TL;DR: Web-analytiikkajärjestelmän vaihdon sijaan kustannustehokkaasti ja helposti toteutettava server-side tägitysratkaisu mahdollistaa yksityisyydensuojaa kunnioittavan seurantatoteutuksen kokonaisvaltaisesti: niin käytetyn web-analytiikkajärjestelmän kuin mainonnanhallintajärjestelmienkin osin.
Päättyvän vuoden 2023 aikana on asiakasyrityksissämme OIKIOlla käynnistynyt useita keskusteluja web-analytiikkajärjestelmän vaihtamiseksi, ja muutamat ovat edenneet jo toteutusasteellekin. Käytännössä Googlen GA4 on nähty riskinä, ja järjestelmästä toiseen siirtyminen on koettu kokonaiskustannuksiltaan paremmaksi vaihtoehdoksi.
Taustalla on ymmärrettävästi tietosuojavaltuutetun antamista huomautuksista ja ennakkopäätöksistä syntynyt huoli. Vuoden 2023 ensimmäisellä puoliskolla oli useita tapauksia tapetilla, ja eritoten Ilmatieteenlaitokselle 05/2023 annettu huomautus Google Analyticsin käytöstä on varmasti toiminut laukaisevana tekijänä useassa sisäisessä keskustelussa.
Nykyisin Google kuuluu niiden yhdysvaltalaisten yritysten piiriin, joille voi turvallisesti siirtää EU:sta dataa. EU:n viimeisimmässä päätöksessä 10.7.2023 määritettiin, että suhteessa EU:n omiin turvastandardeihin, EU-US Data Privacy Frameworkiin osallistuvat yhdysvaltalaisyritykset varmistavat riittävän suojauksen tason henkilödatan siirrolle. Google on yksi näistä listalla olevista yrityksistä, ja näin ollen myös Google Analytics 4:n käyttö on tätä nykyä täysin sallittua ja lain mukaista.
GA4:n vaihdolle ei siis laillisuusnäkökulmasta ole enää painavia perusteita. Taustalla saattaa olla kuitenkin myös muita syitä miksi aloitettuja keskusteluja ja projekteja halutaan GA4:n sallittuudesta huolimatta edistää. GA4 ja sen riisuttu käyttöliittymä ovat tuoneet mukanaan pakotetun tarpeen melko laajamittaiselle datavarastotyölle, jotta sivustoseurantadata saadaan visualisoitua ja analysoitua samaan tapaan kuin se oli vielä vanhassa Universal Analyticsissa (UA) mahdollista. Tämä on saattanut vaikuttaa monelle markkinointiosastolle hankalalta ja parhaimmillaankin downgreidaukselta suhteessa aiempaan. Moni muisteleekin lämmöllä UA:n helposti lähestyttävää käyttöliittymää, ja esimerkiksi Piwik Pro, jonka käyttöliittymä muistuttaa varsin vahvasti Universal Analyticsia, näyttäytyy varsin houkuttelevana vaihtoehtona GA4:lle.
Heikko yksityisyydensuoja ei korjaannu järjestelmävaihdoksella
On huomionarvoista, että yksityisyydensuojaan liittyvät ongelmat eivät kuitenkaan poistu web-analytiikkajärjestelmää vaihtamalla. Apulaistietosuojavaltuutetun huomautukset ja ennakkopäätökset ovat koskeneet valtaosin nimenomaan tietosuojarikkomuksia: tietoja on kerätty luvatta tai väärin perustein, kuten esimerkiksi Helmet-kirjastojen tapauksessa.
