Tässä kirjoituksessa arvioin sitä, onko tietosuojahaasteita kohdanneen Google Analyticsin käyttöä järkevää jatkaa verkkosivujen kävijäseurannassa vai onko tullut aika luopua siitä. Punnitsen myös etenemisvaihtoehtojen etuja ja haasteita.
Google Analytics on de facto -standardi, jonka asema horjuu nyt ensi kertaa
Google Analytics (GA) -kävijäseuranta on vuonna 2012 tapahtuneen lanseerauksensa jälkeen otettu käyttöön valtaosalla suomalaisten yritysten ja järjestöjen verkkosivuja. GA:sta tuli tässä maassa synonyymi verkkosivujen analytiikalle.
Moni suomalainen yritys ja järjestö on jo ehtinyt ottaa Google Analyticsin rinnalle toisen analytiikkatyökalun tai jopa luopunut GA:sta kokonaan
Viimeisen kahden vuoden aikana yhä useampi organisaatio on alkanut kyseenalaistamaan Google Analyticsin käyttöä ja aivan perustellusti. Useat Karhu Helsingin asiakkaat ovat ottaneet GA:n rinnalle vaihtoehtoisen analytiikkatyökalun ja muutamat ovat tehneet päätöksen luopua GA:sta kokonaan.
Tietosuojaongelmat ja GDPR horjuttavat GA:n valta-asemaa
Google Analyticsin alamäki Euroopassa alkoi, kun EU-tuomioistuin totesi laittomaksi ns. Privacy shield -sopimuksen, jonka tarkoitus oli suojata henkilödatan siirtoa USA:han. Vuonna 2018 hyväksytyn EU:n GDPR-tietosuoja-asetuksen tulkinta on, että Google Analytics kerää henkilödataa ja data voi päätyä USA:han. Sittemmin tietosuojaviranomaiset useissa EU-maissa kuten Ranskassa ja Tanskassa ottivat kriittisen kannan GA:n käyttöön.
Suomalaisyritysten silmin katsottuna GA:n alamäki jyrkkeni vuoden 2023 keväällä, kun tietosuojavaltuutetun toimisto antoi ensimmäiset huomautukset GA:n käytöstä – Helmet-kirjastoille tammikuussa ja Ilmatieteen laitokselle toukokuussa. Näiden jälkeen moni organisaatio Suomessa oli valmis vetämään piuhat irti Google Analyticsistä.
Pelastaako DPF Google Analyticsin ahdingosta?
Heinäkuussa 2023 tarinassa koettiin uusi käänne, kun EU-komissio hyväksyi ns. DPF-tietosuojakehyksen, joka suojaa henkilödatan siirtoa USA:han samaan tapaan kuin vuonna 2020 kaadettu vastaavantyyppinen Privacy Shield -sopimus. Periaatteessa DPF tuo siis ratkaisun Google Analyticsiä vaivaavaan tärkeimpään tietosuojaongelmaan.
On kuitenkin epävarmaa, selviääkö DPF EU-tuomioistuimen käsittelyssä, johon tietosuoja-aktivistit ovat ilmoittaneet sen haastavansa. Pidämme realistisena vaihtoehtona sitä, että tuomioistuin kaataa DPF:n samaan tapaan kuin sitä edeltäneen Privacy Shieldin.
Mitkä ovat Google Analyticsin vaihtoehdot?
Analytiikkamarkkinoilla on runsas määrä vaihtoehtoja, joista Matomo, Piwik Pro ja Plausible ovat herättäneet erityistä kiinnostusta Suomessa. Vertailimme analytiikkavaihtoehtoja aiemmassa Karhulla on asiaa -blogikirjoituksessa.
Matomo näyttää olevan nousemassa ainakin ensimmäisen erän voittajaksi vaihtoehtoisten analytiikkatyökalujen ottelussa Suomessa
Matomo on viime aikoina vaikuttanut nousevan suosituimmaksi vaihtoehdoksi Google Analyticsille Suomessa. Kyseessä on tietosuojaa painottava maksullinen analytiikkatuote, joka tarjoaa pääosin samankaltaista dataa kuin GA. Matomoa pidetään tietosuojanäkökulmasta olennaisesti Google Analyticsiä vahvempana. Esimerkiksi tietosuojaviranomaisten hampaisiin joutuneet Helmet ja Ilmatieteen laitos molemmat ilmoittivat siirtyvänsä käyttämään Matomoa.
Matomon etuna on myös, että kävijädataa voidaan kerätä suhteellisen luotettavasti myös ilman evästeitä. Google Analyticsin haaviin jää tietoa vain niistä kävijöistä, jotka antavat luvan seurantaevästeiden käyttöön, olettaen että verkkosivujen evästehyväksyntä toimii viranomaisvaatimusten mukaisesti.
Google Analytics on edelleen suosittu ja siihen on hyvät syyt
Valtaosa asiakkaistamme jatkaa toistaiseksi Google Analyticsin käyttöä ja on siirtynyt uuden Google Analytics 4 (GA4):n käyttäjiksi. GA4 on tietosuojan näkökulmasta edeltäjäänsä parempi, koska se ei kerää kävijöiden IP-osoitteita, jotka GDPR-asetuksessa tulkitaan henkilötiedoksi. GA4 ei kuitenkaan ole saanut eurooppalaisten tietosuojaviranomaisten siunausta – pääsyynä on edellä mainittu datan siirto USA:han.
