Det danske datatilsyn har meldt ud, at Google Analytics ikke længere er tilladt i standard-indstilling. Her er, hvad du som virksomhed skal vide, for at lægge en plan og komme godt videre - mens vi venter på den kommende trans-atlantiske data delingsaftale mellem EU og USA.
Den 21. september 2022 kom det danske datatilsyn på banen i forhold til Google Analytics og konkluderede, “at værktøjet (“Google Analytics”) ikke kan benyttes lovligt uden videre. En lovlig brug forudsætter implementering af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed.”
Det danske datatilsyn læner sig dermed op af det franske datatilsyn, der kom med samme konklusion i februar 2022. Derved skal alle, der anvender Google Analytics, nu tage stilling til hvad der skal ske.
Der er ifølge Datatilsynet to veje frem:
Hverken løsning 1 eller løsning 2 kan siges at være ideel for danske virksomheder.
Opsætning kræver ressourcer
At vælge et nyt analyseværktøj er i sig selv en meget ressourcekrævende opgave. Langt de fleste webshops og website systemer understøtter Google Analytics. Meget få CMS systemer understøtter godkendte analyseværktøjer såsom Matamo og Piwik Pro. Det betyder, at der skal investeres i en opsætning af værktøjet fra bunden. Dette kræver typisk hjælp udefra, samt udviklingsressourcer.
Alle integrationer skal genskabes
Google Analytics data lever for det meste ikke kun i Google Analytics. Alle dashboards og rapporter skal genskabes, og igen er data ikke lige så tilgængeligt som det er i dag. Der findes eksempelvis ikke nogen connector til Matamo i Google Data Studio, som er den mest udbredte dashboard løsning i dag.
Alle medarbejdere skal læres op på ny
Google Analytics har været en fast integreret del af alle digitale forretninger i mange år. Adgang til data risikerer at ende hos 1-2 personer, der får sat sig ind i den nye platform og dermed er træning også nødvendigt at tænke ind.
Datatilsynet henviser til CNIL (de franske myndigheder) hvad angår lovlig opsætning af Google Analytics med proxy server. Her er der nemlig en helt konkret guide til, hvordan man sikrer en lovlig brug af Google Analytics:
Denne guide påpeger 7 nødvendige tiltag for, at konfigurationen kan betragtes som lovlig:
Særligt 3 af disse tiltag er problematiske set fra et digital marketing perspektiv:
Det betyder i praksis, at Google Analytics ikke længere ville kunne bruges til at vise hvilken kanal eller kampagne en session/besøgende kom fra. Dermed er værktøjet ikke længere brugbart i marketing sammenhænge.
Selvom der opsættes en GTM server-side-løsning, hvor cookie ID erstattes af et nyt anonymt ID kun kendt af virksomheden, er Google Analytics, jf. guiden fra de franske myndigheder, fortsat ikke konfigureret korrekt og dermed fortsat ikke fuldt lovligt. Der vil dog være tale om en markant forbedret løsning end standard konfigurationen af GA eller GA4.
Hele problemstillingen omkring Google Analytics kom efter, at den daværende dataoverførselsaftale mellem USA og EU kaldet Privacy Shield blev erklæret ugyldig den 16. juli 2020. (Schrems ||)
Den 25. marts 2022 meddelte Europa Kommissionen, at de var nået til principiel enighed med USA omkring etableringen af et nyt Trans-Atlantic Data Privacy Framework (TADPF), som vil facilitere dataoverførsel mellem EU og USA i overensstemmelse med GDPR.
Den nye framework er på nuværende tidspunkt til forhandling mellem myndighederne. Det forventes, at der nås enighed omkring denne i slutningen af 2022. En ny aftale, med den rette ordlyd, ville kunne gøre Google Analytics 100% lovlig i forhold til GDPR.
Datatilsynet har ikke givet danske virksomheder en klar deadline for, hvornår en GDPR-compliant løsning skal være implementeret, men beskriver, at det er nødvendigt for alle virksomheder at have en plan klar.
s360 anbefaler konkret følgende handlinger:
s360 har udarbejdet en løsning, som sikrer alle dine historiske data fra Google Universal Analytics, samtidig med at du får mulighed for en glidende overgang over i Google Analytics 4 eller et alternativ forhåndsgodkendt værktøj. Løsningen omfatter dashboards, der tilbyder at man kan fortsætte med at have det store overblik uanset hvad fremtiden bringer af nye systemer.
Tag fat i os for at høre mere om løsningen og for yderligere indblik i situationen.
Datatilsynet har ingen interesse i at gøre livet besværligt for danske virksomheder, men det har som myndighed været nødvendigt at komme med en udmelding som opfølgning på de sager som har kørt ved myndighederne på tværs af Europa. De danske myndigheder kunne principielt være kommet med udmeldingen dagen efter de franske myndigheder i februar, men valgte formentlig at afvente og følge udviklingen.
