Google Analytics - Hvilke tiltak bør jeg gjøre nå?

Hvis du benytter Google Analytics, er det viktigste tiltaket du kan gjøre nå å sikre at dataene du allerede har er fri for persondata. Vi tar deg gjennom de viktigste stegene.

September, 2022

 

Hva er status på Google Analytics nå?

Google Analytics har vært i hardt vær den siste tiden i forbindelse med brudd på GDPR. I januar besluttet det Østerriske datatilsynet at Google Analytics bryter med Schrems II dommen fordi det er en hypotetisk mulighet for at Amerikanske etterretningstjenester har tilgang til persondata som ligger i Google Analytics. 

Saken ligger fortsatt til behandling hos datatilsynet i Norge og flere norske bedrifter er nå usikre på hva dette betyr for dem, og hvordan skal jobbe videre med Google Analytics. Advokatfirmaet Deloitte har gått ut og sagt at det enkleste tiltaket er å skru av Google Analytics. Datatilsynet anbefaler nå Norske bedrifter til å undersøke alternativer til Google Analytics. Dette har ført til at flere firmaer har begynt å skru av Google Analytics, deriblant har Telenor slått av Google Analytics etter tilsyn

Google selv mener at Google Analytics fortsatt kan brukes, men etterspør en ny oppdatering av Privacy Shield, og har implementert flere nye personvernstiltak i Google Analytics 4 (GA4):

Datainnsamling: 

  • Analytics vil ikke logge IP-adresser
  • Analytics vil fjerne sensitiv data for EU-brukere via EU servere og domener før dataen logges.

Nye funksjonaliteter for datakontroll: 

  • Mulighet for å skru av Google Signals per region
  • Mulighet for å deaktivere innsamling og lagring av region- og enhetsdimensjoner

Alle nye funksjonaliteter for datakontroll kommer kun i GA4, og Google pusher hardt for at alle eksisterende brukere av Google Analytics - Universal Analytics skal over på denne plattformen.

 

Er Google Analytics ulovlig i Norge?

Per nå har ikke datatilsynet besluttet hvorvidt Google Analytics er ulovlig i Norge. Saken er fortsatt til vurdering. Google vil etter all sannsynlighet strekke seg veldig langt for å tilfredsstille eventuelle krav fra myndighetene, da dataene som samles er essensielle for Google sine produkter.

Den 25. mars ble EU-kommisjonen og USA enige om et nytt rammeverk, Trans-Atlantic Data Privacy Framework, som vil erstatte Privacy Shield. Det er forventet at dette vil sikre at Analytics fortsetter å være lovlig fremover

 

Disse Google Analytics tiltakene burde du gjøre nå

Hvis du benytter Google Analytics, er det viktigste tiltaket du kan gjøre nå å sikre at dataene du allerede har er fri for persondata. Det rådes derfor å benytte alle personvern funksjonene som allerede eksisterer i Google Analytics. Vi anbefaler følgende tiltak:

  1. Slett personopplysninger fra Google Analytics
  2. Ekskluder personopplysninger fra fremtidige Google Analytics hits
  3. Anonymiser IP-adresser
  4. Sett opp Cookie Consent Banner og Implementer Google Consent Mode
  5. Legg inn personvernerklæring og cookie policy på nettsiden
  6. Sett opp Google Tag Manager server-side
  7. Sette opp en ny analytics plattform

 

1. Slett personopplysninger fra Google Analytics

For å identifisere persondata i Google Analytics, følg disse stegene: Søk gjennom ulike rapporter i Google Analytics, herunder Page URLs, Event Labels osv. og se etter e-postadresser, telefonnumre osv. Slett all persondata du finner fra GA med Data-Deletion Requests.

 

2. Ekskluder personopplysninger fra fremtidige Google Analytics hits

Ekskludering av personopplysninger burde helst kontrolleres fra nettsiden, da denne dataen også kan lekke inn i andre systemer enn Google Analytics. Som en midlertidig løsning inntil dette er på plass, kan man benytte customTask funksjonen i Google Tag Manager for å fjerne brukerdata. Merk at filtre i GA for å ekskludere persondata data er ikke godt nok av hensyn til GDPR, da dataen teoretisk fortsatt er tilgjengelig på property nivå, selv om det ikke er synlig for brukeren på view nivå. 

