blog/draft/2013-03-28-google-analytics.txt

   1 Title: Bruk Google Analytics og del besøkendes oppførsel med Google, svensk og USAs etterretningstjeneste
   2 Tags: norsk,
   3 Date: 2013-03-27 09:50
   4
   5 <p>For noen uker siden fant Datatilsynet ut at det var OK for
   6 offentlige etater å bruke Google Analytics for å få statistikk over
   7 bruken av sine nettsider, så sant Google på mottakersiden anonymiserte
   8 IP-adressene og ikke bruke informasjonen til annet en analyseformål.
   9 Det syntes jeg var en merkelig konklusjon, når en vet hva bruk av
  10 Google Analytics vil føre til av nett-trafikk.
  11
  12 For å oppsummere, så innebærer bruk av Google Analytics på et nettsted
  13 at alle nettsider får en referanse til en fil hos Google
  14 (http://www.google-analytics.com/ga.js), som hentes ned fra Google av
  15 nettlesere med JavaScript-støtte når en side på nettstedet vises frem.
  16 De aller fleste bruker nettlesere med JavaScript-støtte, så dette
  17 gjelder de aller fleste brukere.  Filen som hentes ned er et program
  18 som kjøres i nettleseren hos brukeren, og informasjon om brukerens
  19 nettleser sendes inn til Google for analyse via Google Analytics.  Det
  20 går altså trafikk til Google to ganger for hver side som besøkes, en
  21 gang for å hente JavaScript-programmet og en gang for å sende inn
  22 informasjon om brukeren til Google Analytics.  Begge tilfellene
  23 inneholder IP-adressen til brukeren.  I tillegg sendes det med
  24 informasjon om hvilken nettside brukeren besøkte, først ved hjelp av
  25 Referer-informasjon når JavaScript-programmet hentes, og direkte i
  26 henvendelsen når Google Analytics oppdateres.
  27
  28 For norske brukere, går det dermed trafikk fra Norge til USA to ganger
  29 når en besøker en side hos et nettsted som bruker Google Analytics.
  30 Det meste av trafikk fra Norge til utlandet går via Sverige, og all
  31 trafikk fra Norge til USA passerer USAs grense.  Trafikk til Google må
  32 ikke nødvendigvis gå til USA, da Google har datamaskinhaller også i
  33 andre deler av verden.  Google kan dog kontrollere hvor trafikken går
  34 ved hjelp av DNS-oppdateringer.
  35
  36 - avtale med google
  37 - ignorerer FRA-loven
  38 - ignorerer PATRIOT act og XX-loven
  39
  40 - trafikk sendes fra brukertil google,og alle på veien kan snappe opp
  41   brukerens besøk.
  42  - hvem bruker Google Analytics i dag
  43
  44
  45
  46    1) <URL:http://www.datatilsynet.no/Nyheter/2012/Mener-at-bruk-av-Google-Analytics-er-lovstridig-/>
  47    2) <URL: http://www.uio.no/tjenester/it/web/statistikk/google-analytics.html >
  48
  49
  50 Hvordan påvirket FRA-loven og FISAAA-loven vurderingen av Google Analytics?
  51 To: postkasse@datatilsynet.no
  52 Date: Sat, 02 Mar 2013 08:12:42 +0100
  53
  54
  55 Hei.  Jeg lurer på en ting rundt vurderingen om bruken av Google
  56 Analytics i det offentlige.  I følge
  57 <URL: http://www.datatilsynet.no/Nyheter/2013/Aksepterer-bruk-av-Google-analytics/ >
  58 har dere "konkludert med at Skatteetaten og Lånekassen i tilstrekkelig
  59 grad vet hvordan Google håndterer IP-adresser i analyseverktøyet Google
  60 analytics. Opplysningene anonymiseres og brukes ikke til annet enn
  61 analyseformål."
  62
  63 Men det står ingenting om hvordan dere har vurdert det faktum av det
  64 meste eller all trafikk mellom norske brukere av Skatteetaten og
  65 Lånekassen må gå via Sverige på tur mot Google når brukernes nettlesere
  66 henter ned javascript-koden som tregs for å få Google Analytics og
  67 laster opp IP-adressen til Google, og dermed må passere Sverige der en
  68 med bakgrunn i den svenske FRA-loven kan gå ut ifra at svensk
  69 overvåkningspoliti samler inn informasjon om hvilke IP-adresser som har
  70 besøkt norske nettsteder som bruker Google Analytics.  Dette er jo
  71 uavhengig av hva slags rutiner Google har.  Se
  72 <URL: http://www.digi.no/907045/svensk-politi-faar-drive-datasnoking >
  73 for en artikkel om FRA-loven.
  74
  75 Det står heller ingenting om hvordan dere vurderer muligheten for at den
  76 samme trafikken vil gå inn og ut av USA når det skal hentes fra Google
  77 og sendes IP-adresser til Google, der FISAAA-loven gjør at USAs
  78 etterretningsorganisasjoner tilsvarende kan samle inn den samme
  79 informasjonen om hvilke IP-adresser som har besøkt norske nettsteder som
  80 bruker Google Analytics.  Se
  81 <URL: http://www.dagensit.no/article2554356.ece > for en artikkel om
  82 FISAAA-loven.
  83
  84 Hvordan påvirket det at Sveriges og USAs etteretningsorganisasjoner får
  85 tilgang til hvem som besøker norske nettsteder når disse bruker Google
  86 Analytics vurderingen til Datatilsynet?
  87
  88 [ 3-line signature. Click/Enter to show. ]
  89 --
  90 Happy hacking
  91 Petter Reinholdtsen