutt, ved å bruke Matomo trengs ikke deling av data med noen tredjepart. Man har totalt eierskap over dataene som er samlet inn samtidig som man respekterer brukernes personvern.