Datatilsynet har konkluderet, at brugen af Google Analytics ikke længere er lovlig uden videre. Alle der anvender Google Analytics, skal derfor aktivt tage stilling til, hvordan de fortsat bruger værktøjet. 

Datatilsynet udsendte den 21. september 2022 en pressemeddelelse omkring analyseværktøjet Google Analytics, hvori de konkluderer at: ”værktøjet ikke kan benyttes lovligt uden videre. En lovlig brug forudsætter implementeringen af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed.”. Årsagen til denne konklusion er, at Google Analytics sender personfølsomme data til Googles servere i USA. Og det er i strid med GDPR-reglerne. Konklusionen har skabt en del røre i data-branchen – for hvad betyder det konkret for de danske virksomheder, der anvender Google Analytics i deres forretning?

Hele problemet med om brugen af Google Analytics er lovlig, startede i juli 2020, hvor den daværende dataoverførelsesaftale mellem USA og EU blev erklæret ugyldig. Siden har flere europæiske datatilsyn, herunder det østrigske, franske og italienske, afgjort, at uændret brug af Google Analytics ikke er lovlig – og nu har også det danske datatilsyn altså truffet samme afgørelse. 

Europa-Kommissionen og USA er i gang med at forhandle om at etablere et nyt Trans-Atlantic Data Privacy Framework. Det skal sikre at dataoverførelsen mellem EU og USA overholder reglerne for GDPR. Hvordan denne aftale kommer til at påvirke det nuværende setup af Google Analytics, må tiden vise, når aftalen kommer på plads – indtil videre er der ingen konkrete meldinger om, hvornår vi kan forvente en endelig aftale.

Men hvad betyder det danske datatilsyns udmelding for dig, der bruger Google Analytics i din virksomhed lige nu? Ifølge Datatilsynet er der to muligheder: 

1. At konfigurere Google Analytics på en måde, så der ikke overføres personoplysninger til Google’s servere i USA 
2. At skifte til et alternativt analyseværktøj, der overholder reglerne for databeskyttelse

Lovlig konfigurering af Google Analytics

Hvis du vil fortsætte med at bruge Google Analytics som analyseværktøj, er budskabet fra Datatilsynet, at du skal lovliggøre brugen af værktøjet ved at træffe supplerende foranstaltninger. 

En mulig teknisk foranstaltning du kan træffe for at gøre brugen af Google Analytics lovligt, er at pseudonymisere data, inden det bliver sendt videre til Googles server i USA. Datatilsynet henviser til det franske datatilsyn, CNIL, der har udarbejdet en konkret guide til, hvordan man lovligt opsætter Google Analytics med proxy server. Dette betyder, at det indsamlede data sendes til en proxy server, der pseudonymiserer det, inden data sendes videre til Googles servere i USA. 

I CNIL’s guide er der 7 nødvendige foranstaltninger, der skal implementeres, for at brugen af Google Analytics kan anses som lovlig:

• Ingen overførsel af IP-adressen til analyseværktøjets servere
• Udskiftning af bruger-identifikation med proxy server
• Fjernelse af eksterne henvisningsoplysninger
• Fjernelse af alle parametre i de indsamlede URL’er
• Modificering af al information, der kan bruges til at generere et fingeraftryk
• Sikring af, at der ikke indsamles cross-site eller varige identifikatorer
• Sletning af andet data, der kan føre til genidentifikation

Selvom implementeringen af disse foranstaltninger, gør brugen af Google Analytics lovlig, vil det også komme til at påvirke dine tracking-muligheder. Det betyder bl.a. at du ikke længere kan se, hvilken kanal eller kampagne en session kommer fra. Dermed bør du overveje, hvorvidt denne begrænsning har betydning for din dataindsamling og -analyse.

Alternative analyseværktøjer

En anden løsning er at skifte Google Analytics ud med et andet data-analyseværktøj. Der findes en række alternativer, som f.eks. Piwik Pro, Siteimprove, Matomo og Simple Analytics, som alle er lovlige at bruge i Danmark.

Men du skal være opmærksom på, at det kan være omfattende at starte forfra med et nyt analyseværktøj – og det kan koste både ressourcer, penge og tid. Her er nogle af ting, som skal overveje:

• Til forskel for Google Analytics, opkræver de fleste alternativer et abonnementsgebyr
• Opsætningen af at nyt analyseværktøj fra bunden er en ressourcekrævende opgave. Og det kan være nødvendigt at involvere hjælp udefra. Det kan blive en dyr og tidskrævende proces
• Eksisterende data fra Google Analytics kan ikke overføres til det nye værktøj
• Medarbejdere, der er vant til at arbejde i Google Analytics, skal oplæres på ny og vænne sig til at arbejde med det nye værktøj 

Hvad skal du gøre nu?

Inden du går i panik, tager en forhastet beslutning eller sletter kontoen hos Google er det værd at bemærke, at Datatilsynet endnu ikke har fastsat en deadline for, hvornår foranstaltningerne senest skal være implementeret. Det betyder naturligvis ikke, at du bare kan læne dig tilbage, men du bør aktivt og inden længe lægge en plan for, hvordan du lovligt kan indsamle og analysere data i din virksomhed – hvad enten det er gennem Google Analytics eller ved at skifte til et andet analyseværktøj.

Og vi kan hjælpe.

Vi har allerede udviklet en løsning til opsætningen af de tidligere omtalte foranstaltningerne, der kan lovliggøre din videre brug af Google Analytics. Og vil du hellere skifte til et alternativt analyseværktøj, kan vi hjælpe med den nye opsætning og implementering, så du kommer godt i gang med en dataindsamling. Er du allerede besluttet eller i tvivl om hvilken mulighed, der passer bedst til netop din forretning? Under alle omstændigheder er næste skridt at tage fat i vores Head of Digital & Performance, Martin Molt Ipsen, på [email protected] for at sikre dit fremtidige data-setup