Kerrataanpa tarkemmin mikä oikeastaan on tällä hetkellä laitonta:
- Tietoja siirretään Euroopasta Yhdysvaltoihin sellaisille yrityksille, jotka eivät kuulu turvalliseksi listattuihin (10.7.2023 alkaen)
- Tietoja kerätään ilman käyttäjän yksiselitteistä suostumusta
- Kerätään henkilöivää tietoa (PII-dataa, Personally Identifiable Information)
- Kerätään tietoja niin tarkasti, että yksittäisen käyttäjän tunnistaminen onnistuu ei-henkilöivistä tiedoista huolimatta
Toisin sanoen, web-analytiikkajärjestelmän vaihto ei pelasta mikäli sivustoseuranta on toteutettu väärin. Sivustoseuranta saattaa olla lainvastainen huolimatta siitä onko web-analytiikkajärjestelmänä käytössä GA4, Piwik Pro vai Adobe, yhdysvaltalainen vai eurooppalainen ratkaisu. Näin ollen fokus tulisikin siirtää järjestelmän tasolta seurannan tasolle: ovatko sivustoseurannan perusteemme kunnossa? Onko evästebannerimme toteutettu lain vaatimalla tavalla? Onko seurannan laillisuus otettu huomioon web-analytiikkajärjestelmän lisäksi myös mainonnan pikseleiden osalta?
Kunnioittavatko myös mainonnan pikselit yksityisyydensuojaa?
Olemme OIKIOn analytiikkatiimissä keskustelleet paljon siitä miten lopulta hassua on, että juuri Google Analytics on ollut kuluvan vuoden aikana myrskyn silmässä. Yksityisyysdebatti on siis keskittynyt käytännössä kokonaan GA:n ympärille, ja samalla muut järjestelmät saavat taustalla seurata sivustokävijöiden tietoja melkolailla vapaasti ja huoletta.
Metan, LinkedInin, X:n ja Tiktokin pikselit hyödyntävät sivustoseurantadataa yhtä lailla Google Analyticsin tapaan. Niiden asentaminen on tehty tarkoituksella helpoksi: riittää, että asennat tämän yhden seurantaskriptin ja Meta ym. hoitavat lopun. Toki pikselit asennetaan nykyään melko valveutuneesti noudattamaan evästebannereiden asetuksia, eli ne seuraavat käyttäjää vasta sitten kun lupa seurantaan on saatu. Onko tämä kuitenkaan riittävä taso: vaikka seurantaan olisi saatu lupa, haluammeko välittää pikseleiden mukana kaiken irti saatavan tiedon?
Moni ei tiedä tai tule ajatelleeksi, että mainonnan järjestelmien pikselit ovat erinomaisen hyviä hyödyntämään sivustoilta saatuja yksityiskohtia hyväksi käyttäjien tunnistamiseen. Ne pystyvät monien sinänsä epärelevanttien tietojen yhdistelyllä pääsemään käsiksi siihen, kuka sivustolla vieraillut käyttäjä on kyseessä. Tästä puhutaan käsitteellä ‘fingerprinting’, eli yhdistäessämme riittävän monta yksityiskohtaa yhteen saadaan lopputulokseksi varsin uniikki yhdistelmä, joka on helppo tunnistaa yksittäiseksi käyttäjäksi. Tämä on mahdollista ilman, että Metan ja muiden kumppaneiden kanssa jaettaisiin suoraan kiellettyjä PII-tietoja.
Lisäksi mainosalustat tarjoavat seurantaan lisämahdollisuuksia, joita ei äkkiseltään välttämättä tunnista PII-datan jakamiseksi, vaikkakin ne ovat nimenomaan sitä. Esim. Metan tarjoama Automatic Advanced Matching -ominaisuus tunnistaa sivustolta henkilötietoja esimerkiksi lomakkeeseen täytetyistä tiedoista, joita voivat olla:
- Nimi
- Sähköpostiosoite
- Puhelinnumero
- Osoite
Seurannan kautta välitettävien tietojen valinta
Ei riitä, että juuri web-analytiikkaseuranta on kunnossa, vaan katse tulee laajentaa seurantakokonaisuuden tasolle huomioiden myös mainonnan järjestelmät ja tiedot, joihin niillä on pääsy. Tähän asti sivustoseurannasta on ehkä ajateltu että se on joko päällä tai pois päältä, eli seurataan joko kaikkea tai ei mitään.