Google Analyticsin vahvuuksia nykytilanteessa ovat
- Yhteispeli Googlen mainontatuotteiden kanssa – kun halutaan tehdä tehokasta Google-mainonnan optimointia, GA4 on ylivertainen analytiikkavalinta esim. Matomoon verrattuna
- Tuttuus – vaikka uuden GA4:n raportointinäkymät ovat edeltäjästään poikkeavia, ne näyttävät ja tuntuvat tutummilta ja turvallisemmilta kuin kokonaan uusi järjestelmä
- Maksuttomuus – käytännössä kaikki muut analytiikkatuotteet maksavat rahaa – GA4:n käyttö korvataan luovuttamalla kerätty data Googlen omaisuudeksi
- Integraatio Googlen muiden tuotteiden kanssa – GA4 on Googlen vahvan teknologiaekosysteemin ytimessä ja yhteydet esim. Google Tag Manageriin ja Looker Studioon (entinen Data Studio) ovat paremmat kuin kilpailijoilla
Seuraamatta jättäminenkin on vaihtoehto
Erään suuren yritysasiakkaamme IT-johtaja totesi pysäyttävästi: ”Kyllähän verkkosivuilta voidaan ottaa analytiikka kokonaan poiskin”. Hänen perustelunsa oli, että analytiikkaa kannattaa kerätä vain, jos sitä hyödynnetään aktiivisesti. Tässäkin näkökulmassa on järkeä.
Niinhän se on, että monessa suomalaisyrityksessä verkkosivujen arvokasta kävijädataa ei seurata ja hyödynnetä niin aktiivisesti kuin olisi tarpeen. Jos datalla ei tehdä mitään, sen kerääminen on turhaa.
Toisaalta jos dataa ei kerätä talteen tänään, sitä ei voida analysoida myöskään tulevaisuudessa, kun dataan perustuvalle päätöksenteolle tunnistetaan tarve. Jos ei muuta, näemme verkkosivujen datankeruun tärkeänä varautumisena tulevaan.
Server-side voi olla kestävä Google Analytics -ratkaisu – mutta sekään ei ole ongelmaton
Google Analyticsiä voi käyttää myös tavalla, jossa vältetään suurin GDPR-ongelma eli kävijädatan siirto USA:han. Analytiikkaa voidaan kerätä ns. server-side-toteutuksella, jossa kerätty data tallennetaan verkkosivut omistavan yrityksen omaan palvelinympäristöön EU-alueelle.
Server-side-analytiikan ratkaisussa voidaan hyödyntää GA:n älyä datan keruussa ja raportoinnissa luovuttamatta itse dataa Googlelle. Myös edut integraatioista Googlen muihin palveluihin säilyvät.
Server-side-analytiikan tietosuojaedut ovat kiistattomat. Mutta suuri kysymys kuuluu: onko mikään Google Analytics -ratkaisu tietosuojan kannalta kestävä pitkällä tähtäimellä?
Server-side-ratkaisu ei kuitenkaan ole ongelmaton. Investoinnin koko on suurin kanto kaskessa. Toteutuksen perustaminen maksaa huomattavasti enemmän kuin perusanalytiikassa. Myös ylläpitokulut ovat merkittävät, koska dataa varten tarvitaan oma palvelinympäristö tietoturvapäivityksineen ja teknisine ylläpitoineen.
Suuria kysymysmerkkejä herättää se, kuinka luotettavasti server-side-ratkaisut toimivat Googlen muuttaessa Analyticsin ominaisuuksia. GA4 on ainakin toistaiseksi ollut jatkuvassa muutoksessa. Server-side-toteutus ei myöskään poista GA:n sidonnaisuutta evästeisiin eikä järjestelmän painolastiksi kasautunutta imago-ongelmaa. Viime kädessä eniten askarruttaa kuitenkin se, täyttääkö mikään Google Analytics -pohjainen ratkaisu tulevaisuuden kotimaiset ja eurooppalaiset tietosuojavaatimukset.
Vaihtoehdot etenemiseen analytiikan kanssa, edut ja haasteet
Tässä lyhyesti näkemyksemme siitä, mitä etenemisen vaihtoehtoja on yrityksellä tai järjestöllä, joka käyttää verkkosivuillaan Google Analyticsiä.
