Den 21. september 2022 kom det danske datatilsyn på banen i forhold til Google Analytics og konkluderede, “at værktøjet (Google Analytics) ikke kan benyttes lovligt uden videre. En lovlig brug forudsætter implementering af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed.”
Det danske datatilsyn læner sig dermed op af det franske datatilsyn, der kom med samme konklusion i februar 2022. Derved skal alle, der anvender Google Analytics, nu tage stilling til hvad der skal ske.
Hvilke veje er der frem ifølge Datatilsynet?
Der er ifølge Datatilsynet to veje frem:
1. Vælg et alternativt analyseværktøj fra en liste med godkendte leverandører
2. Konfigurér Google Analytics på en sådan måde, at der ikke overføres personhenførbare data til Google’s servere i USA
Hverken løsning 1 eller løsning 2 kan siges at være ideel for danske virksomheder.
Hvorfor ikke bare skifte væk fra Google Analytics i morgen?
- Opsætning kræver ressourcer
At vælge et nyt analyseværktøj er i sig selv en meget ressourcekrævende opgave. Langt de fleste webshops og website-systemer understøtter Google Analytics. Meget få CMS systemer understøtter godkendte analyseværktøjer såsom Matamo og Piwik Pro. Det betyder, at der skal investeres i en opsætning af værktøjet fra bunden. Dette kræver typisk hjælp udefra, samt udviklingsressourcer. - Alle integrationer skal genskabes
Google Analytics data lever for det meste ikke kun i Google Analytics. Alle dashboards og rapporter skal genskabes, og igen er data ikke lige så tilgængeligt som det er i dag. Der findes eksempelvis ikke nogen connector til Piwik Pro eller Matamo i Google Data Studio, som er den mest udbredte dashboard løsning i dag. - Alle medarbejdere skal læres op på ny
Google Analytics har været en fast integreret del af alle digitale forretninger i mange år. Adgang til data risikerer at ende hos 1-2 personer, der får sat sig ind i den nye platform og dermed er træning også nødvendigt at tænke ind.
Hvorfor ikke bare konfigurere Google Analytics på en sådan måde, at det er lovligt?
Datatilsynet henviser til CNIL (de franske myndigheder), hvad angår lovlig opsætning af Google Analytics med proxy server. Her er der nemlig en helt konkret guide til, hvordan man sikrer en lovlig brug af Google Analytics:
Denne guide påpeger 7 nødvendige tiltag for, at konfigurationen kan betragtes som lovlig:
- Ingen overførsel af IP-adressen til analyseværktøjets servere
- Udskiftning af bruger-identifikationen af proxy server
- Fjernelse af eksterne henvisningsoplysninger
- Fjernelse af alle parametre i de indsamlede URL’er
- Modificering af al information, der kan bruges til at generere et fingeraftryk
- Sikring af, at der ikke indsamles cross-site eller varige identifikatorer
- Sletning af andre data, der kan føre til identifikation
Særligt punkt 3, 4 og 5 er problematiske set fra et digital marketing perspektiv.
Det betyder i praksis, at Google Analytics ikke længere ville kunne bruges til at vise, hvilken kanal eller kampagne en session/besøgende kom fra. Dermed er værktøjet ikke længere brugbart i marketingsammenhænge.
Selvom der opsættes en GTM server-side-løsning, hvor cookie ID af et nyt anonymt ID kun kendt af virksomheden, er Google Analytics, jf. guiden fra de franske myndigheder, fortsat ikke konfigureret korrekt og dermed fuldt lovligt. Der vil dog være tale om en markant forbedret løsning end standard konfigurationen af GA eller GA4.
Er der andre ting end proxy setup, der kan lovliggøre Google Analytics igen?
Hele problemstillingen omkring Google Analytics kom efter, at den daværende dataoverførselsaftale mellem USA og EU kaldet Privacy Shield blev erklæret ugyldig den 16. juli 2020. (Schrems ||)
Den 25. marts 2022 meddelte Europa Kommissionen, at de var nået til principiel enighed med USA omkring etableringen af et nyt Trans-Atlantic Data Privacy Framework (TADPF), som vil facilitere dataoverførsel mellem EU og USA i overensstemmelse med GDPR.
Det nye framework er på nuværende tidspunkt til forhandling mellem myndighederne. Det forventes, at der nås enighed omkring dette i slutningen af 2022. En ny aftale, med den rette ordlyd, ville kunne gøre Google Analytics 100 pct. lovlig i forhold til GDPR.
Hvor stiller det jer som virksomhed?
Datatilsynet har ikke givet danske virksomheder en klar deadline for, hvornår en GDPR-compliant løsning skal være implementeret, men beskriver, at det er nødvendigt for alle virksomheder at have en plan klar.
Jeg anbefaler konkret følgende handlinger:
- Begynd at gemme de vigtigste historiske data fra Google Analytics i et data warehouse (EU servere), således at I altid har den historiske data tilgængelig
- Brug dit nye data setup til at genskabe dine vigtigste GA views i et visualeringstool såsom Google Data Studio, Looker eller Microsoft Power BI
- Udarbejd en plan for virksomhedens fremtidige tracking setup (evt. i samarbejde med ekstern partner)
Hvordan ser fremtiden ud?
Datatilsynet har ingen interesse i at gøre livet besværligt for danske virksomheder, men det har som myndighed været nødvendigt at komme med en udmelding som opfølgning på de sager som har kørt ved myndighederne på tværs af Europa. De danske myndigheder kunne principielt være kommet med udmeldingen dagen efter de franske myndigheder i februar, men valgte formentlig at afvente og følge udviklingen.
De europæiske tilsynsmyndigheders opmærksomhed har længe været rettet mod Google Analytics, men samme GDPR-mæssige udfordring findes på tværs af en lang række amerikanske softwareprodukter, hvor data enten overføres til amerikanske servere, eller hvor amerikanske myndigheder – rent teoretisk og på trods af at data opbevares på europæiske servere – alligevel kan tvinge sig adgang, da den europæiske virksomhed ultimativt har amerikanske ejere.
Alle interessenter, brugere, virksomheder og myndigheder, har en fælles interesse i etableringen af et nyt Privacy Framework, hvorfor vedtagelsen af dette har meget høj prioritet.
Det er vigtigt at forstå, at der af tilsynene ikke er truffet principiel afgørelse omkring GA4, men kun Google Analytics UA. Det er derfor usikkert om forhandlingen om den nye trans-atlantiske aftale vil falde på plads før eller efter en eventuel afgørelse omkring GA4.