Google Analytics -seuranta GDPR:n mukaiseksi – käyttäjistä käynneiksi

GDPR astui voimaan eikä internet räjähtänytkään. Nykyään vain törmäämme hieman aggressiivisempiin evästekyselyihin kuin aikaisemmin.

Haluamme tuoda tässä kirjoituksessa esiin nykytiedon ja -tulkinnan mukaisen parhaan mahdollisen käytännön toteuttaa käyttäjäseuranta niin, että se

  1. rasittaa käyttäjää mahdollisimman vähän
  2. tarjoaa yritykselle mahdollisimman paljon anonyymiä dataa jo ennen hyväksyntää
  3. on nykykäsityksen mukaan lainsäädännön mukainen

Ratkaisu on rakentaa seuranta, joka kerää Google Analyticsiin kaiken datan anonyyminä jo ennen käyttäjän hyväksyntää ja ainoastaan tarkentaa dataa käyttäjän suorittaman hyväksynnän jälkeen.

Lyhyesti

Ennen kun käyttäjä on hyväksynyt sivuston evästekäytännöt:

  1. Lähetämme Google Analyticsiin tietoa käyttäjän käyttäytymisestä sivustolla seuraavin ehdoin
    • Käyttäjän IP-osoite anonymisoidaan
    • Käyttäjän tunnistava Google Analytics -eväste asetetaan voimaan vain yhden käynnin ajaksi
  2. Käyttäjän evästetietoja ei lähetetä mihinkään mainosverkostoon

Kun käyttäjä on hyväksynyt evästekäytännöt:

  1. Lähetämme Google Analyticsiin tietoa käyttäjän käyttäytymisestä sivustolla seuraavin ehdoin
    • Käyttäjän IP-osoite lähetetään kokonaisuudessaan
    • Käyttäjän tunnistava Google Analytics -eväste asetetaan olemaan voimassa kahden vuoden ajan (oletusarvo)
  2. Käyttäjän evästetiedot jaetaan valituille mainosverkoille kohdennettua markkinointia varten

IAB:n tulkinta aiheesta on se, että sessio-tasoinen eväste ei ole käyttäjän henkilötietoa (IAB esitys GDPR:ään valmistautumisesta: sivu 4).

Tulkinnan mukaan emme saisi jättää mitään jälkeä käyttäjän selaimeen, jolla voisimme tunnistaa käyttäjän jatkossa, mutta saisimme seurata, mitä kyseinen selain tekee juuri tällä käynnillä. Tällöin emme tiedä kuka käyttäjä on tai mitä hän teki edellisellä vierailulla, mutta tiedämme miten hän käyttää sivustoa tällä kertaa ja saamme tallennettua tarvittavat tiedot verkkosivuston kehitystä varten.

Käyttäjästä anonyymiksi käynniksi

Oletusasennuksella Google Analytics kerää seuraavia käyttäjän henkilö- tai luvanvaraisia tietoja, kun mainonnan ominaisuudet on kytkettynä päälle:

  • IP-osoite (henkilötieto)
  • Selaimen ID-tunniste (henkilötieto, voimassa kaksi vuotta)
  • Lähettää käyttäjän tiedot DoubleClick mainontajärjestelmään (luvanvarainen tieto)

Haluamme muuttaa seurannan anonyymiksi kaikkien niiden henkilöiden osalta, jotka eivät ole antaneet lupaa tietojen tallentamiseen. Tämä tarkoittaa seuraavia muutoksia:

  • IP-osoite anonymisoidaan (123.456.789.123 muuttuu muotoon 123.456.789.0).
  • Selaimen ID-tunnisteen voimassaoloaika muutetaan tavanomaisesta kahdesta vuodesta 30 minuuttiin
  • Käyttäjän tietojen lähettäminen DoubleClick mainontajärjestemään estetään

Yllä mainituilla muutoksilla

  • Käyttäjää ei voida tunnistaa IP-osoitteen perusteella
  • Käyttäjän useita käyntejä sivustolla ei voida yhdistää sillä selaimen ID-tunnisteen voimassaoloaika on hyvin lyhyt
  • Emme lähetä käyttäjän tietoja kolmannen osapuolen DoubleClick-mainontajärjestelmään

Nämä muutokset tekemällä Google Analytics ei kerää mitään käyttäjän henkilö- tai luvanvaraista tietoa ja seuranta on uuden lainsäädännön mukainen.

