Google Analytics er ikke længere tilladt i Danmark - hvad gør vi så nu?

Datatilsynet kom d. 21. september 2022 med nyheden om, at Google Analytics ikke længere er tilladt – i hvert fald ikke, hvis det bruges med standardindstillingerne – fordi værktøjet ikke overholder europæisk GDPR-lovgivning.

I det følgende ser vi nærmere på, hvad du som virksomhed skal forholde dig til, indtil der ligger en klar aftale fast mellem Europa og USA, Transatlantic Data Privacy Framework, som sikrer, at al dataoverførsel sker overensstemmelse med GDPR.

 

Hvilke muligheder er der for din virksomhed?

Datatilsynet kommer med deres anbefalinger til, hvad du som virksomhed kan gøre, hvis du vil blive ved med at bruge Google Analytics til indsamling og analyse af data – og budskabet er klart. 

Virksomheder kan gøre en af to ting:

 

  • Sørge for at værktøjet bruges lovligt ved at implementere en række supplerende foranstaltninger, som sikrer at dataen, der sendes til Googles servere i USA, er pseudonymiseret – reverse proxy kaldes det.
  • Stoppe med at bruge værktøjet og i stedet finde et andet alternativ, der er godkendt af databeskyttelsesmyndighederne.

 

 

Mens vi venter.. 

.. Så lad os se på, hvad de to muligheder indebærer. 

 

Løsning 1:

 

Hvis Google Analytics skal være lovligt at bruge i Danmark, så kræver det, at GA opsættes med en proxyserver. Her læner det danske Datatilsyn sig op af de franske myndigheder, CNIL, der har udarbejdet en guide – “how to make your analytics tool compliant with the GDPR?” – til lovlig opsætning af Google Analytics ved hjælp af en proxyserver. Kort sagt så handler det om, at denne opsætning skal begrænse overførslen af data. 

 

For at opsætningen kan betragtes som lovlig, er der 7 nødvendige foranstaltninger, som skal implementeres:

 

  1. The absence of transfer of the IP address to the servers of the analytics tool
  2. The replacement of the user identifier by the proxy server
  3. The removal of external referrer information from
  4. The removal of any parameters contained in the collected URLs
  5. Reprocessing of information that can be used to generate a fingerprint
  6. The absence of collection of cross-site or lasting identifiers
  7. The deletion of any other data that could lead to re-identification

 

Selvom de tekniske foranstaltninger åbner en kattelem for at Google Analytics kan bruges på lovlig vis i et marketingperspektiv, så vil flere af punkterne fjerne muligheden for, at man kan analysere på data på kanalniveau og opnå samme i indsigt i performance

 

Løsning 2:

I stedet for at gå den tekniske vej er det også en mulighed at finde et helt andet alternativ til Google Analytics. Men det kan være noget af en opgave at sætte et nyt analyseværktøj op fra bunden. Denne proces kræver ressourcer, som de færreste har til rådighed.

 

Langt de fleste (over 90 %) af hjemmesiderne understøtter Google Analytics, men kun omkring 10 % understøtter et godkendt alternativ som f.eks. Piwik Pro, hvilket betyder at der højst sandsynligt skal ekstern hjælp til at sætte det op. Dertil skal det siges, at de fleste dashboards er bygget på Google Analytics-data, og her skal der også en ny løsning til i tilfælde af et skifte.

 

Hvor stiller det dig som virksomhed?

Der er fra Datastyrelsen ikke givet en skarp deadline for, hvornår virksomheder skal være klar med en ny løsning, der fungerer i overensstemmelse med GDPR-lovgivningen.

“Budskabet fra Datatilsynet er, at hvis man bruger Google Analytics, skal man lægge en plan for at lovliggøre sin brug ved at træffe supplerende foranstaltninger.” 

I mellemtiden gælder det om at se på en løsning, der sikrer at vigtigste historiske data gemmes samt lægge en plan for, hvordan et fremtidigt tracking setup kan se ud. 

 

Opdatering 12.10.2022

Fredag d. 7. oktober underskrev Joe Biden en excecutive order, som er første led i en ny Privacy Shield 2.0 aftale, som kan være på plads indenfor 6 måneder.
Det kan betyde, at du lovligt kan sende persondata til USA gennem værktøjer som f.eks. Google Analytics fra foråret 2023.

Det er dog før set, at disse processer kan trække i langdrag – og man spår allerede at Mark Schrems og ‘None of Your Business’ organisationen gearer op og vil sætte en stopper for den potentielle aftale.

Vi følger udviklingen tæt.