De europæiske tilsynsmyndigheders opmærksomhed har længe været rettet mod Google Analytics, men samme GDPR-mæssige udfordring findes på tværs af en lang række af amerikanske software produkter, hvor data enten overføres til amerikanske servere, eller hvor amerikanske myndigheder - rent teoretisk og på trods af at data opbevares på europæiske servere - alligevel kan tvinge sig adgang, da den europæiske virksomhed ultimativt har amerikanske ejere.
Alle interessenter, brugere, virksomheder og myndigheder, har en fælles interesse i etableringen af et nyt Privacy Framework, hvorfor vedtagelsen af dette har meget høj prioritet.
Det er vigtigt at forstå, at der af tilsynene ikke er truffet principiel afgørelse omkring GA4, men kun Google Analytics UA. Det er derfor usikkert om forhandlingen om den nye trans-atlantiske aftale vil falde på plads før eller efter en eventuel afgørelse omkring GA4.
Tilføjelse til artiklen foretaget den 28.09.2022:
Den 27. september 2022 offentliggjorde amerikanske myndigheder i en pressemeddelelse fra White House press office, at de forventer at amerikanske myndigheder publicerer en bekendtgørelse om Privacy Shield i uge 40. Link til artiklen findes her: www.politico.eu/article/us-expected-to-publish-privacy-shield-executive-order-next-week/
Tilføjelse til artiklen foretaget den 27.10.2022:
Fredag d. 7. oktober 2022, udstedte USA's præsident Joe Biden et præsidentielt dekret, en såkaldt executive order, om udveksling af personoplysninger mellem EU og USA. Det amerikanske dekret vil begrænse amerikanske nationale sikkerhedsmyndigheders adgang til persondata som en del af den transatlantiske datadelingsaftale (Privacy Shield Framework) mellem EU og USA. Det amerikanske dekret vil oprette en ny enhed under U.S. Department of Justice som vil overvåge hvordan amerikanske national sikkerhedsmyndigheder har adgang til og bruger information fra både europæiske og amerikanske borgere. Dermed vil der blive skabt en ny såkaldt “Data Protection Review Court” under U.S. Department of Justice, hvor europæiske borgere kan henvende sig med eventuelle bekymringer og ønske om indsigt i amerikanske myndigheders behandling af deres persondata.
Den amerikanske executive order er et vigtigt skridt på vejen i tilblivelsen af den nye transatlantiske datadelingsaftale som flere tusinde virksomheder er afhængige af - inklusiv Google.
Hvad er det næste, der kommer til at ske? EU-Kommissionen skal gennemgå og godkende Privacy Shield Framework aftalen, herunder at der er et tilstrækkeligt beskyttelsesniveau i USA ift. GDPR reglerne. Processen kan tage flere måneder, men de nye skridt er godt nyt. Indtil da, er Datatilsynet guidelines som blev offentliggjort d. 21. September 2021 gældende i Danmark. Det nye præsidentielt dekret ser lovende ud for virksomheder som importerer/eksporterer mellem EU og USA: www.politico.com/news/2022/10/07/biden-executive-order-eu-data-privacy-agreement
Datatilsynet tilslutter sig ovenstående og har udgivet følgende pressemeddelelse vedr. de nye skridt for den transatlantiske datadelingsaftale mellem EU og USA: www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/okt/nyt-om-transatlantiske-overfoersler-af-personoplysninger
Mathias Hillerup Larsen, CTO, [email protected], +45 2327 5245
Frederik Hyldig, CPO, [email protected], +45 5073 7486
Rasmus Lenler-Petersen, Head of Legal, [email protected], +45 2071 2469
Ovenstående artikel kan ikke erstatte juridisk rådgivning. s360 og dets medarbejder yder ikke juridisk rådgivning i nogen form, herunder i forhold til setup af og brug af websites og medieplatforme. s360 accepterer ikke nogen form for ansvar for direkte eller indirekte tab som konsekvens af brug af denne artikel, inklusiv tab som følge af utilstrækkelig eller forkert brug af information, vurderinger eller andre forhold. s360 anbefaler at søge juridisk rådgivning fra en kvalificeret advokat hvis du er i tvivl om nogen juridiske krav og forhold, GDPR compliance og/eller brug af data.
Bliv opdateret om officielle udmeldinger fra Google, og den kommende trans-atlantiske data delingsaftale mellem EU og USA.
Mathias Hillerup Larsen
CTO & Co-Founder
[email protected]
Frederik Hyldig
CPO
[email protected]
Rasmus Lenler-Petersen
Head of Legal
[email protected]