Alla kuvattuna ehdotetun Google Analytics -seurannan logiikka erilaisissa tilanteissa:

 

 

Tekninen implementointi

Google Analytics seurannan konfigurointi Google Tag Managerilla

Kaikki Google Analytics -tagit on muutettava seuraamaan samaa rakennetta. Ensimmäiseksi on varmistettava, että kaikki tagit hyödyntävät samaa Google Analytics Settings -muuttujaa ja ettei missään tagissa ylikirjoiteta tekemiämme muutoksia.

 

 

 

 

Muutokset tullaan tekemään kaikki esimerkkikuvassa näkyvään {{GA settings – Cookie consent check}} -muuttujaan. Tämän muuttujan lisäksi meidän on lisättävä neljä muuttujaa:

  1. 1st Party Cookie: poimii selaimen välimuistiin asetetusta evästeestä tiedon onko meillä lupa seurata vai ei,
  2. Custom Javascript: muokkaa Google Analytics seurantakoodista IP-anonymisoinnin ja display-ominaisuuksien arvoja,
  3. Lookup Table: lukee 1. evästemuuttujan arvon ja muokkaa evästeen vanhenemisaikaa sen perusteella ja
  4. Lookup Table: lukee 1. evästemuuttujan arvon ja muokkaa custom dimensiona lähetettävää arvoa sen perusteella.

Ensimmäistä evästemuuttujaa emme lähetä sellaisenaan mihinkään, mutta tarvitsemme evästeeseen asetetun tiedon muiden muuttujen arvojen muokkaamisessa.

Uusien muuttujien luonti

1. 1st Party Cookie: Consent status cookie

Ensimmäisenä luomme 1st Party Cookien, johon poimitaan selaimen välimuistiin asetetusta evästeestä arvo. Evästeen nimi on täysin riippuvainen sivuston toteutuksesta, joten se pitää vaihtaa aina tapauskohtaisesti. Esimerkissä eväste saa arvoksi ”yes” aina kun kävijä on hyväksynyt ehdot.

Edellä mainittu eväste on luotava siinä vaiheessa, kun käyttäjä hyväksyy evästekäytännöt. Tässä ohjeessa ei oteta kantaa siihen, miten eväste luodaan tai millainen evästekyselyn tulisi olla. Suosittelemme keskustelemaan tästä verkkosivustosi teknisen toteuttajan kanssa.

2. Custom Javascript: Custom task

Muuttuja hyödyntää customTask-ominaisuutta, jolla määrittelemme mainonnan omainaisuudet pois käytöstä ja IP-osoitteen anonyymiksi. Ensiksi tarkistamme, onko eväste saanut arvon ”yes”. Jos on, niin lähetämme GA-tapahtuman mukana IP-osoitteen sekä evästetiedot mainosverkostolle. Jos taas evästettä ei löydy tai evästeen arvo ei ole ”yes”, lähetämme GA-tapahtuman ilman mainonnan ominaisuuksia ja peitetyllä IP-osoitteella.

[code]function(){
return function(model) {
if({{Cookie consent – Consent status cookie}} === ”yes”){}

else{
model.set(’displayFeaturesTask’, null);
model.set(’anonymizeIp’, true);
}
}
}
[/code]

3. Lookup Table: Cookie expiration time lookup

CookieExpires-määritteellä pystymme asettamaan evästeen vanhenemisajan sekunneissa. Haluamme asettaa evästeen vanhenemisajaksi:

  1. puoli tuntia (sama kuin Google Analytics session vanhenemisaika), jos kävijä ei anna lupaa seurannalle ja
  2. kaksi vuotta, jos kävijä antaa luvan.

Kaikille luvan antaneille kävijöille määritämme evästeen vanhenemiseksi kaksi vuotta (63113852 sekuntia). Kävijöille, jotka eivät ole antaneet suostumusta, asetetaan vanhenemisajaksi puoli tuntia (1800 sekuntia).

