September, 2022
Google Analytics har vært i hardt vær den siste tiden i forbindelse med brudd på GDPR. I januar besluttet det Østerriske datatilsynet at Google Analytics bryter med Schrems II dommen fordi det er en hypotetisk mulighet for at Amerikanske etterretningstjenester har tilgang til persondata som ligger i Google Analytics.
Saken ligger fortsatt til behandling hos datatilsynet i Norge og flere norske bedrifter er nå usikre på hva dette betyr for dem, og hvordan skal jobbe videre med Google Analytics. Advokatfirmaet Deloitte har gått ut og sagt at det enkleste tiltaket er å skru av Google Analytics. Datatilsynet anbefaler nå Norske bedrifter til å undersøke alternativer til Google Analytics. Dette har ført til at flere firmaer har begynt å skru av Google Analytics, deriblant har Telenor slått av Google Analytics etter tilsyn.
Google selv mener at Google Analytics fortsatt kan brukes, men etterspør en ny oppdatering av Privacy Shield, og har implementert flere nye personvernstiltak i Google Analytics 4 (GA4):
Datainnsamling:
Nye funksjonaliteter for datakontroll:
Alle nye funksjonaliteter for datakontroll kommer kun i GA4, og Google pusher hardt for at alle eksisterende brukere av Google Analytics - Universal Analytics skal over på denne plattformen.
Per nå har ikke datatilsynet besluttet hvorvidt Google Analytics er ulovlig i Norge. Saken er fortsatt til vurdering. Google vil etter all sannsynlighet strekke seg veldig langt for å tilfredsstille eventuelle krav fra myndighetene, da dataene som samles er essensielle for Google sine produkter.
Den 25. mars ble EU-kommisjonen og USA enige om et nytt rammeverk, Trans-Atlantic Data Privacy Framework, som vil erstatte Privacy Shield. Det er forventet at dette vil sikre at Analytics fortsetter å være lovlig fremover.
Hvis du benytter Google Analytics, er det viktigste tiltaket du kan gjøre nå å sikre at dataene du allerede har er fri for persondata. Det rådes derfor å benytte alle personvern funksjonene som allerede eksisterer i Google Analytics. Vi anbefaler følgende tiltak:
For å identifisere persondata i Google Analytics, følg disse stegene: Søk gjennom ulike rapporter i Google Analytics, herunder Page URLs, Event Labels osv. og se etter e-postadresser, telefonnumre osv. Slett all persondata du finner fra GA med Data-Deletion Requests.
Ekskludering av personopplysninger burde helst kontrolleres fra nettsiden, da denne dataen også kan lekke inn i andre systemer enn Google Analytics. Som en midlertidig løsning inntil dette er på plass, kan man benytte customTask funksjonen i Google Tag Manager for å fjerne brukerdata. Merk at filtre i GA for å ekskludere persondata data er ikke godt nok av hensyn til GDPR, da dataen teoretisk fortsatt er tilgjengelig på property nivå, selv om det ikke er synlig for brukeren på view nivå.
For GA4, eksisterer det ikke en tilsvarende customTask funksjon. Her må man benyttes et script som kun inkluderer nødvendige parametere i URLen.
Anonymiser IP-adresser før de sendes til Google. I Google Tag Manager server-side kan du skru på ‘redact visitor ip address’ i GA taggen.
Vi anbefaler å implementere en cookie consent banner som har støtte for Google Consent Mode. Google Consent Mode sikrer at man får modellert data i Google Ads og GA4 for brukere som ikke har akseptert cookies. Dette er avgjørende for å kunne måle effekten av annonser, da opt-out raten på consent bannere er opp til 70% i følge Google.
For at brukere skal kunne gi samtykke til informasjonskapsler, kreves det at de er informert om hva de samtykker til og hvordan denne dataen benyttes. Dette legges typisk inn i en personvernerklæring og en cookie policy på nettsiden. Videre er det egne krav ved behandling av personopplysninger i personvernforordningen.
Sett opp Google Tag Manager server-side. På denne måten har du full kontroll over hvilke data som sendes til Google. Merk at det er flere fordeler med å implementere server-side tracking:
Google Analytics 4 er designet til å fungere både med og uten cookies. GA4 kommer med flere nye funksjonaliteter som Predictive Audiences, er gratis å bruke og tilbyr (inntil videre) gratis integrasjon mot Google Bigquery. Videre vil alle fremtidige personvernskontroller fra Google komme til GA4. Om man i dag benytter Google Tag Manager for å sende data til Universal Analytics, er det også enkelt å migrere dagens oppsett til GA4. Det lønner seg å implementere GA4 så fort som mulig, slik at man unngår å stå uten historisk data i GA4 i 2023.
Matomo er en EU-basert Analytics plattform, og vil derfor være compliant med GDPR, men vil sannsynligvis ikke integreres like bra mot andre Google produkter. Matomo har en variabel prismodell basert på antall hits, så det kan potensielt bli dyrt hvis det er mange månedlige hits på nettsiden.
Vår anbefaling er å sikre at man har gjort alt man kan for å være kompatibel i de plattformene man har i bruk i dag, og deretter sette opp en ny plattform for å sikre at man ikke står uten data i 2023. I lys av enigheten mellom USA og EU om det nye rammeverket Trans-Atlantic Data Privacy Framework, og at Google vil fjerne sensitiv data for EU-brukere via EU servere og domener før dataen logges - forventer vi at Google Analytics 4 vil bli den beste og billigste løsningen fremover. Dog anbefaler vi å følge utviklingen tett, teste og vurdere andre løsninger som Matomo i tilfelle situasjonen skulle endre seg.
Vi i Connect bidrar hos kundene våre der det er nødvendig. Denne utfordringen kan være komplisert for alle som ikke jobber med dette til daglig og har det som fagfelt. Derfor støtter vi kundene våre med å tilby fullt oppsett og endring av det som må gjøres i respektives konto. Noen trenger 100% bistand, mens andre trenger bare litt guiding. Vi stiller med det som måtte være nødvendig.
Ønsker du å lære mer eller trenger bistand for å ivareta din bedrifts data?
Ta gjerne kontakt med Christian Løvstad for en uforpliktende prat. Se kontaktinfo under.
