blog/draft/2013-03-28-google-analytics.txt

   1 Title: Bruk Google Analytics og del besøkendes oppførsel med Google, svensk og USAs etterretningstjeneste
   2 Tags: norsk,
   3 Date: 2013-03-27 09:50
   4
   5 <p>For noen uker siden fant Datatilsynet ut at det var OK for
   6 offentlige etater å bruke Google Analytics for å få statistikk over
   7 bruken av sine nettsider, så sant Google på mottakersiden anonymiserte
   8 IP-adressene og ikke bruke informasjonen til annet en analyseformål.
   9 Det syntes jeg var en merkelig konklusjon, når en vet hvordan bruk av
  10 Google Analytics vil føre til at innbyggernes bruksmønster lekker også
  11 til andre enn Google.  Spesifikt vil USAs og Sveriges
  12 etterretningsvesen også få tilgang til bruksmønsteret.</p>
  13
  14 Her er en rask oppsummering, for å forstå hva jeg mener.  Bruk av
  15 Google Analytiks på et nettsted innebærer at alle nettsider får en
  16 referanse til en fil hos Google
  17 (http://www.google-analytics.com/ga.js), som og denne filen hentes ned
  18 fra Google av nettlesere med JavaScript-støtte når en side på
  19 nettstedet vises frem.  De aller fleste bruker nettlesere med
  20 JavaScript-støtte, så dette gjelder de aller fleste brukere.  Filen
  21 som hentes ned er et program som kjøres i nettleseren hos brukeren, og
  22 informasjon om brukerens nettleser sendes inn til Google for analyse
  23 via Google Analytics.  Det går altså trafikk fra innbyggeren til
  24 Google to ganger for første side som besøkes, en gang for å hente
  25 JavaScript-programmet og en gang for å sende inn informasjon om
  26 brukeren til Google Analytics.  For påfølgende sider går det kun
  27 trafikk en gang, da filen kun hentes ned første gang den tregs.  Begge
  28 gangene det går trafikk til Google vil trafikken inneholde IP-adressen
  29 til innbyggeren.  I tillegg sendes det med informasjon om hvilken
  30 nettside brukeren besøkte, først ved hjelp av Referer-informasjon når
  31 JavaScript-programmet hentes, og direkte i henvendelsen når Google
  32 Analytics oppdateres.
  33
  34 <p>Jeg har ikke oversikt over hvor alle Googles tjenermaskiner
  35 befinner seg, men Google kan hvis de ønsker det plassere alle de
  36 tjenermaskinene som brukes av Google Analytics i USA.  For norske
  37 brukere, kan det dermed gå trafikk fra Norge til utlandet minst en og
  38 gjerne flere ganger når en besøker en side hos et nettsted som bruker Google
  39 Analytics.  En stikkprøve mens jeg skrev denne teksten viste at
  40 tjeneren min nettleser skulle snakke med for å sende informasjon til
  41 Google analytics var i USA.  Det meste (all?) av trafikk fra Norge til
  42 utlandet går via Sverige, og all trafikk fra Norge til USA passerer
  43 USAs grense.
  44
  45 <p>I følge den svenske FRA-loven, har svensk
  46 signaletterretningstjeneste lov til å snappe opp og analysere all
  47 trafikk som passerer de svenske grensene.  De trenger ikke
  48 rettskjennelse eller annen godkjenning, og det er allment akseptert i
  49 IT-kretser at slik analyse skjer i dag.  En kan dermed gå ut ifra at
  50 alle norske innbyggere som besøker et nettsted som bruker Google
  51 Analytics også holder svensk signaletterretningstjeneste orientert om
  52 hvilke nettsider de ser på.</p>
  53
  54 <p>I følge PATRIOT-loven og FISAAA-loven i USA har
  55 etterretningsorganisasjonen også der lov til å snappe opp all trafikk
  56 som passerer USAs grenser (der har de vel sagt at all kommunikasjon
  57 som involverer folk uten statsborgerskap i USA).  De trenger heller
  58 ikke der rettskjennelse eller annen godkjenning, og det er allment
  59 akseptert i IT-kretser at slik analyse skjer i dag.  En kan dermed
  60 også gå ut fra at USAs etterretning er orientert om norske innbyggeres
  61 bruk av nettsteder som bruker Google Analytics.</p>
  62
  63 <p>I tillegg til disse landene passerer trafikk på vei mot Google
  64 Analytics i dag Danmark og Nederland.  Hvorvidt disse snapper opp og
  65 analyserer trafikken som passerer grensene er ikke alment kjent.
