Web-analytiikan yksityisyydensuoja nousee keskusteluun tasaisin väliajoin. Muutama vuosi sitten analytiikan turvallisuudesta keskusteltiin laajemmin S-pankkigaten yhteydessä. Nyt lähestymme eurooppalaisen tietosuoja-asetuksen h-hetkeä 25.5.2018, ja keskustelu yksityisyydensuojasta tulee jälleen lisääntymään myös markkinointipuolella. Juuri nyt on siis hyvä hetki pistää perusteet kuntoon muistuttaa myös tämän hetken haasteista käyttäjän tietojen ja web-analytiikan yhdistämisessä.

Älä lähetä PII-tietoa analytiikkaan

Nyrkkisääntö on se, ettei yritys saa tietää verkkosivustonsa käyttäjän henkilöllisyyttä, jos käyttäjä ei itse ole antanut yritykselle siihen lupaa. Saamme analytiikan perusteella tietää paljon asioita käyttäjästä selaintasolla – millä sivuilla käytiin, mistä tuotteista tiettyä selainta käyttävä henkilö on kiinnostunut tai minkä yrityksen verkosta käsin hän sivustoa käyttää – mutta sitä, kuka käyttäjä oikeasti on, ei saa urkkia ilman käyttäjän suostumusta. Tyypillinen tapa antaa suostumus on rekisteröityminen palveluun ja sisäänkirjautuminen.

Senkin jälkeen, kun suostumus on annettu ja käyttäjä on sisäänkirjautunut, on oltava varovainen. Google Analyticsin käyttöehdot kieltävät yksiselitteisesti käyttäjän henkilökohtaisten tietojen (PII-tietojen; Personally Identifiable Information) tallentamisen Google Analyticsin servereille. Käytännössä tämä tarkoittaa sitä, että vaikka tietäisimme käyttäjän tarkan sijainnin, IP-osoitteen, nimen tai sähköpostiosoitteen, niitä ei saa lähettää Google Analyticsiin. Sen sijaan voimme lähettää analytiikkaan anonyymin käyttäjätunnuksen, joka sitten tarvittaessa jälkeenpäin yhdistetään erillisestä CRM-järjestelmästä löytyviin PII-tietoihin.

Kolme virhettä

Yleensä Google Analyticsin PII-kielto on hyvin tiedossa yrityksissä, mutta vahinkoja sattuu. Ja hölmöilystä myös rangaistaan: jos analytiikasta löytyy loppukäyttäjien PII-tietoja, kaikki data poistetaan siltä ajalta, kun sitä on servereille lipsunut. Olen viime vuosina todistanut muutamia lipsahduksia, ja käytännössä joka kerta syynä on jokin näistä kolmesta virheestä:

  1. PII-tiedot sivun osoitteessa parametressä. Karkeasti noin yhdeksän kymmenestä PII-mokasta liittyy sivun osoitteessa oleviin parametreihin. Google Analytics lähettää hyvin vähän tietoja servereille automaattisesti (eli jos tietty tieto lähetetään, se täytyy yleensä oikeasti asentaa mittaukseen). Sivun osoite on kuitenkin yksi harvoista automaattisesti lähetettävistä tiedoista. Jos siis sisäänkirjautuneen tai kilpailuun osallistuneen käyttäjän sähköpostiosoite näkyy parametrissä sivun osoiterivillä (esimerkiksi ladataan sivu ”www.sivusto.fi/?email=mikko.mallikas@gmail.com”), ollaan pulassa.
  2. PII-tiedot asiakkaan itsensä kirjoittamissa arvoissa. Toinen yleinen moka on se, että analytiikkaan lähetetään tietoa, jonka asiakas itse täyttää. Kuulostaa houkuttelevalta tallentaa analytiikkaan esimerkiksi sivustotutkimuksen avoimen kysymyksen vastaukset, mutta niin ei sovi tehdä. Kun kenttä on avoin, asiakas voi kirjoittaa sinne mitä tahansa, myös PII-tietoa itsestään vaikkapa allekirjoittamalla kommenttinsa.
  3. Postinumero. Käyttäjän sijainti kartoitetaan Google Analyticsissä automaattisesti tarkimmillaan kaupunkitasolla. Kerran eräs asiakkaani halusi tarkentaa kaupunkitason tunnistusta lisäämällä dataan loppukäyttäjän postinumeron. Kun asia varmistettiin Googlen päästä, raja kulki juuri tästä: kaupunki ei ole PII-tietoa, mutta postinumero jo on. Suunnitelma jäi toteuttamatta.

