Google Analytics, banker, säkerhet och integritet
Törs banker använda Google Analytics?
Brian Clifton, tidigare anställd på Google, jämför data med pengar i den mening att information har ett värde. Han har som de flesta vet rätt. Men information har inte bara att värde för den som besitter den, den kan också skapa enorma förluster för vederbörande. Det tar lång tid att bygga upp något som är bra, men väldigt lite tid för att rasera det.
Historien har gång på gång visat att företag som inte anpassar sig efter marknadssituationen och som inte lyssnar på, och vårdar, sina kunder går under. Google har inte råd att slarva med hanteringen av data. Det finns knappast någon på Google som inte är livrädd för den typ av backlash som drabbade AOL 2006.
Google hanterar enorma mängder data, inte bara för att tillhandahålla sökmotorn utan för alla de mängder av kringtjänster som de erbjuder. Om det är något de har erfarenhet av så är det att hantera data.
Deras säkerhetsfilosofi är också lugnande: ”Som leverantör av såväl programvara som finansiella och andra tjänster, till både användare, annonsörer och publicister på Internet, känner vi ett ansvar för att skydda din sekretess och säkerhet. Vi inser att säkra produkter är en förutsättning för att vi ska kunna upprätthålla det förtroende du visar oss..”
Googles storlek gör att den säkerhet som erbjuds till stora företagskunder även erbjuds till individer. Precis som att man i bankvärlden tillhandahåller samma säkerhet för alla bankkonton gör Google det för användarkonton. Om någon lyckas hacka sig in på en privatpersons bankkonto och överföra så lite som en hundralapp kan det orsaka en mediastorm som skadar bankens anseende vilket skulle leda till att både privatpersoner och företag byter bank.
Därför är kontosäkerhet viktigt både för banker och för Google. I bankernas fall för hantering av pengar. I Googles fall för hantering av data.
Törs då en bank använda Google Analytics? Det är upp till varje bank att avgöra själv, men jag har inte hittat något bevis för att Googles datahantering skulle vara osäkrare än t.ex. Webtrends eller Omnitures SaaS-lösningar.
Några exempel på banker som just nu använder Google Analytics:
GE Money Bank
Bank2
ICA Banken
Avanza Bank
Forex Bank
Carnegie
Volvo Finans
Ålandsbanken
Resurs Bank
Lloyds Banking Group
Northern Rock
Sekretess och integritet
Angående sekretess finns följande att läsa i användningsvillkoren för Google Analytics: ”Ingen Part skall använda eller lämna ut den andra Partens Konfidentiella Information utan den andra Parten föregående skriftliga samtycke förutom om syftet är att fullgöra skyldigheter under Avtalet eller om det krävs enligt lag, föreskrift eller domstolsbeslut. En Part som är tvingad att lämna ut Konfidentiell Information skall meddela den andra Parten i den utsträckning det är praktiskt möjligt innan informationen lämnas ut. Vid Avtalets upphörande skall Parterna (utöver regleringen i punkt 14 nedan) omgående antingen återlämna eller förstöra all Konfidentiell Information och, på begäran, skriftligt intyga att så har gjorts.”
Avseende integritet kan följande utläsas av villkoren: ”Ni får inte sammankoppla (eller låta tredje part sammankoppla) uppgifter insamlade från Er/-a Webbsida/-or (eller webbsida som tillhör sådan tredje part) med några personuppgifter, oavsett varifrån de hämtats, som en del av Er användning (eller sådan tredje parts användning) av Tjänsten. Ni skall agera i förenlighet med tillämplig personuppgiftslagstiftning som har samband med Er användning av Tjänsten och insamlingen av uppgifter från besökare på Era Webbsidor. Ni skall på Er webbplats ha (och följa) en väl synlig och lämplig integritetspolicy.”
Det innebär alltså att ni inte får spara personuppgifter i Google Analytics. Det minimerar risken både för er och Google om någon, mot all förmodan och trots stora säkerhetsåtgärder, skulle komma åt ert konto.
Frågan är om det verkligen är viktigt att spåra individer genom webbanalys? De företag som vill spåra vad just Sven Svensson gör ska inte välja Google Analytics. De företag som däremot nöjer sig med att spåra beteende för olika segment av användare (t.ex. inloggade vs. inte inloggade eller kunder vs. inte kunder) kan använda Google Analytics.