  66
  67
  68 og fra norske innbyggere som
  69
  70 - avtale med google
  71 - ignorerer FRA-loven
  72 - ignorerer PATRIOT act og XX-loven
  73
  74 - trafikk sendes fra brukertil google,og alle på veien kan snappe opp
  75   brukerens besøk.
  76  - hvem bruker Google Analytics i dag
  77
  78
  79 <URL: http://www.dagensit.no/article2554356.ece > for en artikkel om
  80
  81    1) <URL:http://www.datatilsynet.no/Nyheter/2012/Mener-at-bruk-av-Google-Analytics-er-lovstridig-/>
  82    2) <URL: http://www.uio.no/tjenester/it/web/statistikk/google-analytics.html >
  83
  84
  85 Hvordan påvirket FRA-loven og FISAAA-loven vurderingen av Google Analytics?
  86 To: postkasse@datatilsynet.no
  87 Date: Sat, 02 Mar 2013 08:12:42 +0100
  88
  89
  90 Hei.  Jeg lurer på en ting rundt vurderingen om bruken av Google
  91 Analytics i det offentlige.  I følge
  92 <URL: http://www.datatilsynet.no/Nyheter/2013/Aksepterer-bruk-av-Google-analytics/ >
  93 har dere "konkludert med at Skatteetaten og Lånekassen i tilstrekkelig
  94 grad vet hvordan Google håndterer IP-adresser i analyseverktøyet Google
  95 analytics. Opplysningene anonymiseres og brukes ikke til annet enn
  96 analyseformål."
  97
  98 Men det står ingenting om hvordan dere har vurdert det faktum av det
  99 meste eller all trafikk mellom norske brukere av Skatteetaten og
 100 Lånekassen må gå via Sverige på tur mot Google når brukernes nettlesere
 101 henter ned javascript-koden som tregs for å få Google Analytics og
 102 laster opp IP-adressen til Google, og dermed må passere Sverige der en
 103 med bakgrunn i den svenske FRA-loven kan gå ut ifra at svensk
 104 overvåkningspoliti samler inn informasjon om hvilke IP-adresser som har
 105 besøkt norske nettsteder som bruker Google Analytics.  Dette er jo
 106 uavhengig av hva slags rutiner Google har.  Se
 107 <URL: http://www.digi.no/907045/svensk-politi-faar-drive-datasnoking >
 108 for en artikkel om FRA-loven.
 109
 110 Det står heller ingenting om hvordan dere vurderer muligheten for at den
 111 samme trafikken vil gå inn og ut av USA når det skal hentes fra Google
 112 og sendes IP-adresser til Google, der FISAAA-loven gjør at USAs
 113 etterretningsorganisasjoner tilsvarende kan samle inn den samme
 114 informasjonen om hvilke IP-adresser som har besøkt norske nettsteder som
 115 bruker Google Analytics.  Se
 116 <URL: http://www.dagensit.no/article2554356.ece > for en artikkel om
 117 FISAAA-loven.
 118
 119 Hvordan påvirket det at Sveriges og USAs etteretningsorganisasjoner får
 120 tilgang til hvem som besøker norske nettsteder når disse bruker Google
 121 Analytics vurderingen til Datatilsynet?
 122
 123 [ 3-line signature. Click/Enter to show. ]
 124 --
 125 Happy hacking
 126 Petter Reinholdtsen
 127
 128 https://theintercept.com/2017/03/03/the-governments-privacy-watchdog-is-basically-dead-emails-reveal/
 129
 130 - juridiske problemer med vurderingene?