4. Lookup Table: Custom dimension lookup ja Google Analytics Custom Dimension

Lähetämme tiedon seurantaluvasta Google Analyticsiin Custom Dimensiona. Dimensioon haluamme lähettää tiedon ”no” niiden käyttäjien osalta, jotka eivät ole antaneet seurantaa ja tiedon ”yes” niiden käyttäjien osalta, jotka ovat antaneet luvan. Tätä varten meidän on luotava Lookup Table, jonka vakioarvo on ”no”.

Asetusten määrittäminen Tag Manageriin ja Google Analyticsiin

Luo Custom dimensio ja ota indeksinumero talteen

Tieto luvasta lähetetään Custom Dimensiona, jonka indeksinumero riippuu täysin GA-asetuksista. Luo ensiksi uusi käyttäjätason Custom Dimensio Google Analyticsiin ja ota sen indeksinumero talteen.

Sessioiden analysoinnin ja markkinointikohdistusten kannalta on erittäin tärkeää, että lupatieto tulee lähettää GA:han. Tällöin esim. uudelleenmarkkinointisegmentit voidaan kohdistaa vain kävijöille, jotka ovat antaneet luvan seurata heitä ja kohdistaa markkinointia heille. Myös kaikki personoinnit ja niiden toimivuus voidaan tehokkaammin analysoida segmentoimalla pois sellaiset käyttäjät, jotka eivät ole lupaa antaneet.

Google Analytics Settings muokkaaminen

Muokkaamme Google Analytics Settings-muuttujaa lisäämällä kolme edellistä muuttujaa customTask, cookieExpires ja Custom Dimension -ominaisuuksiin.

Tee asetukset kuvan alla olevan mukaisesti.

Lisää Custom Dimensions -kohdasta uusi Custom Dimension oikealle indeksinumerolleen. Tähän dimensioon lähetetään tieto käyttäjän hyväksynnän tilasta.

Näiden muutosten jälkeen seuranta toimii normaalisti luvan antaneiden käyttäjien osalta. Muiden käyttäjien osalta seuranta on hieman epätarkempaa ja mm. uusien käyttäjien määrä kasvaa. Tämä johtuu siitä, ettemme pysty tunnistamaan palaavia kävijöitä. Heillä ei ole enää selaimen välimuistissa käyttäjää identifioivaa evästetietoa.

 

Käynnin seuraamisesta käyttäjän seuraamiseen vasta luvan kanssa

Yllä olevan esimerkin mukaisesti rakennettu Google Analytics -asennus mahdollistaa käyttäytymisseurannan kaikkien käyttäjien osalta. Se ei kuitenkaan ratkaise kaikkia GDPR-säädöksen haasteita. Nyt ratkaisimme ainoastaan selaimia yksilöivän tiedon keruuseen liittyvän haasteen.

Evästeen vanhenemisen kanssa kikkaileminen mahdollistaa meille sen, ettei meidän tarvitse saada käyttäjältä heti lupaa hänen seuraamiseensa vaan meillä on koko sessio aikaa kerätä lupaa. Vasta kun lupa tulee niin muutamme seurannan sessiokohtaisesta seurannasta pidempiaikaiseksi käyttäjäseurannaksi. Myös asetukset IP-osoitteen tallentamisesta ja mainonnan ominaisuuksien hyödyntämisestä saadaan asetettua sitten kun kävijä on antanut luvan.

Voit lukea lisää GDPR-asetukseen liittyvistä haasteista kollegani Jyrin kirjoittamasta loistavasta artikkelista: GDPR – Mitä se käytännössä tarkoittaa verkkosivuston ylläpitäjän kannalta?

Aleksi Rastas

Senior Web Analyst

Jotkut kutsuvat minua analytiikkamestariksi, toiset seo-guruksi. Itse olen sitä mieltä, että haluan kehittää verkkosivuja datan perusteella. Haluan kouluttaa asiakkaita, kehittää heidän verkkoliiketoimintaansa ja rakentaa heidän kanssaan yhdessä hienoja asioita myös tulevaisuudessa.