Bemærk. Dette indlæg er forældet. Google Analytics er blevet lovligt igen.
Datatilsynet har konkluderet, at Google Analytics ikke kan bruges lovligt uden videre. Det betyder, at programmet har grundlæggende mangler i forhold til GDPR, navnlig at stille tilstrækkelige indstillinger til rådighed, som kan sikre, at personhenførbare data ikke udleveres til USA.
Værktøjet kan stadig benyttes i lovlig form, men kun under forudsætning af, at du foretager supplerende foranstaltninger. Det vil sige du skal garantere, at de personoplysninger, som du vil behandle i Google Analytics, ikke ender i amerikanske hænder. Alternativt skal du indhente meget udtrykkeligt samtykke til at videregive dine brugeres data.
Datatilsynet har gjort det svært (og dyrt) at benytte Google Analytics
Den 21. september offentliggjorde Datatilsynet, at de har kigget nærmere på Google Analytics og deres potentielle overtrædelse af databeskyttelsesreglerne.
Datatilsynet konkluderede, at Google Analytics ikke overholder GDPR, idet værktøjet indsamler og videresender personoplysninger til Google, som er en amerikansk virksomhed. EU-kommissionen betragter USA som et usikkert tredjeland ved overførsel af personoplysninger.
Selvom Google har servere i EU, mener Datatilsynet derfor, at de ikke blot skal placeres geografisk i EU, de skal også være ejet af en virksomhed i EU. Amerikanske virksomheder er nemlig underlagt nationale regler der indebærer en risiko for, at amerikanske myndigheder får adgang til EU-borgeres data.
Supplerende foranstaltninger
Det vi kan gøre er at opsætte en reverse proxy server, som vi kan bruge til at pseudonymisere den data, som vi sender videre.
Det betyder, at inden vi sender vores data videre til USA, opsætter vi en server, som camouflerer den. Hans Hansen bliver til Mads Madsen, og vedkommendes IP anonymiseres.
At købe en server hvor server-site-tracking kan opsættes, koster desværre lidt ekstra pr. md.
Søg efter reverse proxy EU på Google, så finder du nogle muligheder.
Opsætning af pseudonymisering af data koster desværre nemt mange penge til en programmør, afhængigt af, hvor stort dit site er.
Det er muligt at opsætte selv via Google Tag Manager uden så meget kode, men selv den proces er svær, hvis man ikke har god forstand på programmering.
Konsekvenser ved pseudonymisering af data
Det betyder desværre også, at selvom vi opsætter en reverse proxy og opsætter korrekt pseudonymisering af vores data, mister vi en kæmpe klump af guldet i Google Analytics.
Følgende er ikke længere muligt at se i Analytics, såfremt du opsætter korrekt pseudonymisering af din data:
– IP sløres (hvor dine brugere kommer fra)
– UTM fjernes (hvilke ads der performer godt og hvilke der ikke gør)
– External referer (hvilke andre platforme dine brugere kommer fra).
Konklusion
Så det store spørgsmål er.
Hvad gør vi så nu?
Skal vi bruge ressourcer på at pseudonymisere data og acceptere at vi ikke længere kan blive lige så kloge på vores brugere?
Skal vi fortsat bruge Google Analytics ulovligt, og håbe på, at Datatilsynet ikke kommer efter alle virksomheder i hele Danmark?
Hvis du bliver udpeget og dømt, kan overtrædelsen af GDPR enten koste 4% af din samlede omsætning eller mange millioner.
Eller skal vi kigge efter alternativer?
Alternativer kunne eksempelvis være
– Simple Analytics (meget simpel)
– PIWIK (gratis udgave)
– DreamData (dansk ejet).
Hvad synes du om denne artikel?
Klik på en stjerne for at bedømme
Bedømmelser 0 / 5. Antal bedømmelser 0