IP-adressen er ulykkesfuglen, der gør, at din Google eller Adobe Analytics sandsynligvis er ulovlig fra 25. maj. Tager du hånd om den, er en meget stor del af dine problemer til gengæld løst, når den nye Persondataforordning – GDPR-reglerne om tracking af personlige oplysninger – træder i kraft.

”Jon, du er vores GDPR ekspert. Hvis jeg fjerner IP-adressen fra Adobe Analytics-trackingen, er vi så ude af alle problemerne?” Sådan spørger Nicklas, en af vores analyse- og optimeringskonsulenter her hos eCapacity, mig i sidste uge, mens han kigger op fra skærmen, hvor en af vores kunders analytics-account er åben.

Et rigtigt godt spørgsmål

Spørgsmålet er bestemt ikke dumt. Du kan ikke åbne en browser i min del af verden, uden GDPR – eller persondata – spørgsmålet stikker hovedet frem (GDPR står for General Data Protection Regulation, eller på dansk ”persondataforordningen”). Interessen skyldes særligt, at de nye EU-regler, der træder i kraft den 25. maj 2018, er udstyret med en eksorbitant høj bøderamme.

At det netop er IP-adressen, Nicklas spørger til, giver også god mening. En af de ting der nemlig med sikkerhed vides, er at netop IP-adressen i sig selv af EU bliver anset for en persondata-sladrehank. IP-adressen er – for de uindviede – en krypiske udseende talstreng på op til 12 cifre, som du, dvs. din browser, sender i retning af alle hjemmesider du besøger. Min IP-adresse er f.eks. i skrivende stund  “87.60.44.133”. Du kan finde din eget IP-adresse hos f.eks. IPnr.dk, hvis du er nysgerrig.

Umiddelbart er der ikke meget persondata over den lille talstreng. Ingen almindelige mennesker, heller ikke ham eller hende, der sidder med ansvaret for en virksomheds digitale kanaler – webshops, hjemmesider mv., kan udlede noget der bare minder om et navn eller adresse fra IP-adressen.


Relaterede services: Vi hjælper dig med at leve op til de nye persondata-regler – læs hvordan


 

Men det gør ikke noget, har EU-domstolen afgjort. Det afgørende er at internetudbyderen, som brugeren surfer igennem, kan slå op hvem der rent faktisk er tale om. Også selvom det kræver en dommerkendelse at få internetudbyderen til at sige noget. IP-adressen er personhenførbar, og skal følgelig leve op til det nye GDPR-regelsæt.

IP-adressen er ikke den eneste synder. Men af de ting, der trackes af almindelig anonym adfærd rundt på de digitale kanaler, hjemmesider og apps, er den den giftigste. Det er den, der normalt vælter læsset.

Kæmpe sten af vejen

Svaret på Nicklas’ spørgsmål er derfor, kort sagt, ”ja”. Få din analytics til at glemme IP-adressen, og du fjerner den allerstørste enkeltstående kilde til person-identificering i dit Analytics-setup. Du gør, for så vidt angår din analytics, livet meget lettere for dig selv.

Det kræver selvfølgelig, at du ikke opsamler andre oplysninger om brugeren, som har samme effekt, så du alligevel kan trævle tråden op, og finde ud af hvem brugeren er. Men i et rent analytics-setup, der kun har til formål at give dig statistik på brugen af dit site, er det ikke noget man typisk gør.

Med rent analytics-setup mener jeg, at du ikke f.eks. har en kundedatabase online, som du vil kunne koble brugeren til, gennem f.eks. tidligere logins. Det dur heller ikke, hvis brugeren kan signe op til en email på dit site, på en måde at gøre det muligt for dig, at knytte email adressen til adfærden i din analytics. Gør du det, skal du igennem flere øvelser for at blive persondata-klar. Og så skal du også holde dig fra f.eks. at opsamle en mobilbrugers MAC-adresse – men det gør man heller ikke som standard.

Mister geo-lokation

Problemet ved helt at slette IP-adressen er, at den har særligt én funktion, som de fleste nødigt vil miste. Nemlig at hjælpe analytics-systemet med at kunne se hvor i verden brugerne kommer fra. Vanløse, Horsens, Stockholm eller Manhatten. Danmark, Tyskland, Australien eller Kina. For IP-adresserne er knyttet til det fysiske knudepunkter, som brugeren surfer ud på internettet gennem. Og den del af IP-adressens funktion er offentlig viden.


Læs også: Case: Skjult tracking saboterer virksomheders persondata-bestræbelser – sådan løses problemet


Anonymiser IP-adressen istedet

Heldigvis tager Analytics-systemet højde for dette – ihvertfald i det Adobe-system, Nicklas sidder med. Før IP-adressen slettes, på vej i skraldespanden, bliver geo-lokationen slået op. Og først da slettes IP-adressen selv. Det løser altså problemet. Men: IP-adressen har rent teknisk været behandlet.

”Der er også en anden mulighed” siger Nicklas. ”I stedet for at slette IP-adressen, kan vi anonymisere den i stedet”. Anonymiseringen fungerer ved, at de sidste cifre i IP-adressen blankes af og erstattes af nuller. En slags kryptering, som bare ikke kan låses op igen. Pointen er her, at IP-adressen aldrig gemmes i  Analytics-systemet i sin fulde form. Problemet er, at det meste af geolokationen sidder i de sidste cifre. Med anonymiseringen, bliver den derfor mindre præcis. På samme måde bliver det også mere upræcist at sortere f.eks. ansatte fra egen virksomhed ud af statistikken – her risikerer du at udelukke brugere, som strengt taget kommer fra andre virksomheder. Men denne del af problemet er i virkelighedens verden temmeligt teoretisk. “Så stemmer jeg mere for sletningsmetoden” siger Nicklas.

Hos Google Analytics er valgmulighederne ikke umiddelbart helt så store. Den rene sletning skal du således lede længe efter. Men hvis du implementerer din Google Analytics rigtigt, kan du også her bede den om at erstatte de sidste cifre i IP-adressen med nuller. Med samme ulemper i form af dårlige geolokalisering og mere upræcis tracking af egne medarbejdere.

Tre tastetryk

Nicklas’ fingre glider over tastaturet. På skærmen foran ham har han Adobe Analytics administrations-interfacet. Han klikker, taster og klikker igen. Analytics-setup’et er nu IP-frit. Istedet for den potentielt persondataafslørende IP-adresse, opsamles nu kun den anonymiserende kode. Den største risiko for at brænde nælderne på de nye GDPR-regler er afværget. Det tog tre tastetryk.

PS: Skriv gerne

Ring eller skriv endelig til mig, hvis du arbejder med analytics og/eller GDPR i din virksomhed, og bloggen her har fanget din interesse. Mine kontaktinformationer står lige her. Du kan også tage fat i Andreas Petersson på +45 51 71 43 63 eller ap@ecapacity.dk. Han styrer vores analyseafdeling og har det store analytics-overblik.

PPS: Gratis white paper om persondataforordningen

Kan du lide hvad du har læst? Så hent White paper’et ”Persondata, Analytics og Tag Management”. Det samler seks skarpe nedslag i persondataforordningens betydning for de digitale kanaler. 28 sider. PDF. Helt gratis. Klik på den grønne knap her på siden, hvis du have dit eget eksemplar tilsendt.