Google Analytics er ikke gdpr-compliant

 

Det er næppe gået manges næse forbi, at Det Danske Datatilsyn har bekræftet at Google Analytics ikke er GDPR-compliant. I hvert fald ikke hvis der er brugt et standard set-up, som langt de fleste virksomheder i Danmark benytter. Så der er selv sagt mange virksomheder, der benytter Google Analytics til forretningskritisk statistisk data, der ryster i bukserne lige nu.

 

Men hvad er op og ned og står vi overfor en forretningskristisk katastrofe?

Faktisk er Google Analytics i sig selv ikke ulovlig – men derimod implementeringen og den måde systemet indsamler data på, der er i strid med europæisk GDPR-lovgivning. Problematikken bunder i, at den statistiske data der indsamles i Google Analytics, kan henføres til enkeltpersoner. Denne personhenførbare data lander på servere i USA, hvor der er langt mere lempelige regler for databeskyttelse end dem, som vi er underlagt i EU/EØS. GDPR fordrer nemlig, at EU-borgeres ret til privatliv er ukrænkelige – og derfor skal virksomheder sikre, at data om deres brugere ikke lander i usikre lande uden passende databeskyttelsesforanstaltninger.

Men hvorfor er USA defineret som ”et usikkert land”? Fordi at forskellen (og det springende punkt) er at i USA gælder FISA702/US, der ikke i samme grad sikrer proportionalitet i den måde, som data kan videregives på. Oversat til almindeligt dansk så kan amerikanske myndigheder kræve at få udleveret persondata, så som digitale adfærdsdata, uden nogen videre begrundelse. Hvorimod EU kun kan kræve data udleveret med en reel begrundelse, som fx en efterforskning i en kriminalsag. Dette clash gør at USA, privacy-mæssigt, er et usikkert land at sende data til ifølge europæiske regler.

 

Findes der en her-og-nu-løsning?

Den franske pendant til det danske datatilsyn har udviklet en vejledning, hvor de forholder sig til mulige her-og-nu-løsninger – herunder ændring af IP settings i sit set-up og kryptering af Google Analytics’ personlige identifier. Desværre er det ikke nok til at blive 100% compliant - og vejledningen peger på, at problemet kun kan løses ved at bryde kontakten mellem enheden og Googles server – altså så længe den amerikanske lov er som den er. Og det kan faktisk lade sig gøre ved hjælp af en Proxy-server, der netop går ind og bryder kontakten mellem enhed og server. Udfordringen er bare, set fra en marketingvinkel, vil du stå tilbage med et amputeret system, der blandt andet ikke vil have tilgængelige referraldata til kanaloptimering og analyse af kunderejsen.

 

 

GA4 er et skridt i den rigtige retning

Der er, fra Googles side, blevet arbejdet en del på privacy-området – og Google Analytics 4, kan være et lys i mørket. Der er således blevet gjort følgende tiltag i GA4:

  • Data fra EU-baserede enheder bliver gemt på servere i EU
  • IP-adresser gemmes ikke, men bliver benyttet til blandt andet geolokation
  • Google Signals kan fravælges i settings, så brugerdata ikke er bundet sammen med brugerprofiler
  • Samtykke til at indhente geo- og enhedsdata kan indsamles med en consentboks

Faktum er desværre stadig, at intet af ovenstående stopper de amerikanske myndigheders ret til at bruge det data, som Google indsamler. Kort sagt er den bedste løsning, at der arbejdes på en transatlantisk aftale om privatliv mellem USA og EU. Det er heldigvis i støbeskeen og forventes på plads i slutningen af 2022.

 

Findes der andre analyseværktøjer?

Der findes mange alternativer til Google Analytics, og hvis det værst tænkelige skulle ske, at analyseværktøjet bliver erklæret ulovligt i Europa, så er det nødvendigt at finde alternativer, der overholder GDPR lovgivningen nu. Herunder har vi listet alternative analyseværktøjer, som alle bruger servere i EU.

Har du brug for en handlingsplan?

Ifølge Datatilsynet vil de ikke føre tilsyn på området i år. Dette giver lidt ekstra tid til at lave en god og holdbar (om end ikke en komplet) plan, som kan se således ud:

  • Skift til GA4 eller alternative løsninger
  • Identificer hvilke personhenførbare data du indsamler, samt hvor de lander henne
  • Sørg for at gemme historisk data i et EU-baseret data warehouse. På den måde vil du ikke miste dem, hvis de amerikanske servere lukkes
  • Anonymiser tracking af IP-adresser og personhenførbare data – eksempelvis via en proxy-server

Ro på!

Selvom at den perfekte løsning ikke eksisterer endnu, så står vi altså ikke overfor en katastrofe. Mens vi venter på en transatlantisk aftale, kan du komme ret langt med en solid handlingsplan. Vi hjælper naturligvis med at få konkretiseret din handlingsplan, implementeret GA4 og optimere dit setup.

Share