Efter Google Analytics-afgørelsen: Hvad kan du gøre, og hvad betyder det?

Det danske datatilsyn har afgjort, at det umiddelbart er ulovligt at bruge Google Analytics (GA), som er det mest udbredte analyseværktøj til websites. Hvad gør man så som fx webshop-ejer? Her er en vurdering af Datatilsynets egne forslag samt en tjekliste, hvis du søger lovlige alternativer

28. september 2022 Gæsteforfatter Nyhedsbrev, Speakers Korner, Tophistorier, Udvalgte artikler
Google Analytics er dømt ude - og hvad betyder det så lige?

Af Maciej Zawadziński, CEO hos Piwik PRO

Hvad bruger man egentlig Google Analytics til? En webshop bruger det til at måle effektiviteten af forskellige marketingtiltag, f.eks. om kunderne kommer fra Facebook eller Google selv, og hvilken af kanalerne, der får kunderne til at svinge kreditkortet. De data bruges til at prioritere marketingkronerne og optimere brugerrejsen på websitet.

Derudover bruger man Google Analytics til at følge brugeren rundt i butikken, og det interessante er især at se, hvor folk falder af, dvs. hvad får en kunde til at opgive købet. Og er der forskel på, om vedkommende kommer fra Facebook eller Google – eller en tredje kanal.

Det hjælper webshoppen til at forbedre oplevelsen eller lave andre tiltag, der får kunderne videre i processen.

Hvad så nu?

Der er fire teoretiske muligheder: Skal vi vente på at myndighederne lemper reglerne? Eller skifte til det nye Google Analytics 4? Eller følge retningslinjerne fra Datatilsynet så Google Analytics bruges lovligt? Eller er der lovlige alternativer til Google Analytics? 

Scenarie 1: Vent på at myndighederne kommer med en løsning

Datatilsynets afgørelse minder meget om Østrigs, Frankrigs og Italiens tilsvarende afgørelser. De fremhæver alle det samme: Data, som sendes til USA via Google Analytics, bliver ikke beskyttet tilstrækkeligt imod USA’s efterretningstjenester. I juli 2020 blev Privacy Shield, som var aftalen mellem EU og USA om sikker overførsel af data, fundet ulovlig af EU.

En ny aftale kan være på vej. I marts 2022 startede man på forhandlingerne på tværs af atlanten, men man er end ikke nået til et udkast, kun en hensigtserklæring fra Ursula von der Leyen og Joe Biden om at der skal laves en aftale.

NOYB, organisationen som stod bag klagerne, der førte til de to Schrems-domme, har allerede proklameret, at de vil udfordre de kommende regler ved EU-Domstolen.

Det betyder, at hvis man venter med at gøre noget, så udsætter man sig selv for mulig efterforskning og skaber usikkerhed i egne rækker om, hvorvidt man indsamler og behandler data på lovlig vis.

Scenarie 2: Skift til Google Analytics 4

De fleste af Noyb’s klager har gået på Google Analytics 3. For nylig begyndte Google at rulle Google Analytics 4 ud og skriver, at den er udviklet med tanke på privatlivsbeskyttelse. Vil et skifte til Google Analytics 4 være godt nok?

Nej. 

Datatilsynets FAQ siger: 

Med hensyn til Google Analytics 4 fremgår det af Googles dokumentation, at IP-adresser benyttes til at fastslå den besøgendes omtrentlige placering, hvorefter adressen kasseres, inden oplysningerne logges på en server. Samme problemstilling som ved Universal Analytics er derfor også aktuel for Google Analytics 4, da der – afhængigt af den registreredes placering – kan ske opkobling direkte til bl.a. amerikanske servere, inden adressen kasseres.

Det betyder, at Datatilsynets afgørelse også gælder GA4.

Scenarie 3: Følg Datatilsynets retningslinjer til at bruge GA lovligt.

Ifølge Datatilsynets retningslinjer skal man “pseudonymisere” data med en “reverse proxy”, som det franske datatilsyn har lavet en guide til.

Det betyder mindst disse tre ting i praksis: 

Man skal sikre, at Google Analytics kun aktiveres med brugerens accept.

Man skal selv installere Google Analytics på en server, der befinder sig i EU og er ejet af nogen i EU.

Man skal fjerne alle data, der kan identificere personer, såsom bruger-ID, IP-adresser og krydsreference-ID’er, før data sendes til USA.

