Er Google Analytics ulovlig?

M a r k e t i n g , S E O
Johan Schage 16.03.2022 10.00.00

Dette følger av den såkalte Schrems II-dommen, en prinsipiell beslutning som ble fattet av EU-domstolen i 2020 som angår overføring av personopplysninger til land utenfor EU/EØS.

Mange lurer derfor på hva de nå skal gjøre, hvilke anbefalinger som gis og ikke minst hva norske lover sier om saken.

Geta ser svært alvorlig på saken både for seg og sine kunder som benytter GA, samt andre tjenester som samler inn denne typen data.

Amerikanske myndigheter og EU ser etter en løsning for behandling av persondata som sendes til USA.

USA har forpliktet seg til å imøtekomme kravene til EU, selv om det foreløpig er uvisst hvordan de vil løse dette og når det vil skje.

Vi har tatt en prat med med vår spesialist på data og sporing, Kjetil Ullsgård, for å gi deg en oppdatering.

 

Innhold

Google Analytics kan være ulovlig

I skrivende stund står denne overskriften på Datatilsynets nettsider, og de har således ikke kommet med noen konklusjon enda.

Mange mener allikevel at man har et ansvar for å finne alternativer. 

En uttalelse fra Tobias Judin i Datatilsynet tyder på at det er “vanskelig å se hvordan Google Analytics kan være lovlig”. 

Vi tolker det dithen at det vil kreve handling fra aktører i Norge som benytter tjenester som samler inn persondata, slik som Google Analytics.

Hva er egentlig problemet med Google Analytics?

I reglene for GDPR, står det at personvernopplysninger som samles inn i EU/EØS ikke må overføres ut av denne sonen.

Ettersom selskapet er eid av Google som er registrert i USA, vil dataen som samles sendes via serverne deres, som igjen gjør dataen til gjenstand for lovgivning av data på amerikansk jord, som kan gi myndighetene innsyn i dataen.

Hvorfor er dette aktuelt akkurat nå?

Først ute var dommen i Østerrike, men en måned senere kom det franske datatilsynet (CNIL) også på banen. Frankrike mener Google Analytics er ulovlig å bruke i Europa slik det fungerer nå.

De to sakene fikk raskt internasjonal oppmerksomhet, da det er snakk om enorme mengder data som sendes til USA fra utallige operatører i Europa.

Konsekvensene av disse sakene gjør det vanskelig for amerikanske aktører - potensielt flere enn Google - å operere i land som er underlagt GDPR.

Hvordan påvirker det oss i Norge?

Foreløpig har det skjedd lite utenom Datatilsynets uttalelser, men mange bedrifter som benytter seg av GA selv eller for sine kunder har måttet ta forbehold om konsekvensene, som kan påvirke oss i større grad enn ventet.

Siden GDPR-lovgivningen omhandler behandling av persondata, er det ikke bare tjenester som GA som kan påvirkes. Potensielt gjelder dette alle tjenester der GDPR definerer informasjonen som persondata, blir sendt til USA.

Tidlig i mars ble det kjent at Telenor har skrudd av Google Analytics for nettstedet telenor.com.

Hva gjør Google med dette?

Google ønsker endringer i regelverket, blant annet definisjonen av persondata. De mener den dataen som behandles i GA, som definert av GDPR, ikke er å anse som personopplysninger, og at de nåværende sikkerhetstiltakene er gode nok.

De håper derfor at EU og de amerikanske myndighetene vil komme til enighet om et nytt rammeverk for behandling av persondata.

I mellomtiden har de uttalt at de også jobber med en løsning, som bl.a. å legge til flere kontroller for å tilpasse data som samles inn, slik at man kan fortsette å bruke Google Analytics. Hva slags tilpasninger dette er, vet vi foreløpig ikke.

Hva burde man gjøre?

Dersom man bruker GA eller andre tjenester som samler potensiell persondata som sendes til USA, vil et anbefalt minimumstiltak være å anonymisere IP-adressene som samles.

I følge Datatilsynet vil dette trolig ikke være nok, da IP-adresser anses som en liten del av den identifiserbarheten dataen.