Perinteinen GTM-toteutus ei myöskään tee kovin näkyväksi sitä mitä tietoja seurannan kautta todella jaetaan eri mainonnan järjestelmille. Puhutaan oletusarvoisesti käytössä olevasta client-side- eli selaimeen perustuvasta seurantatoteutuksesta, joka on lähtökohtaisesti kaikilla käytössä. Siinä seurannan mukana lähetettyjä yksityiskohtia ei varsinaisesti pääse näkemään, saati valitsemaan. Näin ollen on vaikea olla tietoinen kaikesta mm. Metalle ja Tiktokille välitetystä tiedosta.
Yhdeksi tärkeimmäksi kysymykseksi nouseekin mikä tieto on seurannan kannalta olennaista? Minkä tiedon perusteella haluamme tehdä analyysiä käyttäjistämme? Veikkaamme, etteivät esimerkiksi selaimen asetukset tai käytetty Java-versio ole niitä olennaisimpia tietoja mainonnan tehokkuutta arvioitaessa.
Server-sidella hallittavuutta seurantakokonaisuuteen
Jotta pystyisimme päättämään mitä tietoja todella lähetämme seurantaskriptien mukana, meidän tulee vaihtaa seuranta selainpohjaisesta palvelinpohjaiseen ratkaisuun, tutummin server-side tägitykseen.
Server-side tägityksessä valitset itse mitä tietoa haluat lähettää GA4, Metalle ja muille kumppaneille. Selainpohjainen (client-side) ratkaisu lähettää tiedot selaimesta suoraan pikseleille, kun taas palvelinpohjaisessa (server-side) toteutuksessa palvelin toimii selaimen ja pikseleiden välissä kerroksena, jossa voit valita ja suodattaa saatuja tietoja ennen niiden välittämistä eteenpäin Googlen, Metan ym. käyttöön. Alla oleva kuva havainnollistaa ratkaisujen eroa:
Server-siden avulla voit siis ottaa ohjat omiin käsiisi: päätät itse mitä tietoja jaetaan, ja kenelle niitä jaetaan. Tiedot voisi kategorisoida esim. seuraavasti:
- Mitä tietoja on sallittua jakaa
- Mitkä tiedot ovat oleellisia mainonnan tulosten ja sivustokäyttäytymisen arvioinnissa
- Mitkä tiedot ovat analyysin kannalta epärelevantteja
Web-analytiikkajärjestelmän vaihdon sijaan server-side on todennäköisesti kokonaisvaltaisempi ratkaisu seurannan yksityisyydensuojaa kunnioittavaan toteutukseen. GA4:n tai muun analytiikkatyökalun lisäksi server-sidella saadaan kuntoon myös mainonnan pikseleiden kokonaisuus, ja otetaan omistajuus jaettavista tiedoista. Hallittavuus tuo kokonaisuuteen myös yhdenmukaisuutta, jolloin samat periaatteet pätevät kaikkiin seurantaa toteuttaviin tahoihin. Hallittavuuden avulla on myös helpompi mukautua mahdollisesti muuttuviin säädöksiin nyt ja tulevaisuudessa.
Mitä server-side -ratkaisu vaatii?
Server-side -toteutuksia voidaan tehdä esimerkiksi Google Tag Managerin avulla, joka on todennäköisesti se useimmille tutuin ja käytetyin. Muitakin vaihtoehtoja on, esimerkiksi universaalit MetaRouter, Jentis, Stape ja Tracklution. Lisäksi useat analytiikkajärjestelmät, kuten Piwik Pro, Adobe ja Tealium tarjoavat omia server-side toteutuksiaan Googlen tapaan.
OIKIOlla olemme menestyksekkäästi toteuttaneet asiakkaillemme jo useamman server-side -projektin. Projektit ovat olleet suoraviivaisia ja nopeita toteuttaa, ja ne ovat tuoneet mukanaan myös kaivattua selkeyttä ja uusia mahdollisuuksia seurantakokonaisuuden hallintaan.
Keskimääräinen Server Side -projekti on vie vain noin 2-4 henkilötyöpäivän verran aikaa. Näkisimme siis, että Server Side on varsin varteenotettava ratkaisu suhteessa järjestelmävaihdon kokoluokkaan.
Ota yhteyttä jos kiinnostuit. Suunnitellaan yhdessä yrityksellesi sopiva server-side -kokonaisuus.