For GA4, eksisterer det ikke en tilsvarende customTask funksjon. Her må man benyttes et script som kun inkluderer nødvendige parametere i URLen. 

 

3. Anonymiser IP-adresser

Anonymiser IP-adresser før de sendes til Google. I Google Tag Manager server-side kan du skru på ‘redact visitor ip address’ i GA taggen.

 

4. Sett opp Cookie Consent Banner og Implementer Google Consent Mode

Vi anbefaler å implementere en cookie consent banner som har støtte for Google Consent Mode. Google Consent Mode sikrer at man får modellert data i Google Ads og GA4 for brukere som ikke har akseptert cookies. Dette er avgjørende for å kunne måle effekten av annonser, da opt-out raten på consent bannere er opp til 70% i følge Google. 

 

5. Legg inn personvernerklæring og cookie policy på nettsiden

For at brukere skal kunne gi samtykke til informasjonskapsler, kreves det at de er informert om hva de samtykker til og hvordan denne dataen benyttes. Dette legges typisk inn i en personvernerklæring og en cookie policy på nettsiden. Videre er det egne krav ved behandling av personopplysninger i personvernforordningen.

 

6. Sett opp Google Tag Manager server-side

Sett opp Google Tag Manager server-side. På denne måten har du full kontroll over hvilke data som sendes til Google. Merk at det er flere fordeler med å implementere server-side tracking: 

  • Server-side tracking også har en positiv effekt på sidehastighet, da man slipper å sende tredjepartsscripts når siden lastes. (Data sendes til et subdomene på nettsiden hvor du selv kontrollerer hva du sender videre til Google Analytics). Sidehastighet er også en viktig del av søkemotoroptimalisering.
  • Fra Server-containeren kan du også implementere Facebook Conversion API, noe som er essensielt for å kunne spore data i Facebook.

 

7. Sette opp en ny analytics plattform

Google Analytics 4 er designet til å fungere både med og uten cookies. GA4 kommer med flere nye funksjonaliteter som Predictive Audiences, er gratis å bruke og tilbyr (inntil videre) gratis integrasjon mot Google Bigquery. Videre vil alle fremtidige personvernskontroller fra Google komme til GA4. Om man i dag benytter Google Tag Manager for å sende data til Universal Analytics, er det også enkelt å migrere dagens oppsett til GA4. Det lønner seg å implementere GA4 så fort som mulig, slik at man unngår å stå uten historisk data i GA4 i 2023. 

Matomo er en EU-basert Analytics plattform, og vil derfor være compliant med GDPR, men vil sannsynligvis ikke integreres like bra mot andre Google produkter. Matomo har en variabel prismodell basert på antall hits, så det kan potensielt bli dyrt hvis det er mange månedlige hits på nettsiden. 

 

Vår anbefaling

Vår anbefaling er å sikre at man har gjort alt man kan for å være kompatibel i de plattformene man har i bruk i dag, og deretter sette opp en ny plattform for å sikre at man ikke står uten data i 2023. I lys av enigheten mellom USA og EU om det nye rammeverket Trans-Atlantic Data Privacy Framework, og at Google vil fjerne sensitiv data for EU-brukere via EU servere og domener før dataen logges - forventer vi at Google Analytics 4 vil bli den beste og billigste løsningen fremover. Dog anbefaler vi å følge utviklingen tett, teste og vurdere andre løsninger som Matomo i tilfelle situasjonen skulle endre seg.  

 

Hvordan jobber vi med dette? 

Vi i Connect bidrar hos kundene våre der det er nødvendig. Denne utfordringen kan være komplisert for alle som ikke jobber med dette til daglig og har det som fagfelt. Derfor støtter vi kundene våre med å tilby fullt oppsett og endring av det som må gjøres i respektives konto. Noen trenger 100% bistand, mens andre trenger bare litt guiding. Vi stiller med det som måtte være nødvendig. 


Ønsker du å lære mer eller trenger bistand for å ivareta din bedrifts data?
Ta gjerne kontakt med Christian Løvstad for en uforpliktende prat. Se kontaktinfo under. 

Kontaktperson

christian mathias løvstad noa connect
Christian Mathias Løvstad
Head of Analytics

Les flere fagartikler fra NoA Connect

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram