Slut med at bruge Google Analytics - hvordan skal du forholde dig til det?
Det er ikke længere lovligt at benytte Google Analytics – i hvert fald som vi kender det i dag. Datatilsynet har vurderet, at Google Analytics i sin umiddelbare form medfører brud på GDPR-lovgivningen. Så er spørgsmålet bare, hvordan skal du forholde dig til det?
Det svarer Martin Hjørlund Nielsen, Advokat og Director, på i podcasten På forkant med juraen, hvor han sammen med journalist Magnus Krabbe dykker ned i sagen om brugen af Google Analytics.
I september 2022 fastslog Datatilsynet, at Google Analytics ikke kan benyttes lovligt uden videre. En lovlig brug forudsætter implementering af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed.
Martin, lad os tage det fra begyndelsen. Hvad er Google Analytics?
Google Analytics er et analyseværktøj, der giver dig data om trafikken på din hjemmeside.
Du får en unik bruger-id, og da Google jo ligger inde med rigtig mange oplysninger, kan de berige de her data på mange måder og udlede meget om de brugere, der besøger hjemmesiderne.
Du kan følge, hvem der besøger hjemmesiden, hvor tit de kommer tilbage, hvor længe de bliver på hjemmesiden, hvordan de bevæger sig rundt, hvor de kommer fra og meget mere.
Det problematiske ved Google Analytics er, at Google er hjemmehørende i USA, og der derfor ryger en hulens masse personoplysninger til USA.
Vil du lige forklare, hvad der er sket det seneste års tid i 2022?
Vi skal helt tilbage til 2020, hvor vi fik en dom fra EU-domstolen, Schrems ll. Schrems ll siger, at man ikke kan sende data til USA og heller ikke til rigtig mange andre lande udenfor EU.
Mark Schrems, som står bag Schrems-sagen, kigger på Google og Google Analytics og anlægger en sag, fordi han mener, at Google Analytics ulovligt overfører oplysninger til USA.
Det østrigske datatilsyn når frem til konklusionen, at der er så mange oplysninger, at det er muligt at identificere brugeren. De data suser altså over til Google i USA, og der er ikke truffet tilstrækkelige foranstaltninger for at beskytte dem.
Det østrigske datatilsyn nåede frem til, at du ikke kan bruge Google Analytics lovligt sådan som det kommer ud af kassen. Siden har det franske datatilsyn, det italienske datatilsyn og nu også det danske datatilsyn fulgt op og sagt, at de er enige.
Hvad er så problemet med de her data?
Problemet er ikke så meget Google, men lovgivningen i USA, der ikke beskytter de registrerede tilstrækkeligt. Myndigheder har for vidtgående adgang til de her personoplysninger, og som registreret har du dårlige muligheder for at håndhæve dine rettigheder over for amerikanske myndigheder.
Men er det et problem, at Google har adgang til de her data, eller er det også et problem, at virksomheder, som benytter værktøjet, har adgang til den data?
Google er et problem i kraft af det her med overførsel til tredjelande. Google giver også anledning til en lidt anden bekymring.
Google lever af at være dygtige til at placere de rigtige annoncer på det rigtige sted, sådan at lige præcis dem, der har størst chance for at ryge på de her tilbud, ser annoncerne.
Og det kan man jo have mange holdninger til.
Men Google ved utrolig meget om os, fordi der blandt andet er Google Analytics på mange hjemmesider. Hvis ikke du gør noget ved værktøjet, har Google oplysninger, som kan identificere dig. Det er eksempelvis din IP-adresse og oplysninger om den enhed, du tilgår det fra, og det vil gøre, at Google kan bygge en profil af dig på tværs af de forskellige hjemmesider, du besøger.
Det er for det første lidt ubehageligt, og for det andet er det også noget, vi anser for særligt problematisk i europæisk databeskyttelseslovgivning.
Hvis man så vælger at gøre brugen af Google Analytics lovlig, kan man lægge sig op ad det franske datatilsyns guide med 7 tiltag, som kan gennemføres. Kan du fortælle om det?
Det er dejligt, at der kommer løsningsforslag fra en tilsynsmyndighed, men der er to ulemper ved de her tiltag.
Det ene er, at det er dyrt og besværligt, og det andet er, at det bliver svært at bruge Google Analytics til noget som helst med de her tiltag.
Deres forslag er baseret på en reverse proxy, som er en server, der afbryder den direkte forbindelse med Google og brugeren. Men det er ikke nok at installere den. Du skal også sikre dig, at de data, der slipper igennem til Google, på ingen måde er identificerbare, og det er svært med alt det, Google i forvejen ved om os.
Lige om lidt kan alt det her være lovligt igen. Fortæl lidt om det her, vi kender som Transatlantic Data Privacy Framework.
Vi skal helt tilbage til det, der hed safe harbor, som var en ordning, virksomheder kunne tilslutte sig i USA. Når du var tilsluttet, blev du ifølge databeskyttelsesmyndighederne, betragtet som et sikkert tredjeland. Det vil sige, at du kunne overføre data til de virksomheder, der er tilsluttet safe harbour, fuldstændig som hvis det var indenfor EU.
Safe harbour blev så væltet i den dom, vi kender som Schrems l, og kom Schrems ll, som var samme historie én gang til, og nu prøver de så en tredje gang med en tredje ordning.
Den 7. oktober underskrev den amerikanske præsident det, der hedder en executive order, hvor de meget specifikt vil sikre proportionalitet i den overvågning, der sker fra efterretningstjenesternes side. Altså hvordan vi kan sikre, at amerikanske statsborgere har mulighed for at håndhæve deres rettigheder på en relativ sikker måde i USA.
Den tygger EU på lige nu, og det tager typisk 6 måneder. De har meldt ud, at de kommer med en melding i marts 2023, hvor de vil tage stilling til, om vi nu igen kan betragte USA som sikkert tredjeland eller i hvert fald virksomheder, som er tilknyttet den her ordning.
Rygterne siger, at Hr. Schrems sidder klar med sagsanlægget til Schrems lll, så vi må se, hvor det bærer hen.
Men det er vel i langt de fleste virksomheders interesse, at de kan dele data mellem USA og Europa?
Ja, det er et kæmpe problem i praksis. For rigtig mange cloud-løsninger hører til i USA, og det gør det meget svært at bruge cloud-løsninger lovligt. Så ja, hele verden har en kæmpe interesse i, at vi får løst det her problem.
Hvad tror du, bliver enden på alt det her?
Jeg synes, diskussionen om, hvorvidt vi er gået for langt, er interessant.
Hvis vi går helt tilbage og kigger, ligger der faktisk en vejledning fra 2008, der definerer, hvornår noget er personoplysninger. På den ene side skal vi sikre, at vi fanger så meget, at vi giver en reel beskyttelse til de registrerede. På den anden side skal vi heller ikke derhen, hvor alt bliver personoplysninger.
Og dér er vi måske ved at ende.
Det kan skyldes, at meget har ændret sig siden 2008. Der er mange flere data i omløb, og der bliver opsamlet mange flere data også på måder, som vi slet ikke havde forestillet os dengang.
På et eller andet tidspunkt kunne jeg forestille mig, at udviklingen kommer derhen, hvor vi i højere grad vil trække på skuldrene og sige, “nå ja, det er jo behandling af personoplysninger, men det er så normalt”.
Men de helt grundlæggende ting om, at du ikke må samle data, du ikke skal bruge til noget, og at du ikke må have dem liggende i længere end højst nødvendigt, kommer vi til at se i mange år frem.
Nu er det Google, men kommer Datatilsynet pludselig og siger, at nu må vi ikke bruge Slack, Mailchimp eller Outlook?
Datatilsynet siger ikke, at vi ikke må bruge de her programmer. Datatilsynet siger, at du skal træffe nogle foranstaltninger, som gør, at du kan bruge det lovligt.
Men den dag, der kommer en god løsning på USA, er der rigtig mange af de har problemer, der går væk.
Men jeg tror, vi skal vænne os til, at Datatilsynet vil interessere sig for bestemte programmer, hvis der er en opfattelse af, at der suser data afsted, som ikke burde suse afsted.
Hvis man som virksomhed i dag bruger Google Analytics, hvad er så dit bedste råd?
Start med at finde ud af, om I reelt bruger Google Analytics, eller om Google Analytics bare er på hjemmesiden, fordi havde alle andre. Hvis I ikke bruger det, så slet det. Det er den nemme løsning.
Hvis I der, hvor analyseresultaterne er vigtige for jer, må I i gang med den besværlige øvelse i, hvordan I kan gøre det lovligt.
Det kan være, at I skal finde et tilsvarende system, der kører inden for EU, så data ikke bliver overført til tredjelande, eller at I finder på helt andre måder at lave de her analyser på.