Datatilsynet har set nærmere på Google Analytics, som bruges til webstatistik på et ekstremt stort antal websites.
Datatilsynet konkluderer at Google analytics ikke kan bruges lovligt uden en række ekstra foranstaltninger.
[Her var der et link til en artikel hos Datatilsynet. Datatilsynet har senere slettet eller ændret URL’en på artiklen.]
Bemærk: Datatilsynet har faktisk ikke beføjelser til at blåstemple eller forbyde bestemte produkter. Det datatilsynet har udgivet er en anbefaling. Det er ikke sikkert at Datatilsynet ville få medhold hvis sagen kom for en domstol.
Ifølge Datatilsynet er der flere ting, der kan være galt med at bruge Google Analytics. En af de største bekymringer er, at Google Analytics indsamler og opbevarer personlige oplysninger, såsom IP-adresser og browser-oplysninger, uden at give besøgende mulighed for at give samtykke til indsamlingen.
Desuden kan Google Analytics bruges til at spore besøgende på tværs af flere websteder, hvilket kan føre til overvågning af personer uden deres viden eller samtykke.
Endelig kan Google Analytics bruges til at oprette profiler på besøgende.
Hvad gør du nu?
Det første du skal gøre er at skrive en plan for lovliggørelse af Google Analytics i din organisation. Planen skal være klar til at vise Datatilsynet hvis de skulle banke på i perioden fra nu og til at du har lovliggjort brugen af analytics.
Handlemuligheder du kan bruge for at gøre analytics lovlig:
1. Vente – og håbe at du ikke får besøg af Datatilsynet
Udfordringerne med Google handler primært om overførsel af personlig data til USA. USA er i GDPR sammenhæng et usikkert land fordi amerikanske myndigheder kan kræve adgang til data som private virksomheder indenfor IT & telesektoren opbevarer.
Tidligere havde EU og USA en aftale om at vi godt kunne overføre data til USA. Men den aftale (og aftalen før den) blev underkendt efter sagsanlæg fra juristen Max Schrems.
EU og USA annoncerede tilbage i marts at der arbejdes på en ny aftale. Hvis den kommer på plads, så kan man sandsynligvis bruge Google Analytics igen.
[Update 7. oktober 2022]: Biden har netop udstedt et præsidentielt dekret om udveksling af personoplysninger mellem EU og USA.
Det er dog uvist om den nye aftale så holder i retten. Max Schrems har meddelt at han kommer til at afprøve det så snart den er lavet.
Hvis det ikke kan løses politisk, så kunne Google vælge at læse det teknisk. Fx ved ikke at overføre data der vedrører EU borgere til USA eller andre usikre lande.
2. Pseudonymisering af data
Det er muligt (omend ret komplekst hvis man ikke sidder i IT afdeling til daglig) at foretage en række tekniske foranstaltninger, som lovliggør brugen af analytics. Den franske tilsynsmyndighed har været så venlige at udarbejde en instruktion til hvordan det kan gøres.
3. Skifte til et GDPR compliant analyseværktøj
Google analytics er ikke det eneste analyseværktøj på markedet. Det har bare fået en enorm succes fordi det er gratis, fordi mange kender det og fordi det fungerer godt sammen med Googles øvrige værktøjer. Der findes analyseværktøjer som ikke overfører data til USA.
Du kan se et par bud på Alternativer til Google Analytics her.
Hvis du vil skifte til et andet værktøj eller høre mere om mulighederne, så kontakt Franz på tlf. 26274972 eller franz@kathart.dk
4. Slette din Analytics konto
Hvis du ikke har brug for statistik på dit website kan du stoppe med at bruge Google Analytics. Husk også at få slettet tracking koderne fra dit website.