Flere ferske vedtak konkluderer med at bruk av Google Analytics kan være i strid med europeisk personvernlovgivning. Så hva bør du gjøre?
Den 13. januar konkluderte Østerrikes datatilsyn DSB med at bruken av Google Analytics er ulovlig. I et innlegg i DN skriver senioradvokat Christine Stousland i Bull & Co Advokatfirma AS at «vedtaket i prinsippet dreper verdens mest brukte analyseverktøy». I et annet vedtak fikk selveste EU-parlamentet beskjed av EDPS (European Data Protection Supervisor) om at de har brutt EUs personvernlover ved å bruke Google Analytics.
Google er ikke overraskende uenig i at løsningen kan brukes til ulovlig sporing av brukere, og publiserte samme dag som DSB-vedtaket et blogginnlegg der de forsøker å forsvare seg. Her viser de blant annet til hvordan de krypterer data – altså omformer dataene slik at de ikke kan leses av uvedkommende. DSB mener imidlertid at dette ikke er godt nok, så lenge amerikanske myndigheter faktisk kan pålegge Google å utlevere krypteringsnøkkelen.
Vi mener at vi ikke kan eller bør la være å ta hensyn til vedtakene. I en artikkel i Digi.no bekrefter det norske Datatilsynet at de vil gå så langt som å anbefale norske virksomheter å se etter alternativer.
– I praksis er det vanskelig å se hvordan nettsider lovlig kan bruke Google Analytics, sier Tobias Judin, seksjonssjef for internasjonal seksjon i Datatilsynet, til digi.no.
Litt bakgrunn
Amerikanske Google Analytics er det desidert mest populære verktøyet for å analysere webtrafikk, og brukes antagelig av et flertall av norske nettsteder.
Ifølge europeiske vedtak er selv pseudonymisert cookie-informasjon, delvis anonymiserte IP-adresser og informasjon om nettleserparametre å regne som persondata. Nettopp denne typen data er hele bærebjelken i det populære analyseverktøyet. Med pseudonymisering menes at data er endret slik at de ikke kan knyttes til en bestemt person uten bruk av tilleggsopplysninger som lagres adskilt. Men ifølge Datatilsynet kan ikke pseudonymiserte personopplysninger regnes som anonyme.
I den såkalte Schrems II-dommen fra 2020 slås det fast at overføring av persondata fra EU/EØS-området til USA eller andre land utenfor EU/EØS er i strid med den europeiske GDPR-personvernlovgivningen. Schrems II har fått navnet sitt etter Maximilian («Max») Schrems, en personvernaktivist som har klaget inn et stort antall europeiske virksomheter for å ikke følge avgjørelsen i Schrems II – altså at de har fortsatt å dele personopplysninger med USA til tross for dommen.
En av årsakene til at flere datatilsynsmyndigheter i Europa mener Google Analytics er ulovlig, er at de mener Google kan klare å gjenkjenne brukere på ulike nettsider hvis brukerne er pålogget Google-kontoen sin når de besøker sidene.
Max Schrems’ personvernorganisasjon Noyb («None of your business») har sagt at målet med søksmålene ikke først og fremst er å ramme europeiske virksomheter, men å presse amerikanske selskaper og myndigheter til å endre sin praksis. Schrems mener mange av de amerikanske gigantene mer eller mindre har gitt blaffen i europeisk personvernlovgivning og turer frem som de alltid har gjort.
Her kan du se vårt webinar om Schrems II, med personvernsekspert og advokat, Eva Jarbekk.
Det finnes alternativer
Med mulige bøter på opptil fire prosent av bedriftens globale årsomsetning eller opptil 20 millioner euro, er det ikke så rart mange ser seg om etter alternativer.
På sikt kan vi håpe at Google gjør endringer, for eksempel slik Hubspot gjorde da de nylig etablerte et eget datasenter i Europa. Ved å lagre alle data i Europa unngår man at data sendes ut av EU/EØS.
Det finnes imidlertid flere gode alternativer til Google Analytics. For markedsførere kan det hende du mister noen av mulighetene du får ved å utveksle data med Google, men inntil Google forhåpentligvis får på plass løsninger som er i tråd med GDPR er det kanskje prisen man må betale.
Ønsker du først og fremst et verktøy for å få oversikt over sidevisninger, antall unike brukere, samt hvor trafikken kommer fra, da finnes det en rekke løsninger som garanterer lagring kun innenfor EU/EØS-området og hvor GDPR-reglene overholdes. Matomo (tidligere Piwik), Plausible og Fathom er tre av de mest kjente.
Det du ikke får når du bruker noen av disse, er mulighet til å bruke tredjeparts-cookies for å spore brukere på tvers av nettsteder for bedre målretting av annonser. Dette er imidlertid en praksis som jeg tror på sikt vil forsvinne, det er krefter i sving for å forby «retargeting» ned på individnivå og mulighet for bruk av tredjeparts-cookies i nettlesere vil etter hvert forsvinne.
For oss som jobber med markedsføring er det ingen tvil om at Schrems II-dommen har gitt oss noen nye utfordringer. Heldigvis liker vi utfordringer – og vi i Iteo er også opptatt av at løsningene vi bruker skal ivareta personvernet til sluttbrukerne.
Ønsker du hjelp til å bytte ut Google Analytics? Book et møte direkte med vår leder for Digital, Espen Skogheim, i kalenderen nedenfor.