Helsingin Sanomien vaalikone välitti Googlelle tietoa käyttäjien suosikkipuolueista
Helsingin Sanomien vaalikoneen Google Analytics -tagit oli tehty huolella. Tiedot kerättiin kaikista valinnoista ja painalluksista, aina suosikkipuolueita myöten. Tämä herätti Twitterissä keskustelua, onko tämäntyyppinen tietojen kerääminen mitenkään perusteltavissa, ja miten tämän ongelmallisuus ei tullut Helsingin Sanomille mieleen.
Mikko Pohjala kiinnitti Twitterissä huomiota Helsingin Sanomien vaalikoneen Google Analytics -mittaukseen. Seuranta oli viritetty oikein perusteellisesti, koska lähes jokaisesta toiminnosta lähetettiin analytiikkaohjelmalle tieto käyttäjän valinnoista. Pohjola liitti tweettiinsä myös ruutukaappauksen siitä, kuinka vaalikoneen käyttöliittymään oli liitetty Google Analyticsin seurantatagit.
Helsingin Sanomien Esa Mäkinen oli nopeasti ketjussa pahoittelemassa virhettä, ja rauhoittelemassa, että tiedoista ei pysty yksilöimään ketään. Tämä ei kuitenkaan poista sitä todellisuutta, että tiedot klikkauksista välitettiin Googlelle, joka kyllä pystyisi halutessaan ne liittämään monissa tapauksissa osaksi tunnistettuja käyttäjäprofiileja. Helsingin Sanomien tavoitteena ei siis ollut tallentaa tietoja, mutta käytännössä näin tapahtui, koska analytiikkaohjelmistolle välitettiin tarkat tiedot käyttäjien klikkauksista.
Googlen tietokannat ovat myös amerikkalaisten viranomaisten saavutettavissa, joten epäsuorasti Helsingin Sanomat keräsi puoluepoliittista profiilitietoa ulkomaisen tiedusteluviranomaisen saataville. Tämä on tietysti aika provosoivasti muotoiltu, koska Helsingin Sanomat ei varmaankaan tehnyt tätä tarkoituksella. Tietosuojan näkökulmasta kyse on kuitenkin aika isosta huolimattomuusvirheestä ja vieläpä ison mediatalon tekemästä.
Twitterissä keskustelu kääntyikin nopeasti siihen, miten tämä on mahdollista, oliko kyse huonosta testaamisesta vai ajattelemattomuudesta. Kysehän oli kuitenkin niin tietoisesta analytiikan virittämisestä, että puhtaaksi vahingoksi on tilannetta vaikea väittää, mutta monenlainen huolimattomuus ja välinpitämättömyys varmasti on mahdollista.
Tapaus on hyvä esimerkki siitä, miten rutiininomaisesti monet organisaatiot laittavat mittaustagit kiinni kaikkeen mahdolliseen, ilman sen suurempia pohdintoja siitä, mihin tiedot päätyvät ja onko kaiken mahdollisen tiedon kerääminen oikeasti tarpeellista. Esimerkiksi poliittiseen toimintaan ja mielipiteisiin liittyvät asiat ovat aika yleisesti asioita, joita ei ole tapana kirjata rekistereihin tai mihinkään tietokantoihin. Tässä esimerkissä Helsingin Sanomat kuitenkin onnistui lyhyessä ajassa luomaan tietokannan jopa kymmenien tuhansien, ehkä jopa satojen tuhansien, kansalaisten poliittisista mieltymyksistä. Tämä tietokanta myös sattui tallentumaan amerikkalaisille palvelimille. Ja tämä tapahtui “vahingossa”.
Voinee kysyä, kuinka moni vaalikoneen käyttäjä olisi hyväksynyt analytiikkaseurannan, jos vaalikone olisi kysynyt: “Hyväksytkö puoluekantaasi liittyvän tiedon siirtämisen Yhdysvaltoihin?”.
On vaikea sanoa, mikä on se lopullinen ja täydellinen ratkaisu tähän asiaan, mutta ainakin tämä on hieman pelottavakin esimerkki siitä, mitä liiallinen mittaamisen palvominen voi aiheuttaa.
On vaikea kuvitella, että tällainen nappuloiden tarkka mittaaminen oikeasti olisi jotenkin kriittistä tietoa Helsingin Sanomien verkkokehitykselle. Voi toki olla, että seuraavan vaalikoneen kehittäminen olisi helpompaa, kun tästä vaalikoneesta saadaan analytiikkatietoa. On kuitenkin hyvin vaikea nähdä, että täysin yksilöity käyttäjien seuranta olisi tällaiseen tarpeellista, saatika välttämätöntä.
Helsingin Sanomathan tekee myös evästeistä kieltäytymisen poikkeuksellisen hankalaksi. Käytännössä kieltäytyminen edellyttää erilliselle “Asetukset”-sivulle menoa ja varsin haastavan käyttöliittymän ymmärtämistä, jotta voi kieltäytyä laajamittaisesta seurannasta.
