Google Analytics eller alternativer?
Datatilsynet har d. 21. september 2022 udsendt en række anbefalinger, som har store konsekvenser for alle med en hjemmeside, som bruger Google Analytics. Derfor skal du som hjemmesideejer tænke dig godt om, før du fortsætter som før. Samtidig anbefaler vi dog også, at du slår koldt vand i blodet og lægger en plan for ikke at drage forhastede beslutninger. Læs med her for at få et overblik over situationen og overordnede råd til, hvad du skal gøre.
Den specifikke databehandling er ulovlig
Helt konkret har Datatilsynet haft Google Analytics under granskning, set i øjnene af de seneste års udvikling i GDPR-området, men også afgørelserne i andre europæiske lande herunder Frankrig, Østrig og Schweiz. Disse afgørelser har ligeledes fundet, at brugen af Google Analytics er i strid med gældende GDPR-lovgivning. Det har betydet, at Datatilsynet ikke mener, at værktøjet kan bruges lovligt i Danmark uden at foretage modifikationer. Førnævnte modifikationer har dog så stor betydning for værktøjets nytteværdi, at det kan være nærmest umuligt at bruge det til ret meget mere end sidevisninger.
Lidt mere specifikt sker det, fordi USA anses som et usikkert tredjeland. Tidligere har det været muligt for virksomheder at overføre persondata til USA under den såkaldte Privacy Shield-ordning. Denne ordning blev erklæret ugyldig af EU-Domstolen i juli 2020, og herefter kan overførsler til USA kun ske på et tilstrækkelig overførselsgrundlag som f.eks. EU-Kommissionens standardkontraktsbestemmelser. Og så skal man om nødvendigt indføre supplerende (yderligere) foranstaltninger, der sikrer en tilsvarende beskyttelse som i EU. Google har indført disse såkaldte standardkontrakter, men alligevel er det myndighedernes vurdering, at de ikke har kunnet sikre et effektivt beskyttelsesniveau. Derfor kan det ikke tillades, at data, som indeholder personoplysninger, tager den transatlantiske rejse i dette tilfælde. Data fra Google Analytics indeholder nemlig IP-adresser, UTM-parametre og en række andre identifikatorer, som klassificeres som personlige oplysninger.
Det er således ikke specifikt Google Analytics, som er erklæret ulovligt. Det har Datatilsynet ikke beføjelser til. Snarere er det måden, hvorpå data håndteres, som er blevet erklæret i strid med gældende lovgivning.
Der medfølger dog en række konsekvenser, hvis der skal ændres i opsætningerne.
Marketingindsigter?
Hvis du i dag bruger værktøjet til at se, hvordan dine forskellige kanaler performer (f.eks. Facebook, Google Ads, TikTok, email) får det ret store konsekvenser for dig. Dette skyldes den ændring, som den franske organisation CNIL anbefaler. Dette er f.eks. at fjerne UTM-parametre fra den URL, som lander på din hjemmeside. Den har indtil nu indeholdt vigtige informationer, som du selv har kunne definere, f.eks. medie, kampagne, annoncenavn, mv. Det har gjort dig i stand til at se, hvor dine besøgende kommer fra, og om dine indsatser rent faktisk virker. Ved at fjerne disse informationer ændres dine Google Analytics- indsigter således til alene at indeholde sidevisninger. Du kan derfor stadig se, hvor mange der besøger dine enkelte landingssider, men mangler nu informationer i det samlede billede. Det er blot en af de ting, som bliver fjernet, hvis du vælger at gå videre med Google Analytics.
Løsningen
Vores løsning er at skifte til en anden analyseplatform, som ikke skal have brugeres data forbi USA. Der findes en række værktøjer, som giver nogle af de samme indsigter, men som helt undgår Googles servere i USA.
Matomo Analytics er et alternativ til Google Analytics. Deres fokus er i høj grad på brugerens privatliv, og dette kommer til udtryk igennem deres tilgang til dataopbevaring og indsamling. Matomo kan desuden hostes på din egen server.
Slå koldt vand i blodet
Selvom Datatilsynets anbefalinger praktisk talt er gældende siden deres udmelding, da det tager udgangspunkt i den allerede gældende lovgivning, er deres håndhævelse af lovgivningen i øjeblikket uklar. De er derfor også opmærksomme på, at der er mange virksomheder, som anvender værktøjet i dag:
”Datatilsynet har forståelse for, at mange organisationer allerede bruger Google Analytics, og at der tidligere har været en lettilgængelig mulighed for at overføre oplysninger til USA i form af en såkaldt tilstrækkelighedsafgørelse fra EU-Kommissionen. EU-Domstolen erklærede dog denne kommissionsafgørelse for ugyldig i juli 2020.
Derfor er budskabet fra Datatilsynet, at hvis man bruger Google Analytics, skal man lægge en plan for at lovliggøre sin brug ved at træffe supplerende foranstaltninger.”
Samtidig er det også uklart, om Google kommer med en løsning på udfordringen.