Ja vielä yksi käytännön vihje analyytikolle: Jos huomaat, että tili lähettää PII-tietoja GA-serverille, älä ensi hetken paniikissa suodata niitä pois näkymän filttereillä. Tämä poistaa tiedot määrittelyhetkestä alkaen ainoastaan näkymistä, mutta Google Analyticsin raakadatasta tiedot edelleen löytyvät. Filtteröinnin ainoa vaikutus on se, että olet poistanut itseltäsi näkyvyyden siihen, mitä tietoja analytiikkaan tarkalleen ottaen lähetetään. Tietojen lähettäminen täytyy siis lopettaa oikeasti, ei paikkailla avohaavaa laastareilla.

Käyttäjän tunnistaminen ja personoitu sisältö

Miksi käyttäjä sitten ylipäätään pitäisi tunnistaa? Syy on se, että ilman tunnistamista asiakkaan elinkaaren kohtauspisteillä ei ole mitään linkkiä toisiinsa. Käyttäjä, joka tutkii sivustoa ensin työpöytänsä äärestä työkoneella, sitten kotimatkalla mobiililaitteesta ja lopulta pistäytyy kivijalkaliikkeessä ja ostaa tuotteen, näkyy ilman tunnistamista kolmena eri käyttäjänä järjestelmissä. Eri kanavien suhdetta toisiinsa ja käyttäjän polkuja on mahdotonta ymmärtää kokonaisvaltaisesti. Ja mitä paremmin ymmärrämme kävijän tarpeet ja kiinnostuksen kohteet kokonaistasolla, sitä tehokkaammin pystymme personoimaan kokemusta juuri hänelle sopivaksi.

Jenkeissä ollaan tässä Eurooppaa edellä. Aivan toisenlainen (ja loppukäyttäjän kannalta kurjempi) yksityisyyslainsäädäntö on mahdollistanut kaikenlaisen tunnistamisen ja kohdennuksen jo silloin, kun tekniikkakaan ei sitä vielä täysin tukenut, minkä johdosta targetointia on harjoiteltu jo kauan ja käyttäjät ovat tottuneet tietojensa jakamiseen. Nyt tekniikan kehityttyä myös eurooppalaiset kuluttajat ovat alkaneet ymmärtää laajasti kohdennuksen logiikan, perimmäiset motiivit ja hyödyt. Käyttäjä kertoo verkkosivustolle sijaintinsa mielellään silloin, kun hän tietää, että dataa käytetään fiksusti, ja että sijaintitiedon jakamalla hän saa itselleen relevantimpaa sisältöä.

Lopulta haluan uskoa siihen, että kun yritykset oppivat Suomessakin säilyttämään asiakastietoja vastuullisesti ja käyttämään niitä avoimesti niin, että niistä on oikeasti hyötyä loppuasiakkaalle sisällön kohdennuksen ja osuvien tarjousten muodossa, asiakkaat antavat tietonsa mielellään. Silloin markkinointi muuttuu osaksi asiakaspalvelua – yksityisyydensuojaa unohtamatta.


Kirjoittaja: Mira Mäkiranta

Mira on pitkän linjan web-analyytikko ja konversio-optimointiasiantuntija, joka suhtautuu dataansa ja sen oikeellisuuteen useimmiten aivan liian vakavasti.