Analytiikkaevästeistä yli miljoonan euron seuraamusmaksu Yliopiston Apteekille
Yliopiston apteekki luopui Googlen ja Metan jäljittimistä verkkopalvelussaan jo vuonna 2022, mutta viranomaisen pitkä käsi ulottuu myös menneisiin vuosiin. Tietosuojavaltuutetun toimisto määräsi nyt yli miljoonan euron sakkomaksun siitä, että apteekin verkkopalvelun käyttäjien selailutietoja ja ostoskoritietoja on välitetty amerikkalaisille teknologiajäteille.

Vierityspalkissa huomioitiin Yliopiston Apteekin evästekyselyt jo vuonna 2021, jolloin yhtiö edusti asiallista mallia, joka antoi asiakkaalle selkeät vaihtoehdot siihen, miten paljon seurataan markkinointitarkoituksiin. Tällöin yhtiön evästelappu sanoi, että ”YA ei kerää evästeillä tietoa käyttäjien resepteistä tai lääkityksestä.”, mutta kuten myöhemmissä artikkeleissakin todettiin, jätti tuo rajaus vielä aika paljon asioita seurannan piiriin. Ihmisen lääkityksestä ja elämästä voi kuitenkin päätellä melko paljon asioita ihan vain apteekin sivuston analytiikan ja ostoskorien perusteella.
Tietosuojavaltuutetun toimiston selvityksessä havaittiin, että Yliopiston Apteekki on käyttänyt verkkoapteekissaan evästeitä ja muita seurantateknologioita niin, että reseptilääkkeisiin ja itsehoitolääkkeisiin liittyvästä apteekkiasioinnista on välittynyt tietoa suoraan esimerkiksi Googlelle ja Metalle. Näille seurantapalveluntarjoajille on siirtynyt tietoja esimerkiksi tietyn lääkkeen lisäämisestä ostoskoriin ja tilauspainikkeen painamisesta.
Täten apteekkiyhtiön saama seuraamusmaksu on varmasti aivan perusteltu, koska ihmisten lääkkeet ovat hyvin henkilökohtaista tietoa, josta voivat esimerkiksi ulkomaiset toimijat päätellä hyvin paljon asioita, jos tunnistavat henkilön.
Ja kuten tässäkin blogissa on usein todettu, Googlen ja Metan kohdalla eivät yksittäiset sivustot tai verkkokaupat voi juurikaan vaikuttaa siihen, tunnistetaanko ihmiset vai ei. Yliopiston apteekki ei välttämättä itse rakenna profiileja ihmisten selailu- ja ostoskoritietojen perusteella, mutta nämä teknologian tarjoajat voivat hyvinkin näin tehdä. Lisäksi Googlella ja Metalla on kummallakin liiketoiminnallinen peruste tehdä niitä profiileja ja myydä niitä eteenpäin, koska kumpikin on mainonta- ja profilointibisneksessä. Tästä näkökulmastakin katsoen, on ymmärrettävää että terveysalan toimijoilta vaaditaan tietosuojalinjausten asiallista noudattamista.
Jos asiakas asioi verkkoapteekissa ollessaan kirjautuneena esimerkiksi Google- tai Facebook-tililleen, hän on voinut olla suoraan Googlen tai Metan tunnistettavissa.
Tiedote myös toteaa, että parhaillaan tutkitaan useiden muiden apteekkien vastaavia puutteita.
Tämän artikkelin julkaisuhetkellä Yliopiston apteekin sivusto käyttäytyy varsin asiallisesti. Sivusto toki pakottaa käyttäjän tekemään valinnan evästeistä, mutta vaikka käyttäjä valitsisi ”Salli kaikki”, ei sivusto aseta kovin paljon seurantaa. Analytiikkatyökaluna on Piwik Pro, joka on mahdollista myös konfiguroida varsin asiallisesti, ilman käyttäjien yksilöintiä tai ostoskoritietojen tallennusta. Chat-ratkaisuna on käytössä Giosgin työkalut, joka luonnollisesti tarvitsee evästeet toimiakseen. Jostain syystä myös sisällönhallintaratkaisu Contentful asettaa evästeitä käyttäjille, mutta tämäkin todennäköisesti kuuluu sivuston toimintojen vaatimuksiin.
Esimerkki Yliopiston apteekin evästekyselystä tällä hetkellä:
Seuranta tai evästeiden käyttö ei myöskään kasva, vaikka käyttäjä kirjautuisi omalla profiilillaan. Täten Yliopiston apteekki ei ainakaan ole lähtenyt mediayhtiöiden malliin, jossa kirjautumisen yhteydessä vaaditaan laajempia oikeuksia seurantaan ja profilointiin. Täten nykyinen tilanne ainakin näin ulkoapäin analysoiden vaikuttaa varsin asialliselta.
Vanhoista synneistä joutuu kuitenkin tällä alueella maksamaan, jos sattuu valikoitumaan Tietosuojavaltuutetun toimiston haaviin. Yli 360 miljoonan euron myynnillä Yliopiston apteekki kuitenkin pystynee maksusta selviytymään, vaikka maksu pysyisikin voimassa valituskierrosten jälkeen.