Det aller viktigste foreløpig, er å ha både samtykkeerklæringer og IP-anonymisering på plass.

For å gardere seg helt, er naturligvis det store steget å gå over til en annen tilbyder av datainnhentingstjenester som er i tråd med GDPR, som leder oss til neste spørsmål.

Finnes det (lovlige) alternativer til Google Analytics?

Mange vil trekke frem Matomo Analytics (tidligere Piwik) som et godt alternativ til GA. De har utmerket seg for sporing av e-handel, og har en tilsvarende tag manager.

Det er dog usikkerhet rundt alternativene til Google Analytics, ettersom plattformene ikke er like godt utprøvd eller utviklet som GA. Det har rett og slett ikke vært behov for alternativer. Vi tror det gjelder mange i vår bransje.

Plausible.io er også et alternativ, men med enklere funksjoner. For eksempel kan man ikke sette opp avansert sporing, ingen støtte for custom løsninger.

Plausible er best egnet til rene contentsider og for å måle enkle KPI-er på nett. For e-handel vil den ikke kunne gi adekvat sporing av kjøpsdata, ordre- og produktinformasjon m.m.

Grunnen til at det finnes få alternativer er simpelthen at Google Analytics har fungert så bra for mange, at det ikke har vært behov for noe annet.

Vår anbefaling

Ikke start nye prosjekter ved bruk av Google Analytics på dette tidspunktet, gitt usikkerheten rundt lovligheten.

Hvis du ikke kan utsette et prosjekt som krever sporing, er vår anbefaling å finne et alternativ til GA. Vi kan blant annet bistå i oppsett av Matomo som vi anser som et godt alternativ til Google Analytics. Ta kontakt her.

For de som allerede bruker Google Analytics, burde man avvente frem til mer informasjon og avgjørelser dukker opp. Det kan tenkes at Google finner en løsning på dette før det medfører ulemper for deg som bruker GA.

Risikoen for videre bruk av GA kan i verste fall medføre bøter dersom regelverket for GDPR besluttes å håndheves.

Som tidligere nevnt, er det viktig å presisere at dette gjelder all bruk av tjenester som lagrer data i USA, og ikke bare Google Analytics. 

FAQ

  1. Jeg anonymiserer alle IP-adresser - behøver jeg ikke tenke på dette?
    -Nei, grunnen er at IP er kun èn av flere personidentifikatorer. Andre eksempler er Cookie ID-er.

  2. Hjelper det at jeg informerer mine kunder at dataen deres spores?
    -Nei

  3. Har dette noe å si for andre tjenester vi benytter oss av?
    -Ja, vi tolker det slik at dette gjelder alle amerikanske tjenester som sender persondata ut av EU hvor myndighetene kan kreve innsyn.

  4. Hva med historisk data?
    -Tjenester som Matomo tilbyr import fra GA, men dobbeltsjekk med den tjenesten du evt. bytter til. Utfordringen kan fort være større dersom man senere velger å gå tilbake til GA.

  5. Når burde man gjøre noe med samling og sporing av data som sendes til USA?
    -Du bør umiddelbart fatte minimumstiltak som anonymisering av IP-adresser, samt ha samtykkeerklæringer på plass. Videre bør du ikke starte nye, store sporingsoperasjoner og prosjekter, samt begrense bruk og investering i tracking da det kan hende man senere må gå over til en annen tjeneste, noe som resulterer i tapt bruk av ressurser.

    På sikt bør du slutte å bruke GA eller andre tjenester som sender data til USA, vurdere Matomo Analytics eller tilsvarende tjenester, og i mellomtiden avvente endringer eller justeringer fra Google og deres Analytics.

  6. Hva skjer om jeg fortsetter bruk av GA og andre tjenester som sender data til USA?
    -På et punkt vil det være naturlig å anta at det utstedes bøter for de selskapene som ikke følger reglene, tilsvarende 2-4% av selskapets globale inntekt. Les mer om bøter for GDPR.

  7. Hvorfor er GDPR et problem for Google og andre amerikanske selskaper?
    -De har ikke et lovverk tilsvarende GDPR, men så lenge de har europeiske brukere vil tjenestene deres være underlagt GDPR-lovgivningen.

Kilder