Orchestra
Orchestra

Er Google Analytics nu ulovligt?

Picture of Michael Bach Elkjær
Michael Bach Elkjær
Performance Director

Onsdag d. 21/9 offentliggjorde Datatilsynet en artikel hvor de udlægger, at Google Analytics – i en standard-implementering – ikke længere er lovlig i Danmark. Årsagen er at brugen af Google Analytics automatisk lagrer data på Googles servere i USA og dermed overtrædes potentielt reglen om overførsel af personhenførbare data til 3. land.

Heldigvis udlægger Datatilsynet dog også, at Google Analytics kan gøres lovlig, ved at opsætte “en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed.”

Datatilsynets udmelding er meget klar, men også lidt af en presbold: Hvis det ikke er muligt at træffe de supplerende foranstaltninger, der gør brugen af Google Analytics lovlig, skal man holde op med at anvende værktøjet.

Her er, hvad du skal vide

Datatilsynet ser overordnet to muligheder for at have en tracking-løsning, der imødekommer (er compliant med) europæisk lovgivning:

  1. Lav en række tiltag der sikrer, at der ikke overføres personhenførbare (PII) informationer til Googles servere
  2. Find et andet trackingværktøj

Det er jo dejlig klart, men også lidt af en presbold.

Vores budskab til dig er dog: Ikke gå i panik. Der er tid til at trække vejret og tage en kvalificeret beslutning omkring, hvilken vej du og din virksomhed skal tage.

Hvorfor kommer udmeldingen netop nu?

Udmeldingen fra Datatilsynet kommer i halen på en række domme i Østrig og Frankrig, og lægger sig 100 % op ad det franske datatilsyns (CNIL) udlægning.

Vi forventer ikke at Google sidder det overhørig, at endnu et EU-land effektiv underkender deres analyseværktøj; der vil komme en modreaktion fra Google på et tidspunkt. Omvendt ved vi selvfølgelig også godt, at det ikke er en udmelding i lille Danmark, der gør udfaldet. Men pilen peger ikke i Googles retning.

Det er også vigtigt at have for øje, at der ikke er noget, der har ændret sig juridisk siden sidste uge. Reglerne er nøjagtig de samme, Datatilsynet har nu bare valgt at være specifikke, for at imødekomme en masse usikkerhed iblandt danske virksomheder.

Hvad betyder det mere konkret?

Hvis du som annoncør anvender Google Analytics, har du forskellige veje at gå

  • Afvente en respons fra Google. Vi tror på der kommer et udspil fra Google. EU er et stort marked, og Google har en stor interesse i at Analytics værktøjet fortsat er det mest anvendte, også på de europæiske markeder. Ingen ved dog hvornår dette udspil kommer, så at ignorere Datatilsynets udmelding er nok ikke den optimale løsning. 
  • Udskifte GA med et EU-baseret web analytics system. Der findes flere interessante web analytics-værktøjer, der er værd at overveje. Valg af alternativt system afhænger af den enkelte virksomheds behov. 
  • Tilrette det bestående Google Analytics setup – der er muligheder for at fastholde Google Analytics som analyseværktøj. Det kræver at I foretager nogle ændringer i opsætningen, og dem kan vi hjælpe med.
    • I forbindelse med tilretningen, skal I overveje om GA skal lukkes ned indtil der er en løsning på plads, og nogle virksomheder vil have et umiddelbart ønske om at gøre dette. Vores holdning er at det ikke er nødvendigt, så længe man er i gang med at se på tilretningen.

Her er De 7 anbefalede, tekniske foranstaltninger

I Datatilsynets artikel henvises til den franske pendant til Datatilsynet, der har skrevet 7 konkrete tiltag de mener der skal til, for at Google Analytics kan være lovlig at bruge:

  • Undgå at fremsende brugerens IP-adresse til analytics-værktøjets servere.
  • Overskriv brugerindetifikationen via proxy-serveren.
  • Fjern information om ekstern refererence (“referrer”)
  • Fjern enhver parameter i de besøgte URL’er
  • Omskriv information der kan benyttes til fingerprinting.
  • Undgå at opsamle information om cross-site eller permanente indentifikationselementer (fx bruger-id eller CRM-id)
  • Slet alle andre data, der kan være med til at re-identificere pseudonymiserede brugere.

For at kunne fortsætte med at køre Google Analytics vil det altså være nødvendigt at opsætte en proxy mellem dit website og Google Analytics’ servere – fx i form af et server-side tracking-setup. Formålet med dette setup er, at data opfanges og behandles til et niveau, hvor brugeren ikke længere vil kunne genkendes inden det sendes til Google Analytics og hermed til USA.

Et eksempel kunne være at opfange den IP-adresse, brugeren sidder på, og ændre den/fjerne den. Et andet eksempel kunne være at sikre, at device-id’et pseudonymiseres, eller at der fjernes bruger-id’er fra nyhedsbrevsystemer. Alt sammen med det formål at sikre, at absolut ingen personhenførbar information ryger over Atlanten.

Hvad skal du gøre lige nu?

Lige nu er det vigtigste, at du ikke går i panik.

Datatilsynet bruger meget klart formuleringen ”lægge en plan”. Der er altså ikke et krav om at det skal løses omgående. Der er tid til at træffe en velovervejet beslutning. Fokusér på at få startet processen for, hvad der skal ske med data, både på den korte bane og mere langsigtet.

Er du allerede med i Orchestra-fællesskabet, så ræk ud til din daglige kontakt, ellers er du velkommen til at kontakte Strategy Director Per A. Knudsen, pk@orchestra.dk, så hjælper vi dig med at få lagt en god plan.

Udfordringer og muligheder i den cookieløse verden
Er dit brand relevant for den næste forbrugergeneration?

Nyhedsbrev

Tilmeld dig og modtag nyheder om medier og markedsføring

Når du tilmelder dig til Orchestras nyhedsbrev, giver du os samtykke til at sende dig e-mails med nyheder om medieverdenen, blogposts og arrangementer, vi afholder. Du kan til enhver tid trække din nyhedsbrevstilmelding tilbage. 

Du kan i vores persondatapolitik læse mere om hvordan vi behandler dine personoplysninger, samt hvilke rettigheder du har.

Orchestra A/S, København
Vester Farimagsgade 41, 5.
DK–1606 København V

Orchestra A/S, Aarhus
Ny Banegårdsgade 55, 1.
DK-8000 Aarhus C

info@orchestra.dk

CVR: 35046348
Kontakt os

Linkedin
Facebook