Introduksjon

I fotsporene til Østerrike, Italia og Frankrike har Danmark erklært Google Analytics for "ulovlig". Denne avgjørelsen ble nylig kunngjort av Datatilsynet etter å ha vurdert pan-europeiske saker rundt Google Analytics' bruk av data. Hva betyr dette egentlig for bedrifter som bruker Google Analytics, og hvilken effekt vil dette ha?

For å svare på disse spørsmålene må vi starte fra begynnelsen.

GDPR og Schrems II

I mai 2018 trådte GDPR – General Data Protection Regulations – i kraft i EU-retten. Dette er en av de tøffeste sikkerhetslovene i verden og har som mål å beskytte brukernes personvern. Du kan lese i detalj om GDPR her.

Noen år senere, i 2020, avgjorde EU-domstolen at Facebook-overføring av brukerdata til USA krenker GDPR, kjent som Schrems II-dommen . Denne dommen var på grunn av amerikansk lov som tillater etterretningsbyråer tilgang til EU-borgeres data når de overføres til USA – et direkte brudd på GDPR.

Kjennelsen gjorde i hovedsak handlingene til Facebook og andre teknologiselskaper som Google ulovlige. Men selskapene fant et smutthull. Ved å gi en standard kontraktsklausul som tidligere var EU-godkjent, kunne de lovlig fortsette å kjøre.

Østerrike, Frankrike og Italia

I januar 2022 avsa det østerrikske datatilsynet en dom i en lignende sak som Schrems II. Denne gangen var Google Analytics i søkelyset. På grunn av ingen avtaler mellom EU og USA angående brukerdata , kunne ikke Google Analytics garantere at østerrikske borgeres data ville være beskyttet. Som et resultat ble Google Analytics ansett som ulovlig.

Snart vil de franske og italienske datatilsynene ta en lignende avgjørelse når de gjennomgår den østerrikske saken. Begge avgjorde at Google Analytics under visse omstendigheter er ulovlig, noe som muliggjør en bredere europeisk konsensus.

Etter disse kjennelsene har den franske datatilsynet rådet selskaper til å bruke en proxy-server for å unngå ulovligheter. Men å bruke en proxy er komplisert og vil produsere ubrukbare data. Finn ut mer om bruk av en proxy-server her.

Hva skjer etterpå? 

Mange selskaper over hele Europa, ikke bare Danmark, er avhengige av Google Analytics for å spore, analysere og evaluere kundedata. Med dette i bakhodet må det påregnes en overgangsperiode; derfor er det ikke nødvendig med noen handling for øyeblikket.

I løpet av denne perioden forutsier vi heller ingen teknisk respons, noe som øker anonymiseringen av data eller fysisk respons, som ved å holde dataene innenfor EU. Selv om det er snakk om at Google lagrer data i Tyskland, er det komplekst og tidkrevende å få dette til.

La oss derfor se på noen alternative alternativer for fremtiden.

Velg et annet analyseselskap

Ethvert selskap som lagrer EU-borgeres data utenfor EU vil sannsynligvis møte overholdelsesproblemer. Derfor er det best å unngå disse datasporingsselskapene.

Her er en kort liste over alternativer til Google Analytics:

Matomo

  • Lagre brukerdata på skyen i Tyskland
  • Importer data fra Google Analytics
  • Gratis med tilleggskjøp
Google-Analytics-er-i-brudd-av-GDPR
Matomo

Fathom Analytics 

  • Lagre data på europeiske servere
  • Data er beskyttet og overholder GDPR
  • Enkel installasjon og vennlig brukergrensesnitt.
Google-Analytics-er-i-brudd-av-GDPR
Fathom Analytics

Plausibel analyse 

  • Et verktøy uten informasjonskapsler som overholder GDPR
  • Europeisk skyinfrastruktur
  • Vennlig brukergrensesnitt
Google-Analytics-er-i-brudd-av-GDPR
Plausibelt

Nettstedet forbedres

  • Basert og grunnlagt i Danmark
  • Spor besøkende atferd
  • 100 % dataeierskap
Google-Analytics-er-i-brudd-av-GDPR
Nettstedet forbedres

Nettskybasert analyseleverandør 

Det er her bedriften din kan lagre data på et annet sted enn dataselskapets plassering. For eksempel, selv om Matomo er et selskap lokalisert i New Zealand, gjennom skylagring, kan selskaper lage et komplett sett med EU-basert dataanalyse ved å lagre data på Matomos tyske servere.

Google-Analytics-er-i-brudd-av-GDPR
Nettstedet forbedres

Selvhostende analyseplattform 

Unngå risikoen for at tredjeparter utenfor EU blir fullstendig forbudt i hele Europa. Bruk i stedet en selvvertsbasert løsning som PostHog eller Piwik. Du vil være ansvarlig for hosting og vedlikehold og ha tilgang til profesjonelle rapporteringsfunksjoner gjennom programvarevertene.

PostHog-Google-Analytics-er-i-brudd på-GDPR
PostHog

Vent på Googles svar 

Google vil ikke droppe EU-markedet. Gjennom enten en kortsiktig juridisk løsning eller en langsiktig teknisk løsning, vil Google finne en måte å forbli. I mellomtiden må vi sitte tett.

Google har allerede annonsert at Google Analytics Universal avvikles i juli 2023, og lanserer en oppgradering, Google Analytics 4, i mars. Siden Google Analytics 4 ble bygget med brukeren i tankene, med fokus på å beskytte personopplysninger, kan dette være svaret på GDPR-vedtak.

Programvaren er ikke avhengig av informasjonskapsler og IP-adresser, og all brukerinformasjon presenteres som hashdata. Men problemet gjenstår fortsatt – overføringen av data til USA. Det er her Google Analytics kolliderer med GDPR og blir ulovlig.

Hva vil fremtiden din bringe?

Måten selskaper sporer data på vil fortsette å endre seg. Ettersom loven tar igjen store teknologiske fremskritt, vil mengden data du kan lagre eller behandle, begrenses ytterligere. Vi tror på grunn av dette, at det vil være mange selskaper som beveger seg mot en førsteparts datastrategi.

En førsteparts datastrategi vil innebære å spørre tydelig, ikke i skjulte vilkår og betingelser, om at kunder frivillig skal dele dataene sine. Denne strategien, sammen med strammere reguleringer, er et skritt mot personvern på nett som speiler personvern offline: bare tillate at data lagres hvis brukere når ut til selskaper – utover å besøke en nettside eller skrive inn et søkeord.

Våre siste tanker om Google Analytics' kjennelse 

Med disse nylige kjennelsene klargjør myndighetene loven for teknologiselskaper om hva som er og ikke er tillatt. Ved å gjøre det former kjennelsene fremtiden for datainnsamling, med sikte på å skape en sikrere digital verden, samtidig som de presser selskaper til å ta sitt etiske ansvar for å samle inn, overføre og bruke data.

Nye forskrifter som GDPR vil fortsette å kreve at mange selskaper justerer praksisen sin, og endrer hvordan data samles inn. Men så lenge det er internett, vil fremtiden fortsatt inneholde data, og Google er garantert en del av fremtiden.