Esimerkiksi tämä evästedialogi on suoraan nykyisen Traficomin ohjeistuksen vastainen. Otsikkona oleva “Evästeiden avulla kotimaista sisältöä” on harhaanjohtavuudessaan myös suorastaan huvittava. Ei olekaan ihme, että kotimaiset mediat eivät GDPR-asioista kovin paljon kirjoita, koska jos asioista ryhtyisi pitämään meteliä, alkaisi huomio vain kiinnittymään enemmän siihen, miten vaikea suhde mediataloilla itsellään on näihin säädöksiin.
Helsingin Sanomien käyttämän Sanoma-tilinkin tarjoama mahdollisuus seurannan ja profiloinnin karsintaan on varsin kyseenalainen.
Kieltäminen kun ei käytännössä ole kovin jämäkkä kielto. Evästeisiin pohjautuva mainonta esimerkiksi saattaa olla selailun perusteella kohdennettua. Myös kohdennettu markkinointiviestintä on Sanomien mielestä asia, josta ei voi ilmeisesti kieltäytyä.
“Sanoma-tilini rekisteröinnin yhteydessä luodun digitaalisen tunnisteen avulla yhdistettyjä tietoja ei saa käyttää kohdentamiseen. Kohdentamiskielto ei estä minua vastaanottamasta asiakastietojeni, kuten tilaushistorian tai tilin rekisteröinnin yhteydessä antamieni tietojen, perusteella kohdennettua markkinointiviestintää tai näkemästä mainoksia Sanoman verkostossa. Evästeisiin pohjautuva mainonta verkossa saattaa olla selailun perusteella kohdennettua, mutta sitä ei kohdenneta Sanoma-tiliini liittyvien tietojen tai muiden asiakastietojeni perusteella.”
Tämä Helsingin Sanomien kärähtäminen liiallisesta tagittamisesta ja käyttäjien tietojen vuotamisesta Yhdysvaltoihin ei olekaan oikeasti kovin suuri uutinen. Kaupalliset mediatalot kuuluvat niihin organisaatioihin tässä maassa, jotka pyrkivät mittaamaan ja profiloimaan käyttäjiään mahdollisimman laajasti ja tulkitsevat myös GDPR-sääntöjä mahdollisimman laveasti, jotta saavat kerättyä dataa mahdollisimman laajasta joukosta käyttäjiä.
Tämä ei ole siis myrsky vesilasissa, vaan enemmänkin pieni pyörre valtavassa uima-altaassa, jossa erilaisia outoja pyörteitä on joka puolella.
Perttu Tolvanen
Perttu on Vierityspalkin päätoimittaja ja kirjoittaja.
Perttu Tolvanen on digitaalisten palveluiden suunnittelun, arkkitehtuuriratkaisujen ja kumppanivalintojen asiantuntija. Perttu on konsulttiyhtiö North Patrol Oy:n konsultti ja toinen perustaja. North Patrol on digitoimistoista ja järjestelmätoimittajista riippumaton konsulttiyhtiö, joka suunnittelee digitaalisia palveluita ja auttaa asiakkaita onnistumaan uudistushankkeissaan. Ota yhteyttä Perttuun!
3 kommenttia on “Helsingin Sanomien vaalikone välitti Googlelle tietoa käyttäjien suosikkipuolueista”
Kommentointi on suljettu.
Jukka
Jep: juuri pohdittiinkin kollegoiden kanssa samaa asiaa eli minneköhän nämä vaalikoneiden tiedot tallentuvat ja siirtyvät. Tämä koskee myös YLE:ä. Näitä tapauksia on tuotu laajalti esiin niin kansalaisten kuin tutkijoidenkin toimesta. Esimerkiksi hiljattain havaittiin, että samat tägit olivat läsnä apteekkien verkkosivustoilla eli tiedot lääkkeistä vuotivat Googlelle ja kumppaneille. Suomen DPA:lta toivoisi hieman aktiivisempaa otetta GDPR:n valvonnassa erityisesti median kohdalla. Mutta kuten Euroopassa yleisesti, sidokset yrityksiin näyttää olevan esteenä; erityisesti Traficom on tässä asiassa kyseenalainen viranomaistoimija (ts. keksit kuuluvat e-privacy -lain alle).
Mikko Pohjala
Taidatte olla ainoa media joka on kirjoittanut tästä löydöksestä. Kiitos siitä. Mitähän se kertoo mediasta yleisesti? Onko asia merkityksetön tai tylsä vai pelkäävätkö mediatalot kommentoida nykyisiä analytiikan ja mainostekniikoiden keinoja?
Huomasittehan, että myös Ylen vaalikoneetta korjattiin toisen twiittini pohjalta.
P.S. Sukunimeni on jutussa väärin, se on Pohjala
Perttu Tolvanen
Kiitos kommenteista! Nimet nyt korjattu kohdalleen. Pahoittelut tästä!
Kotimaiset mediat eivät ole olleet koko tässä GDPR-asiassa kovin aktiivisia. Kansainvälisissä medioissa on oltu paljon aktiivisempia, vaikka heillä on myös samat ongelmat monilla, eli joku The New York Times träkkää myös rajusti omalla saitillaan, mutta silti kirjoittaa aiheista tasaisesti. Ehkä näissä isoissa kansainvälisissä lehdissä seinä toimituksen ja kaupallisen puolen välillä on vähän korkeampi.