Jag vet inte om det är känslomässiga och irrationella tankar som får en del företag att inte våga använda Google Analytics eller om det är feltolkning av användningsvillkoren. Det står att Google och dess helägda dotterbolag får ”använda information som insamlats vid Er användning av Tjänsten (inklusive men inte begränsat till Kunduppgifter) i syfte att tillhandahålla webbanalyser och spårningstjänster till Er”.
Ja, det är väl inte konstigare än att det vore omöjligt att kunna erbjuda analysmöjligheter utan att spara och processa data. Rätt logiskt egentligen. Detsamma gäller ju alla andra SaaS-lösningar.
Det är också värt att notera att ”Google kommer inte att dela med sig av sådan information med tredje part såvida Google inte (i) har Ert samtycke; (ii) anser att det krävs enligt lag eller har anledning att tro att sådant utlämnande skäligen krävs för att försvara Googles, dess användares eller allmänhetens rättigheter, egendom eller säkerhet; eller (iii) tillhandahåller sådan information till tredje parter i vissa begränsade fall för utförande av uppgifter för Googles räkning (t.ex. fakturering eller lagring av data) med strikta restriktioner som förhindrar att uppgifterna används eller sprids utöver vad Google anvisat.”
Jag kan inte se det som hotfullt. Snarare som att Googles hantering av webbanalysdata är rimlig.
Google har vidare 5 sekretessprinciper som gäller alla deras produkter, de:
- Använder information för att skapa bra tjänster och produkter för sina användare.
- Utvecklar säkra produkter som skyddar sekretessen.
- Ser till att det är tydligt hur personlig information samlas in.
- Ger sina användare möjlighet att fatta beslut om hur sekretessen skyddas.
- Förvaltar informationen de har tillgång till på ett ansvarsfullt sätt.
Googles allmänna sekretesspolicy säger följande:
”Vi vidtar nödvändiga säkerhetsåtgärder för att skydda information mot obehörig åtkomst, ändring, yppande och förstörelse. Detta inkluderar intern granskning av våra rutiner för insamling, lagring och bearbetning av data samt fysiska säkerhetsåtgärder i syfte att skydda mot obehörig åtkomst till system där personuppgifter lagras. Vi begränsar åtkomst till personuppgifter till Googles anställda, leverantörer och agenter som behöver uppgifterna för att kunna driva, utveckla och förbättra våra tjänster. Dessa personer är bundna av åtaganden beträffande behandling av personuppgifter och kan straffas med disciplinåtgärder, inklusive uppsägning och åtal, om de inte följer reglerna.”
Det går att aktivera anonym datadelning i Google Analytics. Det kräver dock en aktiv handling från kontoägaren för att så skall ske. Om du väljer att dela med dig av webbplatsuppgifter anonymt, vilket inte på något sätt är obligatoriskt, tar Google bort alla uppgifter som gör det möjligt att identifiera din webbplats. Det du får om du aktiverar denna funktion är möjligheten att jämföra hur din webbplats presterar i jämförelse med andra webbplatser av samma storlek eller i samma bransch.
Benchmark-rapporten jämför antal besök, antal sidvisningar, avvisningsfrekvens, genomsnittlig tid på webbplats, antal sidor per besök och andelen nya besök.
Eftersom det finns en massa okända variabler som påverkar hur väl andras webbplatser presterar (kvaliteten på den trafik de driver, deras målgrupp, varumärkesposition, medial påverkan, etc.) är det ingen förlust att låta bli att aktivera funktionen. Den är i och för sig harmlös, men ger heller inte så mycket.
Summering
Spelar det egentligen någon roll vilka individer på Google som har tillgång till din data? Kanske, men inte i större utsträckning än det spelar roll vilka individer på en bank som kan se hur mycket pengar du har. Om du litar på att banken för att lagra dina pengar litar du indirekt på dess processer, kontrollsystem och anställda. Samma princip borde gälla för hantering av data, oavsett om den lagras på Googles, Yahoos, Webtrends, Omnitures, eller någon annans servrar. Såväl Brian Clifton som Jim Sterne har påtalat det och jag kan inte annat än instämma.
Möjligheten att lagra sin data på sin egen server finns alltid likväl som möjligheten att spara pengar i madrassen (eller i ett egenägt kassaskåp) istället för på ett bankkonto. Men vad är egentligen säkrast?
Det är också intressant att notera att självaste Datainspektionen använder Google Analytics. Det måste ändå tolkas som att de känner sig trygga med Googles hantering av data.
Om du fortfarande tvekar kring Googles hantering av data och integritetsfrågor kan du ställa din fråga direkt till dem.