Gør man det, så holder man sig indenfor GDPR., Men det er dyrt, og man mister i vidt omfang mulighederne for optimering af sin webshop eller hjemmeside. Man kan groft sagt ikke længere følge kunderne i butikken men kun se, at de er gået ind og ud. Man kan ikke længere se, hvad forskellen i adfærd er på dem, der køber, og dem der ikke gør. 

Scenarie 4: Brug et alternativ

Datatilsynet siger, at hvis pseudonymiserede data ikke er er en mulighed, så skal man bruge noget andet end Google Analytics, så man lever op til EU’s standarder for privatlivsbeskyttelse.

Når man leder efter et lovligt alternativ, skal man tjekke disse risikofaktorer:

  1. Hvor bliver data gemt?
  2. I hvilket land hører udbyderen officielt hjemme?
  3. Bliver de gemte data krypteret ? Og hvem sidder med krypteringsnøglerne?
  4. Bliver data overført ukrypteret til USA?

Hvis du vil være sikker på, at at du lever op til disse krav og GDPR, så skal du vælge en udbyder fra EU, der bruger datacentre i EU. Og det skal være en, der ikke deler krypteringsnøglerne med andre end dig, og som aldrig overfører data til USA i ukrypteret form.

Der er en hel del alternativer til Google Analytics på markedet, som både lever op til GDPR og som fungerer godt i praksis. Faktisk er nogle af dem bedre end Google Analytics, både i Universal-udgaven og Google Analytics 4. De fleste af disse har integration til Googles marketing-økosystem, så fx måling af Google Ads stadig vil fungere upåklageligt.

Piwik PRO, SimpleAnalytics og Fathom Analytics er gode eksempler på GDPR-kompliante alternativer til Google Analytics.

Uanset hvilken løsning, du vælger, så skal du træffe nogle beslutninger, som har konsekvenser for din forretning. Hvis lader stå til, udsætter du din forretning for risikoen for en GDPR-bøde, og det kan blive meget dyrt.

Tjek priser på bredbånd

Tech-Test har indgået et samarbejde med Samlino så du kan tjekke bredbåndspriser og ikke mindst muligheder for bredbånd på din adresse.

Det er helt gratis og Samlino skal ikke bruge andet end din adresse for at levere priser til dig.

Når du har indtastet adressen i feltet herunder, bliver du sendt til Samlino, hvor du får vist resultatet, og hvor du kan indsætte flere filtre, hvis du har bestemte behov for dit bredbånd.

Relaterede Artikler

Nyheder fra gl. site

Hackere stjæler betalingsoplysninger på ny måde

23. juli 2020 Lars Bennetzen Nyheder fra gl. site, Nyhedsbrev, Sikkerhed, Tophistorier
Web-skimming er en populær praksis, som hackerne bruger til at stjæle folks kreditkortoplysninger fra betalingssiderne på netbutikker. Metoden går ud på, at hackerne indsætter ondsindede koder i kildekoden på udvalgte hjemmesider. Denne kode indsamler derefter de data, der er indtastet af de besøgende på hjemmesiden (dvs. betalingskonto-logins eller kreditkortnumre) og sender så de høstede data til den adresse, der er angivet af hackerne i den ondsindede kode. For at skjule, at hjemmesiden er blevet angrebet, opretterhackerne ofte domæner med navne, der ligner populære webanalysetjenester, såsom Google Analytics. Når de indsætter den ondsindede kode, er det således svært for webadministratoren at vide, at webstedet er under angreb. Ny og hidtil ukendt metode For nylig har analytikere fra Kaspersky imidlertid opdaget en hidtil ukendt metode til udførelse af disse web-skimming-angreb. I stedet for at omdirigere dataene til selvoprettede domæner, omdirigerer de dem til officielle Google Analytics-konti. Når hackerne registrerer deres konti på Google Analytics, er det eneste, de behøver at gøre, at konfigurere kontoernes sporingsmodul til at modtage et sporings-id. De indsætter derefter den ondsindede kode sammen med sporings-id’et i websidens kildekode, hvilket gør det muligt for dem at indsamle data om besøgende og få den sendt direkte til hackernes Google Analytics-konti. Eftersom data ikke bliver sendt videre til en ukendt tredjeparts webanalysetjeneste, er det vanskeligt for administratorerne at opdage, at webstedet er kompromitteret. For dem, der undersøger kildekoden, ser det ud til, at siden er forbundet med en officiel Google Analytics-konto, hvilket er ganske almindelig praksis for onlinebutikker. Cirka to dusin …. (læs mere her)