| Edut | Haasteet | |
| 1 – Jatketaan Google Analyticsin (GA) kanssa | – Tuttu, tehokas ja monipuolinen järjestelmä – Ei uusia kuluja – Ovet pysyvät auki tuleville muutospäätöksille – Verkkokaupoille toimiva | – Tietosuojariski säilyy, joskin sanktioiden riski on pieni – Dataa saadaan vain evästeet hyväksyviltä kävijöiltä – Uuden opettelu (GA4) – GA:lle alkanut kasautua imago-ongelmaa |
| 2 – Otetaan GA:n rinnalle käyttöön vaihtoehtoinen analytiikkatyökalu | – Kaikki analytiikkamunat eivät ole samassa korissa – Voidaan vertailla kahta järjestelmää ja niiden dataa todellisessa käytössä – Dataa saadaan myös niistä kävijöistä, jotka eivät anna evästelupaa (toteutuksesta riippuen) – Otetaan tietosuoja-asioissa aktiivinen rooli seurailun sijaan | – Uusia kuluja, sekä järjestelmästä että omien ihmistenne työajasta – käytännössä kaikki vaihtoehtoiset analytiikkatyökalut ovat maksullisia – Tarpeen opetella uutta – Varmistettava, että dataa oikeasti seurataan ainakin jossain järjestelmässä |
| 3 – Jatketaan GA:n käyttöä, mutta server-side-toteutuksella | – Ratkaistaan USA-datasiirtoa koskeva GDPR-ongelma – Tuttu, tehokas ja monipuolinen järjestelmä säilyy – Otetaan tietosuoja-asioissa aktiivinen rooli seurailun sijaan | – Kustannukset, sekä perustamisesta että ylläpidosta – Voidaanko olla varmoja, että GA-toteutus ylipäätään on tietosuojan näkökulmasta tulevaisuuden kestävä? – Toteutuksen luotettavuus, kun GA kehittyy – Dataa saadaan vain evästeet hyväksyviltä kävijöiltä – GA:lle alkanut kasautua imago-ongelmaa |
| 4 – Korvataan GA vaihtoehtoisella analytiikkatyökalulla | – Otetaan tietosuoja-asioissa aktiivinen rooli seurailun sijaan – Suurella todennäköisyydellä GDPR-kestävä ratkaisu, toki toteutuksesta riippuen – Dataa saadaan myös niistä kävijöistä, jotka eivät anna evästelupaa (toteutuksesta riippuen) | – Uuden järjestelmän datankeruu alkaa nollasta ja vertailu GA-datan kanssa ei onnistu – Riski siitä, ettei uusi järjestelmä täytäkään organisaation tarpeita – Uusia kuluja, sekä järjestelmästä että omien ihmistenne työajasta – käytännössä kaikki vaihtoehtoiset analytiikkatyökalut ovat maksullisia – Tarpeen opetella uutta |
| 5 – Lopetetaan verkkosivuilla analytiikan käyttö kokonaan | – Eipähän tarvitse enää stressata analytiikasta – Otetaan tietosuoja-asioissa aktiivinen rooli seurailun sijaan – GDPR-kestävä ratkaisu, kunhan verkkosivujen tietosuoja on muiltakin osin kunnossa | – Verkkosivuja ei voi enää kehittää dataan perustuen – Historiadataa ei kerry myöskään tulevia tarpeita varten – Sisällöntuotannosta ja -päivittämisestä katoaa motivaatio: ”Lukeeko näitä kukaan?” |
Karhun suositus: Nyt kannattaa hengähtää hetkeksi
Miten edetä verkkosivujen analytiikan kanssa tässä vaihtoehtojen viidakossa? Suosituksemme on, että nyt ei kannata tehdä isoja muutoksia kiireellä.
EU-komission heinäkuussa antama vihreä valo DPF-tietosuojakehykselle todennäköisesti rauhoittaa Google Analyticsin ympärillä vellonutta tietosuojakeskustelua ainakin hetkeksi. On epätodennäköistä, että GA:n käyttö tässä tilanteessa johtaisi ainakaan taloudellisiin sanktioihin.
DPF-päätöksen jälkeen Google Analyticsin käytöstä ei tarvitse luopua tulipalokiireellä. Toisaalta USA-lähtöisten palveluiden tietosuojaan liittyy vielä epävarmuuksia. Niiden takia emme suosittele mittavia uusia järjestelmäinvestointeja, jotka sisältävät GDPR-riskiä.
DPF:n pitkäikäisyys ei kuitenkaan ole selviö, joten tässä tilanteessa varmaa on vain epävarmuus. Emme tätä kirjoitettaessa pidä välttämättömänä Google Analyticsistä luopumista. Toisaalta suosittelemme välttämään uusia suuria investointeja analytiikkaratkaisuihin, joissa on GDPR-riskiä. Google Analyticsin rinnalla on perusteltua testata vaihtoehtoista analytiikkatuotetta, mikäli se onnistuu maltillisin kustannuksin. Suosituksemme on siis edetä aiemmin tässä kirjoituksessa mainitun listan vaihtoehdoilla 1 tai 2.
Lisäksi on tärkeää varmistaa, että mikä tahansa verkkosivujen analytiikka toimii evästeasetusten kanssa yhteen oikealla tavalla ja kävijän yksityisyyttä kunnioittaen.
Tilaa Karhun uutiskirje – pysyt pinnalla, kun tietosuojapuhuri tuivertaa
Jatkamme tiiviisti verkkosivujen analytiikkaa ja tietosuojaa koskevien käänteiden seurantaa. Kun tilaat Karhulla on asiaa -uutiskirjeemme alla näkyvällä lomakkeella, pysyt uusimmista juonenkäänteistä ajan tasalla.