Säkerhet och sekretess är ju förstås bara en av många andra aspekter. För så avancerade tjänster som internetbanker hoppas jag verkligen att de kör ett specialanpassat statistikverktyg. Det finns ju massor med avgörande information som man aldrig skulle få ut ur ett allmänt verktyg som GA. Automatisk flaggning av intrångsförsök eller manipulation, differentiering efter typ av kund eller kundegenskaper för att ta några exempel. För att inte tala om omaket med flera timmars fördröjning i rapporteringen som GA fortfarande dras med.
Givetvis kan man lägga på GA på de externa sidorna för att mäta kampanjer, landningssidor, copy mm. GA gör ju det dessutom enkelt att släppa in marknadsavdelningen, SEO-konsulter och webbyråer på den delen av statistiken som är relevant för deras arbete.
Tack för kommentaren, Marcus!
Inget verktyg för webbanalys ersätter vare sig affärssystem eller CRM-system.
Att analysera data om beteende i realtid är oftast överkurs för svenska företag. Många rapporterar på vecko- eller månadsbasis.
Intrångsförsök mäts inte bäst i något webbanalysverktyg.
Varför inte, som du är inne på, köra Google Analytics som bas och sedan lägga pengar på exakt den komplettering som är nödvändig. Problemet är att företag automatiskt tror att dyrare är bättre och att Google inte hanterar data på ett seriöst sätt.
Det allra bästa är dock att företag gör ett gediget KPI-arbete baserat på affärsmål och sedan väljer det verktyg som täcker upp exakt deras behov. Många förblindas annars av onödig funktionalitet och säljarnas retorik.
Är inte exakt med på vad du menar med differentiering av baserat på typ av kund och kundegenskaper. Tänker du innehåll eller analys? Det går att skicka in egendefinierade variabler i Google Analytics för att mäta olika kundgrupper och kundegenskaper som egna segment.
På gratissidan finns också det mycket kompetenta Yahoo! Web Analytics. Det har dock betydligt färre användare än Google Analytics och färre auktoriserade konsulter.
Jag rekommenderar även denna läsning: http://utvbloggen.se/javascript-och-sakerhet/ där jag påpekar att extern JavaScript hos exempelvis banker är en säkerhetsrisk.
Jonas, många svenska banker kör Omniture SiteCatalyst och Webtrends med just JavaScript för datainsamling.
Omniture SiteCatalyst, Webtrends Analytics och Google Analytics är endast till för webbanalys och inte för att presentera olika innehåll vilket AudienceScience är, som du skrivit om.
ah-ha, so I finally tracked down where my spike in visitor traffic from Sweden was coming from…! Thanks for the reference Lars – nice article.
My take on this is that if an organisation has an issue with sharing their web visitor data with a third-party, no problem – use an internal (server-side) tool rather than software as a service. As we have both pointed out, it doesn’t make sense to single out Google.
BTW, there are quite a few banks to my knowledge using GA. The following are taken from http://www.advanced-web-metrics.com/blog/2007/07/14/who-uses-google-analytics/:
European Central Bank
Bank of England
Alliance & Leicester (UK)
Yorkshire Bank (UK)
Abbey (UK)
ABN-AMRO
Thanks for your comment, Brian.
Cool about the European Central Bank. Especially considering the seemingly common German take on GA.
http://webbanalys.nu/achtung-tyskarna-och-google-analytics/
Som tidigare nämnts är det ju skillnad på om GA används i internetbanken eller på de öppna sidorna. Av egen erfarenhet vet jag att minst en av bankerna använder GA endast på de öppna sidorna och ett annat verktyg som ligger på de egna servrarna för internetbanken.
Absolut. Rent tekniskt går det att mäta trafik även på inloggade sidor med GA. Viktigt är dock att tänka på att inte skicka med känsliga uppgifter i sidnamn eller sidtitlar. Personuppgifter får som sagt var dock aldrig lagras i GA och det kommer aldrig heller ske om man inte medvetet (och mot vilkoren) trycker in det.
Om man vill mäta inloggade sidor med ett egeninstallerat verktyg finns det en drös att välja mellan, t.ex. Urchin.
Problemet är att många köper en Hummer men kör den som om det vore en Cooper Mini.
Noterar att US federal General Services Administration (GSA) nu har godkänt Google Analytics för att listas på apps.gov som är en webbplats där myndigheter kan hitta godkända lösningar i molnet. Det är rätt anmärkningsvärt med tanke på de tuffa regler amerikanska myndigheter brukar sätta upp.