Datatilsynet kom d. 21. september 2022 med nyheden om, at Google Analytics er erklæret uforeneligt med GDPR - i alt fald, hvis værktøjet bruges med standardindstillinger.
Udfordringen ligger i, at privacy-lovgivningen i hhv. EU og USA differentierer sig markant fra hinanden, og at der ikke foreligger en klar aftale om, hvordan data om EU-borgere må bruges, når det overføres til amerikansk-ejede servere. Der arbejdes i skrivende stund på en aftale mellem EU og USA under navnet Trans-atlantic Data Privacy Framework, som skal sikre, at al dataoverførsel om EU-borgere sker i overensstemmelse med GDPR.
Se hele pressemeddelelsen fra Datatilsynet
I det følgende ser vi nærmere på, hvad I som virksomhed skal forholde jer til, indtil denne aftale ligger klar.
Hvilke muligheder er der for jeres virksomhed?
Datatilsynet er kommet med deres anbefalinger til, hvad virksomheder kan gøre, hvis de fortsat ønsker at bruge Google Analytics til dataindsamling og -analyse. I kan gøre en af to ting:
- Sørg for at værktøjet bruges lovligt ved at implementere en række supplerende foranstaltninger, som sikrer at dataen, der sendes til Googles servere i USA, er pseudonymiseret - dette kaldes reverse proxy.
- Stop jeres brug af værktøjet og find i stedet et alternativ, der er godkendt af databeskyttelsesmyndighederne.
Mens vi venter..
... Så lad os se på, hvad de to muligheder indebærer.
Løsning 1:
Hvis Google Analytics skal være lovligt at bruge i Danmark, så kræver det, at GA opsættes med en proxyserver. Her læner det danske Datatilsyn sig op af de franske myndigheder, CNIL, der har udarbejdet en guide - “how to make your analytics tool compliant with the GDPR?" - til lovlig opsætning af Google Analytics ved hjælp af en proxyserver. Kort sagt så handler det om, at denne opsætning skal begrænse overførslen af data.
For at opsætningen kan betragtes som lovlig, er der 7 nødvendige foranstaltninger, som skal implementeres:
- The absence of transfer of the IP address to the servers of the analytics tool
- The replacement of the user identifier by the proxy server
- The removal of external information from
- The removal of any parameters contained in the collected URLs
- Reprocessing of information that can be used to generate a fingerprint
- The absence of collection of cross-site or lasting identifiers
- The deletion of any other data that could lead to re-identification
Selvom de tekniske foranstaltninger åbner en kattelem for at Google Analytics kan bruges på lovlig vis i et marketingperspektiv, så vil flere af punkterne fjerne muligheden for, at man kan analysere på data på kanalniveau og opnå samme i indsigt i performance.
Løsning 2:
I stedet for at gå den tekniske vej er det også en mulighed at finde et helt andet alternativ til Google Analytics. Men det kan være noget af en opgave at sætte et nyt analyseværktøj op fra bunden. Denne proces kræver ressourcer, som de færreste har til rådighed.
Langt de fleste (over 90 %) af hjemmesiderne understøtter Google Analytics, men kun omkring 10 % understøtter et godkendt alternativ som f.eks. Piwik Pro, hvilket betyder at der højst sandsynligt skal ekstern hjælp til at sætte det op. Dertil skal det siges, at de fleste dashboards er bygget på Google Analytics-data, og her skal der også en ny løsning til i tilfælde af et skifte.
Hvor stiller det dig som virksomhed?
Der er fra Datastyrelsen ikke givet en skarp deadline for, hvornår virksomheder skal være klar med en ny løsning, der fungerer i overensstemmelse med GDPR-lovgivningen.
Budskabet fra Datatilsynet er, at hvis man bruger Google Analytics, skal man lægge en plan for at lovliggøre sin brug ved at træffe supplerende foranstaltninger.”
I mellemtiden gælder det om at se på en løsning, der sikrer at vigtigste historiske data gemmes samt lægge en plan for, hvordan et fremtidigt tracking setup kan se ud.
Opdatering 12.10.2022
Fredag d. 7. oktober underskrev Joe Biden en excecutive order, som er første led i en ny Privacy Shield 2.0 aftale, som kan være på plads indenfor 6 måneder.
Det kan betyde, at du lovligt kan sende persondata til USA gennem værktøjer som f.eks. Google Analytics fra foråret 2023.
Det er dog før set, at disse processer kan trække i langdrag - og man spår allerede at Mark Schrems og 'None of Your Business' organisationen gearer op og vil sætte en stopper for den potentielle aftale.
Opdatering 11.07 2023
Google Analytics 4 (GA4) blev erklæret lovligt i Europa den 11. juli 2023, efter at det nye EU-US Data Privacy Framework blev vedtaget. Aftealen sikrer klarhed og juridisk sikkerhed for virksomheder, der overfører data mellem EU og USA, og den inkluderer strenge sikkerhedsforanstaltninger, som begrænser adgangen for USA's efterretningstjenester til EU-data. Disse foranstaltninger omfatter oprettelsen af en Data Protection Review Court, som EU-borgere kan henvende sig til i tilfælde af klager.
Virksomheder der benytter GA4 er dog stadig ansvarlige for at sikre overholdelse af alle relevante databeskyttelsesregler, herunder GDPR, cookielovgivning mm. Amerikansk software er dog ikke længere en hindring for, at man kan være compliant.
Skal vi finde dit potentiale? Lad os påvirke og forandre din forretning.
Vi kontakter dig hurtigst muligt!