Du har kanskje hørt at Google Analytics kanskje er ulovlig å bruke i henhold til GDPR? Det er ikke nødvendigvis tilfellet. La oss se litt på hva som er bakgrunnen for dette, hvilke alternativer som eventuelt kan brukes og hva som jobbes med for å løse dette.
Hvorfor kan Google Analytics være ulovlig?
Kort fortalt er det to årsaker: Den ene er at amerikanske myndigheter kan kreve tilgang til personopplysninger på utenlandske borgere fra amerikanske selskaper som for eksempel Google. Den andre er at selv om personopplysninger er «pseudonymisert» er de ikke anonyme.
1. Myndigheters tilgang på personopplysninger
Først har vi den såkalte Schrems-II-dommen fra juli 2020, da slo EU-domstolen fast at overføring av persondata mellom EU/EØS og USA er ulovlig. Amerikanske myndigheter kan kreve innsyn i persondata på utenlandske borgere som er lagret av amerikanske selskaper. Du kan da ikke overføre personopplysninger til USA, siden det alltid vil være en risiko for at Amerikanske myndigheter vil kreve innsikt i dataene. Man kan ikke legge vekt på sannsynligheten for at myndighetene i et tredjeland vil skaffe seg tilgang til dataene, og alle typer personopplysninger skal beskyttes.
2. Hva regnes som personopplysninger
Datatilsynet definerer personopplysninger som «(…) alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. (…) Opplysninger om atferdsmønstre er også regnet som personopplysninger«. Google Analytics har gjort grep for at dataen de samler i minst mulig grad skal være mulig å knytte til enkeltpersoner, f. eks. ved å maskere IP adresse, dette kalles pseudonymisering. Datatilsynet skriver dette om pseudonymisering: «Å avidentifisere personopplysninger slik at de ikke kan knyttes til en bestemt person uten bruk av tilleggsopplysninger (for eksempel en koblingsnøkkel) som lagres adskilt og tilstrekkelig sikkert. Pseudonymiserte personopplysninger er ikke anonyme.«
Når du aksepterer cookies på en nettside som benytter seg av Google Analytics tildeles du et ID-nummer. Dette ID-nummeret brukes til å matche din aktivitet på siden på tvers av økter. Når du kommer tilbake til nettsiden ser Google Analytics at brukeren med dette ID-nummeret har besøkt nettstedet tidligere. Hvis du er bruker av Google Analytics selv kjenner du kanskje resultatet av dette igjen i dashbordet som «unike brukere». Dette ID-nummeret regnes også som en personopplysning. Det holder at ID-nummeret er knyttet til en persons adferd, selv om det ikke hadde vært noen måte å bruke det til å identifisere personen med.
Er Google Analytics ulovlig i Europa?
Konklusjonen fra Østerrike
Det østerrikske datatilsynet (DSB) har undersøkt et nettsteds bruk av Google Analytics. De kom frem til at bruk av Google Analytics innebærer at personopplysninger sendes til USA. Dersom en bruker fra før er logget på en Google-konto, er det mulig å koble analysedataene til Google-kontoen deres. Det finnes tiltak man kan gjennomføre som gjør overføring av personopplysninger til USA lovlig, f.eks. dobbelkryptering av data. I den konkrete saken fant det østerrikske datatilsynet at slike tiltak ikke var på plass. Siden Google kontrollerer både datainnhentingen og overføringen, vil det i praksis ikke være noen måte for nettstedeiere å sørge for at de nødvendige tiltakene er implementert.
Datatilsynet skriver «Også datatilsynet for EU-organene (EDPS) har kommet med en tilsvarende avgjørelse. Datatilsynet i Norge behandler også for tiden én sak som gjelder bruk av Google Analytics. Vi vet at det også vil komme flere avgjørelser om Google Analytics fra andre europeiske datatilsynsmyndigheter. Derfor anbefaler vi nå alle å utforske alternativer til Google Analytics.«
Lys i enden av tunnelen?
Før Juli 2020 kunne du overføre data mellom USA og Europa hvis den Amerikanske databehandleren oppfylte kravene til en avtale kalt «Privacy Shield», men denne ble invalidert som følge av Schrems-II-dommen. Det jobbes med en ny og bedre versjon av Privacy Shield, kalt Trans-Atlantic Data Privacy Framework, hvor Amerikanske myndigheter og EU nå er prinsipielt enig. Detaljer utarbeides og det siktes på å ha noe klart mot slutten av året. Hvis dette kommer på plass blir det sannsynligvis mulig å kunne fortsette med Google Analytics (ihverfall frem til en eventuell Schems-III-dom).
Hva kan du gjøre?
Kort svar: Bytte analyseverktøy eller vente på nye utviklinger med Trans-Atlantic Data Privacy Framework.
Langt svar: Dersom det kommer et nytt rammeverk på plass for overføring av persondata mellom USA og Europa blir det sannsynligvis ikke nødvendig å foreta seg noe. Verdt å nevne er at Google Analytics er nå i en overgangsfase til Google Analytics 4 (GA4). Dataene fra tidligere versjoner av Google Analytics er ikke overførbare. Dersom du ikke allerede har byttet over til GA4 er dette noe du uansett må gjøre innen 1. Juli 2023.
Dersom det blir nødvendig å bytte løsning, hva anbefaler vi?
Vi anbefaler Matomo. Matomo har en åpen API og kan integreres direkte på din egen server. Dette er bra hvis du ønsker fullstendig kontroll over personopplysningene til kundene dine. Matomo har også mulighet for å lagre data eksternt, i det landet du selv ønsker. De har mye av de samme funksjonene som Google Analytics, og er et veldig bra alternativ som tilbyr sikker lagring av persondata. Eksisterende data i Google Universal Analytics kan også overføres til Matomo.
Andre mulige løsninger.
Adobe Web Analytics – Gir bra data, men er ganske dyrt og vanskeligere å integrere
Vizzit – Svensk plattform, har 2 versjoner av produktet sitt, den litt tyngre «Vizzit Web Analyzer» og en enklere «Vizzit Insight»
Plausible -Betalt plattform, fra $9/mnd, øker i takt med nettsidetrafikk, kan være litt begrenset for E-commerce.
Fathom – Betalt plattform, fra $14/mnd, øker i takt med nettsidetrafikk
Mye endrer seg innen personvern, vil du lese mer om andre utviklinger? Les om Cookiedøden
