Title: Bruk Google Analytics og del besøkendes oppførsel med Google, svensk og USAs etterretningstjeneste Tags: norsk, Date: 2013-03-27 09:50

For noen uker siden fant Datatilsynet ut at det var OK for offentlige etater å bruke Google Analytics for å få statistikk over bruken av sine nettsider, så sant Google på mottakersiden anonymiserte IP-adressene og ikke bruke informasjonen til annet en analyseformål. Det syntes jeg var en merkelig konklusjon, når en vet hva bruk av Google Analytics vil føre til av nett-trafikk. For å oppsummere, så innebærer bruk av Google Analytics på et nettsted at alle nettsider får en referanse til en fil hos Google (http://www.google-analytics.com/ga.js), som hentes ned fra Google av nettlesere med JavaScript-støtte når en side på nettstedet vises frem. De aller fleste bruker nettlesere med JavaScript-støtte, så dette gjelder de aller fleste brukere. Filen som hentes ned er et program som kjøres i nettleseren hos brukeren, og informasjon om brukerens nettleser sendes inn til Google for analyse via Google Analytics. Det går altså trafikk til Google to ganger for hver side som besøkes, en gang for å hente JavaScript-programmet og en gang for å sende inn informasjon om brukeren til Google Analytics. Begge tilfellene inneholder IP-adressen til brukeren. I tillegg sendes det med informasjon om hvilken nettside brukeren besøkte, først ved hjelp av Referer-informasjon når JavaScript-programmet hentes, og direkte i henvendelsen når Google Analytics oppdateres. For norske brukere, går det dermed trafikk fra Norge til USA to ganger når en besøker en side hos et nettsted som bruker Google Analytics. Det meste av trafikk fra Norge til utlandet går via Sverige, og all trafikk fra Norge til USA passerer USAs grense. Trafikk til Google må ikke nødvendigvis gå til USA, da Google har datamaskinhaller også i andre deler av verden. Google kan dog kontrollere hvor trafikken går ved hjelp av DNS-oppdateringer. - avtale med google - ignorerer FRA-loven - ignorerer PATRIOT act og XX-loven - trafikk sendes fra brukertil google,og alle på veien kan snappe opp brukerens besøk. - hvem bruker Google Analytics i dag 1) 2) Hvordan påvirket FRA-loven og FISAAA-loven vurderingen av Google Analytics? To: postkasse@datatilsynet.no Date: Sat, 02 Mar 2013 08:12:42 +0100 Hei. Jeg lurer på en ting rundt vurderingen om bruken av Google Analytics i det offentlige. I følge har dere "konkludert med at Skatteetaten og Lånekassen i tilstrekkelig grad vet hvordan Google håndterer IP-adresser i analyseverktøyet Google analytics. Opplysningene anonymiseres og brukes ikke til annet enn analyseformål." Men det står ingenting om hvordan dere har vurdert det faktum av det meste eller all trafikk mellom norske brukere av Skatteetaten og Lånekassen må gå via Sverige på tur mot Google når brukernes nettlesere henter ned javascript-koden som tregs for å få Google Analytics og laster opp IP-adressen til Google, og dermed må passere Sverige der en med bakgrunn i den svenske FRA-loven kan gå ut ifra at svensk overvåkningspoliti samler inn informasjon om hvilke IP-adresser som har besøkt norske nettsteder som bruker Google Analytics. Dette er jo uavhengig av hva slags rutiner Google har. Se for en artikkel om FRA-loven. Det står heller ingenting om hvordan dere vurderer muligheten for at den samme trafikken vil gå inn og ut av USA når det skal hentes fra Google og sendes IP-adresser til Google, der FISAAA-loven gjør at USAs etterretningsorganisasjoner tilsvarende kan samle inn den samme informasjonen om hvilke IP-adresser som har besøkt norske nettsteder som bruker Google Analytics. Se for en artikkel om FISAAA-loven. Hvordan påvirket det at Sveriges og USAs etteretningsorganisasjoner får tilgang til hvem som besøker norske nettsteder når disse bruker Google Analytics vurderingen til Datatilsynet? [ 3-line signature. Click/Enter to show. ] -- Happy hacking Petter Reinholdtsen