Datatilsynet glemte å informere om egen bruk av cookies

Hjemmelaga Analytics-alternativ bruker cookies. Men det advarte ikke Datatilsynet om, før kode24 stilte spørsmål.

- Dette var ikke klart nok i erklæringen vår, innrømmer Guro Skåltveit i Datatilsynet om deres cookie-informasjon før kode24s spørsmål. Deres egne, hjemmelaga løsning bruker nemlig cookies til analyse. 📸: kode24 / Datatilsynet
- Dette var ikke klart nok i erklæringen vår, innrømmer Guro Skåltveit i Datatilsynet om deres cookie-informasjon før kode24s spørsmål. Deres egne, hjemmelaga løsning bruker nemlig cookies til analyse. 📸: kode24 / Datatilsynet Vis mer

Tidligere kunne man med noen få kodesnutter implementere Google Analytics om man ville følge med på trafikken til nettsidene sine.

I 2022 har det blitt mer komplisert, nå som Datatilsynet har gått ut og advart om at analyseverktøyet kan være ulovlig å bruke i Norge, og mange utviklere ser seg om etter trygge alternativer.

Så hvordan gjør Datatilsynet selv analyse, på sine egne nettsider? Det som bør være selve gullstandarden for alle norske utviklere?

Det viser seg at Datatilsynet har et hjemmelaga verktøy, for å være på den sikre sida.

Men det viser seg også at selv ikke personvernets høye beskyttere klarer å holde tunge helt rett i munnen når de skal innhente samtykkene.

Helt anonymt

Det var konsulentene hos Novacare som fikk jobben med å lage et analyseverktøy for Datatilsynet.no.

- Det skulle være helt anonymt. Selv om noen skulle fått tak i dataene som er lagret, skulle det være helt umulig å identifisere besøkende. I tillegg ville de eie dataene selv, og de skulle ligge i Norge, forteller utvikleren Espen Holmedal i Novacare om bestillingen.

Utvikleren Espen Holmedal i Novacare står bak analyseverktøyet. 📸: Novacare
Utvikleren Espen Holmedal i Novacare står bak analyseverktøyet. 📸: Novacare Vis mer

Løsningen ble en relativt enkel løsning de internt kaller "Gubbetelling", som gir dem unike sidevisninger, totalt antall sidevisninger, gjennomsnittlig besøkstid og fra hvilken side folk forlater nettstedet.

Applikasjonen ligger som en integrert del av nettsidene de skal analysere, som baserer seg på Episerver/Optimizely og ASP.net. Analysedataene lagres i en SQL-database, mens frontenden er bygd opp med Vue med grafer fra amCharts og datatables.net.

Brukes en cookie

For å skille gamle og nye brukere, må løsningen vite om brukeren har vært der før. Løsningen ble å bruke en sesjons-cookie med en unik ID.

- Dette er en "helt tilfeldig" verdi man får utdelt av serveren. Den er ikke knyttet til personen på noen som helst måte, og den forsvinner når man lukker nettleseren, forklarer Holmedal.

Slik ser Datatilsynets eget analyseverktøy ut i bruk. 📸: Novacare
Slik ser Datatilsynets eget analyseverktøy ut i bruk. 📸: Novacare Vis mer

Denne brukes for å generere en forespørsel-ID, ved å hashe sesjons-ID pluss nettadresse. Denne forespørsel-ID-en kan dermed søkes opp i databasen, for å se om samme bruker har vært på samme side i samme sesjon.

- I tillegg til dette har vi en tabell hvor vi midlertidig lagrer forrige forespørsel, sammen med sesjons-ID og referanse til sidevisningen. Denne fungerer som en slags oppslagstabell, og vi har nok data til å finne ut hvilken side brukeren eventuelt kom fra, og/eller gikk videre til. Med denne informasjonen kan vi også beregne hvor lenge brukeren var på siden, forteller Holmedal.

Mangla cookie-informajson

Én ting er å bevare personvernet i selve løsningen, noe annet å følge reglene om at brukerne av nettsida skal bli informert om hva slags informasjonskapsler som faktisk blir lagra og hva de brukes til.

Men da kode24 jobba med denne artikkelen, stod det ikke nevnt med ett ord i verken cookie-popupen eller i cookie-erklæringen på Datatilsynet.no at informasjonskapsler ble brukt til analyse.

- Hvorfor ikke?

- Det vi bruker er en sesjons-cookie, og i cookie-erklæringen beskriver vi hva dette er og hvordan den fungerer. Sesjons-cookien vi benytter heter "datatilsynet", og er den samme som benyttes til innlogging, forteller fungerende kommunikasjonsdirektør Guro Skåltveit i Datatilsynet til kode24.

Men Datatilsynets beskrivelse av denne i cookie-erklæringen var, før kode24s spørsmål, "Innlogging til administrasjon av publiseringsløsning" - uten å nevne analyse.

- Dette var ikke klart nok i erklæringen vår, og den er nå oppdatert, fortsetter Skåltveit.

Nå har cookien fått en stjerne ved seg, som viser til at "Denne cookien benyttes også til statistikk". På samme måte har også cookie-popupen deres blitt oppdatert fra å ikke nevne statistikk med et ord, til å fortelle at en sesjons-cookie brukes til dette.

Datatilsynets cookie-erklæring, før og etter kode24s spørsmål. 📸: Ole Petter Baugerød Stokke
Datatilsynets cookie-erklæring, før og etter kode24s spørsmål. 📸: Ole Petter Baugerød Stokke Vis mer
Datatilsynets cookie-popup, før og etter kode24s spørsmål. 📸: Ole Petter Baugerød Stokke
Datatilsynets cookie-popup, før og etter kode24s spørsmål. 📸: Ole Petter Baugerød Stokke Vis mer

Ikke å anbefale

Tilbake til utvikleren av løsningen, Holmedal, som selvfølgelig ikke er ansvarlig for hva Datatilsynet skriver på nettsidene sine.

- Alt i alt, hvor mye jobb vil du si det er å lage sitt eget analyseverktøy?

- Det skal ikke supermye til for å komme i gang, men det har blitt lagt ned en del arbeid, spesielt forbundet med sikkerhet og ytelse, svarer han.

- Bør flere vurdere å lage sine egne slike verktøy, synes du?

- Jeg tenker at svaret på det bør være nei. Selv om dette var et fantastisk gøy prosjekt å gjennomføre, så finnes det etter hvert mange alternativer til Google Analytics, som dekker de fleste behov.