Af Maciej Zawadziński, CEO hos Piwik PRO
Hvad bruger man egentlig Google Analytics til? En webshop bruger det til at måle effektiviteten af forskellige marketingtiltag, f.eks. om kunderne kommer fra Facebook eller Google selv, og hvilken af kanalerne, der får kunderne til at svinge kreditkortet. De data bruges til at prioritere marketingkronerne og optimere brugerrejsen på websitet.
Derudover bruger man Google Analytics til at følge brugeren rundt i butikken, og det interessante er især at se, hvor folk falder af, dvs. hvad får en kunde til at opgive købet. Og er der forskel på, om vedkommende kommer fra Facebook eller Google – eller en tredje kanal.
Det hjælper webshoppen til at forbedre oplevelsen eller lave andre tiltag, der får kunderne videre i processen.
Hvad så nu?
Der er fire teoretiske muligheder: Skal vi vente på at myndighederne lemper reglerne? Eller skifte til det nye Google Analytics 4? Eller følge retningslinjerne fra Datatilsynet så Google Analytics bruges lovligt? Eller er der lovlige alternativer til Google Analytics?
Scenarie 1: Vent på at myndighederne kommer med en løsning
Datatilsynets afgørelse minder meget om Østrigs, Frankrigs og Italiens tilsvarende afgørelser. De fremhæver alle det samme: Data, som sendes til USA via Google Analytics, bliver ikke beskyttet tilstrækkeligt imod USA’s efterretningstjenester. I juli 2020 blev Privacy Shield, som var aftalen mellem EU og USA om sikker overførsel af data, fundet ulovlig af EU.
En ny aftale kan være på vej. I marts 2022 startede man på forhandlingerne på tværs af atlanten, men man er end ikke nået til et udkast, kun en hensigtserklæring fra Ursula von der Leyen og Joe Biden om at der skal laves en aftale.
NOYB, organisationen som stod bag klagerne, der førte til de to Schrems-domme, har allerede proklameret, at de vil udfordre de kommende regler ved EU-Domstolen.
Det betyder, at hvis man venter med at gøre noget, så udsætter man sig selv for mulig efterforskning og skaber usikkerhed i egne rækker om, hvorvidt man indsamler og behandler data på lovlig vis.
Scenarie 2: Skift til Google Analytics 4
De fleste af Noyb’s klager har gået på Google Analytics 3. For nylig begyndte Google at rulle Google Analytics 4 ud og skriver, at den er udviklet med tanke på privatlivsbeskyttelse. Vil et skifte til Google Analytics 4 være godt nok?
Nej.
Datatilsynets FAQ siger:
“Med hensyn til Google Analytics 4 fremgår det af Googles dokumentation, at IP-adresser benyttes til at fastslå den besøgendes omtrentlige placering, hvorefter adressen kasseres, inden oplysningerne logges på en server. Samme problemstilling som ved Universal Analytics er derfor også aktuel for Google Analytics 4, da der – afhængigt af den registreredes placering – kan ske opkobling direkte til bl.a. amerikanske servere, inden adressen kasseres.”
Det betyder, at Datatilsynets afgørelse også gælder GA4.
Scenarie 3: Følg Datatilsynets retningslinjer til at bruge GA lovligt.
Ifølge Datatilsynets retningslinjer skal man “pseudonymisere” data med en “reverse proxy”, som det franske datatilsyn har lavet en guide til.
Det betyder mindst disse tre ting i praksis:
Man skal sikre, at Google Analytics kun aktiveres med brugerens accept.
Man skal selv installere Google Analytics på en server, der befinder sig i EU og er ejet af nogen i EU.
Man skal fjerne alle data, der kan identificere personer, såsom bruger-ID, IP-adresser og krydsreference-ID’er, før data sendes til USA.
Gør man det, så holder man sig indenfor GDPR., Men det er dyrt, og man mister i vidt omfang mulighederne for optimering af sin webshop eller hjemmeside. Man kan groft sagt ikke længere følge kunderne i butikken men kun se, at de er gået ind og ud. Man kan ikke længere se, hvad forskellen i adfærd er på dem, der køber, og dem der ikke gør.
Scenarie 4: Brug et alternativ
Datatilsynet siger, at hvis pseudonymiserede data ikke er er en mulighed, så skal man bruge noget andet end Google Analytics, så man lever op til EU’s standarder for privatlivsbeskyttelse.
Når man leder efter et lovligt alternativ, skal man tjekke disse risikofaktorer:
- Hvor bliver data gemt?
- I hvilket land hører udbyderen officielt hjemme?
- Bliver de gemte data krypteret ? Og hvem sidder med krypteringsnøglerne?
- Bliver data overført ukrypteret til USA?
Hvis du vil være sikker på, at at du lever op til disse krav og GDPR, så skal du vælge en udbyder fra EU, der bruger datacentre i EU. Og det skal være en, der ikke deler krypteringsnøglerne med andre end dig, og som aldrig overfører data til USA i ukrypteret form.
Der er en hel del alternativer til Google Analytics på markedet, som både lever op til GDPR og som fungerer godt i praksis. Faktisk er nogle af dem bedre end Google Analytics, både i Universal-udgaven og Google Analytics 4. De fleste af disse har integration til Googles marketing-økosystem, så fx måling af Google Ads stadig vil fungere upåklageligt.
Piwik PRO, SimpleAnalytics og Fathom Analytics er gode eksempler på GDPR-kompliante alternativer til Google Analytics.
Uanset hvilken løsning, du vælger, så skal du træffe nogle beslutninger, som har konsekvenser for din forretning. Hvis lader stå til, udsætter du din forretning for risikoen for en GDPR-bøde, og det kan blive meget dyrt.